A los efectos de garantizar una tutela legal efectiva de los datos personales, la Ley 25.326 de Protección de Datos Personales (LPDP) impone una serie de obligaciones que pesan sobre los responsables y usuarios de las bases de datos. Entre ellas, está la obligación de seguridad y confidencialidad de los datos personales almacenados en las bases de datos públicas o privadas, a punto tal que la LPDP prohíbe expresamente registrar datos personales en bases de datos que no reúnan las condiciones técnicas de integridad y seguridad.

A fin de tener un panorama claro de las obligaciones y responsabilidades derivadas de su incumplimiento, examinaremos detenidamente la regulación que la LPDP y sus normas reglamentarias traen en materia de seguridad de los datos personales.

La LPDP y la obligación de seguridad
La LPDP dispone que "el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado".

Agrega que el órgano de control de la ley, que es la Dirección Nacional de Protección de Datos Personales (DNDPD) , debe "controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos", pudiendo actuar de oficio o a petición de parte interesada y, en los casos en que resulte necesario, solicitar autorización judicial para acceder a locales, equipos o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la ley.

Este plexo normativo básico es complementado por el Decreto reglamentario de la LPDP , que establece que la DNPDP "promoverá la cooperación entre sectores públicos y privados para la elaboración e implantación de medidas, prácticas y procedimientos que susciten la confianza en los sistemas de información, así como en sus modalidades de provisión y utilización", y tendrá, entre otras funciones, la de dictar "las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad de los archivos, registros y bases o bancos de datos públicos y privados".

Lo primero que destacamos es que, como muy bien dice la ley, la obligación de seguridad pesa tanto sobre los responsables como sobre los usuarios de bases de datos, quienes no necesariamente son la misma persona. Responsable es la persona física o jurídica titular de la base de datos, mientras que usuario es la persona que realiza tratamiento de datos, sea en bases de datos propias o de terceros. Sobre ambos, conjuntamente, pesa la obligación de seguridad.

El segundo punto que es importante tener en cuenta es que la ley obliga a adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad. Esto es, no basta con adoptar medidas técnicas (ej. recursos de hardware y software), sino que deben implementarse medidas relacionadas con la organización empresaria como tal (ej. capacitación del personal).

¿Qué medidas deben adoptarse? Acá entra a tallar la DNPDP, dado que la ley y el decreto reglamentario ponen en cabeza del órgano de control el dictado de "las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad" y el contralor de "la observancia de las normas sobre integridad y seguridad", facultándola para "solicitar autorización judicial para acceder a locales, equipos o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento" de la LPDP.

El tercer aspecto que remarcamos es la doble finalidad a que apunta la obligación de seguridad: por un lado, evitar la adulteración, pérdida, consulta o tratamiento no autorizado de los datos personales almacenados en una base de datos y, por otro lado, permitir la detección de desviaciones de información. Uno y otro fin han de cumplirse en paralelo.

Finalmente, la ley señala la indiferencia respecto de la fuente de los riesgos relacionados con el tratamiento de datos personales. No interesa si el riesgo proviene de la acción humana (ej. robo de una clave) o del medio técnico utilizado (ej. falla en el software de seguridad); el titular y el usuario de la base de datos deben adoptar las medidas necesarias para garantizar la seguridad y confidencialidad de los datos almacenados.

La DNDPD y las medidas de seguridad
Dando cumplimiento a los preceptos legales, la DNDPD ha dictado distintas normas que reglamentan la obligación de seguridad, estableciendo los estándares en materia de medidas técnicas y organizativas. El tema está regulado en sendas Disposiciones por las que se aprobaron las Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados y el Documento de Seguridad de Datos Personales.

Siguiendo el modelo de la legislación española, la normativa establece tres niveles de seguridad conforme a la naturaleza de los datos tratados:

• 1. Básico : aplicable a todas las bases de datos personales;
• 2. Medio : para las empresas privadas que presten servicios públicos así como para las que deban guardar secreto por expresa disposición legal;
• 3. Crítico : aplicable a las bases de datos que contengan datos sensibles, entendidos como los datos personales que revelan origen racial, opiniones políticas, convicciones religiosas, información referente a la salud, etc.

Para cada uno de estos niveles se exige la adopción de diferentes medidas de seguridad, en un escalonamiento progresivo, es decir, que las medidas de cada nivel superior se van adicionando a las medidas del nivel inmediato inferior.

La única medida exigida para el nivel básico es disponer del Documento de Seguridad de Datos Personales, conteniendo la siguiente información:

• 1) Funciones y obligaciones del personal o contratados (ej. definición de perfiles);
• 2) descripción de los archivos y sistemas de información (ej. listado de clientes, versión del sistema operativo);
• 3) descripción de las rutinas de control y las acciones a seguir en caso de detección de errores (ej. minimizar la posibilidad de ingresar datos ilógicos);
• 4) registros de incidentes de seguridad (ej. carpeta de e-mails para registrar los incidentes);
• 5) procedimientos para copias de resguardo y recuperación de datos (ej. copias en dos CD);
• 6) descripción de los usuarios autorizados para usar la base de datos (ej. privilegios asignados a cada perfil);
• 7) procedimientos de identificación y autenticación de usuarios autorizados (ej. cambio periódico de las contraseñas);
• 8) control de acceso de usuarios (ej. passwords personales);
• 9) medidas de prevención para impedir amenazas de software malicioso (ej. firewalls);
• 10) procedimiento de gestión de los soportes de información (ej. etiquetado de los CD de respaldo).

Para el nivel medio se agregan las siguientes medidas de seguridad:

• 1) identificación del responsable de seguridad;
• 2) realización de auditorías internas o externas a fin de verificar el cumplimiento de los procedimientos e instrucciones vigentes;
• 3) limitación de la posibilidad de intentar reiteradamente accesos no autorizados;
• 4) establecimiento de un control de acceso físico a los locales donde se encuentren situados los sistemas de información;
• 5) gestión de soportes de información relativo a entradas y salidas, recuperación de información y previsión de contingencias;
• 6) identificación de la persona que recuperó la información;
• 7) no realización de pruebas de funcionamiento con datos o bases reales.

Finalmente, para el nivel crítico se exige:

• 1) cifrado de datos cuando se proceda a la distribución de soportes conteniendo datos sensibles;
• 2) registro de accesos identificando usuario, fecha y hora, tipo de acceso y si el acceso ha sido autorizado o denegado, dato accedido y tratamiento que se le haya dado;
• 3) implementación de copias de respaldo externas bajo condiciones de seguridad específicas y procedimiento de recuperación en caso de contingencias;
• 4) cifrado de datos cuando se proceda a su transmisión fuera de la organización mediante redes de comunicación.

Responsabilidad por incumplimiento del deber de seguridad
La normativa establece distintos plazos para la adopción de las medidas de seguridad examinadas. Asimismo, prevé sanciones de tipo administrativo en caso de incumplimiento de la obligación de seguridad.

En este sentido la reglamentación de la DNPDP clasifica como 'infracción grave' el "mantener bases de datos locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad" mencionados anteriormente, previendo sanciones que van desde el simple apercibimiento llegando a multas de hasta $ 50.000.

También es importante destacar que la responsabilidad del titular y del usuario es objetiva , en el sentido de que se configura por el solo incumplimiento de la normativa, independientemente de que haya mediado negligencia o dolo por parte del responsable.

Por su parte, quien viola las medidas de seguridad adoptadas por el titular o usuario y accede a una base de datos sin autorización incurre en responsabilidad penal, conforme lo dispone el Código Penal: el que "a sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales" será penado con prisión de 1 mes a 2 años.

Consideraciones finales
La formación de bases de datos personales y su consiguiente tratamiento es una práctica cotidiana, potenciada enormemente por la incorporación de tecnología en las empresas. La mayoría de las empresas tienen, al menos, bases de datos sobre clientes, proveedores y personal. En todos los casos se debe cumplir con las previsiones de la normativa que rige la materia. Entre otras, con la obligación de seguridad, que hace no sólo a la seriedad y buen nombre de cualquier empresa, sino también a las responsabilidades en que se puede incurrir por el incumplimiento de estándares legales que ya están en plena vigencia y aplicación.

La adopción de las medidas técnicas y organizativas necesarias para garantizar la integridad y seguridad de los datos personales es una de las best practices que toda empresa debiera incorporar.

Horacio Bruera es socio de Carranza Torres & Asociados.

(©) iProfesional.com

• Enviá este artículo
• Comentá con tus amigos
• Versión para imprimir

RECOMENDÁ ESTE ARTÍCULO

Mi recomendación es:

Ni lo veas Más o menos Dale un vistazo Muy buena No te lo pierdas

Promedio (Not Rated)