La ley 18.331 obliga a todas las personas físicas, jurídicas y también a las entidades públicas a registrar bases con datos ante la Unidad Reguladora de Datos Personales.María José Viega, Directora de Derechos Ciudadanos
Este lunes finaliza el plazo legal para registrar bases con datos personales. Esto implica que hay que registrar todas las bases de datos, a no ser aquellas que se usen dentro del hogar o las que son agendas personales, pero el resto no importa en qué formato estén; así estén los datos en papel, en fichas o en medios electrónicos no importa, de una u otra forma hay que registrarlas.
Los que ya posean bases de datos van a tener que pedir y documentar el consentimiento informado de sus integrantes para guardar los datos. El 95% de los mails que recibimos son spam; todos estos tendrían que enviarnos a nosotros un mail pidiéndonos la autorización para seguir teniendo nuestros datos y si no les contestamos, porque no queremos o porque no leímos el mail, pasados diez días se supone que esa otra empresa tiene que darnos de baja.
Es un tema bien complejo e interesante, y para conocer un poco más sobre la ley que entra en vigencia en estos días conversaremos con la doctora María José Viega, la directora Nacional de Derechos Ciudadanos.
Alejandro Landoni — Como introducción, ¿qué es la Oficina de Derechos Ciudadanos?
María José Viega — Derechos Ciudadanos es una dirección dentro de la Agencia de Gobierno Electrónico (AGESIC). Se creó por la Ley de Rendición de Cuentas pasada con el objetivo de dar apoyo a dos unidades que se crearon el año pasado: la Unidad Reguladora y de Control de Datos Personales, que creó la Ley de Protección de Datos 18.331 que es de agosto de 2008, y la Unidad de Acceso a la Información Pública que se creó por la ley 18.381 en octubre de 2008. Estas dos unidades son departamentos desconcentrados de la Agencia de Gobierno Electrónico.
La agencia ha concebido el gobierno electrónico y este proceso de cambio como un derecho ciudadano y por eso ha sido tan importante impulsar estas dos leyes que parecen como las dos caras de una misma moneda.
Por un lado, el acceso a toda la información pública y por otro lado la protección de nuestra privacidad.
A.L. — Para usted esto es defender un derecho humano, que es el derecho a la intimidad.
M.J.V. — Sin lugar a dudas.
A.L. — Más ahora con el tema de las bases de datos digitales que son fáciles de copiar y de vender.
M.J.V. — Exacto.
Este es un derecho no tan nuevo, — sobre todo a nivel europeo —, pero que sí ha tomado muchísima fuerza en los últimos 10 o 15 años debido a todo el proceso de informatización de la información, ya que antes cruzar un fichero manual era sumamente complejo. Hoy en día cruzar dos bases de datos puede ser muy sencillo.
Justamente la ley pretende eso, que todas las personas como titulares de esos datos personales puedan tener control sobre esos datos: los entrego, a quién se los entrego, con qué finalidad y que esos datos luego no sean vendidos o cedidos. Mis datos no sé dónde están y no sé por qué motivo me llegan mails de distintos lugares sin que yo haya dado mi consentimiento.
A.L. — A veces, cuando se tienen hijos pequeños, sucede que llegan cartas ofreciendo servicios para niños pequeños. Hay jardines o escuelitas que dan los datos y les llegan incluso al niño mismo, tarjetas o invitaciones para cosas que no se sabe bien de dónde salieron.
Me llamó la atención, en una charla que dio sobre este tema en la Cámara de Comercio, que usted dijo que esto es parte de un proyecto-país, y que hay una ley similar en Argentina que permitió la creación de unos 200.000 puestos de trabajo en ese país.
¿Cómo es esto?
M.J.V. — Exacto. Esta ley fue creada por unanimidad en el Parlamento, porque tenía dos grandes propósitos: por un lado, proteger todos los datos personales que en nuestro país estaban protegidos parcialmente por la ley 17.838, y por otro lograr la adecuación a las directivas de la Unión Europea, para que nos reconozca como un país seguro en el manejo de datos con los países de la Unión.
Lograr esta adecuación — que ya hace un año que estamos con el trámite y va muy bien —, implica un aspecto desde el punto de vista económico muy relevante, porque implica que puedan venir empresas como call centers; tiene trascendencia a todo lo que es telecomunicaciones y también a lo que hace a las empresas farmacológicas.
Los datos médicos son datos sensibles. Toda la investigación en esa rama fue uno de los principales puntos que se dio en Argentina como nuevas inversiones, además de los call centers. En Argentina esos son los números que ellos nos han transmitido, y aunque hicieramos un porcentaje entre los que es Uruguay y Argentina, igual sería muy importante para nosotros.
A.L. — Eso es bien interesante porque abre nuevas posibilidades a la producción nacional.
El presidente de la Cámara de Comercio, Alfonso Varela, puso de manifiesto en esa charla la preocupación de la gremial por la implementación de esta ley. Dijo que le preocupa “el manejo que haga el Estado sobre estos datos y los costos que van a generar para los empresarios”.
¿Qué va a hacer el Estado con estos datos?
M.J.V. — Una primera cosa a tener en cuenta es que el titular de la base de datos no nos tiene que entregar los datos que tiene en su base. Esto es muy importante. Simplemente lo que hace es una descripción de la base de datos y esta inscripción voluntaria en el registro tiene por finalidad declarar que esa base es legal; que no la compré; que los titulares de estos datos me los han dado voluntariamente — ya sea en mi carácter profesional o comercial —, pero que esa base de datos yo la obtuve de una forma lícita, de acuerdo a lo que es la ley y su reglamento.
Eso es lo fundamental, de forma tal que cuando una persona realice una denuncia por spam o por cualquier otro motivo de violación de sus datos personales ante la Unidad Reguladora de Control de Datos Personales, lo primero que va a hacer la Unidad es ver si esa base de datos está inscripta, porque la ley establece la licitud de las bases que están inscriptas.
Entonces, si bien es cierto que esto es un proceso que recién se está iniciando y que implica un cambio de mentalidad y organizar la información, es una garantía para aquellos que registren sus bases de datos, porque están declarando voluntariamente la licitud de su base.
A.L. — ¿Cuáles son las bases de datos que la ley exige registrar?
M.J.V. — La ley establece que tienen que registrarse todas las bases de datos, independientemente de su soporte, — sean estas públicas o privadas — y establece la excepción del ámbito doméstico para las personas físicas.
El decreto estableció a texto expreso que para las personas jurídicas no aplicaba este ámbito doméstico, siguiendo toda la doctrina europea.
A.L. — Una empresa que por ejemplo tiene una lista de sus clientes, proveedores, de la gente que trabaja para ellos… ¿qué hay que registrar allí?
M.J.V. — Lo que hay que registrar es una descripción de la base. Los datos del responsable de la base; en qué soporte está esa base y qué tipo de datos contiene; pero no los datos. Si tengo nombre, apellido, domicilio, teléfono, cédula y qué otros datos tengo de esa persona.
Por ejemplo, una base de datos de recursos humanos puede tener datos sensibles, si tiene afiliación sindical. Entonces, hay que ser cuidadoso en ese sentido y en la descripción de la base.
Después también se pregunta cuáles son las medidas de seguridad que tiene esa base, lo que dependerá de la complejidad de la base. Hay bases que son muy sencillas y hay bases que son más sofisticadas. Ahí entra el principio de racionalización: de acuerdo al tipo de base que tengo, qué sistema de seguridad es razonable que tenga.
A.L. — ¿Qué pasa con todos aquellos que tengan cobranzas descentralizadas o por ejemplo en el caso de los Bancos que envían los estados de cuenta a sus clientes pero lo hace a través de una cadetería? ¿Esas bases de datos también hay que registrarlas?
M.J.V. — Si tiene una base de datos-cliente, registra la base datos-cliente independientemente en qué soporte.
Nos han preguntado mucho… «¿Tengo que registrar la base de datos que está en el chip del celular?» No, no del celular por sí solo. Probablemente la empresa tenga una base de datos que la pueda tener en un sistema informático, la pueda tener en una agenda papel, pueda estar en un outlook por ejemplo o también pueda estar en celulares de distintos empleados.
A la hora de decir dónde está materialmente esa base, se pueden declarar los celulares como parte de esa base, eventualmente frente al caso de una sustracción del celular o una pérdida del celular; ese sería el riesgo normal, pero no por el celular en sí mismo.
A.L. — Un oyente nos dice: “Soy corredor de Seguros, mis clientes están en las compañías aseguradoras, ¿yo también tengo que registrar mi base de datos?”
M.J.V. — Esa ha sido una pregunta muy frecuente en los últimos días. Esto dependerá de la situación en la que se encuentra: si está en una relación de dependencia con la empresa aseguradora, entonces, la base de datos es de la empresa aseguradora y no tiene que registrar la base, pero si trabaja para distintas compañías aseguradoras, cada compañía aseguradora registrará su base de datos, pero él también registrará su base de clientes.
Yo puedo ser clienta de un corredor de Seguros, pero contratar un Seguro en una compañía para mi auto, o un Seguro de Vida en otra. Yo soy clienta de ese corredor de Seguros, que me aconsejará dónde asegurar cada cosa.
A.L. — Otra pregunta de los oyentes: «¿qué pasa con esas entidades de comercio, de inmobiliarias y de todas las mutualistas que interfieren en los teléfonos personales y no sabemos de dónde lo consiguieron? A mí me parece que eso es un abuso de cada entidad sobre el ciudadano», dice el mensaje.
¿A partir de ahora es un abuso con esta ley?
M.J.V. — Sí es un abuso.
Si el teléfono no está en un listado público, como puede ser la guía telefónica, a la cual hasta el momento en el cual se aprueba la ley, Antel daba un servicio de exclusión de guía, hoy ese servicio es gratuito porque hay que dar el consentimiento para estar en la guía a partir de la próxima guía…
A.L. — Qué buen dato. O sea que a partir de ahora no hay que pagar más por la exclusión de guía.
M.J.V. — Exacto.
A.L. — Es al contrario: hay que dar el consentimiento para estar en la guía.
M.J.V. — Esto funciona para los nuevos teléfonos, porque los que ya están en los listados públicos, ya están en una situación contemplada en el artículo 9 de la ley, por lo tanto, sí puedo pedir que me excluyan de las nuevas guías.
Si estoy en listados públicos obviamente que estoy habilitando a que me llame cualquier persona, pero si no estoy en listados públicos puedo preguntarle a esa persona que me llama (y que muchas veces me llama a mi propia casa y me ofrece determinados servicios), le puedo preguntar de dónde obtuvo esa información.
Muchas veces nos llaman y no sólo tienen nuestro número y nombre, también tienen nuestra cédula, saben dónde trabajamos y ahí podemos hacer la denuncia ante la Unidad de Protección de Datos.
A.L. — ¿Qué número tiene?
M.J.V. — 9012929 interno 1352.
También hay un sitio Web que es www.datospersonales.gub.uy donde pueden hacer denuncias y consultas.
A.L. — Una de las cuestiones que es importante en la reglamentación de la ley, es el consentimiento informado que tienen que dar los integrantes que están dentro de esta base de datos, y el tema de que la empresa lo tiene que tener documentado.
¿Qué quiere decir el consentimiento informado?
M.J.V. — El consentimiento informado es uno de los principios de la ley, que establece que cada vez que me solicitan mis datos, tienen que informarme de qué forma van a utilizar esos datos; con qué finalidad.
También, si van a ceder esos datos yo tengo que dar el consentimiento para esa cesión, porque yo puedo estar de acuerdo en que determinada empresa o persona tenga mis datos pero no que los ceda. Son dos tipos de consentimientos diferentes.
El consentimiento tiene que estar documentado como una garantía para la empresa, sobre todo en los datos sensibles; de que esos datos yo los otorgué voluntariamente y que no se obtuvieron de otra forma.
A.L. — A mí me pasó en una mutualista que implementó un sistema de consultas online. Es una buena cosa porque cuando vamos al médico no importa en qué consultorio, el médico por Internet accede con la clave a los datos del paciente, pero me empecé asustar cuando por ejemplo iba a pagar la orden y me decían que yo no precisaba una orden para tal cosa sino que necesitaba una orden para otra.
Ahí tenían todos los análisis que me había hecho y me estaba hablando el funcionario de la caja, no era ningún médico. Eso daba la sensación que no era correcto.
M.J.V. — No debería ser así.
Evidentemente en datos de salud el acceso debería de estar restringido y depende de cuál es la función dentro de una sociedad médica, obviamente el médico tratante o en su caso una enfermera puede acceder a un determinado dato, que no tiene porqué ser total, puede ser un dato parcial, pero la gente de Administración no tendría por qué tener acceso a la historia clínica.
A.L. — ¿Qué pasa con las empresas que les piden la huella digital a sus empleados e incluso cuando marcan la tarjeta, le sacan una foto?
M.J.V. — Este ha sido un tema muy discutido.
La huella digital es un dato biométrico que se utiliza como una firma. Es una clase de firma considerada electrónica, dentro del ámbito general de las firmas electrónicas.
En el caso de la huella no vemos demasiado inconveniente, pero donde se ha planteado — en Uruguay todavía no se ha planteado el caso, pero sí se ha planteado a nivel internacional —, es en el caso del iris del ojo. El tema del iris del ojo sí se ha considerado un dato sensible, porque puede revelar problemas de salud, puede revelar enfermedades, y por lo tanto, no se considera adecuado simplemente para controlar el presentismo o el horario de un empleado, utilizar ese tipo de seguridad.
A.L. — El tema de los datos sensibles es bien interesante y es un capítulo en sí mismo.
¿Se puede ir a la tarjeta de crédito o a la institución financiera que da los préstamos a preguntar qué datos tienen de uno?
M.J.V. — Sí, ese es uno de los derechos que establece la ley.
Establece el derecho a solicitar ante cualquier entidad — no solamente la tarjeta —, qué datos personales tienen sobre nosotros.
A.L. — A veces queremos entrar en una base de datos. ¿Eso se puede?
M.J.V. — Es el derecho de inclusión. Se puede. Si tengo las condiciones para estar en determinada base de datos y me han excluido puedo reclamar que se me incluya en esa base.
A.L. — El comentario de otro oyente: «A propósito de la ley creo que incluye un hecho que me indignó bastante hace algún tiempo: una empresa me llamó — y además creo que de hecho estaban infringiendo otra ley —; que es publicidad engañosa porque invocaban que me llamaban a nombre de Ancel a mi celular (Ancel no vende servicios; yo trabajo en Antel y sé lo qué es Ancel… de dónde sacaron la base de datos); se la cedió Ancel mismo y la estaban utilizando para venderme un producto».
Creo que esto está incluido en la nueva ley.
M.J.V. — Sí está incluido en la nueva ley, es uno de los puntos que persigue la ley: la no venta de las bases de datos; el no intercambio cuando el titular de los datos no lo autorizó.
A.L. — Se da mucho que en dos empresas de rubros distintos que hacen un convenio y como parte del convenio dicen “Tal firma arregla para que sus empleados vayan a tal club. Entonces el club le pide todos los datos de los empleados y después a uno lo llaman de determinado lugar diciendo: “Lo llamo de parte de…”.
M.J.V. — Eso ahora no se puede.
A.L. — O sea que en caso de que hagan el convenio tendrán que preguntarle a todos los integrantes si quieren o no que le den los datos.
M.J.V. — Exacto.
A.L. — Otro oyente pregunta: ¿qué pasa con los datos que la gente entrega en los cupones a cambio de puntos en los supermercados?
M.J.V. — Hay que tener cuidado siempre que se entregan los datos, porque cuando está dando los datos normalmente nos hacen llenar una fórmula y firmarla, y cuando firmamos esa fórmula estamos dando nuestro consentimiento y queda documentado.
Muchas veces esas fórmulas tienen una clausulita que dice que yo estoy admitiendo la política de comunicación de datos de la empresa. Tenemos que pedir cuál es la política de datos de la empresa antes de firmar, porque de lo contrario no sabemos para qué estamos dando nuestro consentimiento.
A.L. — Eso es muy interesante porque suele ser un contrato de adhesión. Vamos al Cable, a la telefónica, al Seguro, a la mutualista, etc. y firmamos cosas que no nos preocupamos en leer cabalmente y ahí estamos quizás dando el consentimiento para que hagan “x” cosa con los datos propios.
M.J.V. — El decreto establece que cuando se da la opción de ceder o no los datos, tienen que estar los casilleros en blanco y no puede estar uno predeterminado, de forma tal que la persona pueda optar “Quiero ceder mis datos”. Que la persona tenga la libertad para ver si los da o no.
A.L. — O sea que uno tiene que poner la cruz o tildar en el sí quiero, no es automático.
M.J.V. — Exacto.
A.L. — Hoy venció el plazo legal para registrar la base de datos.
Es un tema nuevo y “verde” para nosotros y la ley establece multas para aquellos que no lo hagan.
¿Qué se va a hacer en esos casos?
M.J.V. — Estamos iniciando una primera etapa de un cambio de mentalidad importante.
Si bien la ley estableció el plazo de un año de adecuación, que venció en agosto, y el decreto establecía 90 días que vencen hoy, el Consejo ha establecido que no va a imponer sanciones por inscripciones voluntarias y vamos a seguir inscribiendo. Es una enormidad la cantidad de bases de datos que tenemos que inscribir y de hecho en la oficina había muchísima gente y los hemos tranquilizado diciéndoles que pueden volver en la semana o en el correr del mes.
En toda esta primera etapa de inscripción no se van a poner sanciones, no se van a poner multas.
La ley establece una graduación de sanciones que van desde el apercibimiento hasta la multa o la suspensión incluso de la base de datos. Estamos pensando en casos de reiteración de violaciones a la ley o en caso que realmente sean graves. Un incumplimiento tardío sin lugar a dudas no amerita una multa.
