Con la masificación de internet, el debate en torno al uso y el almacenamiento de datos personales a través de medios tecnológicos ha ido ganando terreno a lo largo de las últimas décadas.
Esto llevó a la promoción e implementación de diferentes leyes de protección y regulación del manejo de los datos personales a lo largo del mundo. Algunos ejemplos son el Reglamento General de Protección de Datos de la Unión Europea (UE), la Data Protection Act en Reino Unido y la California Consumer Privacy Act y California Privacy Rights Act en Estados Unidos.
En ese aspecto, Uruguay tampoco fue ajeno a la ola regulatoria. Desde 2008 la protección de los datos personales está consagrada en la Ley 18.331, cuyo primer artículo reconoce que es un “derecho [...] inherente a la persona humana”, respaldado en el artículo 72 de la Constitución de la República.
Según el artículo 3 de la ley, su aplicación comprende “los datos personales registrados en cualquier soporte que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los ámbitos público o privado”.
Por su parte, su artículo 31 da origen a la Unidad Reguladora y de Control de Datos Personales que, según el artículo 34, cuenta con la capacidad de “realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de la presente ley”.
Según se destacó en una nota del organismo publicada en 2022, la ley “permitió a nuestro país ser uno de los pocos países en el mundo en ser reconocido como adecuado por la Unión Europea”.
Patricia Díaz: el marco normativo actual carece de “un sistema de apoyo y presupuesto adecuado”
Patricia Díaz, integrante de Datysoc, organización de la sociedad civil que trabaja en el tema, explicó a la diaria que la regulación de datos personales en Uruguay “sigue de atrás” a la implementada por la UE, bloque que es “líder en buenas prácticas de manejo de la protección de datos personales”. A pesar de ello, Díaz matizó que la adaptación del marco regulatorio europeo en nuestro país no es “acrítica”, sino “consciente”, dado que cuenta con adecuaciones.
De esta forma, si bien calificó a la 18.331 como “una excelente ley”, la integrante de Datysoc consideró que “lo que falta” es el control y explicó que la normativa carece de “un sistema de apoyo y presupuesto adecuado”. Señaló que, a pesar de contar con funcionarios calificados, la unidad reguladora no dispone de la capacidad de “ser proactiva de la manera que una autoridad de control de datos necesita”.
De acuerdo con un informe publicado por la Red Iberoamericana de Protección de Datos en 2022 y al que Díaz hizo referencia, el organismo de contralor cuenta tan sólo con cinco funcionarios destinados al cumplimento de sus funciones. Esto es menos de la mitad de quienes trabajan en la Agencia de Acceso a la Información Pública en Argentina y 35 veces menos que quienes integran la Agencia Española de Protección de Datos.
Asimismo, en materia presupuestal, la unidad dispuso de tan sólo 70.000 dólares en 2022. La cifra más cercana destinada a un organismo regulador perteneciente a uno de los países analizados la supera ampliamente: 775.000 dólares para la Superintendencia de Industria y Comercio colombiana.
Por ello, explicó Díaz, la unidad reguladora trabaja de forma “pasiva” a partir de denuncias y consultas realizadas, en la medida en que no dispone ni de la capacidad ni del presupuesto necesario para llevar a cabo “mecanismos activos de control”. “Se necesita más presupuesto para poder tener más mecanismos activos de control”, resaltó.
De todas formas, Díaz recalcó el rol que la ciudadanía y la sociedad organizada han tomado en torno a la temática, quienes “cada vez más se están empoderando en estos temas”. “Se está generando mayor sensibilidad social y eso es algo bueno, porque como no estamos teniendo presupuesto, la que está hoy cumpliendo el rol de supervisar es la propia ciudadanía”, valoró.
A pesar de ello, la integrante de Datysoc recordó que “el Estado es el que tiene que brindar las garantías y la transparencia para que las personas puedan ejercer sus derechos”. En esta línea, sostuvo que el esquema regulatorio de protección de los datos personales está enfrentando problemas, que también se “están dando en Europa”. La ley vigente interactúa con “el uso de datos de sistemas de inteligencia estatal [...] con fines de seguridad pública o defensa”, para cuyos casos, explicó, “no aplica el control de la Unidad Reguladora y de Control de Datos Personales”. “Se necesita una normativa paralela, que no existe en Uruguay”, argumentó Díaz y agregó que el Parlamento “se encuentra en el debe”.
De esta manera, la integrante de Datysoc apuntó hacia “una cultura institucional establecida en el Ministerio del Interior” como el problema “más grave”, y enumeró la utilización de herramientas de vigilancia en redes sociales, reconocimiento facial automatizado, e incluso “un software para predecir delitos que no se sabe qué es”.
Por su parte, respecto del manejo de información personal y sucesivas filtraciones dentro del Estado, que han ocurrido repetidamente en los últimos años, Díaz explicó que, de manera similar al marco regulatorio de protección de datos, nuestro país cuenta con un buen Marco de Ciberseguridad, elaborado por la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento.
Según reveló, la última Rendición de Cuentas determinó la obligatoriedad de cumplir con dicho marco regulatorio para los organismos públicos. Sin embargo, tal como ocurre con la Ley de Protección de Datos Personales, tampoco “tiene una supervisión o un cumplimiento proactivo”. “Si no existen fondos y presupuesto para salir a controlar que eso exista, ¿cómo sabés que se está cumpliendo?”, cuestionó.
Rodrigo Goñi: se necesita un “fortalecimiento” del “diseño organizacional”
Consultado por la diaria acerca de la normativa vigente en nuestro país, el diputado del Partido Nacional (PN) Rodrigo Goñi consideró que se “está a la vanguardia de la protección de datos personales”, ya que Uruguay adhiere al modelo normativo elaborado por la UE.
Sin embargo, y a diferencia de la postura expuesta por la integrante de Datysoc, Goñi valoró que el control del uso de los datos personales “no va sólo por un control público”, si bien a su parecer el Estado “tiene que liderar el proceso”. En su lugar, el diputado nacionalista notó que “el mundo entero va por una gobernanza cooperativa” que gestione la protección de los datos personales, y que “Uruguay tiene que ir por esta línea”.
De manera similar, una vez abordado un posible aumento presupuestal que permita a la unidad reguladora avanzar en su labor, Goñi consideró que en primer lugar, el organismo de contralor necesita un “fortalecimiento” vinculado a “su diseño organizacional”, “muy seguramente” como un “organismo autónomo con mayores poderes”. Según argumentó el diputado nacionalista, tal reorganización es necesaria puesto que “los desafíos son muy distintos a cuando se diseñó el sistema”.
Además, respecto de la implementación de una normativa paralela que dote de un marco regulatorio a aquellas excepciones contempladas que permiten el registro de bases de datos personales sin el consentimiento de los involucrados por motivos de seguridad o defensa nacional, Goñi explicó que el contexto tecnológico actual es “dinámico”, por lo que “no nos podemos adelantar solos”, y remarcó que es necesario “acompasar lo que el mundo va regulando”.
Asimismo, Goñi, quien preside la Comisión Especial de Futuros del Parlamento, alertó sobre el avance de las tecnologías de inteligencia artificial. De esta manera, manifestó que Uruguay deberá afrontar el “desafío” de “avanzar en marcos regulatorios” que defiendan “derechos humanos fundamentales” e “indiscutibles” vinculados a la protección de datos y la privacidad, como “la libertad y la autodeterminación”.