Nueva resolución sobre medidas de seguridad y datos personales

El 25 de julio de 2018, se publicó en el Boletín Oficial la Resolución N° 47/2018 sobre medidas de seguridad (la “Resolución”) dictada por la Agencia de Acceso a la Información Pública (la “Agencia”), en su carácter de autoridad de aplicación de la Ley de Protección de Datos Personales N° 25.326 (la “LPDP”).

La Resolución deroga las Disposiciones N° 11/06 y 9/08 de la entonces Dirección Nacional de Protección de Datos Personales, que establecían las medidas de seguridad obligatorias que debían implementar los responsables de bases de datos, así como los encargados de procesamiento para el tratamiento y conservación de datos personales.  Disponían tres niveles de seguridad (básico, medio y crítico) conforme las características de la base de datos (para más información acerca de estas disposiciones ver Tratamiento y conservación de datos personales y Protección de datos personales - Medidas de seguridad).  

La nueva Resolución aborda la temática de un modo diferente, aprobando dos anexos con medidas de seguridad recomendadas para el tratamiento y la conservación de datos personales. El Anexo I incluye las recomendaciones para la conservación de datos almacenados en medios informatizados, mientras que el Anexo II se refiere a los medios no informatizados. Las medidas recomendadas se dirigen a la “administración, planificación, control y mejora continua de la seguridad de la información”.

En particular, el Anexo I, dirigido a la conservación de datos en medios informatizados, incluye recomendaciones sobre a) recolección de datos; b) control de acceso; c) control de cambios; d) respaldo y recuperación; e) gestión de vulnerabilidades; f) destrucción de la información; g) incidentes de seguridad; y h) entornos de desarrollo.

Por su parte, el Anexo II, dirigido a la conservación de datos en medios no informatizados, incluye recomendaciones sobre a) recolección de datos; b) control de acceso; c) conservación de la información; d) destrucción de la información; y e) incidentes de seguridad.

Asimismo, se incluyen recomendaciones para el tratamiento y la conservación de datos personales sensibles.

La Resolución importa un cambio en el enfoque sobre seguridad de datos personales. Mientras el régimen anterior partía de la base de medidas obligatorias, la nueva norma ofrece un catálogo técnico de medidas recomendadas que pueden ser adoptadas o sustituidas por otras que sean más adecuadas conforme las prácticas y circunstancias propias de la actividad y de las características del procesamiento de datos. Ello se encuentra en sintonía con el principio de responsabilidad proactiva o accountability que la Agencia tiende a proponer en las últimas resoluciones dictadas y que se encuentra en línea con el Reglamento General Europeo de Protección de Datos y el Anteproyecto de Reforma de la LPDP.