Por Decreto aprobado en Consejo de Ministros se reglamentaron las nuevas obligaciones en materia de protección datos personales con importantes novedades:

Comunicación de incidentes de seguridad

Todo dueño o responsable de base de datos tiene la obligación de comunicar la ocurrencia de vulneraciones de seguridad que involucren datos personales a la Unidad Reguladora y de Control de Datos Personales (URCDP) en un plazo máximo de 72 horas. Debe asimismo, dar aviso a los titulares cuando hayan sufrido una afectación significativa a sus derechos.

Evaluación de impacto en la protección de datos personales

Se establece la obligación de realizar una evaluación de impacto cuando el tratamiento de datos implique:
  • Utilización de datos sensibles como negocio principal
  • Datos especialmente protegidos (salud, telecomunicaciones, publicidad, solvencia patrimonial, entre otros) y/o datos de menores de edad
  • Elaboración de perfiles
  • Tratamiento de grandes volúmenes de datos (más de 35.000 personas)
  • Transferencia internacional a países sin un nivel adecuado de protección
La evaluación debe ser previa y estar documentada. Respecto de tratamientos ya iniciados con anterioridad al Decreto, la evaluación deberá realizarse de forma retroactiva para lo cual se otorga un plazo de 1 año a contar de su publicación.

Designación de un Delegado de Protección de Datos Personales

Tienen esta obligación las entidades privadas que: (a) traten datos sensibles como negocio principal; o (b) realicen tratamientos de grandes volúmenes de datos, y todas las entidades públicas sin excepción.

Las entidades alcanzadas por esta obligación deberán designar y comunicar a la URCDP su Delegado en un plazo de 90 días a contar de la publicación del Decreto.

El Delegado, que deberá acreditar conocimientos en Derecho y en materia de protección de datos personales, tendrá entre otras responsabilidades: supervisar el cumplimento de la normativa; analizar riesgos y proponer medidas de adecuación; participar y validar las evaluaciones de impacto de privacidad; ser un nexo con la URCDP. 

Ampliación del ámbito territorial de la ley

Las entidades establecidas en el exterior quedan alcanzadas por la Ley cuando:
  • Ofrezcan bienes o servicios a habitantes de la República
  • Analicen el comportamiento de habitantes de la República, incluyendo elaboración de perfiles
  • Utilicen medios situados en el país, tales como como redes de información o comunicación centros de datos e infraestructura informática en general. 

A la fecha del presente informe el Decreto aún no ha sido publicado en el Diario Oficial.