Tratamiento y conservación de datos personales

El 22 de septiembre de 2006 la Dirección Nacional de Protección de Datos Personales la “DNPDP ”) aprobó la Disposición N º 11/2006 la “Disposición ”) que establece las medidas de seguridad para el tratamiento y conservación de los datos personales contenidos en archivos, registros, bancos y bases de datos públicos no estatales y privados.

La Disposición reglamenta el art. 9º de la Ley N º 25.326 de Protección de Datos Personales que establece la obligación de los responsables de bases de datos de adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales contenidos en sus bases, a fin de evitar su adulteración, pérdida, consulta o tratamiento no autorizado y permitan detectar desviaciones de información. En ese sentido, la Ley N º 25.326 prohíbe registrar datos personales en bases de datos que no reúnan condiciones técnicas de seguridad.

La Disposición establece tres niveles de seguridad:

(i)     básico, para las bases de datos que contengan datos de carácter personal; cuando las bases contengan una serie de datos personales con los cuales se permita establecer el perfil de personalidad o determinadas conductas de la persona, se deberán garantizar con algunas de las medidas de seguridad del nivel medio;

(ii)    medio, para las bases de datos de empresas privadas que desarrollen actividades de prestación de servicios públicos, así como para las bases de datos pertenecientes a entidades que cumplan una función pública y/o privada que, más allá de lo dispuesto específicamente por la Ley N º 25.326, deban guardar secreto de la información personal por expresa disposición legal (v.g., secreto bancario);

(iii)   crítico, para las bases de datos que contengan datos personales “sensibles”, con excepción de las bases que deban efectuar el tratamiento de datos sensibles para fines administrativos o por obligación legal; no obstante ello, éstas últimas deben contar con aquellas medidas de resguardo que sean necesarias y adecuadas al tipo de dato que almacenen o traten.

Cada nivel debe cumplir con las medidas de seguridad del nivel anterior más las previstas específicamente para él.

Asimismo, la DNPDP dispuso distintos plazos para la implementación de las diferentes medidas de seguridad a contar desde la fecha del dictado de la Disposición:

(i)                   12 meses para las de nivel básico,

(ii)                 24 meses para las de nivel medio y

(iii)                36 meses para las de nivel crítico.

Los plazos podrán ser prorrogados a pedido de parte interesada y sólo por razones debidamente fundadas.

Las bases de datos con nivel de seguridad básico deberán disponer de un Documento de Seguridad de Datos Personales en el que se especifiquen, entre otros, los procedimientos y las medidas de seguridad a observar sobre las bases que contengan datos de carácter personal.

Por su parte, las bases de datos con nivel de seguridad medio deberán realizar, entre otras medidas, auditorias (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales.

Asimismo, deben disponer de un registro de entradas y salidas de los soportes informáticos, así como medidas para impedir cualquier recuperación de la información con posterioridad a que un soporte vaya a ser desechado o reutilizado, o que la información deba ser destruida o cuando los soportes o la información vayan a salir fuera de los locales en que se encuentren ubicados.

Igualmente, debe establecerse un control de acceso físico a los locales donde se encuentren situados los sistemas de información con datos de carácter personal.

Las bases de datos con nivel de seguridad crítico deberán cifrar (o utilizar cualquier otro mecanismo) los datos personales cuando se distribuyan los soportes en que están contenidos, a fin de garantizar que no puedan ser leídos o manipulados durante su transporte, o cuando se transmitan a través de redes de comunicación.

Se deberá disponer, además, de un registro de accesos con información que identifique al usuario que accedió, la fecha y hora de acceso, tipo de acceso y si ha sido autorizado o denegado. 

Finalmente, deberán implementar copias de resguardo externas, situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localización. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales.