Digitalización, transferencia internacional de datos y desafíos regulatorios

La digitalización se ha convertido en un motor fundamental para el crecimiento y competitividad de las empresas. No solo optimiza procesos internos, sino que abre las puertas a mercados globales eliminando las fronteras tradicionales que también limitaban el alcance de los negocios. En este nuevo esquema, la transferencia internacional de datos personales es una práctica habitual y necesaria en la gestión de los activos informáticos de las compañías, realidad a la cual no es ajena la industria de seguros. 

Es frecuente que compañías localizadas en Uruguay, compartan información con sus afiliadas en otros países o bien contraten servicios de call center o de nube, almacenamiento, firma digital, correo electrónico y otras herramientas, a fin de facilitar sus interacciones en el mercado y ganar eficiencia. 

En este contexto no debe perderse de vista que, cuando involucran el flujo transfronterizo de datos vinculados a personas desde Uruguay al mundo, se enfrentan importantes desafíos regulatorios a nivel de datos personales.

La Ley de Protección de Datos Personales (“LPD”)  establece requisitos para las transferencias internacionales de datos personales más o menos exigentes dependiendo del lugar de destino de los datos, que las organizaciones ineludiblemente deben tener en cuenta a la hora de transmitir información al extranjero.

Este último tiempo, estuvo pautado por tres grandes hitos relacionados con la materia, cuya comprensión es el quid para que las transferencias se realicen en forma segura, en un todo conforme con las disposiciones legales y, en garantía de la privacidad de los titulares que confían sus datos personales en las empresas que eligen para brindarles servicios de su interés, sean de seguros u otros. 

i) La LPD exige informar a los titulares sobre las transferencias internacionales de sus datos personales 

La LPD aplica a los datos de personas físicas y jurídicas en la medida en que, entre otros casos, el responsable de tratamiento, entendido como el propietario de la base de datos o quien decide sobre su finalidad, contenido y uso se encuentre localizado en Uruguay.

Según la LPD, el responsable de la base de datos debe cumplir con el derecho de información de los titulares, el que incluye, desde inicios del año 2023, informarles en forma expresa y precisa sobre “la existencia o no de transferencias de sus datos”, aspectos con los cuales el responsable de tratamiento normalmente cumple, a través de su política de privacidad, de contratos con los titulares de datos u otros medios fehacientes.

Típicamente, una compañía de seguros localizada en Uruguay es responsable, entre otras, de la base de datos de sus clientes de quienes recolecta y trata datos personales para la provisión de sus servicios de seguros, debiendo inscribirla ante la Unidad Reguladora y de Control de Datos Personales (“URCDP”). 

En ese marco, si la compañía en cuestión proyectase, por ejemplo, la contratación de un servicio de call center en el exterior con fines de comunicación con sus clientes, será necesario se les informe sobre la transferencia de sus datos personales a la jurisdicción respectiva. A la vez, deberá analizar cuál es la jurisdicción de destino de los datos, para valorar si corresponde o no adoptar las medidas que la LPD impone en ciertos casos.

ii) La URCDP amplió el listado de jurisdicciones consideradas “adecuadas” para la transferencia internacional de datos personales 

Así, el responsable de tratamiento debe examinar en forma previa a la transferencia, cuál es la jurisdicción de destino de los datos; pudiendo realizarlas libremente hacia aquellas que URCDP considera que proveen niveles adecuados de protección de datos personales o bien, debiendo adoptar medidas adicionales en caso de que la jurisdicción en cuestión no sea adecuada.

En el último bimestre de 2023, la URCDP a través de la Resolución No. 63/23 y 70/23, complementó y actualizó la Resolución No. 23/21 ampliando el listado de jurisdicciones adecuadas para el tratamiento de datos personales  y,  declaró también adecuadas, las transferencias a las organizaciones incluidas en el “Listado del Marco de Privacidad de Datos” publicado por el Departamento de Comercio de Estados Unidos (siempre que se presente ante URCDP en forma previa a la transferencia, una declaración de la organización importadora indicando “haber extendido las salvaguardas del Marco a los datos transferidos desde Uruguay”).

El cambio incorporado por URCDP, siguiendo los lineamientos de la Unión Europea, facilita el relacionamiento comercial de las entidades de plaza con las organizaciones ubicadas en las jurisdicciones involucradas, en especial, con las de Estados Unidos, epicentro de servicios de nube utilizados a diario por compañía locales.

Por el contrario, cuando las transferencias se practican hacia jurisdicciones “no adecuadas”, salvo excepción legal, es necesario que el responsable de tratamiento adopte medidas adicionales exigidas por la LPD: bien obtener el consentimiento informado del titular de datos o la autorización de URCDP mediante la presentación de un contrato de transferencia internacional de datos personales que contenga las cláusulas obligatorias mínimas establecidas en la Resolución No. 41/21 o, que registre un código de conducta ante URCDP (esto último sólo para transferencias intercompany).

Finalmente, para el caso de que el responsable opte por transitar el camino de obtención de autorización de URCDP para llevar a cabo la transferencia internacional de datos desde Uruguay hacia una jurisdicción no adecuada, también desde 2023, URCDP disponibiliza a los interesados un canal online gratuito a tal fin.

Si bien los desafíos regulatorios en materia de datos personales no son menores, la experiencia indica que también suponen una oportunidad para que las compañías revisen las transferencias que llevan a cabo. En particular, de qué forma las comunican a los titulares; las obligaciones que han acordado con proveedores de servicios u otros terceros que accedan a la información desde fuera de Uruguay, actualicen prácticas, y generen valor de cara a los clientes que cada vez más priorizan contratar con empresas que sean cuidadosas con sus datos personales.