El proyecto de ley de presupuesto remitido por el Poder Ejecutivo el pasado 31 de Agosto incorpora a los datos biométricos en la Ley de Protección de Datos Personales (No. 18.331). La regulación obliga a las empresas que trabajan con sistemas de identificación facial o huellas dactilares (entre otras) a realizar un informe de impacto de datos personales.
Si bien los datos biométricos ya se consideraban protegidos bajo la regulación uruguaya, el cambio que se puede destacar es:
- Su regulación a texto expreso.
- Su inclusión en el capítulo de datos especialmente protegidos con la exigencia de la realización previa de una evaluación de impacto.
Así, el proyecto realiza las siguientes incorporaciones:
(i) En el artículo 4 de la Ley, el literal Ñ con la definición de “Datos Biométricos” definiendo a los mismos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona tales como datos dactiloscópicos, reconocimiento de imagen o voz.«
(ii) En el artículo 18 de la Ley, referido a los datos sensibles, agrega el artículo 18 BIS que establece que los datos biométricos podrán ser objeto de tratamiento conforme lo regulado en el artículo 9 (principio de previo consentimiento informado) y bajo la previa realización de una evaluación de impacto en la protección de datos personales.
La regulación propuesta por el proyecto de ley no implica un cambio en la postura de las autoridades. Ya en el 2009 (Dictamen 13/2009) la Unidad Reguladora y de Control de Datos Personales había entendido que los datos biométricos eran datos personales. Y, recientemente (Resolución 30/2020), había resuelto que todo responsable que realice tratamiento de datos biométricos deberá efectuar una evaluación de impacto a la protección de datos personales.
¿Qué significa tener que hacer un estudio de impacto a la protección de datos personales?
Este es un tipo de estudio que busca que la empresa tome conciencia del proceso que cumplen los datos personales en la empresa. Así se analiza desde el ingreso de los datos, quienes acceden, cómo se usa cada dato, cuando tiempo se conserva la información. Este estudio requiere un especial cuidado en la identificación de los riesgos y daños que supondría un acceso no autorizado o un incidente de seguridad, para minimizar las posibilidades de ocurrencia, concientizar sobre los mismos e identificar protocolos de acción.