Hasta el momento, las transferencias internacionales hacia entidades ubicadas en Estados Unidos adheridas al acuerdo conocido como “Privacy Shield” se consideraban adecuadas a la regulación y por tanto, no requerían de requisitos legales adicionales.

Esto acaba de ser modificado por la Resolución Nª 23/2021 de la Unidad Reguladora y de Control de Datos Personales (URCDP) que actualizó los países y organizaciones que se consideran adecuados para las transferencias internacionales de datos desde Uruguay. En ese contexto, y en línea con los criterios ya adoptados por la Unión Europea, la URCDP no incluyó en dicho listado a las entidades ubicadas en Estados Unidos, aún cuando estén adheridas al acuerdo “Privacy Shield”.

A partir de ahora, será necesario adoptar medidas para legitimar dichas transferencias, siendo la más indicada la presentación de un contrato de transferencia internacional para la aprobación de la URCDP. En esa línea, la Resolución Nº 41/2021 incluyó una guía con el contenido mínimo que estos contratos deben considerar, dentro de lo que se destaca:

  • Establecer cuál es la finalidad que se persigue con la transferencia e identificar los datos transferidos.
  • Prever la aplicación de la normativa uruguaya de protección de datos personales.
  • Identificar el exportador de datos, importador, responsable, encargado de tratamiento y sub-encargado de tratamiento si es que existiera.
  • Explicitar las operaciones de tratamiento a realizar y las medidas operativas y de seguridad que se aplicarán.
  • Establecer el contenido de las obligaciones de confidencialidad asumidas por el personal del importador y el exportador de los datos.
  • Agregar en forma de anexo la Evaluación de Impacto en la Protección de Datos realizada para la transferencia internacional de que se trate.
  • Se otorgó un plazo de seis meses para adecuar las transferencias internacionales de datos a este nuevo régimen.