Ir al contenido

Ir a la página principal

Agesic-Agencia de Gobierno Electrónico y Sociedad de la Información Presidencia de la República Oriental del Urguay
InicioPreguntas frecuentesPreguntas frecuentes
10/16/12

Preguntas frecuentes

¿A quién se le aplica la ley?

La ley es de aplicación a todos los habitantes de la República, en virtud que el derecho a la protección de datos personales es un derecho humano considerado inherente a la persona. Asimismo en la medida de corresponder, se aplicará extensivamente a las personas jurídicas.


¿Qué significa protección de datos personales?

La protección de datos personales es el amparo a los ciudadanos contra la posible utilización por terceros, no autorizada, de sus datos personales susceptibles de tratamiento automatizado, para, de esta forma, confeccionar una información que identificable con él, afecte a su entorno personal, social o profesional, en los límites de su intimidad.


¿A qué datos personales se aplica la ley?

De acuerdo con lo establecido en el artículo 3° de la Ley N° 18.331, el régimen será de aplicación a los datos personales registrados en cualquier soporte que los haga susceptibles de tratamiento y a toda modalidad de uso posterior de estos datos por los ámbitos público o privado.


¿Existen bases de datos a las que no se les aplican las disposiciones de la Ley N° 18.331?

De acuerdo a lo establecido en el artículo 3° inciso 2, el régimen no es de aplicación a:

  • Las bases de datos mantenidas por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, como por ejemplo las agendas personales.
  • Las que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado y sus actividades en materia penal, investigación y represión del delito.
  • Las bases de datos creadas y reguladas por leyes especiales.

¿Debo obligatoriamente inscribir las bases de datos manuales o en papel (listados, fichas, etc.)?

Sí, deberá inscribirlos. De acuerdo con lo determinado por el artículo 3° de la Ley N° 18.331, deberán inscribirse "los datos personales registrados en cualquier soporte que los haga susceptibles de tratamiento y a toda modalidad de uso posterior de estos datos por los ámbitos público o privado."


¿Quién es el responsable por las infracciones a las disposiciones de la ley?

El responsable por las infracciones a las disposiciones de la ley es la persona física o jurídica, pública o privada propietaria de la base de datos o que decida sobre la finalidad, contenido y uso del tratamiento según lo establecido en los artículos 4° lit K) y 12 de la Ley N° 18.331.


¿Los datos recogidos para una determinada finalidad pueden utilizarse para cualquier otra que se pueda plantear a posteriori?

No. Debe respetarse el principio de la finalidad en la recolección. Es decir que los datos personales que se obtienen con el consentimiento de la persona para su tratamiento, sólo podrán utilizarse para aquella finalidad que motivó su solicitud y no para otra.


¿Quién debe ser el responsable de seguridad?

El responsable de seguridad es la persona física o jurídica, pública o privada propietaria de la base de datos o que decida sobre la finalidad, contenido y uso del tratamiento. Este deberá adoptar las medidas que resultaren necesarias para garantizar la seguridad y confidencialidad de los datos personales de acuerdo a lo dispuesto en los artículos 4° lit. K y 10 de la Ley No. 18.331.


¿Qué sucede con la información que fue registrada por la Comisión Consultiva del Ministerio de Economía y Finanzas durante la vigencia de la Ley N° 17.838? 

Toda la información que fue registrada de acuerdo a lo establecido en la Ley N° 17.838, ha sido  trasladada al Órgano de Control: Unidad Reguladora y de Control de Datos Personales, en cumplimiento de lo establecido a tales efectos por el artículo 47 de la Ley Nº 18.331. 

 

Las bases de datos existentes al momento de promulgación de la Ley N° 18.331, ¿se encuentran comprendidas en las previsiones de la misma? Si estaban inscriptas, ¿deben efectuar algún tipo de trámite? 

Todas las bases de datos se encuentran comprendidas en el ámbito de aplicación de la Ley N° 18.331, con independencia de la fecha de creación y de su inscripción o no en el Registro que llevara la Comisión Consultiva en materia de Datos Personales del Ministerio de Economía y Finanzas. El artículo 46 fija un plazo de 1 año a partir de la entrada en vigencia de la Ley para efectuar la adecuación pertinente de la base de datos. 

 

¿Es posible utilizar los datos personales de una persona para enviarle publicidad? 

Esto es posible en las hipótesis que se encuentran establecidas en el artículo 21 de la Ley Nº 18.331, a saber: 

 Cuando los datos figuren en documentos accesibles al público.  

 Cuando los datos hayan sido facilitados por los propios titulares. 

 Cuando los datos hayan sido obtenidos con el consentimiento de los titulares. 


 ¿Es posible adquirir bases de datos de personas físicas para que sean utilizados con fines de publicidad? 

Sólo si la base de datos fue creada con la finalidad de ser utilizada con fines de publicidad y las personas cuyos datos se encuentran insertos en ella así lo consintieron. De lo contrario, no es posible hacerlo sin violentar el texto de la Ley N° 18.331.  

 

¿Es posible utilizar datos provenientes de guías telefónicas o de listados de colegios profesionales, con la finalidad de enviar publicidad? 

En el caso de las guías telefónicas es posible utilizar los datos provenientes de ella, ya que se trata de datos que se obtienen a partir de documentos accesibles al público, de acuerdo a lo establecido en el artículo 21 de la Ley Nº 18.331. 

En el caso de los listados de colegios profesionales es diferente porque se vulnerarían las previsiones del artículo 8º la Ley N° 18.331, relativos al principio de finalidad en la recolección de los datos. 

 

¿Cómo puedo conseguir que eliminen mis datos de la base de datos de las empresas que me remiten publicidad continuamente a mi casa?  

Solicitando  el retiro o bloqueo de los datos de la base de datos o tratamiento que manejen estos con fines de publicidad, ejerciendo así el derecho de exclusión previsto en el artículo 21 de la Ley Nº 18.331. 

 

¿Cómo puedo eliminar mis datos de una base de datos de morosidad en el que estoy incluido? 

De acuerdo con lo establecido en el artículo 22 de la Ley Nº 18.331, los datos personales relativos a obligaciones de carácter comercial de personas físicas podrán mantenerse registrados por un período de cinco años, siempre que se haya cumplido con la obligación. Si la obligación permanece incumplida el acreedor podrá solicitar al  responsable de la base de datos, por única vez, su nuevo registro por otros cinco años.  

Si la obligación por la cual fue incluido en el registro fue cancelada, el procedimiento que debe seguirse es el que se indica: desde el momento de la cancelación de la deuda y en un plazo máximo de cinco días hábiles de producido el pago, el acreedor deberá comunicar este hecho al responsable de la base de datos o de tratamiento de los datos. Recibida la comunicación, se dispondrá de un plazo de tres días para proceder a la actualización del dato, debiendo determinarse la nueva situación.  

 

Necesito saber cómo ha obtenido mis datos una empresa que me ofrece un seguro de vida para mí y mi familia, sin que yo le haya proporcionado ningún dato mío o de mis familiares. ¿Qué tengo que hacer? 

El artículo 21 de la Ley Nº 18.331 establece que “se podrán tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios”, por lo que la situación por Ud. plantea se encuentra dentro de ella. 

Frente a esto, Ud. podrá ejercer el denominado “derecho de acceso” si le interesa hacerlo, así como también solicitar en cualquier momento “el retiro o bloqueo de sus datos de los bancos de datos”. 

 

Mantengo una relación contractual con una empresa que me proporciona ciertos servicios que me interesan. Sin embargo, dicha empresa me remite información de otros productos que no quiero que me envíen ¿Me ampara la Ley N° 18.331? 

En la medida que se trata de una relación contractual que Ud. mantiene con la empresa y que las posibilidades de desarrollar perfiles determinados con fines promocionales, comerciales o publicitarios, está previsto por la Ley Nº 18.331, se encuentra amparado por esta. 

En función de lo establecido en el artículo 21 de la Ley Nº 18.331, Ud. podrá solicitar el retiro o bloqueo de sus datos de los bancos de datos remitentes de publicidad no querida. 

 

¿Puede la empresa donde trabajo enviar datos de sus trabajadores al exterior? 

No, la empresa no puede enviar los datos de sus trabajadores al exterior si no tiene el consentimiento calificado de éstos. Solo podrá realizarlo en las hipótesis previstas en el artículo 23 inciso 3º de la Ley Nº 18.331. 


Una base de datos puede implicar una mezcla de datos de diverso origen: los proporcionados por el cliente con su consentimiento, los obtenidos de terceros por contrato o convenio y los que elabore la propia empresa. ¿Hay que conservar bien identificado el origen de cada dato? 

Sí, hay que conservar la fuente de donde procede el dato porque es responsabilidad del propietario de la base de datos probar que tuvo el consentimiento.  

 

Cuando el cliente exija sus datos personales, ¿cuáles hay que darle? ¿Todos? 

Sí, la persona tiene derecho a acceder a la totalidad de sus datos personales registrados en la base de datos de que se trate.  

 

Cuando facilitamos los datos a una empresa y ésta es absorbida o comprada por otra que no necesariamente va a dedicarse a lo mismo, la empresa compradora, ¿está obligada a destinar los datos obtenidos por la comprada al mismo fin para el cual se recabaron? O ¿la empresa comprada está obligada a destruirlos antes? 

Los datos no podrán ser utilizados para finalidades distintas o incompatibles con aquellos que motivaron su obtención. Si la empresa compradora no los va a utilizar con el mismo fin, debe destruirlos, salvo que se le haya recabado al titular de los datos, el previo consentimiento. Dicho consentimiento deberá ser informado de forma que conozca inequívocamente la nueva finalidad a la que se destinarán sus datos y el tipo de actividad desarrollada por ésta. 

 

¿Qué pasa con el artículo 7º cuando se descubre que un dato personal obtenido por contrato de un tercero es más veraz que el mismo dato proporcionado por el ciudadano? ¿Se corrige el erróneo? ¿Se notifica al ciudadano? ¿Se conservan ambos? 

De acuerdo con lo establecido en el artículo 7° de la Ley Nº 18.331, el responsable del tratamiento deberá suprimirlos, sustituirlos o completarlos por datos exactos, veraces y actualizados. No hay necesidad ni de notificación al ciudadano ni de conservación de los datos erróneos. 

 

Un ciudadano que sepa que está registrado en la base de datos de una empresa, ¿puede solicitar al órgano de control que le confirme si la base de datos está debidamente registrada?  

Entre las atribuciones del Órgano de Control se encuentra aquélla vinculada a: “Informar a cualquier persona sobre la existencia de bases de datos personales, sus finalidades y la identidad de sus responsables, en forma gratuita” por lo que es perfectamente posible que el ciudadano solicite información sobre el registro de una base de datos determinada. 


¿Quién creó el Órgano de Control? 

El Órgano de Control en materia de Protección de Datos Personales se creó por el artículo 31 de la Ley N° 18.331. 

 

¿Cuáles son sus atribuciones y funciones? 

De acuerdo a lo establecido en el artículo 34 de la Ley N° 18.331, son atribuciones y funciones del Órgano de Control, las siguientes: 

  •  Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente ley y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza. 
  •  Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley. 
  •  Realizar un censo de las bases de datos alcanzados por la ley y mantener el registro permanente de los mismos. 
  • Controlar la observancia de las normas sobre integridad, veracidad y seguridad de datos por parte de los responsables de las bases de datos, pudiendo a tales efectos realizar las actuaciones de inspección pertinentes. 
  • Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran. En estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados. 
  •  Emitir opinión toda vez que le sea requerida por las autoridades competentes, incluyendo solicitudes relacionadas con el dictado de sanciones administrativas que correspondan por la violación a las disposiciones de esta ley, de los reglamentos o de las resoluciones que regulan el tratamiento de datos personales comprendidos en ésta. 
  •  Asesorar en forma necesaria al Poder Ejecutivo en la consideración de los proyectos de ley que refieran total o parcialmente a protección de datos personales. 
  •  Informar a cualquier persona sobre la existencia de bases de datos personales, sus finalidades y la identidad de sus responsables, en forma gratuita. 

¿Quién integra el Órgano de Control? 

Está dirigido por un Consejo integrado por  tres miembros: el Director Ejecutivo de AGESIC y dos miembros designas por el Poder Ejecutivo entre personas que por sus antecedentes personales, profesionales y de conocimiento en la materia aseguran independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de su cargo de acuerdo a lo regulado en el artículo 31 de la Ley Nº 18.331. 

 

¿Cuánto tiempo permanecen en funciones sus integrantes? 

A excepción del Director Ejecutivo de AGESIC, los miembros durarán en sus cargos cuatro años, pudiendo ser designados nuevamente. 

 

¿Qué bases de datos deben declarar los organismos públicos? 

Deberán declararse todas las bases de datos que contengan datos de carácter personal, tanto si son informatizados, manuales o mixtos, siempre que se encuentren identificadas o sean identificables las personas titulares de los datos, con las excepciones previstas en el artículo 3º de la Ley Nº 18.331, esto es: “las que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado y sus actividades en materia penal, investigación y represión del delito; las bases de datos creadas y reguladas por leyes especiales”. 

 

Una empresa del Estado remite a mi domicilio un recibo que contiene un error en uno de los números de mi documento de identidad. ¿Puedo exigir que me lo modifiquen? 

Sí, puede solicitar que se efectúe la modificación. De acuerdo a lo que se establece en el artículo 15 de la Ley Nº 18.331, es posible: “solicitar la rectificación, actualización, inclusión o supresión de los datos personales que le corresponda incluidos en una base de datos, al constatarse error o falsedad o exclusión en la información de la que es titular.” 

 

¿Qué son los datos sensibles? 

De acuerdo a lo establecido en el artículo 4º lit. E) de la Ley N° 18.331, se entiende por datos sensibles a todos aquellos datos que revelen el origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e informaciones referentes a la salud o la vida sexual de las personas. 

 

¿Qué datos de salud pueden recabarse? 

Pueden recabarse por parte de los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud, los datos relativos a la salud física o mental de los pacientes que acudan a ellos o que hubieran estado bajo su atención profesional, respetando los principios del secreto profesional, la normativa específica y lo establecido en la Ley Nº 18.331. 

 

¿Pueden tratarse los datos de salud sin el consentimiento calificado del interesado? 

En principio, los datos de salud no pueden ser tratados sin el consentimiento calificado del interesado, salvo en los casos que éstos sean recabados o tratados cuando medien razones de interés general autorizadas por ley o cuando el organismo solicitante tenga mandato legal para hacerlo. También podrán ser tratados con finalidades estadísticas o científicas cuando se disocien de sus titulares.  

 

¿Pueden acceder a la historia clínica de los pacientes de un centro de salud los asistentes sociales que presten servicios en el mismo? 

Podrán tener acceso a la historia clínica de los pacientes que les sean asignados para trabajar con ellos en razón de una determinación de tipo médico; pero no podrán acceder a las historias clínicas de los pacientes en forma  general. 

 

¿Es posible facilitar a una asociación profesional las direcciones de correo electrónico de todo el colectivo de asociados? 

No es posible facilitar a una asociación profesional las direcciones de correo electrónico de su colectivo de asociados si no media consentimiento expreso de éstos. 

El consentimiento y su exoneración están expresamente establecidos en el artículo 9º y éste no incluye entre las exoneraciones de consentimiento a las direcciones de correo electrónico, motivo por el cual será necesario recabarlo. 

 

La naturaleza de las bases de datos de las asociaciones profesionales, ¿es pública o privada?  

La naturaleza de las bases de datos de las asociaciones profesionales es privada. 

 

¿Cómo puede un asociado conocer la información que de él mismo tiene su asociación profesional? 

Debe presentarse ante la asociación profesional correspondiente y acreditar ser quien es, mediante la presentación de documento de identidad y solicitar acceder a la información que sobre sí mismo se halle en la base de datos. Esta solicitud puede efectuarla a intervalos de seis meses, salvo que pudiera acreditar la existencia de un nuevo interés legítimo. Se trata de una solicitud que no tiene costo.