38
responsable del tratamiento designe un representante, con domicilio en territorio
nacional, ante la Unidad Reguladora y de Control de Datos Personales, a fin de
cumplir con las obligaciones previstas por la Ley Nº 18.331, de 11 de agosto de
2008.
Artículo 38.- Cuando el responsable o encargado de una base de datos o de
tratamiento, tome conocimiento de la ocurrencia de la vulneración de seguridad, deberá
informar inmediata y pormenorizadamente de ello y de las medidas que adopte, a los
titulares de los datos y a la Unidad Reguladora y de Control de Datos Personales, la que
coordinará el curso de acción que corresponda, con el Centro Nacional de Respuesta a
Incidentes de Seguridad Informática del Uruguay (CERTuy).
La reglamentación determinará el contenido de la información correspondiente a la
vulneración de seguridad.
Artículo 39.- Sustitúyese el artículo 12 de la Ley Nº 18.331, de 11 de agosto de 2008,
por el siguiente:
"ARTÍCULO 12. (Principio de responsabilidad).- El responsable de la base de
datos o tratamiento y el encargado, en su caso, serán responsables de la
violación de las disposiciones de la presente ley.
En ejercicio de una responsabilidad proactiva, deberán adoptar las medidas
técnicas y organizativas apropiadas: privacidad desde el diseño, privacidad por
defecto, evaluación de impacto a la protección de datos, entre otras, a fin de
garantizar un tratamiento adecuado de los datos personales y demostrar su
efectiva implementación.
La reglamentación determinará las medidas que correspondan según los tipos de
datos, tratamientos y responsables, así como la oportunidad para su revisión y
actualización".