Hábeas data: cómo cumplir con nuevas exigencias de seguridad

Facundo Malaureille Peltzer explica los recaudos que deberán adoptar las empresas para proteger datos personales, tras la flamante disposición de Justicia
Por iProfesional
LEGALES - 02 de Octubre, 2006

La reciente disposición 11/06 de la Dirección Nacional de Protección de Datos Personales (DNPDP) dictó finalmente las "Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados", poniendo plenamente en vigencia el sistema pretendido por la ley 25.326, de Protección de Datos Personales.

Así­, la implementación de las medidas de seguridad -harto exigentes- y que los responsables de datos deben adoptar para el tratamiento y conservación de los mismos viene a darle sentido a todo el sistema de protección de datos consagrado normativamente.

Hasta aquella disposición, las empresas y cualquier otra entidad con archivos, registros, bancos o bases de datos alcanzados por la ley podí­an decidir libremente qué "medidas técnicas y organizativas debí­a adoptar, necesarias para garantizar la seguridad y confidencialidad de los datos personales, a fin de evitar su adulteración, pérdida, consulta o tratamiento no autorizado y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado" (según el artí­culo 9º de la ley de Hábeas Data).

La norma cambia radicalmente esta realidad, ya que establece los requisitos de seguridad necesarios para la protección de las bases de datos.

Estas medidas serán obligatorias cumplidos los siguientes plazos, computables a partir del 22 de septiembre último:

  • 12 meses, para las bases de nivel básico.
  • 24 meses, para las bases de nivel medio. 
  • 36 meses, para las bases de nivel crí­tico.

RecaudosSi bien los plazos son largos, las medidas a implementar por las entidades que tengan bases de datos son radicales. Al sólo efecto de dar una idea de las medidas a implementar, detallamos a continuación las principales:

  • Nivel básicoLos archivos, registros, bases y bancos de datos que contengan datos de carácter personal deberán disponer de un "Documento de Seguridad de Datos Personales", especie de manual de uso de herramientas infórmáticas en el que se deberán especificar, entre otros, los procedimientos y las medidas de seguridad a observar sobre los archivos, registros, bases y bancos que contengan datos de carácter personal. Deberá contener, entre otras cosas, los siguientes recaudos: 
    • Las funciones y obligaciones del personal.
    • Una descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan.
    • Una descripción de las rutinas de control de datos de los programas de ingreso de datos y las acciones a seguir ante los errores detectados a efectos de su corrección.
    • Un registro de incidentes de seguridad.
    • Los procedimientos para efectuar las copias de respaldo y de recuperación de datos.
    • Los procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información.
    • Un control de acceso de usuarios a datos y recursos necesarios para la realización de sus tareas para lo cual deben estar autorizados.
    • Medidas de prevención a efectos de impedir amenazas de software malicioso que puedan afectar archivos con datos de carácter personal.
    • Un procedimiento que garantice una adecuada Gestión de los Soportes que contengan datos de carácter personal.
  • Nivel medioIncluye los archivos, registros, bases y bancos de datos de las empresas privadas que desarrollen actividades de prestación de servicios públicos, así­ como los pertenecientes a entidades que cumplan una función pública y/o privada que, más allá de lo dispuesto por el artí­culo 10 de la ley 25.326, deban guardar secreto de la información personal por expresa disposición legal (por ejemplo, el secreto bancario).Además de las medidas de seguridad de nivel básico, deberán adoptar -entre otras- las que a continuación se detallan: 
    • El Instructivo de seguridad deberá identificar al Responsable (u órgano especí­fico) de Seguridad.
    • Deberán realizar auditorí­as (internas o externas) de verificación del cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales.
    • Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
    • Se establecerá un control de acceso fí­sico a los locales donde se encuentren situados los sistemas de información con datos de carácter personal.
    • Los registros de incidentes de seguridad, en el caso de tener que recuperar datos, deberán identificar la persona que recuperó y/o modificó dichos datos.
    • Las pruebas de funcionamiento de los sistemas de información, realizadas con anterioridad a su puesta operativa no se realizarán con datos/archivos reales, a menos que se aseguren los niveles de seguridad correspondientes al tipo de datos informatizados tratados.
  • Nivel crí­ticoSe refiere a los archivos, registros, bases y bancos de datos que contengan datos personales, definidos como "datos sensibles". Para ellos, además de las medidas de seguridad de los niveles básico y medio deberán adoptar los siguientes recaudos:
    • Cuando se distribuyan soportes que contengan archivos con datos de carácter personal "incluidas las copias de respaldo", se deberán cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no puedan ser leí­dos o manipulados durante su transporte.
    • Se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de tres años.
    • Deberán mantenerse copias de respaldo externas, situadas fuera de la localización, en caja igní­fuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localización. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales.
    • Los datos de carácter personal que se transmitan a través de redes de comunicación, deberán serlo cifrados o utilizando cualquier otro mecanismo que impida su lectura y/o tratamiento por parte de personas no autorizadas.

En virtud de la magnitud de las medidas a implementar, creemos muy conveniente que las empreasas analicen su propia situación en relación al tema a los fines de definir las necesidades de cambio particulares que le sean aplicables, y así­ establecer un plan de acción que permita la puesta a punto dentro de los plazos legales.

Una vez más, el paso del tiempo y la coherencia de la autoridad de aplicación han sepultado las variadas crí­ticas que se hacen desde distintos sectores a la normativa de protección de datos.

Lo peor es que esa ceguera lleva aún a desconocer la principal bondad del sistema, esto es que la ley de protección de datos personales existe para proteger nuestros datos ante todo, a pesar de que pueda limitar o mejor dicho regular ciertas actividades.

Facundo Malaureille Peltzer, miembro del Estudio Salvochea Abogados

Te puede interesar

Ver más

Secciones