En línea con las tendencias internacionales y en respuesta al avance tecnológico y al valor que han adquirido los datos personas, en Uruguay se emitió el Decreto 64/020 que introduce importantes cambios a la normativa vigente hasta a la fecha y nuevas obligaciones para las empresas. Para analizar en detalle cuáles son las novedades que incorpora y cómo afectan a las firmas en Uruguay, FERRERE y la Asociación Latinoamericana de Privacidad organizaron un evento que contó con la presencia de empresarios de distintos rubros.
Según explicó el socio y líder del equipo de nuevas tecnologías y protección de datos de FERRERE, Martín Pesce Cutri, “en respuesta a la tensión existente entre la privacidad y el aumento exponencial de los datos disponibles y los desarrollos tecnológicos que permite su análisis y explotación, la regulación de protección de datos se ha profundizado, estableciendo mayores garantías para los individuos y nuevas obligaciones para las empresas” . “Estamos frente a cambios profundos que van a impactar en el corto plazo en la forma en que las organizaciones deben abordar el manejo de sus activos de información”, agregó Pesce Cutri.
Entre ellas, Pesce mencionó que se exige la designación de un delegado de Protección de Datos para todas las empresas públicas y aquellas privadas cuyo negocio principal esté relacionad al manejo de datos sensibles o las que trabajen con grandes volúmenes de información (datos de más de 35.000 personas). El Delegado de Protección de Datos Personales – que deberá acreditar conocimientos en la materia- tendrá a su cargo deberá informar y asesorar en la implementación de políticas referidas a la temática, participar en las evaluaciones de impacto, sugerir medidas para alinearse a la normativa y estándares internacionales, así como actuar como nexo entre la Unidad Reguladora y de Control de Datos Personales (URCDP) y la compañía. El Delegado podrá ser dependiente de la compañía o un tercerizado, y el plazo para su designación y comunicación a la URCDP vence el próximo 21 de mayo.
Una segunda modificación está relacionada con la responsabilidad proactiva y determina que, desde el inicio de la planificación del tratamiento de la información, se deben incluir las garantías en materia de protección de datos y demostrar que se está cumpliendo con todo lo exigido en la ley, incluyendo las evaluaciones del impacto de privacidad. “Tal vez sea este el cambio más relevante a las reglas de juego,. Dejamos de ser reactivos y defendernos ante un problema y pasamos a estar obligados a demostrar que estamos actuando proactivamente en el cumplimento de la norma, desde el diseño mismo de un proceso o aplicación”. En ese sentido, la regulación obliga a la realización de evaluaciones de impacto en la protección de datos, incluso de forma retroactiva para todos los tratamientos ya vigentes al dia de hoy, para lo cual se da un plazo de 12 meses.
En ese sentido, estuvieron presentes para explicar cómo se debe elaborar una evaluación de impacto la Ingeniera Fabiana Santellán, el Doctor Gonzalo Sosa y la Doctora Flavia Baladán de AGESIC, quienes participaron en la creación de una completa Guía de Evaluación de Impacto en la Protección de Datos.
El evento también contó con la participación del socio de la firma argentina Marval, O'Farrell & Maira, Diego Fernández, quien dedicó su exposición a detallar las principales características de la legislación sobre la protección de datos en el país vecino.