Novidades em transferências internacionais de dados.

Novidades em transferências internacionais de dados.

Recentemente, o Conselho Executivo da Unidade Reguladora e de Controle de Dados Pessoais ("URCDP") emitiu a Resolução No. 70/2023 de 5 de dezembro de 2023 ("a Resolução"), estabelecendo novas obrigações para as organizações que realizam - ou procuram realizar - transferências internacionais de dados. Essa Resolução complementa as resoluções No. 23/021 e 63/023.

Novidades em transferências internacionais de dados.

Uruguai estabelece diretrizes e limitações específicas em relação às transferências internacionais de dados, que envolvem um fluxo de dados pessoais do território uruguaio (neste caso) para destinatários estabelecidos em países estrangeiros.

 

O artigo 23 da Lei No. 18.331 - "Lei de Proteção de Dados Pessoais" prevê que, a menos que haja uma exceção, a transferência de dados para países ou organizações que não garantam níveis adequados de proteção de dados será proibida. Tudo isso de acordo com os padrões legais nacionais e internacionais vigentes.

 

Para esse fim, a resolução No. 23/2021 estabeleceu as jurisdições adequadas para a transferência internacional de dados (os membros da União Europeia e do Espaço Econômico Europeu, Andorra, Argentina, o setor privado do Canadá, Guernsey, Ilha de Man, Ilhas Faroé, Israel, Japão, Jersey, Nova Zelândia, Reino Unido e Suíça).

 

Dessa forma, na maioria dos casos, não será necessário obter o consentimento expresso e informado do titular dos dados para transferir informações. Isso simplifica substancialmente as operações comerciais, principalmente para clientes que utilizam serviços na nuvem ou fornecedores digitais cujos servidores estão localizados nos Estados Unidos.

 

Posteriormente, a resolução No. 63/2023 ampliou a lista anterior e incluiu como entidades ou organizações adequadas:

 

- Entidades sujeitas à lei de proteção de Informações Pessoais da República da Coreia.

- Organizações incluídas na lista do Quadro de Privacidade de Dados publicado pelo Departamento de Comércio dos Estados Unidos da América.

 

Nesse contexto, e com o objetivo de complementar as resoluções mencionadas anteriormente, a Resolução da URCDP introduziu novas obrigações em relação às transferências internacionais de dados:

 

(i) Os sujeitos obrigados deverão comunicar aos titulares dos dados: o destino, o papel do importador de dados, o prazo da transferência, a base de legitimidade e as operações de tratamento a serem realizadas.

(ii) Os responsáveis e encarregados terão um prazo de 6 meses para ajustar suas políticas de privacidade conforme estabelecido anteriormente.

(iii) A inscrição da base de dados no Registro de Bases de Dados Pessoais será um requisito prévio para qualquer processo de tratamento, incluindo transferências internacionais de dados.

(iv) Os responsáveis e encarregados que pretendem realizar transferências internacionais para organizações sob o Quadro de Privacidade da União Europeia - Estados Unidos deverão apresentar uma declaração expressa da organização importadora sobre a implementação de medidas de proteção aos dados transferidos do Uruguai.

 

Essa declaração:

a. poderá ser apresentada no momento do registro da base de dados ou antes da transferência, mas

b. não será necessária se houver disposições contratuais vigentes (entre a organização e o importador) que ofereçam garantias adequadas, com a concordância da URCDP.

 

Considerações finais

 

Mais uma vez, o Uruguai demonstra estar na vanguarda das tendências internacionais em proteção de dados, adotando medidas adequadas para garantir a segurança das informações.

 

Nesse contexto, é recomendável revisar (e ajustar) as políticas internas de transferência de dados para cumprir com as novas obrigações, mas também aproveitando as vantagens e flexibilidade oferecidas pelas jurisdições recentemente incorporadas.

 

 

Montevidéu, 18 de dezembro de 2023.

Compartir: