Skip to main content

 alt=El 25 de mayo entra en vigencia y afecta a empresas que proveen servicios a la Unión Europea.

Por Ing. José Luis Mauro Vera, MBA, CISA, Manager de Advisory en EY Uruguay.

Actualmente existe en Uruguay una ley de protección de datos personales, la cual se encuentra basada en la Directiva 95/46/CE de la Unión Europea (UE). La ley vigente permite que organizaciones establecidas en Uruguay puedan intercambiar datos personales provenientes de personas físicas o jurídicas de la UE. Sin embargo, a partir del 25 de mayo de este año, entrará en vigencia en Europa el Reglamento General de Protección de Datos 2016/679 (conocido como GDPR), que sustituye a la Directiva 95.

La nueva reglamentación aumenta los derechos de los titulares de los datos personales, y por consiguiente, las obligaciones de las organizaciones que ofrezcan servicios a los ciudadanos de la UE. El “Derecho al Olvido” y el Derecho a la Portabilidad de los Datos, así como la ampliación del Consentimiento Previo Informado se postulan como las obligaciones del GDPR que resultan más complejas para las empresas, entre otras tantas que deberán encontrarse contempladas por las empresas cuando el GDPR entre en vigencia. En este artículo nos centraremos en las tres últimas.

¿En qué consiste el Derecho al Olvido?

El Derecho de Supresión (conocido como “Derecho al Olvido”) le permite a cualquier persona física o jurídica la eliminación de su información personal de los proveedores de servicios de internet, siempre que la organización no posea motivos legítimos para poseerlos. Adicionalmente, las organizaciones que posean estos datos y que a su vez los hayan publicado o compartido con otras entidades, deberán comunicar oportunamente la obligación de que dichas terceras partes eliminen cualquier link hacia los datos, o eliminar cualquier copia de éstos. Por ejemplo, un usuario de una red social que pretenda abandonar la misma, tendrá el derecho de desaparecer totalmente de su base de datos y de todos los sitios a los que se haga referencia a su actividad en la misma, cuando lo desee, como si nunca hubiera pertenecido a dicha red social.

¿En qué consiste el Derecho a la Portabilidad de los Datos?

Este derecho le permite a una persona dar la orden de “mover” sus datos personales de una empresa a otra, siempre que técnicamente sea posible. Este derecho podría ser ejercido, por ejemplo, cuando una persona pretende cambiar de proveedor de productos o servicios, haciendo que dicho proceso sea ágil y sencillo para el usuario.

Ampliación del Consentimiento Previo Informado

Además de informar a la persona sobre la entidad que utilizará sus datos personales y con qué finalidad (entre otros aspectos), con la nueva reglamentación la entidad deberá informar la base legal para el tratamiento de los datos, el período de conservación de éstos, la posibilidad de realizar reclamos, e informar sobre los nuevos derechos consagrados en la nueva reglamentación.

Implicancias

En ambas situaciones se generan obligaciones a las empresas, las cuales deben ser resueltas mediante una adecuada estructura de Gobierno de datos personales, que cuente con los procesos y tecnologías adecuadas para su ejecución, y en cumplimiento con la Regulación. En muchos casos deberán plantearse cambios en los procesos de negocio que consumen datos personales, particularmente a la luz del derecho de supresión y de portabilidad de los datos. Al mismo tiempo, se plantean desafíos desde el punto de vista tecnológico, a efectos de posibilitar el ejercicio de dichos derechos por parte de las personas.

Fuente: http://www.elobservador.com.uy