Transferencias internacionales de datos personales.

Call center pierden competitividad y piden normas laborales flexibles.
noviembre 8, 2010
HOME “Uruguay-Korea Communications Convergence Forum”
noviembre 8, 2010

AVANCE: A PARTIR DE LA LEY 18.331
Uruguay está más cerca de obtener la certificación de país con un nivel adecuado de protección

POR DRA. GIOVANNA LORENZI ESPECIAL PARA EL OBSERVADOR

La Ley N° 18.331 de Protección de Datos Personales y Acción de Habeas Data de agosto de 2008 reguló, dentro del marco jurídico de la protección de datos personales, a las transferencias internacionales de este tipo de datos, entendiéndose por tales el tratamiento que supone una transmisión de datos fuera del territorio nacional, constituyendo una cesión o comunicación, y teniendo por objeto la realización de un tratamiento por cuenta del responsable de la base de datos o tratamiento establecido en territorio uruguayo.
En la actualidad, en el desarrollo de los negocios y actividades comerciales, es muy frecuente que deban transferirse datos personales al exterior (por ejemplo empresas multinacionales que deben reportar información a sus casas matrices en el exterior; el acceso desde el exterior a servidores que contienen bases de datos cuyo responsable se ubica en Uruguay; contratación de servicios tercerizados desde el exterior, etc.).

Asimismo, también es frecuente que Uruguay sea receptor de datos personales enviados desde el exterior en el marco de la ejecución de distintos negocios cuyo principal insumo justamente son datos personales (por ejemplo call centers que ofrecen distintos productos o servicios a personas ubicadas en países extranjeros).

En virtud de esta realidad es que adquiere relevancia tener presente el régimen aplicable a las transferencias internacionales de datos y las obligaciones impuestas por la normativa en la materia.

Protección adecuada

En nuestro país, luego de la Ley N° 18.331, al igual que en la mayoría de los países que han adoptado legislaciones protectoras en la materia, en principio sólo se pueden realizar transferencias internacionales de datos personales toda vez que el país receptor de la información ofrezca protección adecuada.

Se entiende que ofrecen esta protección los países miembros de la Unión Europea (UE) y aquellos que la Comisión Europea así lo considere. En América Latina hasta la fecha el único país que cuenta con nivel adecuado de protección es Argentina.

Certificación internacional

Por su parte, nuestro país se encuentra actualmente realizando el procedimiento para obtener el certificado de adecuación que emite la Comisión Europea creada a dichos efectos.

En este sentido conviene destacar que el pasado 12 de octubre del corriente año una comisión de trabajo independiente que asesora en materia de protección de datos a la Comisión Europea emitió opinión favorable (Opinión 6/2010) acerca del nivel de protección que ofrece Uruguay respecto del tratamiento de datos personales.

La obtención de la certificación una vez que la Comisión Europea la conceda, permitirá la libre circulación de datos personales desde la Unión Europea a Uruguay, sin necesidad de garantías suplementarias para cumplir los requisitos de la directiva comunitaria de protección de datos personales, Directiva N° 95/46/EC.

Los distintos estados que componen la UE consideran que cuando un tercer estado ajeno a la comunidad alcanza este nivel adecuado de protección de datos personales, las empresas instaladas en la UE tienen mayor seguridad jurídica y que sus ciudadanos tienen asegurado un tratamiento adecuado de sus datos personales. Es debido a ello que una vez obtenida la certificación, la UE facilita la exportación de datos personales al país que lo alcanza, lo que puede redundar en un incremento de los negocios que impliquen transferir datos personales desde dicha comunidad.

Material elaborado por el Departamento Legal y Tributario de KPMG [email protected] claves