Resolución N° 23/021 del 08/06/2021
Se resuelve sobre la necesidad de actualizar la Resolución Nº 4/019, de 12 de marzo de 2019, sobre los países u organizaciones consideradas adecuadas para las transferencias internacionales de datos, de conformidad con lo establecido por el artículo 23 de la Ley Nº 18.331, de 11 de agosto de 2008.
Montevideo, 8 de junio de 2021.
VISTO: La necesidad de actualizar la Resolución Nº 4/019, de 12 de marzo de 2019, sobre los países u organizaciones consideradas adecuadas para las transferencias internacionales de datos, de conformidad con lo establecido por el artículo 23 de la Ley Nº 18.331, de 11 de agosto de 2008.
RESULTANDO:
I. Que la resolución indicada en el Visto sustituyó la Nº 17/009, de 12 de junio de 2009, y estableció los territorios adecuados y en consecuencia apropiados para las transferencias internacionales de datos.
II. Que al efecto se consideraron las evaluaciones realizadas por la Unidad, y los casos en los que existe una protección equivalente a la uruguaya, sea por la pertenencia a determinada región o por la evaluación realizada por entidades especializadas en la valoración del ajuste de legislaciones nacionales a los principios y derechos vinculados a la protección de datos.
III. Que en función de los antecedentes citados, la Resolución N° 4/019 estableció que se consideran adecuados los miembros de la Unión Europea y el Espacio Económico Europeo, Principado de Andorra, República Argentina, el sector privado de Canadá, las organizaciones incluidas en el marco “Privacy Shield” de los Estados Unidos de América, Guernsey, Isla de Man, Islas Feroe, Estado de Israel, Japón, Jersey, Nueva Zelanda, Reino Unido de Gran Bretaña e Irlanda del Norte, y Confederación Suiza. Ello sin perjuicio de las limitaciones previstas en las correspondientes decisiones de adecuación emitidas por la Comisión Europea.
CONSIDERANDO:
I. Que la transferencia internacional de datos supone su transmisión fuera del territorio nacional y constituye una cesión o comunicación que tiene por objeto la realización de un tratamiento por cuenta del responsable de la base de datos o tratamiento establecido en territorio uruguayo.
II. Que el artículo 23 de la Ley Nº 18.331 dispone la prohibición de transferencias internacionales de datos con países u organismos internacionales que no proporcionen niveles de protección adecuados, de acuerdo con los estándares del Derecho Internacional o Regional en la materia, salvo excepciones; y esta Unidad es el órgano encargado de establecer los países y organismos que brindan dichos niveles de protección.
III. Que en esa consideración, la Unidad ha tenido en cuenta especialmente los Estándares en Protección de Datos Personales para los Estados Iberoamericanos emitidos por la Red Iberoamericana de Protección de Datos y el Reglamento General Europeo de Protección de Datos Nº 2016/679 del Parlamento Europeo y del Consejo.
IV. Que los países miembros de la Unión Europea cumplen con los estándares internacionales por aplicación del citado Reglamento y, por otra parte, se estima que los terceros países u organizaciones que han sido objeto de decisiones de adecuación del Parlamento Europeo y el Consejo poseen un nivel adecuado de protección, al acompasar su normativa a la de dicho estándar internacional.
V. Que en el caso de los terceros países u organizaciones considerados adecuados, corresponde entenderse incluidas en la presente Resolución todas las limitaciones o excepciones previstas en la decisión correspondiente a que refiere el Considerando anterior.
VI. Que con respecto a la adecuación de las organizaciones incluidas en el marco del “Privacy Shield”, existen elementos derivados del análisis del tratamiento de los datos en los Estados Unidos de América que llevaron a la invalidación de ese marco en el territorio europeo, los cuales justifican la revisión de la Resolución de esta Unidad. Esos elementos resultan en particular de la sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio 2020.
VII. Que, por lo mismo, las transferencias internacionales realizadas a los Estados Unidos de América deberán justificarse a través del consentimiento de los interesados o de alguna de las excepciones previstas en el artículo 23 de la Ley N° 18.331, y en su caso, contar con la autorización expresa de esta Unidad. A estos efectos se valorará especialmente la adopción de cláusulas contractuales apropiadas, la ubicación de los encargados de tratamiento en Estados que hayan adoptado normas tuitivas de la protección de datos y la adopción del esquema de auto-certificación puesto a disposición por la Federal Trade Commission, entre otros elementos.
VIII. Que se aprecia la necesidad de otorgar a los responsables y encargados de tratamiento que hubieran sustentado sus transferencias en el marco indicado en el Considerando VI un plazo para las adecuaciones necesarias.
ATENTO: A lo expuesto,
LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES
RESUELVE:
1°.- Sustituir la Resolución Nº 4/019, de 12 de marzo de 2019, y establecer que se consideran adecuados y en consecuencia apropiados para las transferencias internacionales de datos, todos los países que a juicio de esta Unidad, cuenten con normas de protección adecuadas y medios para asegurar su aplicación eficaz. En particular, se consideran adecuados a los miembros de la Unión Europea y el Espacio Económico Europeo, Principado de Andorra, República Argentina, el sector privado de Canadá, Guernsey, Isla de Man, Islas Feroe, Estado de Israel, Japón, Jersey, Nueva Zelanda, Reino Unido de Gran Bretaña e Irlanda del Norte, y Confederación Suiza.
2º.- La realización de las transferencias a los países indicados en el numeral anterior se encontrará supeditada, en caso de corresponder, a lo indicado en el Considerando V de esta Resolución.
3º.- Otorgar a los responsables y encargados de bases de bases o tratamiento que a la fecha de vigencia de la presente Resolución hayan fundado sus transferencias a Estados Unidos de América en el marco de “Privacy Shield”, un plazo de seis meses para ajustar las condiciones de las transferencias realizadas, a contar desde la publicación de la presente resolución en el Diario Oficial.
4°.- Notifíquese, publíquese en el Diario Oficial y en la página web de la Unidad, y oportunamente archívese.
FIRMADO POR: FELIPE ROTONDO TORNARÍA
CONSEJO EJECUTIVO URCDP
Resolución N° 41/021 del 08/09/2021
Se resuelve sobre lo dispuesto por el artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008 respecto a las transferencias internacionales a territorios no adecuados.
Montevideo, 8 de setiembre de 2021
VISTO Y CONSIDERANDO: Lo dispuesto por el artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008 respecto a las transferencias internacionales a territorios no adecuados,
RESULTANDO: I. Que, de conformidad con el artículo indicado, “la Unidad Reguladora y de Control de Protección de Datos Personales podrá autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel adecuado de protección, cuando el responsable del tratamiento ofrezca garantías suficientes respecto a la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos. Dichas garantías podrán derivarse de cláusulas contractuales apropiadas.”
II. Que, por Resolución N° 23/021, de 8 de junio de 2021, este Consejo Ejecutivo determinó los territorios considerados adecuados para la transferencia internacional de datos, así como instrumentos para brindar garantías a la protección de la vida privada que deben considerar los responsables, entre los que se encuentran las cláusulas contractuales apropiadas.
III. Que, en ese sentido, se estima pertinente adoptar una guía para la redacción de cláusulas contractuales que aseguren un contenido ajustado a las normas en materia de protección de datos personales, el que deberá complementarse con otros aspectos relativos a las operaciones de tratamiento que se pretendan realizar.
ATENTO: a lo expuesto e informado,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
RESUELVE:
Recomendar a los responsables y encargados de tratamiento que pretendan realizar transferencias internacionales de datos en el marco del artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008, la adopción de cláusulas contractuales como las indicadas en el Anexo I de la presente resolución.
NOTIFÍQUESE Y PUBLÍQUESE
FIRMADO POR: FELIPE ROTONDO TORNARÍA
CONSEJO EJECUTIVO
URCDP
Anexo I a Resolución 41/2021 del Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales
CONTENIDO MÍNIMO DE CLÁUSULAS CONTRACTUALES PARA TRANSFERENCIAS INTERNACIONALES A PAÍSES NO ADECUADOS[1]
ANTECEDENTES
En lo que respecta a las transferencias internacionales de datos a países no adecuados -de conformidad con la resolución indicada-, los responsables y encargados deben adoptar determinadas salvaguardas para asegurar la debida protección de datos de titulares, que son objeto de tratamiento.
En el marco de los mecanismos habilitantes de las transferencias, se encuentra la adopción de cláusulas contractuales que determinen claramente las responsabilidades de las partes involucradas.
El presente anexo presenta un contenido mínimo indispensable que deben contener los contratos a suscribir entre un responsable o encargado en territorio nacional con responsables o encargados situados fuera de éste. En primer lugar se presentan contenidos de cláusulas comunes a todas las transferencias y en los apartados siguientes contenidos específicos, adicionales a los primeros, según el tipo de emisor o destinatario.
La naturaleza del vínculo entre la parte exportadora e importadora de los datos determina la existencia de distintos tipos de obligaciones y responsabilidades que deben encontrarse claramente definidas. En esta definición, y de conformidad con lo establecido en el artículo 40 de la Ley N° 19.670, debe participar cuando corresponde, el delegado de protección de datos.
Por otra parte, la transferencia internacional, en tanto se realiza a territorio no adecuado, debe ser antecedida en todos los casos de una evaluación de impacto en la protección de datos, de conformidad con lo establecido en el artículo 6° literal f del decreto N° 64/020.
CLAUSULAS COMUNES A TRANSFERENCIAS ENTRE TODO TIPO DE IMPORTADOR Y EXPORTADOR DE DATOS
Finalidad – Se debe establecer claramente cuál es la finalidad que se persigue con la transferencia que se pretende realizar, sin perjuicio del detalle que se realice según se trate de transferencia a responsable o a encargado.
Normativa aplicable – En todos los casos debe preverse la aplicación de la normativa uruguaya, Leyes N° 18.331, de 11 de agosto de 2008, N° 19.670, de 15 de octubre de 2018, decretos N° 414/009, de 31 de agosto de 2009 y N° 64/020, de 17 de febrero de 2020, normas modificativas y concordantes.
Definición de los términos de protección de datos aplicables – Deben definirse los términos más comunes aplicables a la regulación de la transferencia, remitiéndose a las definiciones previstas legal y reglamentariamente, en lo pertinente (artículos 4° de la Ley N° 18.331 y 4° del decreto N° 414/009). En especial no debe omitirse la definición de importador, exportador, responsable, encargado, sub-encargado, titular del dato, dato personal y tratamiento.
Contenido de la transferencia – Deberá detallarse el listado de datos transferidos con la mayor exactitud y completitud posible. En caso de datos sensibles, deberá en lo posible detallarse adicionalmente el contenido y propósito para la transferencia de cada dato.
Transferencias posteriores – Establecer, en caso de corresponder, las condiciones para habilitar transferencias posteriores de información desde el destino del importador, que en todos los casos deberán cumplir con la normativa habilitante (artículo 23 de la Ley N° 18.331).
Derecho de información – En todos los casos deberán explicitarse los contenidos mínimos previstos en el artículo 13 de la Ley N° 18.331. Adicionalmente, deberá incluirse la identificación de los encargados y sub-encargados de tratamiento, cuando corresponda. La información deberá estar disponible en forma permanente o a solicitud del titular del dato, según corresponda.
Operaciones de tratamiento – En todos los casos deberán identificarse las operaciones de tratamiento específicas a realizar y las medidas operativas y de seguridad necesarias para dar cumplimiento al principio de seguridad de los datos y de responsabilidad proactiva (artículos 10 y 12 de la Ley N° 18.331, este último en la redacción dada por el artículo 39 de la Ley N° 19.670, y decreto N° 64/020).
Resolución de disputas – Podrán preverse mecanismos específicos para la resolución de disputas, pero ello de ningún modo podrá alterar las operaciones de tratamiento que son de interés del titular del dato, o afectar de modo alguno sus derechos, o suponer un incumplimiento de la normativa aplicable, o que establezcan una retención indebida de información que de conformidad con la normativa aplicable deba ser suprimida.
Autoridad de control administrativa – En todos los casos deberá preverse que la autoridad de control para el caso de determinación de incumplimientos será la autoridad uruguaya, salvo en caso de incumplimientos específicos del importador del dato que se encuentren sujetos al contralor de la autoridad homónima en el país de destino. Ello sin perjuicio de la aplicabilidad, en su caso, del artículo 37 de la Ley N° 19.670 y artículos 1° y 2° del decreto N° 64/020.
Cumplimiento de medidas de responsabilidad proactiva previas – En todos los casos deberá agregarse en forma de anexo la Evaluación de Impacto en la Protección de Datos de carácter obligatorio de conformidad con el artículo 6° literal f del decreto N° 64/020.
Resguardo de documentación – Deberán establecerse las condiciones para el resguardo de la documentación tanto por el importador como por el exportador y otros interesados (como por ejemplo eventuales sub-encargados), la que deberá conservarse en la forma establecida en el artículo 5° del decreto 64/020, y estar a disposición de la Unidad de conformidad con el artículo 34 literal D de la Ley N° 18.331.
Confidencialidad – Establecer el contenido de las obligaciones de confidencialidad asumidas por el personal del importador y el exportador.
Acceso a información por autoridades extranjeras – Deberá preverse que sólo podrá accederse a información en el destino del importador del dato por parte de autoridades del tercer país en el marco de normas legales vigentes que otorguen las debidas garantías a los titulares de los datos y con orden judicial. En todos los casos deberán tomarse las medidas para que el acceso no se realice a todos los datos sino únicamente a los estrictamente necesarios para el cumplimiento de la orden judicial correspondiente. Deberá preverse que se brinde al responsable situado en territorio nacional información de la solicitud en forma inmediata, en los casos en que ello sea posible; en caso contrario deberá brindarse la información en la primera oportunidad posible.
CLÁUSULAS ESPECÍFICAS APLICABLES A TRANSFERENCIAS ENTRE RESPONSABLES Y RESPONSABLES
Base de legitimación para la comunicación – Deberá justificarse la aplicación de alguna de las causales previstas en el artículo 17 de la Ley N° 18.331, por tratarse de una comunicación de datos.
Base de legitimación para el tratamiento previsto – Deberá justificarse la aplicación de alguna de las causales previstas en el artículo 9° o 18°, y concordantes, de la Ley N° 18.331, para el tratamiento que se pretende realizar.
Responsabilidad solidaria – Remarcar la responsabilidad solidaria aplicable de conformidad al artículo 17 de la Ley 18.331 para la comunicación de datos, lo que en ningún caso podrá implicar que se prohíba la reclamación correspondiente por parte del titular del dato al responsable situado en territorio nacional.
Contratación de encargados de tratamiento – Deberán preverse las condiciones para la contratación de encargados de tratamiento por el importador de los datos, dando cumplimiento en lo pertinente, a las condiciones previstas en las cláusulas que siguen.
Comunicación de vulneraciones de seguridad – Deberá preverse un mecanismo de comunicación de vulneraciones de seguridad a los titulares de los datos y a la Unidad dando cumplimiento a las condiciones y plazos previstos en el artículo 38 de la Ley N° 19.670 y artículos 3° y 4° del decreto N° 64/020.
CLÁUSULAS ESPECÍFICAS APLICABLES A TRANSFERENCIAS ENTRE RESPONSABLES Y ENCARGADOS
Retención y supresión de información – Deberá establecerse el plazo específico de conservación de la información –que no podrá exceder el determinado por el propósito den encargo- y los medios para su devolución y supresión. Ello sin perjuicio de lo establecido en el inciso segundo del artículo 30 de la Ley N° 18.331.
Comunicación de vulneraciones de seguridad – Deberá preverse un mecanismo de comunicación inmediata al responsable de eventuales vulneraciones de seguridad. Eventualmente, podrá establecerse la obligación de comunicación directa a la URCDP.
Contratación de sub-encargados – Deberá prohibirse la contratación de sub-encargados salvo autorización expresa del responsable, lo que deberá además informarse en forma fehaciente a los titulares de los datos.
Ejercicio de derechos por los titulares – Deberán preverse mecanismos para la respuesta al ejercicio de derechos ante los encargados por parte de los titulares de los datos.
Responsabilidades – No podrá eximirse al responsable de su responsabilidad por la actuación del encargado, de conformidad con lo establecido en el artículo 12 de la Ley N° 18.331, sin perjuicio de la responsabilidad directa que pueda caberle a este último en caso de vulneración a lo preceptuado en la normativa vigente.
CLÁUSULAS ESPECÍFICAS APLICABLES A TRANSFERENCIAS ENTRE ENCARGADOS Y ENCARGADOS
Habilitación – La transferencia a otros encargados debe realizarse en el marco de un contrato previo con el responsable, y con los límites en él establecidos, el que deberá adjuntarse como anexo o referenciarse en las cláusulas correspondientes. Dicho contrato deberá contener como mínimo, las previsiones expresadas en el presente anexo para los contratos entre responsables y encargados, las que deberán extenderse a los sub-encargados en lo pertinente.
[1] Si bien estas cláusulas deberán emplearse de principio para las transferencias a territorios no adecuados que no se enmarquen en alguna de las restantes hipótesis habilitantes del artículo 23 de la Ley N° 18.331, se exhorta su aplicación a todo tipo de transferencia internacional, en lo pertinente.
Descargas