Algunos de los aspectos básicos que las organizaciones deben considerar son:
- Determinación del ámbito territorial de aplicación de la Ley 18331, modificativas y complementarias, y los supuestos bajo los que la normativa operará.
- Fortalecimiento del principio de responsabilidad de las entidades que tratan datos personales, que evoluciona a “responsabilidad demostrada”.
- Adopción de medidas para la protección de los datos personales documentadas, que se revisen de manera periódica y cuya efectividad se evalúe.
- Evaluación de impacto de la protección de datos, antes de que se inicie el tratamiento de estos o en el plazo de un año desde la publicación del Decreto.
- Adopción de medidas técnicas y organizativas para conservar la integridad, confidencialidad y disponibilidad de la información, de acuerdo con estándares nacionales e internacionales en seguridad de la información.
- Incorporación de la privacidad por diseño como requisito para cumplir con la normativa.
- Incorporación de la privacidad por defecto como límite al tratamiento de los datos.
- Obligación de designar, en el plazo de 90 días, a un delegado de protección de datos personales que tendrá funciones determinadas y que deberá tener conocimientos en derecho y especialización acreditada en protección de datos personales.
Por:
Mario Ferrari Rey, socio de Servicios Legales de PwC Uruguay. LinkedIn
Andrea Chanquet, senior de Servicios Legales de PwC Uruguay. LinkedIn | Twitter