Acepto los términos y condiciones. Esas cinco palabras son las primeras que se vienen a la cabeza cuando alguien se refiere a la protección de datos personales. La gran mayoría de las personas que navegan por internet aceptan términos y condiciones sin ni siquiera leer una palabra.

Pero la protección de datos personales va mucho más allá de lo que sucede en Internet y el Estado, la entidad que posee más datos sobre los uruguayos, incumple obligaciones establecidas en la ley de Protección de datos personales y acción de "habeas data" aprobada en 2008. Los datos personales están protegidos de forma legal y existe un marco normativo para hacerlos valer.

Cuando nos registramos en un hotel, cuando hacemos un trámite, cada vez que llenamos un formulario con nuestros datos personales estamos brindando información que puede terminar en una base. La Unidad Reguladora y de Control de Datos Personales (URCDP) es el organismo encargado de velar para que esos datos se utilicen con el fin que se solicitaron. Pero una gran cantidad de bases no están siquiera registradas en el organismo y por lo tanto es imposible ejercer un control.

La Unidad Reguladora reconoció ante el Parlamento esta semana que varios organismos estatales incumplen con las obligaciones establecidas en la ley. Las bases que no están inscriptas, son ilegales. Es decir, hay organismos del Estado que tienen bases de datos ilegales. Las que están relacionadas con la seguridad nacional están exentas de esta normativa. El Observador le consultó a la URCDP qué organismos estaban en falta y, en respuesta, obtuvo la lista de quienes están en regla.

Lea también: ¿Cómo cuidar los datos personales?

"La ley de creación de nuestra unidad, entre otros, establece el principio de legalidad y que, para que se cumpla, las bases deben estar inscriptas. O sea que una base que no está inscripta es ilegal, sea pública o privada", aseguró ante el Parlamento Felipe Rotondo miembro del Consejo Ejecutivo del organismo.

El organismo tiene unas 15.000 bases registradas pero existen muchas que no están en los registros del Estado y que solo salen a la luz a raíz de una denuncia puntual. Actualmente la inscripción se puede realizar online y el objetivo de este procedimiento es identificar un responsable –que puede ser una persona física o jurídica-. Además, se pide conocer la forma en que se obtuvieron los datos, el tratamiento que se le va a dar y las medidas de seguridad que se aplican. El destino que se le dará a esos datos también debe figurar en la inscripción al igual que el tiempo de conservación y a quién pueden ser transmitidos.

"Se tiene que establecer cómo aseguran que se pueda acceder a la base. Si un trabajador de una empresa quiere saber qué datos suyos tienen la base, debe poder conocerlo", aseguró Rotondo según se desprende de la versión taquigráfica de la Comisión de Innovación, Ciencia y Tecnología a la que accedió El Observador.

Lea también: Consejos para que datos personales no sean robados en internet

El Consejo Ejecutivo de la Unidad Reguladora compareció ante el Parlamento citado por el diputado blanco Rodrigo Goñi a raíz del caso de la filtración de datos de Facebook y de la publicación, por parte de Presidencia de la República, de datos de las deudas del colono Gabriel Arrieta en su página web.

Además de la no inscripción de las bases de datos, muchos organismos estatales incumplen con la designación de un responsable de los datos. "Esto (los incumplimientos estatales) es muy grave. Si no están las condiciones de seguridad necesarias puede haber cualquier tipo de filtración, de uso indebido porque no se está controlando", lamentó Goñi en conversación con El Observador.

Sanciones

Por un tema de tamaño y recursos, la unidad asumió una actitud proactiva hacia la educación en el tema y no de inspección y control. "Priorizamos nuestros recursos en capacitación, en elaboración de guías de buenas prácticas y en el asesoramiento en el caso de consultas puntuales", explicó Virginia Pardo, integrante del Consejo Ejecutivo.

De todas formas, la Unidad sí aplicó sanciones, incluso a organismos estatales. Entre 2010 y 2016 se recibieron 417 denuncias y se aplicaron 95 sanciones entre públicos y privados. Las infracciones van desde "muy leve" a "muy grave" y las sanciones desde un apercibimiento hasta 500.000 Unidades Indexadas (US$ 65.000) o la clausura de la base de datos.

La Unidad Reguladora tiene registradas unas 15.000 bases de datos. Entre 2010 y 2016 se recibieron 417 denuncias y se aplicaron 95 sanciones

Hasta ahora solo una vez se solicitó la clausura de la base de datos (el organismo funciona desde 2009). No inscribir una base de datos es considerado una infracción "muy leve" mientras que recabar datos de forma engañosa o fraudulenta es considerado "muy grave".

El Banco de Previsión Social (BPS) fue uno de los organismos observados por la Unidad Reguladora por no permitirle el acceso a una persona a un expediente donde se documentaban actuaciones vinculadas al solicitante. "Los responsables deben otorgar el acceso a la información personal completa de los titulares de los datos en un plazo de 5 días hábiles desde la solicitud", dice la ley 18.331.

La Unidad Reguladora también intimó en agosto de 2015 a una intendencia (que en la resolución no se aclara cuál es) a actualizar y rectificar la información que figuraba de una persona en el Sistema Único de Ingreso Vehicular (Sucive). La denunciante figuraba con deudas que no le pertenecían por un vehículo del cual ya no era titular.

La información del colono

La historia es conocida. El colono Gabriel Arrieta discutió y acusó de mentiroso al presidente Tabaré Vázquez a los gritos en la puerta del Ministerio de Ganadería, Agricultura y Pesca. A las pocas horas en el portal de Presidencia se publicó una nota sobre las deudas que el colono mantenía con el Estado uruguayo. Arrieta presentó una denuncia ante la Institución Nacional de Derechos Humanos (INDDHH) que recomendó a Presidencia "retirar de inmediato" esa nota. A las pocas horas el artículo ya no estaba en el ciberespacio.

"Evidentemente, desde el punto de vista de la finalidad, creo que no fue adecuado lo que se hizo", reconoció Rotondo sobre el accionar de Presidencia. La Unidad Reguladora y de Control de Datos tenía la posibilidad de actuar y no lo hizo.

Rotondo respaldó el accionar de la INDDHH y señaló que esa observación no impedía que su unidad actuara, aunque finalmente no lo hizo. "Creo que no se planteó una iniciativa para estudiar el tema; creo que eso fue lo que pasó, ya que en otras oportunidades hemos intervenido", dijo y agregó que en 2010 se comunicaron con la Dirección General Impositiva a raíz de una información sobre colegios privados que pidieron fuera modificada y así se hizo. "Esa conducta la podríamos haber utilizado en el caso del colono", reconoció.

Ante esa situación, Goñi cuestionó la falta de independencia del organismo. La Unidad depende de la Agencia de Gobierno electrónico y Sociedad de la Información y del Conocimiento (Agesic) que a su vez depende de Presidencia de la República. "Necesitamos mayor independencia de la unidad reguladora", apuntó.

El pedido a Facebook

La Unidad Reguladora y de Control de Datos dirigió una nota a Facebook para conocer si hubo uruguayos afectados en la filtración de datos relacionado de Cambridge Analytica pero hasta ahora no hubo una respuesta. "Solicitamos que se nos informe de manera oficial de parte de Facebook que medidas se están tomando", dijo Rotondo ante el Parlamento.