COMUNICADO Nº 47 | 18 de noviembre de 2009 Empresas obligadas a inscribirse en el Registro de la Ley 18.331 y el Decreto 414 / 009 El 18 de agosto de 2008 se publicó en el Diario Oficial la ley 18.331 llamada de Protección de Datos Personales y Acción de Hábeas Data, que deroga la ley 17.838 de Protección de Datos Personales para ser utilizados en Informes Comerciales y Acción de Hábeas Data de octubre de 2004. La nueva norma aspira a regular la totalidad de los bancos de datos personales, a diferencia de la anterior que referida sólo a datos destinados a brindar informes objetivos de tipo comercial. En ese sentido, la ley define las bases de datos como “el conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso”. En consecuencia, las bases de datos que manejan las empresas (registros de proveedores, de clientes, nóminas del personal, etc.) quedan englobadas en esta definición y por tanto quedan incluidas dentro del ámbito objetivo de la norma, es decir, sujetas su regulación. El decreto 414/009 crea un Registro de Bases de Datos, “en el cual todos los responsables de todas las bases de datos o tratamientos deberán inscribirlas”. Dicho registro estará en la órbita de la Unidad Reguladora y de Control de Datos Personales, organismo desconcentrado de la AGESIC (Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento). Dicho decreto crea un plazo para que las bases de datos sean inscriptas en el registro, el cual expira el próximo día 14 de diciembre para las bases ya existentes y será de 90 días a partir del inicio de sus actividades para las bases cuya creación sea posterior a la fecha de la aprobación del decreto (31/8/2009). La inscripción en el Registro no significa poner la base a disposición del Registro, sino que implica proporcionar la siguiente información: “Art. 16: a) Identificación de la base de datos y el responsable de la misma. b) Procedimientos para la obtención y tratamiento de los datos. c) Medidas de seguridad y descripción técnica de la base de datos. d) Protección de datos personales y ejercicio de derechos. e) Destino de los datos y personas físicas o jurídicas a las que pueden ser transmitidos. f) Tiempo de conservación de los datos. g) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos. h) Datos sometidos a tratamiento en dicha base de datos. i) Certificación de la firma del responsable de cada base de datos. j) Domicilio constituido y correo electrónico a efecto de las notificaciones” Cabe tener presente la aplicación de todos los principios legalmente consagrados a las distintas bases: veracidad, finalidad, seguridad, previo consentimiento informado, reserva y responsabilidad. El principio del previo consentimiento informado, no siempre es aplicable a las bases, sino que existen excepciones que es bueno sean manejadas adecuadamente por los responsables. El consentimiento del titular del dato deberá documentarse por medio de distintas vías, entre las cual se admite la validez del e-mail. Dentro de los casos que la ley expresamente (artículo 9º) exceptúa de la obligatoriedad del consentimiento, incluimos: “A) Los datos provengan de fuentes públicas de información, tales como registros o publicaciones en medios masivos de comunicación. B) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal. C) Se trate de listados cuyos datos se limiten en el caso de personas físicas a nombres y apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento. En el caso de personas jurídicas, razón social, nombre de fantasía, registro único de contribuyentes, domicilio, teléfono e identidad de las personas a cargo de la misma. D) Deriven de una relación contractual, científica o profesional del titular de los datos, y sean necesarios para su desarrollo o cumplimiento. E) Se realice por personas físicas o jurídicas, privadas o públicas, para su uso exclusivo personal o doméstico”. En función del principio de seguridad, es necesario adoptar prácticas sistemáticas y políticas cuidadosas para al manejo interno y externo de la información personal contenidas en la bases. En ese sentido, es importante asignar responsables y definir las formas de actualización y revisión de datos. Los responsables de las bases de datos deberán mantener actualizados los datos inscriptos en el Registro de bases de Datos Personales, comunicando trimestralmente las actualizaciones. Será necesario tener presentes los derechos de los titulares de los datos, entre los que se destacan el derecho de acceso, rectificación, actualización, inclusión o supresión. Existe el derecho de las personas a la impugnación de las valoraciones personales tal como prescribe el artículo 16. Estos derechos funcionan armónicamente con las disposiciones contenidas en los artículos 37 y siguientes por los cuales “toda persona tendrá derecho a entablar una acción judicial efectiva para tomar conocimiento de los datos referidos a su persona y de su finalidad y uso, que consten en bases de datos públicos o privados y – en caso de error, falsedad, prohibición de tratamiento, discriminación o desactualización – a exigir su rectificación, inclusión, supresión o lo que entienda corresponder”, lo cual se tramitará por un procedimiento sumamente abreviado. El órgano de control podrá aplicar sanciones que van desde apercibimiento a la suspensión de la base de datos respectiva, pasando por multas de hasta 1.500 unidades indexadas. Es éste un tema de vital importancia que aconsejamos no descuidar, y tratarlo con la prioridad que merece.- Liga de Defensa Comercial Julio Herrera y Obes 1413, Montevideo, Uruguay | Tel: (00598+2) 908 1636 | Fax: (00598+2) 902 2857 | lideco@lideco.com | www.lideco.com