¿Qué es la Unidad Reguladora y de Control de Datos Personales?

La Unidad Reguladora y de Control de Datos Personales, URCDP, fue creada por el artículo
31 de la Ley N° 18.331 de Protección de Datos Personales y Acción de Habeas Data
como un órgano desconcentrado de la
AGESIC («Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento»).
En este link puede descargarse el texto completo de la ley en formato PDF.
Lo que escribo a continuación es parte de lo que se comentó en el Taller sobre la misma en la Camara de Comercio del Uruguay en el día de hoy, Miércoles
9 de diciembre de 2009 y algúna que otra apreciación personal de lo vertido en la misma. 

Espero sea de utilidad.

El espíritu general de esta Ley es amparar la privacidad de los datos personales de las personas físicas y jurídicas.
La Ley exige la inscripción de las bases de datos de las empresas ante la URCDP.  En este caso el plazo máximo para la presentación es el 14 de diciembre de 2009. Ya están previstas prórrogas para la presentación y NO EXISTE (para ir al cruce de informaciones aparecidas en la prensa de los últimos días) multa o sanción por la presentación fuera de fecha. Se ha sancionado si, a empresas que luego de haber sido denunciadas e inspeccionadas se determinó que incumplían con lo dispuesto por la ley.

No hace ninguna referencia a formatos predefinidos por lo que cada empresa es libre de presentar el formato de sus bases de datos de la manera que entienda conveniente (desde la estructura de una tabla de una base de datos, la estructura de un archivo de dbase o las columnas de una planilla de cálculo por citar algún ejemplo).

Cabe destacar que el término base de datos no hacen referencia exclusivamente a formatos electrónicos ya que para empresas que no tengan informatizados sus sistemas de gestión, deben presentar el formato de los formularios «en papel» donde se almacena la información de la empresa.
Se excluyen expresamente en la citada Ley a las bases de datos de personas físicas como por ejemplo su lista de contactos de correo electrónico (si son contactos reales y  fueron obtenidos de manera lícita)
Las bases de datos que deben registrarse son las que contengan información personal o comercial tanto de personas físicas como jurídicas por lo que la información a presentar generalmente, pero no excluyente, refiere a archivos de:
  • Clientes
  • Empleados
  • Proveedores
  • Acreedores
  • Contactos (de correo, telefónicos, etc)
Debe presentarse UNICAMENTE la estructura de dichas bases de dato y cantidad aproximada de registros de las mismas.
La ley indica que cada tres meses las empresas DEBEN presentar modificaciones (cambios en la cantidad de regístros y estructura) a las mismas, pero el sentido común y el que primará a la hora de solicitarlo habla de presentar modificaciones en las siguientes situaciones:
  • Modificación en la estructura de la o las bases de datos
  • Aumento o disminución en la cantidad de registros en un 20%
Los datos mas relevantes son dirección, teléfono y email pero se hace fundamental hincapié en todos aquellos datos que hagan referencia a datos confidenciales  y sensibles como estado de salud, orientaciones sexuales,  estado civil, retenciones judiciales, situación economico financiera, por citar alguno de los ejemplos mencionados.
Debe estar debidamente documentado y ser de conocimiento y aceptado (firma de contrato por ejemplo) por el cliente, empleado o proveedor la existencia de sus datos en las bases de datos de la empresa.
En cualquier momento una persona puede solicitar a una empresa el reporte de los datos que  mantiene almacenados de su persona y eventualmente realizar las modificaciones que entienda pertinentes o la baja de dichas bases de datos.
Queda excluida toda aquella información que tenga valor impositivo o de otra índole que deba de permanecer en forma histórica en manos de la empresa por exigencia de organismos competentes (Dirección General Impositiva, Banco de Previsión Social, etc)

Un ejemplo de lo antedicho: Un cliente puede solicitar ser dado de baja de las bases de datos de una empresa pero de ninguna manera puede solicitar se borren facturas abonadas por el mismo ya que dicha información debe almacenarse por exigencia de la Dirección General Impositiva.
Debe indicarse también la ubicación física de los datos, como se resguardan, periodicidad de los respaldos. Si se trata de bases de datos en papel debe indicarse donde se archiva, que método de seguridad se utiliza y quienes tienen acceso a dicha información.
En todos los casos DEBE individualizarse a la o las personas que están a cargo del soporte de dicha información. En caso de que exista intercambio internacional de datos (empresas multinacionales, sedes en diferentes paises, almacenamiento de datos en la Web, etc) debe solicitarse la lista de países con los que hay «via libre» para intercambiar información. Se nombraron a modo de ejemplo Argentina, Canadá, EEUU, Unión Europea (y todos los paises a los que la UE considera «seguros»)
En caso de traficar información con paises no incluidos en esas listas se deberá solicitar una autorización especial indicando el país, la legislación que rige el resguardo de la privacidad en la información en dicho sitio así como toda la información que se entienda pueda ayudar a validar dicho país como «sitio seguro».
Hasta el momento no se hace ninguna referencia a la forma de dar seguridad a la información ni en materia informática ni en soporte «papel» pero se aclara que es de resorte y exclusiva responsabilidad de la empresa el manejo de los datos.
Esto refierea a la  comparación con la legislación que rige en la UE (donde se inspira esta ley) que habla de tres niveles de seguridad, dependiendo de la información a almacenar.
Las empresas que graban conversaciones, toman fotografías o filman y almacenan dicha información deberán, además de contar con las autorizaciones legales que sean necesarias en cada caso, informar el formato de bases de datos en que se archiva de la misma forma que el nombre o email así como de informar debidamente de dichas acciones.
Muchas empresas tercerizan, por ejemplo, sus cobranzas en redes de pago o tarjetas de crédito. En estos casos las bases de datos a registrar son las que se envían a la firma tercerizadora del servicio y el único responsable por la confidencialidad de dicha información es la empresa que genera los datos.

La financiera o red de pagos a su vez deberá informar en sus estructuras de bases de datos los recibidos por parte de las empresas con las que tiene convenio.
Cuando se rompe o finaliza la relación entre empresa y red de pagos o empresa y convenio que gestiona un débito automático deberá probarse de forma fehaciente que la red de pagos o empresa con que se termina el vínculo comercial DESTRUYA la información de los clientes de la empresa propietaria de la base de datos.
Ejemplo de esto: si mi empresa de servicios deja de cobrar sus cuotas mensuales mediante débito automático con VISA, deberé encargarme de que VISA no mantenga en sus bases de datos información enviada desde mi empresa referente a datos personales de mis clientes.
Las bases de datos no pueden venderse, alquilarse ni cederse a terceros para su utilización.
Antes de crear una base de datos de cualquier índole deberíamos preguntarnos:

  • ¿ Para que necesito estos datos? 
  • ¿ En que formato voy a almacenar dichos datos ? 
Entiendo que sobre la marcha se harán infinidad de modificaciones y ajustes a la Ley de Protección de Datos pero, como en todas las situaciones, en algún momento y por algún lugar debemos comenzar.