El 6 de diciembre se publicó en La Gaceta la esperada modificación al Reglamento a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales. Estas reformas procuran mejorar el ámbito de aplicación de la norma y proteger los derechos de los titulares.
Algunas de sus más importantes modificaciones son:
• Permite que el consentimiento informado pueda ser otorgado no solo por escrito sino también por un medio digital, adaptándose a la realidad existente. Elimina la obligatoriedad de que el consentimiento se otorgue de manera independiente a otro documento, lo que agiliza gran cantidad de trámites.
• Se entiende por distribución y difusión de datos personales cualquier forma en la que se repartan o publiquen datos personales a un tercero por cualquier medio, siempre que medie un fin de comercializar el dato o el lucro con la base de datos.
• La transferencia de datos personales, acción imprescindible en el mundo globalizado, se define como “la acción mediante la cual se trasladan datos personales del responsable de una base de datos personales a cualquier tercero distinto del propio responsable, de su grupo de interés económico, del encargado, proveedor de servicios o intermediario tecnológico, en estos casos siempre y cuando el receptor no use los datos para distribución, difusión o comercialización”. Además, se incluye como nueva definición en el reglamento en el inciso z) del artículo 2, el concepto de grupo de interés económico.
• El artículo 3 se modifica en el tanto se establece que las bases de datos de entidades financieras que se encuentren sujetas al control y regulación por parte de la Superintendencia General de Entidades Financieras (Sugef) no requieren inscribirse ante la Agencia de Protección de Datos. Se aclara que la agencia mantiene el control sobre la regulación de la Ley N.° 8.968 y tiene la potestad de ejercer todas las acciones que la ley le permita sobre dichas bases de datos. Se indica que “tampoco será de aplicación este régimen de protección de datos personales a los datos que se refieran a personas físicas en su calidad de profesionales siempre y cuando ello se realice para fines propios de la profesión o en cumplimiento de disposiciones legales”.
• El plazo que indica el artículo 11 sobre el derecho al olvido se mantiene, pero se aclara que este inicia “desde la fecha de terminación del objeto de tratamiento del dato” y no “desde la ocurrencia de los hechos registrados como se indicaba anteriormente”. Además, se establecen las excepciones a dicho plazo.
• Se aclara en el artículo 29 a quién corresponde la responsabilidad de los datos personales al llevar a cabo una contratación o subcontratación de un intermediario tecnológico o proveedor de servicios.
• Se elimina del artículo 40 el hecho de que una transferencia implique la comercialización de datos personales por parte del responsable de la base de datos, y se define cuándo no deberá considerarse una transferencia de datos personales, permitiendo un tratamiento más expedito de estos sin perjuicio de los derechos del titular.
• Modifica el artículo 82 sobre los montos a pagar sobre contratos globales, reduciendo los mismos y variando la forma su forma de pago.
• Finalmente se suprime el “superusuario”, figura que no existe en la Ley N° 8968 ni en el derecho comparadol.
Estas modificaciones buscan permitir a los responsables de bases de datos cumplir con la normativa, coadyuvando en la campaña de educación y protección de la Agencia de Protección de Datos de los Habitantes.