Recolección,
almacenamiento y
tratamiento de
datos personales
2
3
Legislación
nacional
… es lo que hay.
4
Regulación
Leyes
●
●
●
●
Ley 19.628, Sobre Protección de Datos Personales
Ley 20.285, Sobre Acceso a la Información Pública
Ley 20.575, Sobre Principio de Finalidad en el Tratamiento de Datos Personales,
Ley 21.096, Facilita el Intercambio recíproco de información con otros países.
Decretos
●
●
●
●
Reglamento Ley 19.628
Reglamento Ley 20.285
Reglamento Ley 20.584
Reglamento Base Unificada de Datos (en tramitación)..
Proyectos en tramitación
●
●
Boletín N° 11.144-07
Boletín N° 11.092-07
5
Ley 19.628 (1999)
Se compone de 24 artículos permanentes y tres transitorios, distribuidos en siete
títulos:
●
●
●
●
●
●
●
Título Preliminar: Disposiciones generales (artículo 1 a 3)
Título I: De la utilización de datos personales (artículos 4 a 11)
Título II: De los derechos de los titulares de datos (artículos 12 a 16)
Título III: De la utilización de datos personales relativos a obligaciones de
carácter económico, financiero, bancario o comercial (artículo 17 a 19)
Título IV: Del tratamiento de datos por los organismos públicos (artículos 20
a 22)
Título V: De la responsabilidad por las infracciones a esta ley (artículo 23)
Título Final, con un artículo único modificatorio del Código Sanitario
6
Fuente: Rodrigo Moya
7
¿Cuándo se puede tratar
un dato?
Hipótesis de tratamiento
Hipótesis de
tratamiento
● La ley 19.628 lo autoriza.
● Otras disposiciones legales lo
autorizan.
● Cuenta con el consentimiento
del titular.
9
Requisitos del consentimiento
Expreso: La autorización
debe constar por escrito
(“consienta expresamente”:
en términos formales y
explícitos)
Informado: La persona
que autoriza debe ser
debidamente informada
respecto del propósito del
almacenamiento de sus
datos personales y su
posible comunicación al
público.
Temporal: La autorización
puede ser revocada,
aunque sin efecto
retroactivo, lo que
también deberá hacerse
por escrito.
10
11
Nadie lee los términos y
condiciones
● Tomaría 244 horas al año
(McDonald y Cranor, 2008).
● La mayoría están en inglés.
● Se requiere el equivalente a grado
de magíster para entenderlos
(Beloniel y Becher, 2019)
● Si se identifica un abuso, las
cláusulas suelen ser estándar.
12
Que la ley lo
autorice
● Fuente accesible al público.
● Tratamiento de datos por personas
jurídicas privadas.
● Tratamiento de datos por
organismos públicos.
● Datos necesarios para otorgamiento
de beneficios de salud.
13
“
Artículo 2 letra i) Fuentes accesibles al público: los registros o
recopilaciones de datos personales, públicos o privados, de
acceso no restringido o reservado a los solicitantes.
14
“
Artículo 4 inciso 5: No requiere autorización el tratamiento de
datos personales que provengan o que se recolecten de fuentes
accesibles al público, cuando sean de carácter económico,
financiero, bancario o comercial, se contengan en listados
relativos a una categoría de personas que se limiten a indicar
antecedentes tales como la pertenencia del individuo a ese grupo,
su profesión o actividad, sus títulos educativos, dirección o fecha
de nacimiento, o sean necesarios para comunicaciones
comerciales de respuesta directa o comercialización o venta
directa de bienes o servicios.
15
Fuente accesible al
público
● Transforma la regla general de
protección en la excepción.
● Hace inaplicable el principio de
finalidad y reserva (Alvarado 2014)
● Tampoco aplica en caso de
transmisión automatizada.
● Jurisprudencia: Caso 24x7datos.
16
“
Artículo 4 inciso 6: Tampoco requerirá de esta autorización el
tratamiento de datos personales que realicen personas jurídicas
privadas para el uso exclusivo suyo, de sus asociados y de las
entidades a que están afiliadas, con fines estadísticos, de
tarificación u otros de beneficio general de aquéllos..
17
Personas jurídicas
privadas
● No se refiere a sindicatos y otros
cuerpos intermedios
● La norma fue pensada en
organizaciones gremiales, como
ISAPRES (revisar historia de la ley).
● Proyecto de ley: interés legítimo.
18
“
Artículo 20.- El tratamiento de datos personales por parte de un
organismo público sólo podrá efectuarse respecto de las
materias de su competencia y con sujeción a las reglas
precedentes. En esas condiciones, no necesitará el
consentimiento del titular.
19
Organismos públicos
● Exclusivamente en materias de su
competencia (proyecto habla de
atribuciones legales)
● Con sujeción a las reglas
precedentes: eso incluye finalidad.
● Organismos públicos deben
inscribir sus bases y su fundamento
(Art. 22)
● Caso ministra Cubillos.
20
“
Artículo 10.- No pueden ser objeto de tratamiento los datos
sensibles, salvo cuando la ley lo autorice, exista consentimiento
del titular o sean datos necesarios para la determinación u
otorgamiento de beneficios de salud que correspondan a sus
titulares.
21
Beneficio de salud
● No es una carta blanca para tratar datos
de salud.
● Debe relacionarse con un beneficio
concreto.
● Artículo establece taxativamente los
casos en donde se pueden tratar datos
sensibles:
○ Consentimiento
○ Ley
○ Beneficios de salud
22
Otras disposiciones los autoricen
Ejemplo: Art. 7 i) Ley 19.477 Servicio de Registro Civil e
Identificación.
Celebrar convenios con otros organismos públicos y entidades
privadas, con el objeto de proporcionar información contenida
en los registros públicos del Servicio, con las limitaciones que la
ley establece en lo que se refiera a la seguridad y
confidencialidad de los datos. Por estas prestaciones se
cobrarán los valores que se establezcan por resolución del
Servicio
23
Derechos de los titulares
Cómo ejercer la autodeterminación informativa
¿Cuáles son mis
derechos?
●
●
●
●
●
Acceso
Rectificación
Cancelación
Oposición
Portabilidad (todavía no está
vigente)
25
Derecho de acceso
Es el que tiene todo titular
de datos para exigir del
responsable del banco de
datos información que le
permita saber si se tratan
datos suyos.
De ser así, cerciorarse de su El ejercicio de estos
exactitud y de la licitud de derechos es gratuito y el
responsable debe
su tratamiento.
contestar en el plazo de
● ¿Qué datos?
● ¿De dónde provienen? dos días hábiles.
●
●
¿Por qué los tiene?
¿A quién los destina?
26
Derecho de rectificación
Es el que tiene todo titular
de datos para exigir la
rectificación de aquellos
que le conciernen cuando
se trate de datos
erróneos, inexactos,
equívocos o incompletos.
Es la concretización del
principio de calidad.
No se podrá pedir ejercer
ninguno de estos
derechos cuando cuando
ello impida o entorpezca
el debido cumplimiento
de las funciones
fiscalizadoras del
organismo público, o
afecte la reserva, secretos
o seguridad nacional..
27
Derecho de cancelación
Es el que tiene todo titular
de datos para exigir la
destrucción de datos
almacenados, cualquiera
fuere el procedimiento
empleado para ello
Lo vamos a ver en más
Cuando carezca de
fundamento legal o cuando detalle cuando veamos el
hayan caducado por cambio derecho al olvido..
de circunstancias. Muestra
de que el consentimiento
siempre se puede retractar.
28
Derecho de bloqueo
Es la facultad de todo
titular de datos para exigir
la suspensión temporal
de cualquiera de las
operaciones del
tratamiento de datos.
Opera cuando la exactitud
de los datos no pueda ser
establecida o su vigencia
sea dudosa y siempre que
no proceda la cancelación.
GDPR: Si la configuración
del sistema de
información no permite el
bloqueo, o se requiere
una actuación
desproporcionada por
parte del responsable,
éste procederá a realizar
un copiado seguro de la
información de modo que
conste evidencia
29
Derecho de portabilidad
No está vigente. Derecho
del titular de datos a
solicitar y obtener del
responsable, una copia
de sus datos personales
Desafíos:
Debe ser en un formato
electrónico estructurado,
● ¿Qué pasa con los
genérico y común, que
datos inferidos?
permita ser operado por
● Costos de la
distintos sistemas, y poder
interoperabilidad
comunicarlos o transferirlos
● ¿Debería ser
a otro responsable de datos..
gratuito?
30
“
Artículo 5º.- El responsable del registro o banco de datos personales podrá establecer un
procedimiento automatizado de transmisión, siempre que se cautelen los derechos de los
titulares y la transmisión guarde relación con las tareas y finalidades de los organismos
participantes.
Frente a un requerimiento de datos personales mediante una red electrónica, deberá dejarse
constancia de:
a) La individualización del requirente;
b) El motivo y el propósito del requerimiento, y
c) El tipo de datos que se transmiten.
La admisibilidad del requerimiento será evaluada por el responsable del banco de datos que lo
recibe, pero la responsabilidad por dicha petición será de quien la haga. El receptor sólo puede
utilizar los datos personales para los fines que motivaron la transmisión. No se aplicará este
artículo cuando se trate de datos personales accesibles al público en general.
31
Gracias!
Preguntas?
Me pueden encontrar en @pabloviollier o en
pablo@derechosdigitales.org
32