iProfesionaliProfesional

¿Cuáles son las medidas para proteger la información confidencial?

Macarena Pereyra Rozas, del estudio Carranza Torres, explica en esta nota para iProfesional.com casos concretos de la Ley de Protección de Datos Personales
iProfesional | Tecnología |
Por iProfesional
03/12/2009 - 11:41hs
¿Cuáles son las medidas para proteger la información confidencial?

La Ley de Protección de Datos Personales (LPDP) establece que los titulares de bases de datos registradas deben tomar ciertas medidas de seguridad tendientes a la protección de los datos contenidos en ellas.

Dichas medidas de seguridad se definieron mediante la Resolución 11/2006 dictada por la Dirección Nacional de Datos Personales (DNDP) en su carácter de Autoridad de Aplicación, las que tienen por objeto la protección de los datos contenidos en las bases en un sentido amplio, desde evitar que sean consultados por personas no autorizadas hasta el mantenimiento de la integridad y de la finalidad para la cual fue recabado, intentando minimizar cualquier posibilidad de riesgo a través de la adopción de diferentes mecanismos.

De esta manera, las medidas de seguridad (niveles Básico y Medio) contemplan las siguientes acciones a adoptar:

  • 1. Descripción de las rutinas de control de datos de los programas que se utilicen para ingresarlos en las bases, inclusión de acciones a tomar en caso de errores detectados, rutinas de control a fin de evitar incorporar a la base datos ilógicos, incorrectos o faltantes;
  • 2. Copias de respaldo de la información contenida en las bases;
  • 3. Designación de un responsable de adopción y control de cumplimiento de medidas;
  • 4. Identificación del personal que accede a las bases;
  • 5. Procedimiento de autenticación de usuario y control de acceso, tanto para la visualización como para el tratamiento de los datos;
  • 6. Adoptar medidas de prevención a efectos de impedir amenazas por la intromisión de software malicioso que pudiere afectar archivos con datos personales;
  • 7. Adoptar procedimientos que garanticen una adecuada gestión de los soportes que contengan datos personales;
  • 8. Realización de auditorí­as que tengan como objeto el control del cumplimiento de las medidas y de los principios de finalidad, integridad, etc., de los datos personales contenidos en las bases.

Detengámonos un instante sobre el fin de las medidas: protección, control y aseguramiento de la integridad de la información.

Este fin es el que nos permite plantar como premisa válida que las medidas que deben adoptar los titulares de las bases - registradas o no- podrí­an ser tomadas en la empresa como una buena práctica y, con los recaudos, adecuaciones y complementos del caso, extender dichas medidas a la protección de la información confidencial respecto de la cual se deba responder.

Evidentemente, estas medidas tienden a proteger la información contenida en las bases en un sentido amplio, resguardándola no sólo de posibles fugas sino también de modificaciones o pérdida indeseada intentando reducir a la máxima expresión la posibilidad de errores humanos en el tratamiento de los datos personales.

Veamos la aplicación en casos concretos: si la empresa ha firmado un convenio de confidencialidad en virtud del cual se compromete a mantener en dicho estado información que su contraparte ha valorado como confidencial y altamente protegible bajo dicho mecanismo, estableciendo una multa por la violación de dicho estado o por el acceso a la misma por parte de alguna persona que no ha sido expresamente autorizada, aún cuando dicha persona esté afectada al servicio que la empresa esté prestando a su contraparte. En este caso, la empresa debe adoptar medidas adecuadas para cumplir las obligaciones asumidas y minimizar el riesgo de tener que responder frente a un eventual incumplimiento.

Si el proceso de protección de información confidencial ya está definido de ante mano, la situación se encuentra contenida.

¿Cómo comenzar con dicho proceso?

Dentro del repertorio de medidas que la DNPD exige se encuentra la de: identificar usuarios que acceden a las bases, el resguardo de la información mediante la adopción de medidas que eviten su fuga, pérdida o alteración.

De la lectura de las medidas descriptas, se desprende, entonces, que adoptar medidas de seguridad no sólo es válido para cumplir con las formalidades de la ley, sino que pueden constituirse en un primer mecanismo para la protección de la demás información confidencial de las empresas.

Entendemos que un primer paso podrí­a darse extendiendo las medidas a todos los archivos, soportes o registros que contengan información valiosa para la empresa. Es importante resaltar que el enunciado de esta premisa es sólo un primer paso para comenzar a establecer mecanismos de protección y cuidado que deben ir fortaleciéndose con acciones concretas y adaptadas a la necesidad de cada negocio.

En otras oportunidades, hemos reflexionado sobre las responsabilidades que se generan por la falta de una polí­tica de administración de recursos tecnológicos. En esta, planteamos el primer paso a adoptar para comenzar a planificar dicha polí­tica.

Para ello, será necesario detectar dentro de cada organización:

  • Existencia de bases de datos;
  • Existencia de información confidencial;
  • Grado de responsabilidad asumido por el cuidado de la información confidencial, revisando contratos, convenios de confidencialidad firmados, existencia de obligaciones especí­ficas de cuidado, multas por incumplimiento, etc.;
  • Existencia de intangibles que se deseen proteger;
  • Mecanismo adecuado para la protección del intangible detectado, adecuando las medidas a la particularidad del caso;
  • Controles que se efectúan sobre el grado de cumplimiento de protección; 
  • Contingencias a las que la empresa se encuentra expuesta.

A partir de dicho análisis se deberá, entonces, adoptar la medida adecuada para la protección que se pretende, de modo tal de comenzar el camino de las buenas prácticas en el resguardo de la información confidencial de la empresa.

En este planteo de tomar como punto de partida las medidas contenidas en la resolución mencionada, concebimos que las mismas no agotan el repertorio de posibilidades válidas para la protección integral de la información confidencial, ya que en cada caso se deberá detectar el mecanismo eficiente de protección a adoptar, teniendo cuenta para ello el objeto de protección, el soporte en el que se encuentra, el lugar en el que será depositado, etc.

Como hemos aludido en otras ocasiones, la gestión de las herramientas informáticas y la información digital de la empresa debiera ocupar un lugar importante en la agenda de la dirección y gerencia con el objetivo que las medidas tecnológicas que se tomen tengan un adecuado sustento fáctico y jurí­dico y sean eficientes para repeler una acción de responsabilidad civil, penal o administrativa de modo tal de tomar los recaudos del caso a los efectos de prevenir eventuales responsabilidades.

Macarena Pereyra Rozas es socia de Carranza Torres & Asociados.

(©) iProfesional.com