D. Felipe Eduardo Rotondo Tornaría. - Red Iberoamericana de ...

AutorregulaciónAplicaciones en materia deprotección de datos personales,con especial referencia al UruguayDr. Felipe Rotondofelipe.rotondo@protecciondedatos.gub.uy1

Aplicaciones sobre códigos de conducta• Protección de datos: derecho humano• Corresponde a toda persona física determinada odeterminable, titular de datos (información numérica,alfabética, gráfica, fotográfica, acústica o de cualquierotro tipo).• Protección que se extiende a la persona jurídica encuanto corresponda• Modelo legal/órgano regulador y de control2

Autorregulación:• Normatividad espontánea, condice con la fuerzaexpansiva del derecho a la privacidad• Facilita, asegura y complementa la ley• Aplica principios de eficiencia y participación y esexpresión de responsabilidad social y compromiso decalidad• Añade valor por el contenido y coadyuva a laefectividad de la normativa• Permite adaptación a la especificidad de sectores3

• Denominación: códigos de conducta de prácticaprofesional; directivas sobre protección de informaciónpersonal, códigos de autorregulación, códigos dedeontología, códigos tipo• Ámbito subjetivo: entidades representativas deresponsables o usuarios de bancos de datos detitularidad privada y/o pública; grupos de empresas;empresa• Representatividad: criterios4

Contenido de los códigos• Ámbito de aplicación: ejemplo “datos de bases de las empresas que seantratados en territorio uruguayo -recolectados en el país o importados- y losque se exportan desde el país hacia la matriz, filiales o sucursales en otrosEstados”• Normas y procedimientos de seguridad• Información que se recoge y para qué se utiliza, consentimiento quecorresponda, condiciones de tratamiento, mecanismos para asegurarderechos del titular de datos• Sello de calidad• Solución arbitral de controversias• Responsabilidad. Sanciones por incumplimiento• Deberes de directivos y empleados5

Control y eficacia• Uruguay: control e inscripción, se toma como fecha de inscripción definitivala de la resolución favorable• Adopción o adhesión voluntaria, salvo para empleados• Obligación de cumplimiento y sanciones previstas por su preceptiva o ennormativa laboral / “lex artis”• Publicidad• Órgano de control puede verificar la aplicación• Auditorías: criterios técnicos, objetivos, evaluar gestión, ajustes6

Aplicación entransferencias internacionales• Prohibidas con países u organismos internacionales sin nivel de protecciónadecuado según estándares del Derecho Internacional o Regional• Res. 17/009, Unidad Reguladora y de Control: se consideran paísesapropiados, aquellos que a juicio de la Unidad cuenten con normas deprotección de datos adecuadas y medios para asegurar su aplicacióneficaz; declaró están comprendidos en esa situación los países miembrosde la UE y los que la CE considere garantizan esas condiciones. Tambiénque el nivel de protección de datos debe evaluarse atendiendo a todas lascircunstancias que concurran en una transferencia o conjunto detransferencias y evaluando elementos relevantes para la transferencia• Excepciones7

• URCDP puede autorizar transferencias a un país sinnivel adecuado, si el responsable del tratamientoofrece garantías suficientes respecto a la protecciónde la vida privada, los derechos y libertadesfundamentales de las personas. Las garantíaspueden derivar de “cláusulas contractualesapropiadas”• En el ámbito de empresas multinacionales, lastransferencias serán admisibles entre la matriz yfiliales o sucursales y entre éstas, si poseencódigos de conducta inscriptos en la Unidad8

Contenidos• Deber del exportador de determinar si el importador es capaz de cumplirdeberes y de responder en tiempo y forma a consultas de interesados y delórgano estatal competente sobre tratamiento de datos; obligaciones delimportador al efecto• Compromiso del importador sobre medidas organizativas y técnicas paraproteger datos contra pérdida, alteración, acceso o divulgación noautorizada, etc.; fines objeto de la transferencia y deber de su respeto; tiposde datos, indicando si son sensibles; categorías de interesados; quienespodrán acceder a la información transferida, lapso de almacenamiento yplazo en que se realizarán las transferencias; derechos de acceso,rectificación, supresión y bloqueo del titular; restricciones de ulteriortransferencia• Responsabilidad (solidaria)/suspensión de transferencias/eventual arbitraje9

Códigos de Conducta por año depresentación10

Muchas graciasfelipe.rotondo@protecciondedatos.gub.uy12