En Uruguay, la protección de datos personales se encuentra reconocida a nivel constitucional¹. La legislación secundaria establece los principios generales a los que deben ajustarse quienes traten datos personales de terceros (legalidad, veracidad, finalidad, previo consentimiento informado, seguridad de los datos, reserva y responsabilidad); en dicha ley se reglamenta la acción de habeas data.². La Unidad Reguladora y de Control de Datos Personales es el organismo autónomo encargado de hacer un censo de las bases de datos alcanzados por la ley y mantener el registro permanente de los mismos³. Uruguay fue declarado “país con nivel de protección adecuado” para la transferencia internacional de datos personales con la Unión Europea, de acuerdo con la Directiva 95/46/CE⁴.

La base legal para el derecho al olvido en Uruguay, se encuentra en el Art. 15 de la Ley de Protección de Datos Personales y Acción de Hábeas Data, que contempla posibilidad de cancelación, supresión o eliminación de datos personales “cuando se constate la inexactitud o falsedad de los datos” o cuando el responsable del tratamiento incumple el deber de rectificar o informar por qué no procede en 5 días¹.  La eliminación o supresión de datos personales procede únicamente en tres casos: a) perjuicios a los derechos e intereses legítimos de terceros, b) notorio error o falsedad, y c) contravención a lo establecido por una obligación legal². La Unidad Reguladora y de Control de Datos Personales (URCDP) es el organismo encargado de recibir las denuncias. A tal fin, la URCDP dictó la Resolución N° 1040/2012, en donde solicita un informe técnico al CERT-uy, sobre posibles soluciones técnicas para evitar que ciertos contenidos sean indexados e incluidos en el caché de los buscadores de Internet, a efectos de garantizar la protección de datos personales y, en especial, el derecho al olvido³.

En cuanto a derechos de autor, Uruguay reconoce los derechos de autor como independientes de la propiedad del objeto material en el cual esté incorporada la obra, y no se subordina a ninguna formalidad o registro. El plazo de protección se establece durante la vida del autor y hasta setenta años después de la muerte de este¹.  Además, entre las excepciones y límites al derecho de autor se reconocen las representaciones o ejecuciones efectuadas en el ámbito doméstico, o en reuniones familiares fuera del mismo, siempre y cuando sean sin fines de lucro. Por otro lado, la Ley de Propiedad Literaria y Artística regula lo relativo al dominio público; esta normativa establece el resto de los casos en los que una reproducción no se considera ilícita; por ejemplo, cuando se reproducen obras destinadas a la enseñanza, fragmentos de poesía, lecciones o discursos de profesores o aquellos que acontecen en los tribunales de justicia, noticias periodísticas, críticas y comentarios polémicos, leyes y fotografías de obras de arte. Las sanciones administrativas y penales se encuentran en el artículo 46 de la ley citada².

Existe un amplio desarrollo de acciones y medidas relacionadas con la seguridad en Uruguay, sin perjuicio de no haber un cuerpo normativo específico en materia de delitos informáticos. La Agencia de Gobierno electrónico y Sociedad de la Información y del Conocimiento de Uruguay (Agesic) fue creada por el art. 72 de la Ley N° 17.930 de diciembre de 2005, como una unidad ejecutora dependiente de la Presidencia de la República, con autonomía técnica, cuya finalidad es impulsar el avance de la sociedad de la información y del conocimiento. La misma cuenta con potestades legales para la concepción y el desarrollo de políticas en materia de seguridad de la información, a los efectos de la prevención, detección y respuesta frente a los incidentes que pudieran afectar los activos críticos del país (Art. 118, Ley Nº 17.930). En el mismo ámbito, se creó el Consejo Asesor Honorario de Seguridad Informática del Estado¹. Posteriormente, se creó el CERTuy dentro del ámbito de la Agesic, con el objetivo de regular la protección de los activos críticos de información del Estado, teniendo como cometidos: difundir las mejores prácticas, centralizar y coordinar la respuesta a incidentes informáticos y realizar las tareas preventivas que correspondan². En un decreto posterior se reglamentan estas actividades, definiendo los incidentes informáticos como una violación o amenaza inminente de violación a una política de seguridad de la información implícita o explícita, así como un hecho que comprometa la seguridad de un sistema (confidencialidad, integridad o disponibilidad)³. Distintos proyectos de ley de regulación específica han entrado al Congreso, sin aprobación de ninguno de ellos hasta la fecha.

No existe normativa específica en la materia. Se presentó un proyecto de ley que considera la provisión de servicios de internet como de interés público y establece el principio de neutralidad en la red. En concreto, los proveedores del servicio público de acceso a Internet y redes informáticas similares no podrían restringir de forma arbitraria el derecho de cualquier usuario al uso de estas¹. Este proyecto, sin embargo, no avanzó en el Congreso.

En este país, “los papeles de los particulares y su correspondencia epistolar, telegráfica o de cualquier otra especie, son inviolables, y nunca podrá hacerse su registro, examen o interceptación sino conforme a las leyes que se establecieren por razones de interés general¹. A su vez, el Código del Proceso Penal establece  la interceptación de correspondencia y otras comunicaciones, en el contexto de la orden de secuestro que pueden requerir los jueces para disponer de ellas, siempre que puedan suministrar medios útiles para la comprobación del delito².

La Ley sobre Protección de Datos Personales establece que “los datos personales relativos a obligaciones de carácter comercial de personas físicas sólo podrán estar registrados por un plazo de cinco años contados desde su incorporación”, y que una vez cumplida la prestación contractual que dio origen al registro de dichos datos, estos deberán ser destruidos salvo autorización expresa. Asimismo, “en caso que al vencimiento de dicho plazo la obligación permanezca incumplida, el acreedor podrá solicitar al responsable de la base de datos, por única vez, su nuevo registro por otros cinco años. Este nuevo registro deberá ser solicitado en el plazo de treinta días anteriores al vencimiento original. Las obligaciones canceladas o extinguidas por cualquier medio, permanecerán registradas, con expresa mención de este hecho, por un plazo máximo de cinco años, no renovable, a contar de la fecha de la cancelación o extinción”¹.

La vigilancia puede ser utilizada como un medio de prueba no prohibido por ley, siempre y cuando se cumpla con tres requisitos: (i) La autorización de la vigilancia electrónica debe constar en resolución fundada del Juez; (ii) Debe existir un memorándum policial que establezca los motivos de la investigación que fundamentan la solicitud al Fiscal; (iii) el Fiscal debe fundamentar por qué motivo la realiza¹.

Por otro lado, la vigilancia electrónica es un medio al que puede recurrirse en la investigación de ciertos delitos. Esta vigilancia abarca la interceptación telefónica, mensajes de texto, correos electrónicos, interceptación de teléfonos satelitales, cámaras de vídeo, micrófonos y metadatos. Al respecto “quedan expresamente excluidas del objeto de estas medidas las comunicaciones de cualquier índole que mantenga el indagado con su defensor y las que versen sobre cuestiones que no tengan relación con el objeto de la investigación”².

En lo que concierne al espionaje o interceptación de comunicaciones por agencias de inteligencia, una ley reciente regula el llamado Sistema Nacional de Inteligencia. En este se establece que “toda operación de búsqueda de información que deba realizar cualquier organismo componente del Sistema de Inteligencia del Estado, involucrando procedimientos especiales que puedan afectar la libertad y privacidad de los ciudadanos, deberá ser autorizada por el Poder Judicial”. Además hay ciertos principios que deben obedecerse, como de legitimidad, eficiencia, financiamiento, legalidad, necesidad y diseminación¹.