El presente documento fue confeccionado para la exposición de los temas tratados. No puede ser considerado como opinión legal del Estudio o sus autores. REGISTRO DE BASES DE DATOS Martín Colombo mcolombo@ferrere.com FERRERE A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE? BASE DE DATOS: 1- Con información personal 2- Que sea susceptible de ser tratada 3- En cualquier soporte….. A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE? Comprendidas Excluidas Todas las bases de datos de empresas (¿?), públicas o privadas Las creadas por leyes especiales, razones de seguridad, etc. Algunas de las personas físicas Las de personas físicas con fines personales o domésticos A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE? El Decreto trató de evitar la fuga de bases de datos de empresas. Pero, se contradice que la ley. ¿ENTONCES? A los bancos de datos de empresas destinados a fines personales y domésticos les aplica toda la ley. La única obligación que puede no aplicarles es la de registro. Pero, esta lectura es contraria a la postura de la URCDP y es contraria a toda la normativa internacional. A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE? Y…….¿QUÉ PASA CON LAS BASE DE DATOS QUE NO ESTAN ACÁ? Se regula el procesamiento de los datos. Cuando el procesamiento se realiza en Uruguay corresponde registrar la base de datos. A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE? No hay que olvidar, también se inscriben: Los códigos de conducta de práctica profesional que establezcan normas para el tratamiento de datos personales. Los códigos o reglas sobre manejo de la información personal de las empresas. Las transferencias internacionales cuando corresponda. A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE? ¿Dónde se realiza la inscripción? Presentación del formulario (www.datospersonales.gub.uy) con certificado notarial de representación y existencia en la URCPD Antes del 14 de diciembre del 2009 Antes de los 90 días desde la creación A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE? OJO: Inscribir NO es entregar la base de datos a la URCDP Por el contrario significa presentar una descripción de la base de datos, los campos que se maneja, la cantidad de información con que cuentan, etc. A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE? Problemas más comunes en el llenado de formularios: El certificado notarial: a. Debe ser del día en que se presenta el formulario (24 o 48 hrs máximo) b. Debe tener representación, existencia y certificación de firma del formulario c. Un certificado o testimonio notarial por cada base de datos A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE? Problemas más comunes en el llenado de formularios: Tiempo de conservación de los datos: a. ¿A quién se le ocurre poner “Indefinido”? b. Debe existir una razón para este plazo: Prescripción de deudas laborales, prescripción de pagos al Banco de Previsión Social, comportamiento estadístico de los clientes, etc. c. Es preferible incluir plazos medianos o cortos y luego comunicar un cambio de la base de datos ampliando el plazo, que presentar plazos de 50 años. B- ¿PARA QUE SE INSCRIBE? Permitir ejercer las facultades de control al órgano regulador. Permitir informar a los titulares de los datos sobre la existencia de la base de datos, para que estos puedan ejercer sus derechos. Identificar a los responsables. C- ¿QUÉ PASA SI NO SE INSCRIBE? El banco de datos será considerado ilegal. No importa si cumple o no con los principios aplicables al manejo de las bases de datos personales, por la falta de inscripción la base de datos es irregular y el responsable puede ser sancionado. Las sanciones varían desde amonestación, multa hasta U$S 50,000 y suspensión de la base de datos. Aun en caso que no se haya registrado la base de datos, la URCDP podrá inspeccionar. D- OBLIGACIONES POSTERIORES A LA INSCRIPCIÓN Comunicar las actualizaciones cada 3 meses. Se recomiendo dejar constancia de los accesos/correcciones/agregados, etc. cuando se haya realizado por pedido del titular del dato. Comunicar las modificaciones. El registro no tiene costo. Tiene un plazo de vigencia de un año. Publicar en lugar accesible al público el número y fecha de la Resolución de la URCDP 2- BUENAS PRÁCTICAS DIAGNÓSTICO: Revisar mis prácticas de recolección y tratamiento de datos ACCIONES PARA MANTENER EL VALOR: - Cambio de contratos y formularios - Normas de funcionamiento IMPLEMENTACIÓN Y REGISTRO TRANSFERENCIA INTERNACIONAL DE DATOS Martín Colombo mcolombo@ferrere.com FERRERE 1- ¿POR QUÉ SE REGULAN LAS TRANSFERENCIAS INTERNACIONALES DE DATOS? a. Para brindar que las garantías otorgadas por la norma no sean burladas por uso tecnológicos b. Para evitar los “data heavens” 2- ¿CÓMO SE REGULA? El origen de todo: La Directiva 95/46/EC art. 25 y 26 El objetivo: que los datos personales debidamente tratados por la UE tengan el mismo nivel de protección cuando sean enviados a terceros países 2- ¿CÓMO SE REGULA? Se permite la transferencia cuando: 1. País de destino: a- Es un país de la UE b- Es un país que calificado como de protección adecuada O 2. Medidas supletorias para garantizar la protección de los datos personales (contractuales o códigos de conducta) O 3. Excepciones 3- ¿QUIÉN DECIDE QUÉ PAÍS BRINDA UNA PROTECCIÓN ADECUADA? En la Unión Europea: (a) La “Comisión”. Es un órgano asesor. Recibe comentarios y recomendaciones de: - WP 29. Representantes de las URCDP locales y con un integrante de la Comisión (emite opinión no vinculante) - Comité de representantes de países miembros - Parlamento europeo que puede revisar si la Comisión trabajó de acuerdo con sus facultades 4- ¿QUÉ SE TIENE EN CUENTA PARA DECIDIR? Para considerar a un país como de protección adecuada se considera La legislación general y sectorial sobre protección de datos La independencia de criterio y autonomía del órgano de control El enforcement de las normas 5- LA TRANSFERENCIA DE DATOS PERSONALES SE TRANSMITE INFORMACIÓN PERSONAL? SI FUE RECOLECTADA Y TRATADA EN CUMPLIMIENTO CON LA NORMATIVA? NO TRANSFIERA! NO NO SE PUEDE! LA TRANSFERENCIA ES COINCIDENTE CON LA FINALIDAD CON LA QUE SE RECOLECTO? SI SE TRA 5- LA TRANSFERENCIA DE DATOS PERSONALES TRANSFIERA! SE TRANSMITE A UN ESTADO DE LA UE? NO SI ES UN PAÍS ADECUADO? NO SI BRINDÓ MECANISMOS DE PROTECCIÓN ALTERNATIVOS TRANSFIERA! NO SI NO SE PUEDE! TRANSFIERA! 5- LA TRANSFERENCIA DE DATOS PERSONALES ESTA DENTRO DE LAS EXCEPCIONES? SI TRANSFIERA! NO NO SE PUEDE! 5- ¿QUÉ DICE LA NORMA URUGUAYA SOBRE LA TRANSFERENCIA? COPIAMOS A LA EU Y ARGENTINA De regla, se establece la prohibición de transferir datos personales a países u organismos internacionales que no tengan un nivel de protección legal conforme al Derecho Internacional o Regional en la materia. La URCDP dijo que todo lo que diga la Comisión lo dice ella… 5- ¿QUÉ DICE LA NORMA URUGUAYA SOBRE LA TRANSFERENCIA? En caso que el país al que se transfieren los datos no se encuentre dentro de los considerados “seguros”, se debe solicitar una habilitación especial de la UCRDP o en su defecto, estar comprendido en alguna de las excepciones previstas en las norma. Para esto, es probable que se permite la transferencia con la firma de las condiciones contractuales estándar aprobadas por la Comisión 5- ¿QUÉ DICE LA NORMA URUGUAYA SOBRE LA TRANSFERENCIA? Excepciones: 1) Datos de carácter médico cuando así lo exija el tratamiento del afectado por razones de salud o higiene públicas 2) Transferencias bancarias o bursátiles 3) Necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado 5- ¿QUÉ DICE LA NORMA URUGUAYA SOBRE LA TRANSFERENCIA? Excepciones: 4) Sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero 5) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial 6) Cuando la transferencia sea necesaria para la salvaguardia del interés vital del interesado 5- ¿QUÉ DICE LA NORMA URUGUAYA SOBRE LA TRANSFERENCIA? Excepciones: 7) Cuando la transferencia tenga lugar desde un registro que esté concebido para facilitar información al público 8) Cuando el interesado haya consentido inequívocamente la transferencia 9) Todos los casos es posible transferir datos internacionalmente entre la matriz y sus afiliadas cuando dicha compañía (multinacional) registre su código de conducta ante la URCDP 5- ¿QUÉ DICE LA NORMA URUGUAYA SOBRE LA TRANSFERENCIA? Excepciones: 10) Cooperación internacional judicial 11) Acuerdos o tratados internacionales ¿Con la AFIP? 6- ¿EN QUÉ ESTAMOS CON LA CALIFICACIÓN? Va a tomar un año más… Está siendo analizada por el WP. Ellos contrataron a la Universidad de Namur (Bélgica). Según la información que tenemos, este Grupo ya recibió un informe favorable de la Universidad de Namur (Bélgica) quien actúa como asesor de este Grupo en el análisis de regulaciones de protección de Datos Personales de terceros países. Cuando el WP termine el análisis de la Ley, emitirá un dictamen dirigido a la Comisión de la UE para que realice la declaración de adecuación. 7- MITOS 1. Mientras no tengamos la calificación adecuada NO podemos recibir bancos de datos de clientes UE 2. USA es un país de protección adecuada 3. Argentina está por perder la calificación internacional 8- PAÍSES ADECUADOS 1. 2. 3. 4. 5. 6. 7. ARGENTINA CANADA (no todo) USA- SAFE HARBOUR POLICY ISLA DE MAN JERSEY GERNSEY UE http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm ¡MUCHAS GRACIAS! Martín Colombo mcolombo@ferrere.com FERRERE