En el marco del ciclo de charlas para la gestión de las empresas que desarrolla PwC, el viernes 27 de julio se llevó a cabo el evento “Gestión de los datos personales en la actualidad de las empresas” con la participación de especialista en materia de tratamiento de datos personales, Pablo Schiavi, y la abogada senior del equipo de Servicios Legales de PwC, Andrea Chanquet. En una entrevista, Charquet enfatizó sobre la importancia de esta temática en las organizaciones a nivel local.

¿Qué tan relevante es una buena gestión de datos personales en las organizaciones?

El tema de la Protección de los datos personales se ve impulsado por dos circunstancias fundamentales: primero, por la conmemoración de los 10 años de la aprobación de la Ley 18.331 de Protección de Datos Personales y Acción de Habeas Data; segundo -y como gran determinante-, por la aprobación del Nuevo Reglamento de Protección de Datos Personales de la Unión Europea (RGPD.

Particularmente en lo que hace a la gestión de los datos personales para las organizaciones y su protección, entendemos que la buena reputación de las organizaciones se ha convertido en un estandarte invaluable. Las empresas han tenido que ocuparse constantemente, poniendo especial atención no solo en la calidad de los bienes y servicios que brindan, sino también en la confianza que generan en el mercado: confianza en el desarrollo de las actividades por las que se las contrata, pero también en el depósito de la información que se les brinda para el desarrollo de aquellas.
Asimismo, los particulares tomaron conciencia del valor que tiene sus datos personales y los derechos que poseen sobre ellos, lo que ha obligado a las organizaciones a instalar y reforzar una confianza cada vez más observada y cuestionada en el manejo de los datos que de sus clientes y empleados tratan.

¿Cuáles fueron los principales puntos en los que profundizaron?
Lógicamente, se realizó un repaso de lo que la normativa local establece, cómo se ha manejado en estos 10 años el tema de la protección de los datos personales en nuestro país, cuáles son los conceptos relevantes, el órgano de contralor, los principios sobre los que la regulación se basa y las sanciones que podría implicar la falta de observancia de la normativa aplicable. No obstante, se puso especial énfasis en lo que el RGPD establece, abarcando aquellos aspectos fundamentales que entendemos tendrán un impacto directo en el país. Esto ya sea por aplicación extraterritorial, por previsiones en cuanto a la transferencia internacional de datos, así como atendiendo al precedente que estas previsiones sientan en lo que entendemos será una revisión inminente de la normativa local.

¿Por qué se debería realizar una revisión de la normativa local en este punto?
Primero, porque la normativa internacional prevé hipótesis de aplicación a empresas ubicadas en territorio nacional, ya sea para la prestación de los servicios como para la transferencia internacional de datos. Segundo, porque no puede desconocerse que históricamente la normativa internacional ha operado como tendencia para la modificación y actualización de la normativa interna de los países. Finalmente, no podemos dejar de reconocer que la evolución y desarrollo de internet y de las TIC (Tecnologías de la Información y el Conocimiento) ha registrado, y seguirá haciéndolo, una gran influencia en el tema. Los avances tecnológicos y los nuevos conceptos han sido parte de los fundamentos de esta revisión internacional y son base para la necesidad de realizar una actualización de las previsiones relativas al tratamiento, procesamiento, transferencia y almacenamiento de datos personales también a nivel local. La realidad en cuanto al flujo y exposición de la información ha cambiado, y el derecho debe acompañar a la misma.

¿En qué posición se encuentra el mercado local?
Como decíamos, si bien nuestro país cuenta con normativa específica y que en general cumple con los más altos niveles de protección de la información de los individuos, no se puede perder de vista que la entrada en vigor del RGPD implica una nueva revisión de la situación particular de cada empresa ante la protección de datos que maneja, ya que actualmente no basta con cumplir la normativa local.

Asimismo, Uruguay pertenece a un elenco reducido de países que han logrado la “decisión de adecuación” emitida por la Comisión Europea. Esta decisión implica que, bajo los supuestos de la normativa europea hasta ahora aplicable – la Directiva de 1995 – la normativa local cumplía con los estándares de protección adecuados para la realización de transferencia internacional de datos. Se considera tal a un país no perteneciente a la UE cuando su sistema legal y el modo en que su normativa es aplicada garantiza derechos y obligaciones que para la UE son considerados esenciales. Esto implica que Uruguay ha tenido que demostrar ante la UE la apropiada adopción y cumplimiento de las disposiciones sobre protección de datos personales. Una política definida y sólida en la materia, instrumentada a través del dictado de la Ley Nº 18.331 de agosto de 2008, la creación de un cuerpo de normas reglamentario y la instalación de una autoridad independiente, fueron algunos de los factores que llevaron a Uruguay a recibir la declaración de adecuación. Con el nuevo RGPD esta decisión va a ser revisada, al menos, cada 4 años, por lo que sobre las nuevas bases normativas seguramente las exigencias para mantener este status también se ajusten, llevando naturalmente a la revisión interna que mencionábamos, ya que entendemos ningún país quiere perder el prestigio internacional que esta decisión le brinda. Vale aclarar que en América del Sur, únicamente Argentina y Uruguay cuentan con la misma.

¿Qué recomienda para las empresas uruguayas?
Básicamente, que tengan presente que ya no deberán únicamente preocuparse por no incumplir la normativa vigente, sino que tendrán una responsabilidad mayor respecto del diseño y observancia de políticas internas y desarrollo de metodologías de tratamiento de datos personales más estrictas y con mayores parámetros estandarizados y mayores y mejores controles. Las empresas tendrán la obligación de llevar una documentación interna de los datos personales que manejan de manera tal de poder demostrar a las autoridades competentes, en cualquier momento y mediante un sistema de registro adecuado, cuáles son los datos que han almacenado, cuál ha sido la finalidad de su recolección, cómo se procesan y cuáles son las condiciones para su eliminación. De este modo, la seguridad de los datos personales se convierte en un aspecto fundamental a tener en cuenta. No debe perderse de vista que un aspecto que tiene impacto en la seguridad de los datos en la vida de las organizaciones, es el modo en que las empresas procesan los datos de sus trabajadores. Deben tenerse presente ciertos principios y recaudos a la hora de solicitar, tratar, almacenar e incluso eliminar la información personal que manejan.

Resulta recomendable tener un conocimiento integral del RGPD, en el entendido de que sus previsiones impactarán directamente en la normativa local, y que no podemos asegurar que en nuestro país se establezca el período de adaptación que se dio en la UE, por lo que estar atentos y preparados conforme a las mejores prácticas es el mejor consejo.

¿Algo que desee agregar?
Que todos conocemos la influencia que las normativas internacionales ejercen sobre las regulaciones internas de los países. No nos puede resultar ajena la tendencia de los estados a estar alineados a lo que la normativa internacional establece, y a obtener el reconocimiento internacional de cumplimiento en las diferentes áreas. No hace falta más que recordar lo sucedido a nivel impositivo, con los lineamientos de la OCDE, por ejemplo, para comprender que se aproxima una revisión integral de la normativa local, y que debemos estar preparados para ajustarnos al cumplimiento de la misma.