La Unidad Reguladora y de Protección de Datos Personales de Uruguay (“URCDP”) emitió la Resolución No. 23/2021, por la cual modifica la lista de países y organizaciones consideradas adecuadas para las transferencias internacionales de datos.

En línea con la decisión conocida como “Schrems II” del Tribunal de Justicia de la Unión Europea, el acuerdo “Privacy Shield” o Escudo de Privaciadad dejó de considerarse adecuada. Esto significa que las transferencias a empresas en Estados Unidos deben, en todos los casos ser legitimadas por algún medio, como la obtención del consentimiento expreso del titular de los datos, o la aprobación previa de URCDP mediante la presentación de un acuerdo internacional de transferencia de datos.

Lo anterior representa un cambio relevante ya que hasta dicha Resolución, la URCDP consideraba que las entidades ubicadas en Estados Unidos adheridas “Privacy Shield” brindaban niveles suficientes de protección de datos. Por tanto, las transferencias (incluyendo hosting y servicios en la nube, entre otros) podían realizarse a esas empresas sin autorizaciones adicionales.

Si bien se otorgó un plazo de seis meses para adecuar las transferencias en curso a la nueva normativa, para aquellos casos en los que se legitime la transferencia mediante un contrato de transferencia internacional, por Resolución No. 41/2021 la URCDP estableció lineamientos para los contenidos mínimos de dichos contratos.

El contrato deberá contemplar la aplicación de las normas de protección de datos uruguayas, la finalidad de la transferencia y las categorías de datos afectados, identificación de los diferentes participantes, descripción de las operaciones de procesamiento, medidas de seguridad, obligaciones de confidencialidad, competencia de la URCDP, entre otros aspectos relevantes.

Además, hay que tener en cuenta que se debe realizar una evaluación de impacto en la protección de datos toda vez que datos se envíen a países considerados no adecuados en materia de protección de datos.