El Agente Protector de Datos Personales (Proyecto de Ley) #URCDP #Uruguay

Éste es otro de los proyectos de ley que perfectamente pueden adaptarse a casi cualquier país de la región con el objeto de garantizar el correcto cumplimiento de las leyes de Protección de Datos y Privacidad por parte de las empresas:

El AGENTE PROTECTOR DE DATOS PERSONALES

Con el objeto de garantizar, por parte de las empresas e instituciones públicas o privadas, el cumplimiento de la Ley 18331 sobre Protección de Datos y Acción de Habeas Data es necesario dotar a la Unidad Reguladora y de Control de Datos Personales con la colaboración de la figura del agente protector, cuya tarea será entre otras, la salvaguarda de la privacidad de las personas frente al tratamiento de los datos personales. Dicho agente tendrá a su cargo la verificación del cumplimiento de la LPDP por parte de los responsables del tratamiento de los mismos.

 

Artículo 1. Creación. Créase la figura del Agente Protector de Datos Personales, quién tendrá a su cargo la verificación del cumplimiento de la Ley 18331 por parte de las empresas, instituciones (públicas o privadas), así como de los responsables del tratamiento de datos personales.

Artículo 2. Idoneidad. Serán aptos para ostentar la figura del Agente Protector de Datos Personales, aquellos abogados que se encuentren en ejercicio de su profesión dentro de la República Oriental del Uruguay y que hayan sido acreditados por la URCDP mediante capacitación o curso para ejercer las funciones, tareas y obligaciones que se detallan en el cuerpo de la presente norma. La Unidad Reguladora y de Control de Datos Personales reglamentará los requisitos necesarios para la capacitación de postulantes y su designación como tales.

Artículo 3. Nómina. La URCDP mantendrá online y pública una nómina actualizada con los datos personales y de contacto de los agentes debidamente acreditados.

Artículo 4. Obligatoriedad. Toda empresa, institución pública o privada, y cualquier persona que tenga a su cargo un número mayor a 20 personas, ya sea en calidad de dependientes, funcionarios, jornaleros, contratados o tercerizados, deberá contar con los servicios de un Agente Protector de Datos Personales, acreditado de acuerdo a lo establecido en la presente Ley. El incumplimiento de la presente norma, será pasible de aplicación del artículo 35 de la Ley 18331.

Artículo 5. Funciones. Son funciones específicas del Agente de Protección de Datos Personales:

a). Informar y asesorar a la empresa o institución acerca de las obligaciones que le exige la Ley 18331 y sus decretos reglamentarios.

  1. b) Documentar e informar a la URCDP sobre lo descrito en el literal a) y sobre las respuestas que se han dado a sus peticiones.

c). Controlar la implementación y aplicación de las políticas de la empresa en relación con la protección de datos personales, incluyendo la asignación de responsabilidades, la capacitación del personal involucrado en los tratamientos, y la realización de auditorías periódicas, así como inscribir todas las bases de datos personales comprendidas en la LPDP y acorde con lo establecido en la misma.

d). Controlar la implementación y aplicación de la Ley 18331 (LPDP), en particular los requisitos relativos a la protección de datos especialmente protegidos, a la seguridad en el tratamiento y almacenamiento de los datos y a las solicitudes de ejercicio de derechos comprendidos en el Capítulo III de la LPDP.

e). Controlar la documentación, notificación y comunicación de fugas de datos personales, así como documentar cada recomendación realizada al responsable del tratamiento de datos personales respecto a la adopción de medidas de seguridad y de contención de fugas de datos, en concordancia con la LPDP.

f). Controlar la aplicación por la empresa de lo establecido en los análisis de impacto sobre protección de datos, y la solicitud de autorización o consulta previa.

g). Actuar como nexo entre la empresa y la Unidad Reguladora y de Control de Datos Personales, y controlar las respuestas que se le ofrezcan, así como colaborar con ésta dentro de su esfera de competencias, ya sea a su solicitud, o por iniciativa propia.

h). Establecer un plan de acción y evolución sobre la adecuada protección de datos personales acorde con la evolución de las tecnologías aplicables.

i). Ofrecer, y en caso de aceptación, elaborar un Código de Conducta sobre la debida Protección de Datos Personales, de acuerdo a lo establecido en la LPDP, así como proceder a su registro en la Web de la URCDP.

j). Establecer, mantener y supervisar el cumplimiento en materia de protección de datos y privacidad.

k). Valorar el impacto sobre el marco de privacidad y la protección de los datos personales de nuevos proyectos o de normas que afecten a la organización.

l). Centralizar las relaciones institucionales de forma interna con todos los departamentos o áreas afectadas: responsables internos de las distintos bases de datos, Departamento de Recursos Humanos, Departamento de TI, Departamento de Seguridad, Departamento Legal, etc.

m). Supervisar la gestión de incidencias.

n). Coordinar los planes de auditoría, ya sea de carácter interno o externo.

o). Impulsar y promover buenas prácticas en protección de datos.

p). Promover e impulsar la formación, educación y concienciación en protección de datos

q). En definitiva, elaborar un plan de acción que permita la ejecución de las siguientes etapas: descubrimiento del ambiente de tratamiento de los datos personales y su intensidad; elaboración de una estrategia adecuada para el correcto tratamiento de los datos personales; comunicación interna sobre la adopción de las políticas de protección de datos, así como externa (publicación de Políticas de Privacidad); evolución en la revisión políticas de protección de datos y ejecución de auditorías periódicas.