Pérez del Castillo & Asociados - Abogados, Escribanos y Contadores

En la era digital en la que vivimos, la transferencia internacional de datos personales se ha convertido en una práctica más frecuente de lo que muchos podrían imaginar.

En el ámbito empresarial, es común contratar servicios de almacenamiento en la nube, correo electrónico, y diversas plataformas digitales para gestionar y compartir documentos que contienen información confidencial. Aunque muchos de estos servicios son contratados localmente, suelen utilizar servidores y recursos ubicados en el extranjero, lo que implica naturalmente la transferencia internacional de datos.

Este flujo constante de datos personales a través de fronteras plantea importantes desafíos y cuestiones relacionadas con la privacidad, la seguridad y el cumplimiento de la normativa aplicable. En este contexto, proponemos una aproximación a las interrogantes que se plantean en relación con este asunto.

¿Qué es una transferencia internacional de datos?

Está definida por el artículo 4 del Decreto N° 414/009 que reglamentó la Ley de Protección de Datos Personales Nº 18.331: “el tratamiento de datos que supone una transmisión de éstos fuera del territorio nacional, constituyendo una cesión o comunicación, y teniendo por objeto la realización de un tratamiento por cuenta del responsable de la base de datos o tratamiento establecido en territorio uruguayo.”

Se está ante una transferencia internacional de datos personales cuando: i) hay una transmisión de datos hacia el exterior del país, ya sea mediante su cesión o comunicación; ii) su tratamiento es realizado por cuenta de la persona responsable de la base de datos o del tratamiento de los mismos, y iii) dicho responsable se encuentra en Uruguay. 

Al recopilar datos personales se debe proporcionar a los titulares de manera clara, precisa e inequívoca cierta información, dentro de la cual se incluye la existencia o no de transferencias internacionales de datos (art. 13, literal F de la ley).

Dado que la transferencia se considera una forma de tratamiento de datos, es necesario, previo a cualquier transferencia, inscribir la base de datos que los contenga ante el Registro de Bases de Datos Personales, administrado por la Unidad Reguladora y de Control de Datos Personales (en adelante "URCDP").

¿Cómo se encuentra regulada la transferencia internacional?

El artículo 23 de la ley prevé, como principio, la prohibición de realizar transferencias internacionales de datos personales a países u organismos internacionales que no proporcionen niveles de protección adecuados, de acuerdo a los estándares del Derecho Internacional o Regional en la materia.

Ante esto, la URCDP ha elaborado un listado de países y organizaciones que el organismo considera que sí proporcionan protección adecuada de los datos personales. Por lo tanto, se entiende que todo país y organización que no se encuentra en el listado no garantiza de forma suficiente un nivel de protección adecuado.

Las transferencias que se realicen a los países y organizaciones incluidas en el listado no requieren realizar ningún procedimiento ante el organismo[1], siempre y cuando la base de datos ya se encuentre inscripta ante el Registro.

¿Qué países y organismos integran la lista de la URCDP?

Se encuentran incluidos los países miembros de la Unión Europea y el Espacio Económico Europeo, el Principado de Andorra, Argentina, el sector privado de Canadá, Guernsey, Isla de Man, Islas Feroe,  Israel, Japón, Jersey, Nueva Zelanda, Gran Bretaña e Irlanda del Norte, Suiza y la República de Corea.

Asimismo, la URCDP ha expresado que se consideran adecuadas las transferencias a organizaciones incluidas en el “Listado del Marco de Privacidad de Datos” publicado por el Departamento de Comercio de los Estados Unidos.

¿Qué excepciones prevé la norma en cuanto a la prohibición de transferir a países que no brinden niveles de protección adecuados?

El artículo 23 establece una serie de excepciones que no se encontrarían alcanzadas por la prohibición (literales 1 al 5), así como determinados supuestos dentro de los cuales se permitiría la realización de la transferencia internacional (literales A al F) a pesar de no contar con un nivel de protección adecuado.

Sin perjuicio de las excepciones y supuestos expresamente previstos por la norma, se faculta a la URCDP a autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel adecuado de protección, cuando el responsable del tratamiento ofrezca garantías suficientes respecto a la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos.

¿Cuándo la URCDP puede  entender que existen garantías suficientes para autorizar una transferencia a un destino que no ofrece un nivel adecuado de protección?

La ley prevé que cláusulas contractuales adecuadas pueden llegar a garantizar una protección apropiada. En virtud de ello, la URCDP emitió la Resolución Nº 41/021 por la cual recomienda a los responsables del tratamiento y a los encargados de realizar transferencias internacionales de datos la adopción de determinadas cláusulas contractuales detalladas en el Anexo I de la resolución (https://www.gub.uy/unidad-reguladora-control-datos-personales/institucional/normativa/resolucion-n-41021).

Contiene, por un lado, cláusulas comunes a transferencias entre todo tipo de importador y exportador de datos, y por otro, cláusulas específicas dependiendo las partes entre las cuales se da la transferencia:

1. Transferencias entre responsables y responsables
2. Transferencias entre responsables y encargados
3. Transferencias entre encargados y encargados

Por otra parte, se destaca que las cláusulas modelos prevén la participación del delegado de protección de datos (en cuanto corresponda su designación), así como la inclusión de una Evaluación de Impacto en la Protección de Datos. Respecto de esta última, la URCDP ha elaborado, en forma conjunta con la Agencia de Acceso a la Información Pública de Argentina (AAIO) una Guía de Evaluación de Impacto en la Protección de Datos (https://www.gub.uy/unidad-reguladora-control-datos personales/comunicacion/publicaciones/guia-evaluacion-impacto-proteccion-datos).

El Anexo I ofrece un contenido mínimo indispensable para los contratos a ser suscriptos entre un responsable o encargado del tratamiento de datos en territorio uruguayo con responsables o encargados situados en el exterior. Por lo tanto, las partes pueden tomarlo como base e incorporar además otras cláusulas que contribuyan a tutelar los datos personales.

Asimismo, si bien el Anexo es de especial relevancia para las transferencias a ser realizadas a países que no presentan un nivel de protección adecuado, a la luz del principio de responsabilidad proactiva previsto en nuestra normativa de protección de datos, la URCDP recomienda considerarlo en cualquier transferencia internacional.

¿Cómo se realiza el trámite de solicitud de autorización de transferencia internacional ante la URCDP?

Desde finales de enero de 2023 se encuentra disponible la posibilidad de presentar una solicitud de transferencia internacional de datos a través de la página web sin costo alguno

A los efectos de realizarla se debe presentar: i) documentación notarial acreditando representación; ii) contrato con el servicio de alojamiento; iii) todo otro documento que respalde la transferencia (https://www.gub.uy/tramites/solicitud-transferencias-internacionales).