Soberanía de datos en Uruguay: semejanzas y desafíos considerando el modelo regulatorio europeo

Ema Graciela Romero*

La soberanía de datos vinculada a la capacidad que poseen los Estados de aplicar sus normas a los datos que se generan dentro de sus fronteras, es clave dentro del concepto más amplio de soberanía digital, que abarca también las posibilidades de ejercer el control y tener autonomía respecto de los recursos digitales, infraestructura, software y servicios que ofrece una región o país.

Ambos conceptos implican retos y desafíos muy importantes para los países menos desarrollados, cuya alternativa más factible para poder avanzar está en generar alianzas estratégicas, y empoderar a las personas de sus derechos a informarse acerca de cómo funcionan los sistemas y tecnologías emergentes y cómo controlar la información personal que utilizan.

Uruguay ha apostado a la estrategia de transformación digital centrada en las personas (construyendo ciudadanía digital) y en el uso responsable de las tecnologías emergentes como la Inteligencia Artificial (IA), buscando consensos para llegar a una regulación que no impida el desarrollo y las inversiones, teniendo como referencia al modelo regulatorio europeo.

Siguiendo el modelo europeo: el derecho a controlar el uso de los datos

Los avances en materia de protección de datos tienen como referencia directa la regulación de la Unión Europea. Efectivamente, la Ley Nº 18.331 de Protección de Datos Personales y Acción de Habeas Data (2008), reconoce la protección de datos como derecho fundamental que es inherente a la personalidad humana (artículo 72 de la Constitución). Con esta legislación el país ha logrado alcanzar un nivel de protección de datos similar al europeo y se lo considera un país “adecuado y “seguro” para realizar transferencias internacionales y diversas operaciones que involucran datos e información.

La norma consagra el derecho de las personas a controlar el uso que se hace de sus datos personales (Autodeterminación Informativa) y además garantiza el derecho a preguntar al responsable de una base de datos, ya sea pública o privada, cuál es la finalidad y el uso que posee. También prevé el derecho de las personas a ser informadas cuando interviene un sistema informático en la toma de decisiones, así como se posee derecho a impugnar valoraciones personales cuando hay una “decisión con efectos jurídicos que les afecte de manera significativa, que se base en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, entre otros” (artículo 16).

Regulación del uso de la IA. ¿hasta dónde podrá seguirse el modelo europeo?

Los avances en materia de regulación de IA también siguen los estándares de protección de derechos de ese modelo regulatorio. Mediante la Ley Nº 20.212/023 (artículos 53 a 84), se establecieron cometidos a la AGESIC, para implementar estrategias nacionales de datos e inteligencia artificial, para los ámbitos público y privado, señalando expresamente que éstas deben “fundarse en principios de equidad, no discriminación, responsabilidad, rendición de cuentas, transparencia, auditoría e innovación segura, respetando la dignidad humana, el sistema democrático y la forma republicana de gobierno”, considerando la protección de datos personales (la Ley Nº 18.331) como parte de la estrategia y los principios y recomendaciones sobre ética de la UNESCO.

La Estrategia Nacional de IA</em>, se aprobó en 2024 como resultado de un proceso participativo que incluyó una consulta pública, y en el documento final se señala que las personas deben estar “en el centro de las decisiones, procesos y aplicaciones relacionados con la inteligencia artificial”, lo que implica que los sistemas “(…) deben ser desarrollados y utilizados bajo principios éticos, de manera compatible con la dignidad humana y respetuosa de los derechos humanos protegidos por los instrumentos internacionales ratificados por el Estado”. También se indica que dichas obligaciones alcanzan tanto al sector público como al privado siguiendo lo dispuesto por la ONU en los “Principios Rectores sobre Empresas y Derechos Humanos” en 2011.

Uruguay también aprobó en 2024 la Estrategia Nacional de Datos 2024-2030. Los lineamientos establecidos en este documento son complementarios y relevantes dado que la IA requiere de grandes volúmenes de datos y la calidad y gobernanza de estos serán elementos determinantes para evitar sesgos y vulneraciones de derechos.

El proceso de consolidación está en marcha y ya se ha comenzado a trabajar en los planes de acción de ambas estrategias. La gran interrogante es hasta dónde el país podrá avanzar para alcanzar ese nivel de protección vinculante similar al que posee el Reglamento de IA de la Unión Europea (UE)- 2024/1689, especialmente en aquellas áreas donde deberá prohibirse el uso de la IA porque los riesgos son inaceptables para los derechos de las personas.

*Ema Graciela Romero
Docente de Derechos Humanos, Facultad de Derecho -Universidad de la República (UDELAR). Asesora jurídica de la Agencia de Gobierno Electrónico (AGESIC).