Susana Sotto/ Socio
A partir de la ley 18.331 muchas empresas de nuestro país deberán inscribir sus “bancos de datos” en la Unidad Reguladora y de Control de Datos Personales. Recientemente se reglamentó dicha ley a través del decreto 414/09 del 31 de agosto del presente año. El nuevo decreto otorga un plazo de 90 días -a contar desde la publicación del mismo – a efectos de que las empresas cumplan con dicha obligación, esto es, registrar los datos de carácter personal con los que las mismas cuentan.La ley y el decreto reglamentario regulan diversas cuestiones que tienen que ver con el almacenamiento de datos, así como también se aborda los derechos que gozan los titulares de esos datos. En la presente publicación trataremos de abordar algunos de los cuestionamientos que pueden generarse en el común de las personas u empresas con referencia a esta nueva reglamentación.
La primera pregunta a hacerse es si la empresa cuenta con una base de datos, y en caso afirmativo si debe cumplir con la obligación legal de inscribir la misma. En ese sentido diremos que la ley define un banco de datos de la siguiente forma “conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso”. Esto significa que cualquier empresa que cuente con una base de datos personales –esto es que contenga datos de clientes, socios, afiliados, etc.- registrados en cualquier soporte, deberá cumplir con la presente obligación de registrarla, estableciéndose como excepciones a esta obligación tres casos puntuales que enumera la ley en su artículo 3º, que son: a) aquellas “base de datos” llevadas por personas físicas para el ejercicio de “actividades exclusivamente personales o domésticas” –como ser a vía de ejemplo una agenda personal; b) las que tengan por objeto la “seguridad pública, la defensa, la seguridad del Estado, y sus actividades en materia penal, investigación y represión del delito” y; c) las bases de datos creadas y reguladas por leyes especiales –a vía de ejemplo podríamos citar la Central de Riesgos Crediticios y a cualquier otra base de datos sobre operaciones bancarias activas referidas a inversiones, préstamos, créditos, descuentos, hipotecas, avales garantías u otras obligaciones crediticias que administre el Banco Central del Uruguay.
Dentro de esta obligación de registro, uno de los temas que se plantea con esta nueva normativa y que ya ha sido objeto de debate es el hecho que dentro de las excepciones a la obligación de inscripción de las bases de datos contenidas en el artículo 3º literal a) se hace referencia exclusiva a las personas físicas que mantengan bases de datos para ejercicio de actividades personales o domésticas. Por lo tanto si yo soy una persona jurídica y tengo una base de datos con las características mencionadas en el literal a) (para uso personal o doméstico) aparentemente no estaría comprendida en la excepción ya que la misma claramente refiere a personas físicas.
Creemos que el tema debería pasar por definir que se entiende por actividades exclusivamente “personales o domésticas”. El nuevo decreto dice puntualmente que se entienden por éstas “las que se desarrollan en un ámbito estrictamente privado, entre otros los archivos de correspondencia y agendas personales”. La pregunta que se impone es que pasa con las agendas que lleve a vía de ejemplo, una ONG, que es una persona jurídica. Parece un poco extremo el hecho de que por ser una persona jurídica se deba inscribir toda base de datos que se posea. No parece ser este un criterio acertado y tampoco compatible con la verdadera finalidad de la ley.
La ley establece una serie de principios que se deberán tener presente a la hora de ir elaborando una base de datos. Entre ellos se enumera el de legalidad, veracidad, finalidad, previo consentimiento informado, seguridad de los datos, reserva. Es claro entonces que los datos almacenados deben ser utilizados única y exclusivamente para la finalidad que motivara su obtención y se deberán adecuar a estos principios.
Otro principio de trascendencia y que quisiéramos abordar en la presente publicación es lo que refiere al consentimiento que debe dar el titular para el uso y almacenamiento de sus datos. Ello porque entendemos que este es un punto que puede generar variadas interrogantes a la hora de su aplicación. ¿Cuándo es necesario el consentimiento o no del titular de los datos? Muchas empresas o personas físicas que cuenten en este momento con una base de datos se estarán preguntando si necesitan el consentimiento de los titulares para contar con esos datos. En este sentido la ley como el decreto son claras en que el consentimiento que debe dar el usuario debe ser además de ser libre y previo, debe ser “informado”, esto es que el mismo debe conocer “inequívocamente” la finalidad a la que se destinarán sus datos así como la actividad que desarrolla el responsable de esa base de datos. La empresa debe facilitarle al titular un “medio sencillo, claro y gratuito para que manifieste su consentimiento o su negativa”.
Ello creemos generará en las empresas o personas físicas alguna que otra complicación práctica, además de económica- a la hora de recabar este consentimiento. Desde ya adelantamos opinión que lo mejor será contar con dicho consentimiento por escrito.
Ahora bien, entendemos que esta obligación si bien es de suma importancia, las empresas deberán ver en sus casos puntuales si les rige esta obligación. Esto porque el propio artículo 9º establece una serie de excepciones a esta obligación de contar con el consentimiento. Debemos advertir que al ser excepciones, su interpretación debe ser restrictiva. Dentro de estas excepciones la norma nos dice que la obligación de inscripción no rige cuando los datos provengan de fuentes públicas de información (ej Dirección General de Registros) o publicaciones en medios masivos de comunicación; se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; se traten de listados que contengan nombres, documentos de identidad, nacionalidad, domicilio, fechas de nacimiento, o en caso de personas jurídicas nombre de fantasía, RUT, razón social, teléfonos e identidad de personas a cargo de las mismas; cuando los datos derivan de una relación contractual, científica o profesional del titular de los datos y sean necesarios para su desarrollo y cumplimiento.
Esta última disposición creemos puede resultar relevante debido a que en base a ella se podrían abarcar diversos hipótesis. La misma refiere a los casos en que los datos se otorgan por una relación contractual que liga al cliente, socio, o afiliado con la empresa. En dicho caso no será necesario el consentimiento del titular, ya que estos datos son necesarios para que exista ese contrato y para el cumplimiento del mismo. A modo de ejemplo, si los datos fueron dados para la concreción de un contrato de compraventa, para la concreción de un contrato de préstamo etc, entendemos que no es necesario el consentimiento previo del titular de los datos.
Por último y a modo meramente informativo diremos que la nueva norma instituye como órgano de control a la Unidad Reguladora y de Control de Datos Personales (URCDP), órgano desconcentrado de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de Información y del Conocimiento (AGESIC).
Solo resta ver como se ira instrumentando esta nueva legislación a partir del decreto reglamentario y cual será el rol que efectivamente pueda desarrollar en la práctica la URCDP, que es el órgano encargado de velar por el cumplimiento de las disposiciones establecidas en la ley.
La Reforma Tributaria y el mercado inmobiliario
El Delito Tributario y la Cooperación Penal Internacional
Lavado de Activos
Principios básicos del lavado de dinero
La cooperación internacional en la prevención del lavado de dinero
La Reforma Tributaria y el Secreto Bancario
Alcances del Secreto Profesional del Médico
Las ocupaciones
Las Ocupaciones y su Reglamentación por el Poder Ejecutivo
El Deber de Informar en los Operadores Inmobiliarios
La Ley 17.738 y su Impacto en las Profesiones Liberales
Hoteles
El Defensor del Vecino en el Derecho Departamental
La reforma tributaria y el impuesto anual de enseñanza primaria.
