Leyes de Privacidad de Datos en Uruguay: Ley 18.331, URCDP y Adecuación de la UE (2026)

El marco de privacidad de datos de Uruguay está regulado por la Ley N.º 18.331, promulgada el 11 de agosto de 2008, aplicada por la URCDP. La Comisión Europea reafirmó el estatus de adecuación de Uruguay ante la UE en enero de 2024 bajo la Decisión 2012/484/UE. El Decreto 64/020 impone un requisito de notificación de brechas en 72 horas a todos los responsables del tratamiento.
El régimen de protección de datos personales de Uruguay bajo la Ley N.º 18.331 de 2008 es el más reconocido internacionalmente en América Latina. La Comisión Europea reafirmó el estatus de adecuación de Uruguay ante la UE en enero de 2024, tras su primera revisión en la era del RGPD. Uruguay también posee el estatus de Convenio 108+ como el primer país no europeo en adherirse al tratado de privacidad del Consejo de Europa. Este artículo expone el marco legal completo vigente al 19 de mayo de 2026.
Información verificada por última vez el 19 de mayo de 2026. Este artículo no ha sido revisado por un abogado autorizado y presenta únicamente información legal general.
Alcance jurisdiccional: Este artículo aborda el derecho de protección de datos en la República Oriental del Uruguay bajo la Ley N.º 18.331 (reformada), el Decreto N.º 414/009, el Decreto N.º 64/020, la Ley N.º 19.924 y la Ley N.º 20.075. No aborda las leyes de protección de datos de Argentina, Brasil u otros países de América Latina. Para las reglas de consentimiento de grabación de Uruguay, consulte Leyes de Grabación de Uruguay.

Respuesta rápida: ¿cuáles son las leyes de privacidad de datos de Uruguay?
La norma principal de protección de datos de Uruguay es la Ley N.º 18.331, la Ley de Protección de Datos Personales y Acción de Habeas Data, promulgada el 11 de agosto de 2008. La ley se implementa mediante el Decreto N.º 414/009 del 31 de agosto de 2009 y ha sido reformada sustancialmente por el Decreto N.º 64/020 de febrero de 2020 (responsabilidad, DPO y notificación de brechas), la Ley N.º 19.924 de diciembre de 2020 (datos biométricos y evaluaciones de impacto en la protección de datos), y la Ley N.º 20.075 de octubre de 2022. La autoridad de supervisión es la Unidad Reguladora y de Control de Datos Personales (URCDP), creada por la propia Ley 18.331. Uruguay obtuvo el estatus de adecuación de la UE el 21 de agosto de 2012 bajo la Decisión 2012/484/UE de la Comisión Europea, y ese estatus fue reafirmado el 15 de enero de 2024 tras la primera revisión periódica de la Comisión en la era del RGPD. Uruguay también fue el primer Estado no europeo en adherirse al Convenio 108 del Consejo de Europa (2013) y el primer Estado de las Américas en ratificar el Convenio 108+ (CETS 223). En conjunto, estos instrumentos otorgan al marco uruguayo el mayor nivel de reconocimiento internacional de cualquier país de la región.
Fundamento constitucional y la acción de habeas data
La Constitución de Uruguay no contiene un derecho expreso de protección de datos. Sin embargo, el artículo 72 de la Constitución Política de la República Oriental del Uruguay establece que la enumeración de derechos, deberes y garantías en la Constitución no excluye otros que sean inherentes a la personalidad humana o que se deriven de la forma republicana de gobierno.
El artículo 1 de la Ley N.º 18.331 ancla expresamente el derecho a la protección de datos personales en esta disposición:
"El derecho a la protección de datos personales es inherente a la persona humana, por lo que está comprendido en el artículo 72 de la Constitución de la República." -- Ley N.º 18.331, artículo 1
Este planteamiento hace que el derecho a la protección de datos sea un derecho constitucional en Uruguay, incluso en ausencia de un artículo constitucional dedicado. Los tribunales tratan la Ley 18.331 como la implementación de una garantía constitucional, no meramente como un régimen legal.
La acción de habeas data
La acción de habeas data es el recurso judicial mediante el cual un titular hace valer el derecho constitucional. Un titular puede promover una acción de habeas data ante los tribunales para obligar a un responsable (público o privado) a:
- otorgar el acceso a los datos personales que se poseen sobre él;
- rectificar los datos inexactos o incompletos;
- actualizar los datos que hayan quedado desactualizados; o
- eliminar los datos que fueron recopilados ilícitamente o que ya no sean necesarios para la finalidad declarada.
La acción de habeas data opera junto con el mecanismo de denuncia administrativa de la URCDP. Un titular puede elegir cualquiera de las dos vías, o promover ambas. La acción judicial resulta particularmente valiosa cuando el responsable es una entidad pública, o cuando se necesita una medida urgente para prevenir un daño inminente derivado del tratamiento.
Ley 18.331: alcance, principios y bases jurídicas
Alcance de aplicación
La Ley 18.331 se aplica a todos los datos personales registrados en cualquier soporte que los haga susceptibles de tratamiento, incluida la recopilación, el almacenamiento, la organización, la conservación, la modificación, la recuperación, la consulta, el uso, la difusión, el bloqueo o la destrucción. La ley cubre expresamente tanto el tratamiento automatizado como el no automatizado, y se aplica por igual a las entidades del sector público y privado.
El alcance territorial sigue la ubicación del responsable del tratamiento o de los medios de tratamiento. La ley se aplica al tratamiento realizado en territorio uruguayo, y también a los responsables establecidos fuera de Uruguay cuando utilicen equipos o medios ubicados en Uruguay para el tratamiento, salvo que dichos medios se usen únicamente con fines de tránsito.
Principios centrales del tratamiento
La Ley 18.331 y el Decreto 414/009 establecen los siguientes principios, que rigen toda actividad de tratamiento:
| Principio | Contenido |
|---|---|
| Legalidad | Las bases de datos y el tratamiento deben cumplir con el derecho aplicable |
| Veracidad | Los datos deben ser exactos, completos y actualizarse según sea necesario |
| Limitación de la finalidad | Los datos se recopilan para fines específicos, explícitos y legítimos; sin uso posterior incompatible |
| Consentimiento previo | Requisito predeterminado de consentimiento libre, expreso e informado antes del tratamiento |
| Seguridad | Medidas técnicas y organizativas apropiadas para proteger los datos |
| Confidencialidad | El personal que realiza el tratamiento está sujeto a obligaciones de confidencialidad |
| Responsabilidad (accountability) | Los responsables son responsables de demostrar el cumplimiento de la ley |
Bases jurídicas para el tratamiento
El consentimiento es la base jurídica predeterminada bajo la Ley 18.331. El consentimiento debe ser libre, expreso e informado. El titular debe recibir información clara sobre la finalidad del tratamiento antes de otorgar su consentimiento. El consentimiento puede revocarse en cualquier momento, sin efecto retroactivo.
La ley reconoce varias excepciones al requisito de consentimiento:
- los datos personales obtenidos de fuentes de acceso público;
- los datos recopilados en el ejercicio de funciones de autoridad pública;
- los datos consistentes únicamente en nombres y direcciones recopilados con fines de marketing directo, sujeto al derecho de oposición en cualquier momento;
- los datos necesarios para la ejecución de una relación contractual de la que el titular sea parte; y
- el tratamiento de datos exigido por ley.
Datos sensibles (especialmente protegidos)
La Ley 18.331 designa determinadas categorías como datos especialmente protegidos. Estas incluyen los datos que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o morales, la afiliación sindical, y los datos relativos a la salud o la vida sexual.
Como regla general, nadie puede ser obligado a proporcionar datos sensibles, y no puede crearse ninguna base de datos de datos sensibles sin una finalidad legítima primordial autorizada por ley. El tratamiento de datos sensibles requiere el consentimiento expreso y por escrito del titular, sujeto a excepciones legales limitadas, como el tratamiento con fines de investigación estadística o científica (con anonimización), el tratamiento por organizaciones religiosas, políticas o sindicales en relación con sus propios miembros, y el tratamiento por profesionales de la salud con fines de tratamiento médico.
La Ley 19.924, promulgada el 18 de diciembre de 2020, añadió los datos biométricos a la lista de categorías especialmente protegidas. La ley define los datos biométricos como los datos personales resultantes de un tratamiento técnico específico relativo a las características físicas, fisiológicas o de comportamiento de una persona, que permitan o confirmen su identificación única, como los datos dactiloscópicos, el reconocimiento de imagen o el reconocimiento de voz. El tratamiento de datos biométricos requiere el consentimiento previo e informado y una Evaluación de Impacto en la Protección de Datos (EIPD) bajo el Decreto 64/020.
Derechos de los titulares de datos
Bajo la Ley 18.331, los titulares tienen los siguientes derechos frente a los responsables que tratan sus datos personales:
Derecho a la información. Cuando se recopilan datos, el titular debe ser informado de la existencia y finalidad de la base de datos, la identidad y dirección del responsable, las categorías de terceros a quienes se pueden transferir los datos, y las consecuencias de proporcionar o negarse a proporcionar los datos.
Derecho de acceso. Un titular puede solicitar una copia de todos los datos personales que se posean sobre él e información sobre cómo se están tratando. El responsable debe responder dentro de cinco días hábiles. El derecho de acceso es gratuito cuando se ejerce una vez cada período de doce meses.
Derecho de rectificación. Cuando los datos sean inexactos, incompletos o estén desactualizados, el titular puede exigir su corrección. El responsable debe rectificar los datos y notificar a cualquier tercero al que se le hayan divulgado.
Derecho de eliminación (cancelación). Cuando los datos sean excesivos, irrelevantes, o se hayan obtenido sin una base jurídica adecuada, el titular puede solicitar su eliminación. El responsable debe cumplir y notificar a los receptores posteriores.
Derecho de oposición. Los titulares pueden oponerse al tratamiento de sus datos cuando se utilicen con fines de marketing directo o cuando el tratamiento carezca de una base jurídica adecuada.
Derecho a la portabilidad de datos. Desarrollos regulatorios posteriores han introducido derechos de portabilidad que permiten a los titulares obtener sus datos en un formato estructurado y de uso común.
Atención: el plazo de cinco días hábiles para responder a las solicitudes de acceso es estricto. La URCDP ha sancionado a organizaciones por retrasos y por respuestas parciales que omiten categorías de datos. Los responsables deben mapear sus datos antes de que llegue una solicitud, de modo que las respuestas sean completas y oportunas.
El régimen de responsabilidad proactiva y el requisito del DPO
Responsabilidad conforme al Decreto 64/020
El Decreto N.º 64/020, adoptado el 21 de febrero de 2020, introdujo un marco formal de responsabilidad proactiva que alinea las obligaciones de Uruguay con el principio de responsabilidad (accountability) del Reglamento General de Protección de Datos de la UE. Bajo este marco, los responsables y encargados del tratamiento deben poder demostrar el cumplimiento, no meramente afirmarlo. Las obligaciones clave incluyen:
- mantener registros de las actividades de tratamiento;
- implementar la protección de datos desde el diseño y por defecto;
- realizar Evaluaciones de Impacto en la Protección de Datos (EIPD) en las circunstancias prescritas; y
- designar un Oficial de Protección de Datos (DPO) cuando se exija.
¿Cuándo se requiere un DPO?
El Decreto 64/020 hace obligatoria la designación de un DPO para:
- Todas las entidades del sector público (organismos estatales y públicos no estatales);
- Las entidades privadas cuya actividad principal implique el tratamiento de datos personales sensibles; y
- Las entidades privadas que traten datos personales de más de 35,000 titulares.
El umbral de 35,000 personas se aplica al número total de titulares cuyos datos se tratan, no meramente a los usuarios o clientes activos. Las organizaciones que superen este umbral en cualquier momento deben designar un DPO.
El DPO debe tener conocimiento especializado en derecho de protección de datos, debe estar acreditado por la URCDP, y debe ser independiente de las decisiones operativas sobre el tratamiento de datos. La designación del DPO debe presentarse a la URCDP para su aprobación. El DPO actúa como el vínculo principal entre la organización y la URCDP, asesora sobre las políticas de cumplimiento, supervisa la implementación, y propone medidas correctivas.
¿Cuándo se requiere una EIPD?
El Decreto 64/020 exige una EIPD antes de iniciar un tratamiento que involucre:
- datos especialmente protegidos (sensibles), incluidos los datos biométricos;
- grandes volúmenes de datos personales (datos de más de 35,000 personas); o
- transferencias internacionales a países que no ofrezcan un nivel adecuado de protección.
Cuando la EIPD identifique un riesgo potencial y significativo para los derechos de los titulares, el responsable debe notificar a la URCDP antes de iniciar el tratamiento. La URCDP, junto con la Agencia de Acceso a la Información Pública de Argentina, ha publicado una Guía conjunta para la Evaluación de Impacto en la Protección de Datos, con el fin de ayudar a las organizaciones a cumplir con esta obligación.
Notificación de brechas: la regla de las 72 horas
El Decreto 64/020 introdujo obligaciones de notificación de brechas que se asemejan estrechamente a las de los artículos 33 y 34 del RGPD de la UE.
Notificación a la URCDP
Cuando un responsable tenga conocimiento de un incidente de seguridad de datos personales (una brecha que afecte la confidencialidad, integridad o disponibilidad de los datos personales), debe notificar a la URCDP dentro de un máximo de 72 horas desde que tuvo conocimiento de la brecha. La notificación debe incluir:
- la fecha y hora real o estimada de la brecha;
- la naturaleza de los datos personales afectados (categorías y número aproximado de registros);
- las consecuencias probables de la brecha;
- las medidas tomadas o propuestas para abordar la brecha y mitigar sus efectos; y
- la identidad y los datos de contacto del DPO o el punto de contacto de protección de datos.
Si no se dispone de información completa dentro de las 72 horas, debe presentarse una notificación parcial dentro de ese plazo con la información disponible, seguida de una notificación complementaria tan pronto como se confirmen más detalles.
Notificación a las personas afectadas
Cuando la brecha probablemente resulte en un riesgo alto para los derechos y libertades de las personas afectadas, el responsable también debe notificar a dichas personas sin demora indebida. La notificación a las personas debe redactarse en lenguaje sencillo y debe describir la naturaleza de la brecha, las consecuencias probables, las medidas que se están tomando, y los datos de contacto del DPO o el punto de contacto de protección de datos.
El Decreto 64/020 también exige a todos los responsables implementar procedimientos internos para minimizar el impacto de los incidentes dentro de las primeras 24 horas de su detección, incluida la contención, la evaluación preliminar, y la escalación al DPO y a la alta dirección.
Registro de bases de datos
Registro obligatorio previo al tratamiento
Una de las características más distintivas del marco uruguayo desde el punto de vista operativo es el requisito, bajo la Ley 18.331 y el Decreto 414/009, de registrar todas las bases de datos personales ante la URCDP antes de iniciar el tratamiento. Esta obligación se aplica por igual a las entidades del sector público y privado.
El registro debe especificar:
- el nombre y la finalidad de la base de datos;
- la identidad y los datos de contacto del responsable;
- las categorías de datos personales que se poseen;
- las categorías de titulares;
- las medidas técnicas y organizativas de seguridad vigentes;
- el origen de los datos; y
- cualquier transferencia prevista a terceros o al extranjero.
La falta de registro antes de iniciar el tratamiento es una infracción sancionable de manera autónoma, y ha sido uno de los motivos más comunes de las acciones de aplicación de la URCDP.
El Registro Nacional de Bases de Datos
La URCDP mantiene el Registro Nacional de Bases de Datos, de acceso público. Cualquier persona puede consultar el registro para identificar qué organizaciones poseen bases de datos de datos personales, lo que facilita el ejercicio de los derechos de los titulares. La función de transparencia del registro también permite a la URCDP monitorear el universo de actividades de tratamiento en Uruguay y orientar en consecuencia sus recursos de auditoría e inspección.

Transferencias internacionales de datos y adecuación de la UE
Decisión de adecuación de la UE (2012, reafirmada en 2024)
Uruguay obtuvo una decisión de adecuación de la UE el 21 de agosto de 2012, bajo la Decisión 2012/484/UE de la Comisión Europea, adoptada conforme a la Directiva 95/46/CE. La decisión reconoció que el marco legal de Uruguay, la independencia y las facultades de la URCDP, y el ejercicio efectivo de los derechos de los titulares, en conjunto, ofrecían un nivel de protección esencialmente equivalente al estándar de la UE.
El 15 de enero de 2024, la Comisión Europea publicó su Informe sobre la primera revisión del funcionamiento de las decisiones de adecuación adoptadas bajo la Directiva anterior al RGPD. La Comisión revisó 11 decisiones de adecuación existentes, incluida la de Uruguay, frente a los requisitos del RGPD, y concluyó:
"El sistema de protección de datos uruguayo, modernizado a través de sucesivas reformas a lo largo de los años, continúa proporcionando a las personas una protección equivalente a la prevista por el RGPD en la UE." -- Comisión Europea, Informe sobre la Revisión de las Decisiones de Adecuación, 15 de enero de 2024
El efecto práctico es que los datos personales pueden fluir libremente desde los Estados miembros de la UE (y el Espacio Económico Europeo más amplio) hacia Uruguay, sin ninguna salvaguarda adicional, como cláusulas contractuales estándar, normas corporativas vinculantes, o excepciones. Uruguay es uno de solo dos países de América Latina que poseen el estatus de adecuación de la UE, siendo el otro Argentina.
El Convenio 108 y el Convenio 108+
Uruguay se convirtió en el primer Estado no europeo en adherirse al Convenio 108 del Consejo de Europa (Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal) el 1 de agosto de 2013. El Convenio 108 es el único tratado internacional vinculante sobre la protección de datos personales.
Uruguay ratificó posteriormente el Protocolo modernizado (CETS 223), conocido como Convenio 108+, convirtiéndose en el primer Estado de las Américas en hacerlo. El Convenio 108+ alinea los requisitos del Convenio con el estándar internacional actual, añadiendo disposiciones sobre evaluaciones de impacto en la protección de datos, responsabilidad, transparencia, e independencia de la autoridad de supervisión. La adhesión de Uruguay al Convenio 108+ proporciona un fundamento adicional de derecho internacional para su marco interno y refleja su compromiso de alinearse con las mejores prácticas globales.
Lista de países adecuados de Uruguay para transferencias salientes
La Ley 18.331 restringe las transferencias salientes de datos personales desde Uruguay a países u organizaciones internacionales que ofrezcan un nivel adecuado de protección. La URCDP mantiene una lista de países que reconoce como adecuados. A partir de 2024, esa lista incluye:
- todos los Estados miembros de la UE y el EEE;
- Andorra, Argentina, Canadá (sector privado bajo la PIPEDA), Islas Feroe, Guernsey, Isla de Man, Israel, Japón, Jersey, Nueva Zelanda, Suiza, Corea del Sur, y el Reino Unido; y
- las entidades con sede en Estados Unidos que se hayan adherido al Marco de Privacidad de Datos UE-EE. UU., siempre que la entidad importadora confirme que ha extendido esas salvaguardas del DPF a la transferencia hacia Uruguay.
Mecanismos de transferencia para países no adecuados
Cuando el país de destino no figura en la lista de países adecuados, las transferencias desde Uruguay pueden realizarse bajo uno de los siguientes mecanismos:
- Cláusulas contractuales estándar (CCE). La Resolución N.º 41/001 de la URCDP proporciona un conjunto de CCE para las transferencias entre responsables. En diciembre de 2022, la Resolución N.º 50/022 de la URCDP aprobó las Cláusulas Contractuales Estándar de la Red Iberoamericana de Protección de Datos, que entraron en vigor el 29 de diciembre de 2022 y proporcionan un conjunto adicional de CCE utilizable para las transferencias dentro de la región iberoamericana.
- Consentimiento del titular. El consentimiento expreso del titular a la transferencia específica es una base válida, aunque no se recomienda depender del consentimiento para transferencias rutinarias.
- Necesidad contractual. Transferencias necesarias para la ejecución de un contrato entre el titular y el responsable, o para la implementación de medidas precontractuales a solicitud del titular.
- Cooperación judicial internacional. Transferencias requeridas para fines de cooperación judicial internacional.
- Interés público. Transferencias necesarias para la protección de un interés público reconocido.
Sanciones y aplicación por parte de la URCDP
Escala de sanciones administrativas
La URCDP está facultada, bajo la Ley 18.331, para imponer las siguientes sanciones administrativas, en orden ascendente de severidad:
| Sanción | Motivo |
|---|---|
| Apercibimiento | Primera infracción o infracción menor; se emite una orden correctiva |
| Multa administrativa (hasta 500,000 unidades indexadas, aprox. USD 60,000-65,000) | Infracción sustantiva; la gravedad, el número de titulares afectados, y el historial de cumplimiento previo son factores de ponderación |
| Suspensión de las operaciones de la base de datos (hasta 5 días hábiles) | Infracción grave o reiterada; riesgo inmediato para los titulares |
| Cierre judicial de la base de datos | Incumplimiento extremo; solicitado mediante acción judicial |
La URCDP emplea un enfoque de aplicación gradual y tiene en cuenta la capacidad económica de la organización infractora, la duración de la infracción, y el grado de cooperación ofrecido durante la investigación.
Tendencias de aplicación recientes (2024-2025)
El registro de aplicación publicado por la URCDP confirma una aplicación activa que abarca a personas físicas, pequeñas empresas y operadores comerciales de mayor tamaño. Las prioridades de aplicación actuales incluyen:
- la falta de registro de bases de datos personales antes de iniciar el tratamiento;
- el marketing directo ilícito, incluidas las comunicaciones comerciales no solicitadas sin consentimiento válido o sin respetar las exclusiones voluntarias;
- las medidas de seguridad inadecuadas que dan lugar a divulgaciones no autorizadas;
- el incumplimiento de responder a las solicitudes de acceso de los titulares dentro del plazo legal de cinco días hábiles; y
- las instalaciones de cámaras de videovigilancia y CCTV que capturan a titulares en áreas comunes sin aviso adecuado ni base legal.
En 2024, la URCDP sancionó a una persona física por operar cámaras de videovigilancia que registraban la entrada de un edificio residencial de una manera que vulneraba la privacidad de los vecinos, ordenando el retiro de las cámaras o su registro ante la URCDP dentro de un plazo de 15 días. La autoridad también exigió a empresas regularizar los registros de bases de datos tras investigaciones por denuncias, incluso en casos en los que no se impuso finalmente ninguna multa.
La URCDP publica sus resoluciones en gub.uy/unidad-reguladora-control-datos-personales una vez concluidos los recursos administrativos.
Aplicación penal y judicial
Además de las sanciones administrativas, la Ley 18.331 contempla la aplicación judicial mediante la acción de habeas data. Los tribunales pueden emitir órdenes que obliguen al acceso, la rectificación o la eliminación de datos personales, y pueden conceder medidas cautelares para detener el tratamiento ilícito. También puede surgir responsabilidad penal por infracciones graves de protección de datos bajo las disposiciones generales del Código Penal uruguayo, cuando la conducta implique fraude, incumplimiento de la confidencialidad, o abuso de la función pública.
La URCDP como autoridad de supervisión
Constitución y gobernanza
La URCDP fue creada por la Ley 18.331 como una unidad descentralizada dentro del Estado uruguayo, que opera con autonomía técnica y funcional. Está gobernada por un Consejo de tres miembros designados por el Poder Ejecutivo con la venia del Senado, por períodos renovables de cuatro años. Esta estructura proporciona independencia organizativa respecto de las organizaciones específicas que la URCDP regula, a la vez que preserva la rendición de cuentas democrática.
Funciones y facultades
Las principales funciones y facultades de la URCDP incluyen:
- Regulación: emitir resoluciones vinculantes y opiniones interpretativas sobre la Ley 18.331 y sus decretos reglamentarios;
- Registro: mantener y publicar el Registro Nacional de Bases de Datos;
- Denuncias: recibir e investigar las denuncias de los titulares que alegan infracciones a sus derechos bajo la Ley 18.331;
- Inspección y auditoría: realizar inspecciones a responsables y encargados del tratamiento, con o sin aviso previo, y exigir la presentación de documentos e información;
- Aplicación: imponer sanciones administrativas dentro de la escala establecida en la Ley 18.331;
- Orientación: publicar directrices, contratos modelo, metodologías de EIPD y plantillas de cumplimiento;
- Cooperación internacional: representar a Uruguay en foros internacionales de protección de datos, incluido el Comité del Convenio 108 del Consejo de Europa (T-PD) y la Red Iberoamericana de Protección de Datos; y
- Acreditación de DPO: certificar a los Oficiales de Protección de Datos antes de que puedan ser designados bajo el Decreto 64/020.
La URCDP mantiene sus recursos oficiales y textos normativos en gub.uy/unidad-reguladora-control-datos-personales.
Novedades recientes (2024-2026)
Revisión de adecuación de la UE completada (enero de 2024)
La revisión de adecuación de enero de 2024 de la Comisión Europea confirmó que el marco de Uruguay continúa proporcionando una protección equivalente al RGPD. La Comisión citó específicamente las sucesivas reformas de modernización de Uruguay como un factor positivo que respalda la continuidad de la adecuación. Esta reafirmación es significativa para las empresas uruguayas y con sede en la UE, ya que elimina cualquier incertidumbre sobre la legalidad continua de los flujos de datos entre la UE y Uruguay sin salvaguardas adicionales.
El Comité Europeo de Protección de Datos escribió a la Comisión en diciembre de 2024, solicitando un monitoreo continuo de las 11 jurisdicciones con adecuación y recomendando que la Comisión adopte reglamentos formales de adecuación en el futuro para fortalecer su base jurídica. El estatus de adecuación de Uruguay no fue objeto de observaciones adversas en esa correspondencia.
Estrategia Nacional de Datos 2030 de AGESIC (diciembre de 2024)
La Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC) publicó la Estrategia Nacional de Datos 2030 el 26 de diciembre de 2024. La estrategia establece la visión a largo plazo de Uruguay para la gobernanza, el intercambio y el uso de datos en los sectores público y privado, incluidos los principios de datos abiertos, la calidad de los datos, y la protección de los datos personales en los servicios de gobierno digital. La URCDP es un socio clave en la implementación de esta estrategia.
Gobernanza de la IA (prevista para 2025-2026)
A mayo de 2026, Uruguay no ha promulgado una regulación independiente de inteligencia artificial. La URCDP ha señalado su intención de participar en el desarrollo de marcos de gobernanza de la IA, y ha confirmado que las obligaciones existentes bajo la Ley 18.331 y el Decreto 64/020 ya se aplican a los sistemas de tratamiento de datos basados en IA. Las organizaciones que despliegan sistemas de IA que tratan datos personales de residentes uruguayos deben realizar EIPD cuando el tratamiento sea a gran escala o involucre datos sensibles, y deben implementar principios de protección de datos desde el diseño desde el inicio.
Implementación activa del Convenio 108+
La ratificación del Convenio 108+ por parte de Uruguay continúa impulsando la alineación entre la práctica regulatoria de la URCDP y los estándares de la comunidad de protección de datos del Consejo de Europa. La URCDP participa en el trabajo del Comité del Convenio 108 (T-PD) y ha incorporado los principios del Convenio 108+, incluidos los requisitos reforzados de independencia para las autoridades de supervisión y el estándar explícito de minimización de datos, en sus materiales de orientación.

Cumplimiento empresarial: obligaciones clave
Las organizaciones que operan en Uruguay, o que tratan datos personales de residentes uruguayos desde fuera del país, deben abordar los siguientes requisitos de cumplimiento:
1. Registro de bases de datos. Registre cada base de datos personales ante la URCDP antes de iniciar el tratamiento. Actualice los registros cuando cambien de manera sustancial la finalidad, las categorías de datos, o las medidas de seguridad. La falta de registro es la infracción sancionada con mayor frecuencia.
2. Base jurídica y consentimiento. Identifique y documente la base jurídica de cada actividad de tratamiento. Cuando el consentimiento sea la base jurídica, asegúrese de que sea libre, expreso e informado. Implemente mecanismos para registrar el otorgamiento y la revocación del consentimiento.
3. Procedimientos de derechos de los titulares. Establezca procedimientos documentados para recibir, autenticar y responder a las solicitudes de acceso, rectificación, eliminación y oposición dentro de cinco días hábiles. Capacite al personal en estos procedimientos y mantenga registros de todas las solicitudes y respuestas.
4. Designación del DPO. Si la organización es una entidad pública, o una entidad privada cuya actividad principal implique datos sensibles o cuyo tratamiento abarque a más de 35,000 titulares, designe un DPO acreditado por la URCDP antes de iniciar o continuar el tratamiento en esas categorías.
5. Plan de respuesta a brechas. Implemente y pruebe un plan de respuesta a incidentes que logre la contención dentro de 24 horas y la notificación a la URCDP dentro de 72 horas. Designe un equipo de respuesta a brechas de datos y asegúrese de que el DPO tenga la autoridad para presentar las notificaciones a la URCDP.
6. EIPD. Realice EIPD antes de lanzar actividades de tratamiento que involucren datos sensibles, datos biométricos, tratamiento a gran escala (más de 35,000 personas), o transferencias internacionales a países no adecuados. Conserve los registros de las EIPD y notifique a la URCDP si se identifica un riesgo residual significativo.
7. Transferencias internacionales. Verifique la lista de países adecuados de la URCDP antes de realizar transferencias internacionales. Para destinos no adecuados, utilice las CCE aprobadas por la URCDP o las CCE de la Red Iberoamericana (Resolución 50/022), o base la transferencia en una excepción legal válida.
8. Monitoreo de la URCDP. Suscríbase a las publicaciones de orientación y los registros de resoluciones de la URCDP en gub.uy. La URCDP emite resoluciones, opiniones y directrices que complementan la Ley 18.331 y el Decreto 64/020, y que con frecuencia abordan cuestiones prácticas de cumplimiento.
Preguntas frecuentes
Descargo de responsabilidad
Este artículo presenta información legal general sobre el régimen de protección de datos personales de Uruguay bajo la Ley N.º 18.331 (reformada), el Decreto N.º 414/009, el Decreto N.º 64/020, la Ley N.º 19.924, y la Ley N.º 20.075. No constituye asesoría legal y no aborda las circunstancias específicas de ninguna persona u organización. La información fue verificada frente a fuentes primarias y secundarias disponibles públicamente al 19 de mayo de 2026. El derecho de protección de datos está sujeto a cambios mediante reforma legislativa y orientación regulatoria; los lectores deben verificar la versión vigente de cualquier norma o reglamento antes de basarse en ella. Las organizaciones y personas deben consultar a un abogado autorizado para ejercer en Uruguay para obtener asesoría específica sobre su situación.
Artículos relacionados
- Leyes de Grabación de Uruguay: Reglas de Consentimiento y Vigilancia
- Decisiones de Adecuación de la UE: Qué Países Califican
- Leyes de Privacidad de Datos en el Mundo: Panorama Global
Última actualización: 19 de mayo de 2026. Las normas citadas reflejan su versión vigente al 19 de mayo de 2026.
Preguntas frecuentes
¿Cuál es la principal ley de protección de datos de Uruguay?
La principal ley de protección de datos de Uruguay es la Ley N.º 18.331, la Ley de Protección de Datos Personales y Acción de Habeas Data, promulgada el 11 de agosto de 2008 y vigente desde el 18 de agosto de 2008. Se implementa mediante el Decreto N.º 414/009 de 2009 y ha sido reformada por el Decreto N.º 64/020 (2020), la Ley N.º 19.924 (2020), y la Ley N.º 20.075 (2022). La autoridad de supervisión es la URCDP.
¿Sigue teniendo Uruguay el estatus de adecuación de la UE en 2026?
Sí. Uruguay obtuvo el estatus de adecuación de la UE bajo la Decisión 2012/484/UE de la Comisión Europea el 21 de agosto de 2012. El 15 de enero de 2024, la Comisión completó su primera revisión, en la era del RGPD, de 11 decisiones de adecuación anteriores al RGPD, y confirmó que Uruguay continúa ofreciendo una protección equivalente al RGPD. A mayo de 2026, Uruguay conserva el estatus de adecuación de la UE en su totalidad, lo que significa que los datos personales pueden fluir desde la UE y el EEE hacia Uruguay sin cláusulas contractuales estándar u otras salvaguardas adicionales.
¿Tiene Uruguay una regla de notificación de brechas de datos en 72 horas?
Sí. El Decreto N.º 64/020 del 21 de febrero de 2020 exige a todos los responsables y encargados del tratamiento notificar a la URCDP dentro de un máximo de 72 horas desde que tuvieron conocimiento de un incidente de seguridad de datos personales. La notificación debe describir la naturaleza de la brecha, las categorías y el número aproximado de registros afectados, y las medidas tomadas. Cuando la brecha represente un riesgo alto para las personas, estas también deben ser notificadas sin demora indebida.
¿Se requiere un Oficial de Protección de Datos en Uruguay?
Bajo el Decreto 64/020, la designación de un DPO es obligatoria para (1) todas las entidades del sector público, (2) las entidades privadas cuya actividad principal implique el tratamiento de datos personales sensibles, y (3) las entidades privadas que traten datos personales de más de 35,000 titulares. El DPO debe tener conocimiento especializado, estar acreditado por la URCDP, y ser formalmente designado a través de la URCDP. Las organizaciones que no cumplan con estos umbrales no están obligadas a designar un DPO, pero pueden hacerlo de manera voluntaria.
¿Qué derechos tienen las personas bajo la ley de protección de datos de Uruguay?
Bajo la Ley 18.331, las personas tienen el derecho a la información (a ser informadas cuando se recopilan datos sobre ellas), el derecho de acceso (a recibir una copia de sus datos dentro de cinco días hábiles), el derecho de rectificación (a corregir datos inexactos), el derecho de eliminación (a que se eliminen los datos cuando sean excesivos, irrelevantes, u obtenidos ilícitamente), el derecho de oposición (incluido al marketing directo), y el derecho a promover una acción de habeas data ante los tribunales. La acción de habeas data es un recurso judicial constitucional que permite a las personas obtener una orden judicial de acceso, corrección o eliminación.
¿Deben las organizaciones registrar sus bases de datos ante la URCDP?
Sí. La Ley 18.331 y el Decreto 414/009 exigen que todas las bases de datos personales se registren ante la URCDP antes de iniciar el tratamiento. Esto se aplica tanto a las organizaciones del sector público como del privado. El registro debe especificar la finalidad, las categorías de datos, las medidas de seguridad, y la identidad del responsable. La falta de registro es una de las infracciones sancionadas con mayor frecuencia. El Registro Nacional de Bases de Datos de la URCDP es de acceso público.
¿Cuáles son las sanciones por infringir la ley de protección de datos de Uruguay?
La URCDP puede imponer sanciones administrativas que incluyen: (1) un apercibimiento formal; (2) una multa de hasta 500,000 unidades indexadas (aproximadamente USD 60,000-65,000); (3) la suspensión de las operaciones de la base de datos por hasta cinco días hábiles; y (4) el cierre judicial de la base de datos. Las sanciones se calibran según la gravedad de la infracción, el número de titulares afectados, la capacidad económica de la organización, y su historial de cumplimiento previo. Las personas también pueden promover acciones de habeas data ante los tribunales.
¿Es Uruguay parte del Convenio 108+?
Sí. Uruguay fue el primer Estado no europeo en adherirse al Convenio 108 original en 2013, y posteriormente se convirtió en el primer Estado de las Américas en ratificar el Convenio 108+ (Protocolo CETS 223), la versión modernizada del tratado. El Convenio 108+ añade requisitos sobre responsabilidad, EIPD, independencia de la autoridad de supervisión, y minimización de datos, que se alinean con los estándares internacionales actuales.
¿Cómo maneja Uruguay las transferencias internacionales de datos a países no adecuados?
Las transferencias desde Uruguay a países que no figuran en la lista de países adecuados de la URCDP requieren un mecanismo de transferencia válido. Los mecanismos disponibles son: las cláusulas contractuales estándar aprobadas por la URCDP (Resolución 41/001 o las CCE de la Red Iberoamericana aprobadas por la Resolución 50/022 en diciembre de 2022); el consentimiento expreso del titular a la transferencia específica; la necesidad contractual; la cooperación judicial internacional; o el interés público. Para las entidades estadounidenses, aquellas que se hayan adherido al Marco de Privacidad de Datos UE-EE. UU. pueden calificar como destinos adecuados si extienden esas salvaguardas a las transferencias hacia Uruguay.
¿Qué es la acción de habeas data en Uruguay?
La acción de habeas data es un recurso judicial de rango constitucional, anclado en el artículo 72 de la Constitución a través del artículo 1 de la Ley 18.331. Permite a cualquier persona promover una acción judicial contra un responsable del tratamiento (público o privado) para obtener el acceso, la rectificación, o la eliminación de sus datos personales. La acción está disponible junto con el proceso de denuncia administrativa de la URCDP, y proporciona un mecanismo de aplicación judicial directo, independiente de la autoridad regulatoria.
¿Tiene Uruguay reglas de protección de datos biométricos?
Sí. La Ley N.º 19.924 del 18 de diciembre de 2020 reformó la Ley 18.331 para definir los datos biométricos como una categoría especialmente protegida. Los datos biométricos son los datos personales resultantes de un tratamiento técnico específico relativo a las características físicas, fisiológicas o de comportamiento que permitan una identificación única, como los datos dactiloscópicos, los datos de reconocimiento facial, o los datos de reconocimiento de voz. El tratamiento de datos biométricos requiere el consentimiento previo e informado y una Evaluación de Impacto en la Protección de Datos. Si la EIPD identifica un riesgo residual significativo, el responsable debe notificar a la URCDP antes de iniciar el tratamiento.
Fuentes y referencias
- Ley N.º 18.331 de Uruguay sobre la Protección de Datos Personales y Acción de Habeas Data (11 de agosto de 2008)(impo.com.uy).gov
- Decreto N.º 414/009 - Reglamentación de la Ley 18.331 sobre Protección de Datos Personales (31 de agosto de 2009), URCDP(gub.uy).gov
- Unidad Reguladora y de Control de Datos Personales (URCDP) - Sitio oficial(gub.uy).gov
- Comisión Europea - Decisiones de Adecuación (incluida la de Uruguay 2012/484/UE y la revisión de 2024)(commission.europa.eu).gov
- Consejo de Europa - Uruguay Ratifica el Convenio 108+(coe.int).gov
- Dictamen WP177 del Grupo de Trabajo del Artículo 29 de la UE sobre Uruguay (2010)(ec.europa.eu).gov
- Baker McKenzie - Requisitos de Seguridad y Notificación de Brechas en Uruguay(resourcehub.bakermckenzie.com)
- Baker McKenzie - DPO y Requisitos de Notificación en Uruguay(resourcehub.bakermckenzie.com)
- Baker McKenzie - Reguladores, Prioridades de Aplicación y Sanciones en Uruguay(resourcehub.bakermckenzie.com)
- Dentons - Resoluciones Recientes de Uruguay sobre Países y Organizaciones Adecuados (octubre de 2022)(dentons.com)
- Servicio de Ayuda Europeo de Propiedad Intelectual - La Ley Uruguaya de Protección de Datos Personales y Acción de Habeas Data (septiembre de 2024)(intellectual-property-helpdesk.ec.europa.eu).gov
- IAPP - La Comisión Europea Mantiene 11 Decisiones de Adecuación (2024)(iapp.org)
- Lex Mundi - Guía Global de Privacidad de Datos: Uruguay(lexmundi.com)