REGISTRO DE BASES DE DATOS

Martín ColomboFERRERE

1- REGISTRO DE BASES DE DATOS

a. ¿Qué hay que inscribir y en donde?

b. ¿Qué bases de datos se inscriben?

c. ¿Para qué se inscriben?

d. ¿Qué pasa si no se inscriben?

e. Las obligaciones posteriores a la inscripción

A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?

Hay que inscribir:

Bases de datos

Códigos de conducta

Las transferencias internacionales de datos (en ciertos casos)

A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?BASE DE DATOS:

1- Con información personal2- Que sea susceptible de ser tratada3- En cualquier soporte…..

A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?

Comprendidas

Todas las bases de datos de

empresas (¿?), públicas o privadas

Algunas de las personas físicas

Excluidas

Las creadas por leyes especiales,

razones de seguridad, etc.

Las de personas físicas con fines

personales o domésticos

A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?

Las bases de datos de empresas con fines personales o

domésticos… ¿se inscriben?

A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?

No les aplica la ley

Seguridad pública, defensa,

seguridad del Estado y sus

actividades en materia penal

Bases de datos creadas

reguladas por leyes

especiales

Mantenidas por personas

físicas en el ejercicio de las

actividades exclusivamente

domésticas

No les aplica la obligación de registrar

Bases de datos creadas de

personas físicas salvo las que sean

para uso exclusivamente

individual

Bases de datos creadas por

empresas salvo las que sean para uso

exclusivamente individual

A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?El Decreto trató de evitar la fuga de bases de datos de empresas. Pero, se contradice que la ley.

¿ENTONCES?

A los bancos de datos de empresas destinados a fines personales y domésticos les aplica toda la ley. La única obligación que puede no aplicarles es la de registro.

Pero, esta lectura es contraria a la postura de la URCDP y es contraria a toda la normativa internacional.

A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?

Y…….¿QUÉ PASA CON LAS BASE DE DATOS QUE NO ESTAN ACÁ?

Se regula el procesamiento de los datos. Cuando el procesamiento se realiza en Uruguay corresponde registrar la base de datos.

A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?

No hay que olvidar, también se inscriben:

Los códigos de conducta de práctica profesional que establezcan normas para el tratamiento de datos personales. Los códigos o reglas sobre manejo de la información personal de las empresas.

Las transferencias internacionales cuando corresponda.

A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?

¿Dónde se realiza la inscripción?

Presentación del formulario (www.datospersonales.gub.uy) con certificado notarial de representación y existencia en la URCPD

Antes del 14 de diciembre del 2009

Antes de los 90 días desde la creación

A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?

OJO: Inscribir NO es entregar la base de datos a la URCDP

Por el contrario significa presentar una descripción de la base de datos, los campos que se maneja, la cantidad de información con que cuentan, etc.

A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?

Problemas más comunes en el llenado de formularios:

El certificado notarial:

a. Debe ser del día en que se presenta el formulario (24 o 48 hrs máximo)

b. Debe tener representación, existencia y certificación de firma del formulario

c. Un certificado o testimonio notarial por cada base de datos

A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?

Problemas más comunes en el llenado de formularios:

Tiempo de conservación de los datos:

a. ¿A quién se le ocurre poner “Indefinido”?

b. Debe existir una razón para este plazo: Prescripción de deudas laborales, prescripción de pagos al Banco de Previsión Social, comportamiento estadístico de los clientes, etc.

c. Es preferible incluir plazos medianos o cortos y luego comunicar un cambio de la base de datos ampliando el plazo, que presentar plazos de 50 años.

B- ¿PARA QUE SE INSCRIBE?

Permitir ejercer las facultades de control al órgano regulador.

Permitir informar a los titulares de los datos sobre la existencia de la base de datos, para que estos puedan ejercer sus derechos.

Identificar a los responsables.

C- ¿QUÉ PASA SI NO SE INSCRIBE?El banco de datos será considerado ilegal.

No importa si cumple o no con los principios aplicables al manejo de las bases de datos personales, por la falta de inscripción la base de datos es irregular y el responsable puede ser sancionado.

Las sanciones varían desde amonestación, multa hasta U$S 50,000 y suspensión de la base de datos.

Aun en caso que no se haya registrado la base de datos, la URCDP podrá inspeccionar.

D- OBLIGACIONES POSTERIORES A LA INSCRIPCIÓN

Comunicar las actualizaciones cada 3 meses. Se recomiendo dejar constancia de los accesos/correcciones/agregados, etc. cuando se haya realizado por pedido del titular del dato.

Comunicar las modificaciones.

El registro no tiene costo. Tiene un plazo de vigencia de un año.

Publicar en lugar accesible al público el número y fecha de la Resolución de la URCDP

2- BUENAS PRÁCTICAS

DIAGNÓSTICO: Revisar mis prácticas de recolección y tratamiento de datos

ACCIONES PARA MANTENER EL VALOR:- Cambio de contratos y formularios- Normas de funcionamiento

IMPLEMENTACIÓN Y REGISTRO

2- BUENAS PRÁCTICAS

DIAGNÓSTICO

Identificar las distintas bases de datos de la empresa de acuerdo con la finalidad

Dentro de cada base, identificar los datos excesivos, desactualizados, sin consentimiento

2- BUENAS PRÁCTICAS

ACCIONES PARA MANTENER EL

VALOR

Identificar la forma de recolectar los datos y ajustarla a la normativa: cambiar contratos, web sites, formularios, gestión de llamadas, etc.

Adoptar políticas de manejo de la información personal interna y externa.Incorporar normas de seguridad de IT dependiendo del tipo de datos

2- BUENAS PRÁCTICAS

IMPLEMENTACIÓN

Asignar responsables

Generación de cultura interna: cursos, charlas, manuales de conducta o procesos.

¡MUCHAS GRACIAS!

Martín ColomboFERRERE