La seguridad de las bases de datos bajo la lupa del Estado
Una de las mayores comodidades que nos ha brindado la tecnología es la posibilidad de recopilar gran cantidad de información y recuperarla en segundos sin mayor esfuerzo que un certero clic.
En una empresa, gran parte de esta información puede estar compuesta por datos personales de terceros, que por una u otra razón forman parte de nuestras bases de datos. Cuando tenemos este tipo de archivos, nacen algunas obligaciones legales que no pueden ser soslayadas por las empresas, sin arriesgarse a la imposición de importantes sanciones por parte del Estado.
Repasaremos algunas de ellas y nos referiremos particularmente a las medidas de seguridad.
La Ley 25.326 de Protección de los Datos Personales considera que toda base de datos que exceda el uso exclusivamente personal -aunque no esté destinada a proporcionar informes a terceros- o que tenga como finalidad la cesión o transferencia de datos personales, sea a título gratuito u oneroso, está sujeta a sus disposiciones.
La realidad indica que la mayoría de las empresas cuentan con este tipo de archivos y que, a pesar de ello, no han cumplido con las disposiciones normativas vigentes.La primera obligación es la de registrar la base ante la Dirección Nacional de Protección de Datos Personales, órgano de control de la mencionada ley, mediante la confección de un formulario on line, la remisión de una nota de solicitud de inscripción con firma certificada y el pago de una tasa, si correspondiera según la cantidad y calidad de los datos recopilados. Esta inscripción debe renovarse anualmente. Si la inscripción es aprobada, la empresa registrante tiene derecho a utilizar el isologotipo de responsable registrado, brindando así confianza a los terceros con los cuales contrata y a aquéllos que, por diversas razones, le confían sus datos.
Pero nuestro legislador, en sintonía con la mayoría de las disposiciones europeas, no sólo ha impuesto obligaciones formales, como el registro, sino que obliga a tomar medidas concretas, que permitan resguardar efectivamente el derecho constitucional del titular de los datos. Entre ellas se encuentra la de adoptar medidas técnicas y organizativas que garanticen la seguridad y confidencialidad de los datos personales con el objeto de evitar su adulteración, pérdida, consulta o tratamiento no autorizado.
El primer nivel, denominado ‘Básico’, exigible para cualquier clase de bases de datos, está compuesto por las siguientes previsiones:
- Adopción y descripción de rutinas de control, las que deben incluir una función que minimice la posibilidad de ingresar datos ilógicos, incorrectos o faltantes.
- Confección de un registro de incidentes de seguridad y de su notificación, gestión y respuesta.
- Procedimientos para efectuar el back up y la recuperación de datos.
- Procedimiento de identificación y autenticación de usuarios, de modo tal que el acceso sea controlado y limitado a quienes realmente necesitan para sus tareas el acceso a determinada base de datos, otorgando contraseñas que garanticen confidencialidad, inteligibilidad y cuya modificación sea periódica.
- Implementación de software destinado a evitar virus y malware, el que debe ser actualizado con periodicidad y ejecutado rutinariamente.
Estas medidas de seguridad deben quedar reflejadas en el Documento de Seguridad de Datos Personales. Este documento interno, que será obligatorio para el personal con acceso a los datos, deberá mantenerse siempre actualizado y su contenido, además del ya señalado, está vinculado principalmente con el diseño de políticas empresariales de tratamiento responsable de bases de datos, distinguiendo pormenorizadamente funciones y obligaciones del personal, acciones a seguir en caso de detección de errores, uso del correo electrónico y de la Web y gestión de los soportes físicos de las bases de datos.
Hace aproximadamente un mes comenzó una campaña vía e-mail por parte de la Dirección, en la que se informaba la necesidad de responder a un formulario de prefiscalización de estas medidas como paso previo a realizar inspecciones y aplicar sanciones que oscilan entre los mil y los cien mil pesos, por lo que el tema ha cobrado especial relevancia en estos días. No debemos olvidar que estas medidas debían implementarse en las empresas antes del 22 de septiembre de 2007, por lo que quien no las haya incorporado se encuentra ya en infracción y en tiempo de descuento para cumplimentarlas.
Aunque el solo cumplimiento de la ley tiene un valor innegable, esta iniciativa de la Dirección Nacional de Protección de Datos Personales es una oportunidad inmejorable para auditar la legalidad de las bases de datos de la empresa y revisar las prácticas internas relacionadas con las mismas.
La normativa comentada no hace otra cosa que reflejar las best practices en la materia, y debe ser considerada un norte para los directivos de la empresa y encargados de sistemas, quienes tienen el desafío de modificar los comportamientos de la organización, mejorándolos. Y nunca es tarde para eso.Martín Carranza
Martín Carranza Torres es abogado especializado en propiedad intelectual y en derecho de la alta tecnología.