Ley N° 18.331 de Protección de Datos Personales y Acción de Hábeas Data
Ley N° 18.331, D.O. 18.08.2008 (Uruguay)
Resumen
Marco general de protección de datos personales en Uruguay. Junto con Argentina, primer país de LATAM en obtener decisión de nivel adecuado de la Comisión Europea (2012). Complementada por la Ley 19.670 sobre transferencias internacionales y por sucesivos decretos reglamentarios.
Disposiciones clave
- Principios de legalidad, veracidad, finalidad, previo consentimiento informado, seguridad y reserva.
- Régimen reforzado para datos sensibles.
- Acción de hábeas data ante el Poder Judicial.
- Unidad Reguladora y de Control de Datos Personales (URCDP), órgano desconcentrado de AGESIC con autonomía técnica.
- Régimen sancionatorio.
Modelo uruguayo
Uruguay ha sido pionero en gobernanza digital regional: la URCDP, alojada en AGESIC, combina capacidad técnica del Estado uruguayo y autonomía funcional en materia de protección de datos. Esta institucionalidad permitió a Uruguay obtener en 2012 la decisión de nivel adecuado por la Comisión Europea.
Comentario editorial
La 18.331 representa, con la 25.326 argentina, el modelo de temprana europeización de la protección de datos en América Latina. Su robustez institucional ha permitido enfrentar con éxito casos complejos, incluyendo el régimen de transferencias internacionales (reforzado por la Ley 19.670 de 2018, que actualizó el modelo de transferencias).
El principal desafío del modelo uruguayo es la renovación del régimen sancionatorio, cuyos montos no se han actualizado al nivel de los regímenes brasileño o europeo, y la integración con regulación emergente sobre IA y plataformas digitales.
Relacionadas en el tracker
Citar esta ficha
Cita sugerida: Policy Tracker LATAM (2008). Ley N° 18.331 de Protección de Datos Personales y Acción de Hábeas Data [Uruguay]. Policy Tracker LATAM. Recuperado el 15-05-2026 de https://policytracker.lat/regulaciones/uy/ley-18331-proteccion-datos-personales