Una de las mayores comodidades que nos ha brindado la tecnologí­a es la posibilidad de recopilar gran cantidad de información y recuperarla en segundos sin mayor esfuerzo que un certero clic.

En una empresa, gran parte de esta información puede estar compuesta por datos personales de terceros, que por una u otra razón forman parte de nuestras bases de datos. Cuando tenemos este tipo de archivos, nacen algunas obligaciones legales que no pueden ser soslayadas por las empresas, sin arriesgarse a la imposición de importantes sanciones por parte del Estado.

Repasaremos algunas de ellas y nos referiremos particularmente a las medidas de seguridad.

La Ley 25.326 de Protección de los Datos Personales considera que toda base de datos que exceda el uso exclusivamente personal -aunque no esté destinada a proporcionar informes a terceros- o que tenga como finalidad la cesión o transferencia de datos personales, sea a tí­tulo gratuito u oneroso, está sujeta a sus disposiciones.

La realidad indica que la mayorí­a de las empresas cuentan con este tipo de archivos y que, a pesar de ello, no han cumplido con las disposiciones normativas vigentes.La primera obligación es la de registrar la base ante la Dirección Nacional de Protección de Datos Personales, órgano de control de la mencionada ley, mediante la confección de un formulario on line, la remisión de una nota de solicitud de inscripción con firma certificada y el pago de una tasa, si correspondiera según la cantidad y calidad de los datos recopilados. Esta inscripción debe renovarse anualmente. Si la inscripción es aprobada, la empresa registrante tiene derecho a utilizar el isologotipo de responsable registrado, brindando así­ confianza a los terceros con los cuales contrata y a aquéllos que, por diversas razones, le confí­an sus datos.

Pero nuestro legislador, en sintoní­a con la mayorí­a de las disposiciones europeas, no sólo ha impuesto obligaciones formales, como el registro, sino que obliga a tomar medidas concretas, que permitan resguardar efectivamente el derecho constitucional del titular de los datos. Entre ellas se encuentra la de adoptar medidas técnicas y organizativas que garanticen la seguridad y confidencialidad de los datos personales con el objeto de evitar su adulteración, pérdida, consulta o tratamiento no autorizado.

El primer nivel, denominado ‘Básico’, exigible para cualquier clase de bases de datos, está compuesto por las siguientes previsiones:

• Adopción y descripción de rutinas de control, las que deben incluir una función que minimice la posibilidad de ingresar datos ilógicos, incorrectos o faltantes.
• Confección de un registro de incidentes de seguridad y de su notificación, gestión y respuesta.
• Procedimientos para efectuar el back up y la recuperación de datos.
• Procedimiento de identificación y autenticación de usuarios, de modo tal que el acceso sea controlado y limitado a quienes realmente necesitan para sus tareas el acceso a determinada base de datos, otorgando contraseñas que garanticen confidencialidad, inteligibilidad y cuya modificación sea periódica.
• Implementación de software destinado a evitar virus y malware, el que debe ser actualizado con periodicidad y ejecutado rutinariamente.

Estas medidas de seguridad deben quedar reflejadas en el Documento de Seguridad de Datos Personales. Este documento interno, que será obligatorio para el personal con acceso a los datos, deberá mantenerse siempre actualizado y su contenido, además del ya señalado, está vinculado principalmente con el diseño de polí­ticas empresariales de tratamiento responsable de bases de datos, distinguiendo pormenorizadamente funciones y obligaciones del personal, acciones a seguir en caso de detección de errores, uso del correo electrónico y de la Web y gestión de los soportes fí­sicos de las bases de datos.

Hace aproximadamente un mes comenzó una campaña ví­a e-mail por parte de la Dirección, en la que se informaba la necesidad de responder a un formulario de prefiscalización de estas medidas como paso previo a realizar inspecciones y aplicar sanciones que oscilan entre los mil y los cien mil pesos, por lo que el tema ha cobrado especial relevancia en estos dí­as. No debemos olvidar que estas medidas debí­an implementarse en las empresas antes del 22 de septiembre de 2007, por lo que quien no las haya incorporado se encuentra ya en infracción y en tiempo de descuento para cumplimentarlas.

Aunque el solo cumplimiento de la ley tiene un valor innegable, esta iniciativa de la Dirección Nacional de Protección de Datos Personales es una oportunidad inmejorable para auditar la legalidad de las bases de datos de la empresa y revisar las prácticas internas relacionadas con las mismas.

La normativa comentada no hace otra cosa que reflejar las best practices en la materia, y debe ser considerada un norte para los directivos de la empresa y encargados de sistemas, quienes tienen el desafí­o de modificar los comportamientos de la organización, mejorándolos. Y nunca es tarde para eso.Martí­n Carranza

Martí­n Carranza Torres es abogado especializado en propiedad intelectual y en derecho de la alta tecnologí­a.