Blog - Metodologías y Legislación

Usar puntuación: / 11
MaloBueno 

Desde el 22 de septiembre de 2009 deberán estar cumplimentadas las medidas de seguridad de nivel Medio exigidas por la Disposición 11/2006 de la Dirección Nacional de Protección de Datos Personales (DNPDP) por parte de aquellos responsables de datos personales alcanzados por esta resolución. Esta normativa es la que divide en Básico, Medio y Crítico, conforme la naturaleza de la información tratada, los niveles de seguridad técnicos y organizativos que deben aplicarse a las base de datos.

La disposición mencionada estableció un cronograma de vencimientos escalonado en el tiempo para adoptar las medidas de seguridad que por ley correspondan a la base en cuestión. Las medidas de seguridad de nivel Básico, las cuales deben cumplir todas las bases que contengan datos de carácter personal, fueron las primeras en agotar su plazo de cumplimiento en septiembre de 2007, por lo que al día de la fecha, o mejor dicho desde hace ya dos años, todas las empresas o personas físicas titulares de bases de datos personales deberían tener estas medidas de seguridad vigentes.

Más allá del deber establecido por el Art. 3 de la Ley 25.326 de Protección de Datos Personales de tener registradas ante la DNPDP las bases de datos personales, se deberá disponer del Documento de Seguridad de Datos Personales en el que se especifiquen, entre otros:

• Descripción de los archivos con datos personales;
• Descripción de los sistemas de información utilizados para el tratamiento de datos personales;
• Procedimientos y medidas de seguridad a observar sobre los archivos;
• Funciones y obligaciones del personal;
• Relación actualizada entre sistemas de información y usuarios de datos con autorización para su uso;
• Adopción y revisión de rutinas de control y acciones correctivas;
• Registro de incidentes de seguridad;
• Procedimiento para efectuar back up y recuperación de datos.

Teniendo estos dos requisitos al día, el responsable de base de datos se encontraba al día con las exigencias de la normativa vigente. Sin embargo, desde este mes las bases de datos personales de empresas privadas que desarrollen actividades de prestación de servicios públicos, así como las bases de datos pertenecientes a entidades que cumplan una función pública o privada que deban guardar secreto de la información personal por expresa disposición legal (ej. secreto bancario), más allá del deber de confidencialidad establecido por el Art. 10 de la ley, además de las medidas de seguridad de nivel Básico mencionadas, deberán adoptar las medidas de seguridad de nivel Medio estipuladas en la disposición.

De esta manera, el Documento de Seguridad de Datos Personales debería ampliarse conteniendo, además, la siguiente información adicional:

• Identificar al responsable de seguridad;
• Registro de entradas y salidas de los soportes informáticos;
• Registro de incidentes de seguridad con identificación del responsable.

Además de estos tres requisitos deberán tomarse otras mediadas técnicas y organizativas que también podrán ser especificadas en el Documento de Seguridad:

• Realización de auditorías internas o externas que verifiquen el cumplimiento de los procedimientos de seguridad de datos personales;
• Limitar la posibilidad de intentar reiteradamente el acceso;
• Control de acceso físico a locales;
• Medidas de recupero de información contenida en soportes;
• Adoptar medidas que impidan la recuperación de información de un soporte que haya sido destruido o desechado o vaya a ser reutilizado;
• Realizar las pruebas de sistemas con datos o archivos ficticios.

Respecto a los resultados de las mencionadas auditorias que se realicen deberán ser considerados obligatoriamente, con carácter no vinculante en las inspecciones que lleve a cabo la DNPDP, siempre que la misma haya sido realizada en el plazo máximo de un año.

Si bien el tema de inspecciones fue tratado en una publicación anterior, es bueno recordar que la DNPDP ya comenzó a hacer uso de la facultad conferida por la Disposición 5/2008, la cual habilita a realizar inspecciones tanto a personas físicas como jurídicas en sus establecimientos, con el objetivo de corroborar el cumplimiento de la ley. El resultado de estas auditorías debería ser exhibido o bien obrar en el Documento de Seguridad para ser puesto a disposición de los inspectores de la DNPDP.

A la necesidad de tener vigentes las medidas de seguridad de nivel Básico desde septiembre de 2007, ahora se suma, para aquellos alcanzados por la normativa, el deber de tener ya adoptadas las medidas de seguridad de nivel Medio. Estas exigencias legales deben tenerse muy en cuenta por los titulares de bases de datos en virtud del comienzo activo de las inspecciones de la DNPDP, algunas de las cuales ya se encuentran en ejecución.

Asimismo, es bueno tener presente que la infracción a estas disposiciones sobre datos personales puede no quedar en un mero incumplimiento por parte del responsable, ya que teniendo la DNPDP facultades sancionatorias, puede darse el caso que luego de constatarse la violación corresponda imponer alguna de las sanciones previstas en la Disposición 7/2005 y que, según la gravedad de la falta, pueden consistir en apercibimientos, multas de entre $3.001 y $100.000 y clausuras.

Si bien no todos los responsables de bases de datos quedan alcanzados por el deber de implementar las medidas de seguridad de nivel Medio, sí tienen todos la obligación de tener vigentes al menos las de nivel Básico. Para aquellos que sí estén comprendidos por el segundo nivel, es hora de comenzar a corroborar cual es el grado de cumplimiento que se tiene de estas normas y ponerse al día, ya que el plazo para la adopción de estas medidas venció este mes.

Por Marcos Masserini (Abogado de Carranza Torres & Asociados)