Inicio

Usted puede ingresar la PALABRA o el TEMA sobre el que desea informarse y podrá encontrar, en nuestra base de datos de más de 500 Cartas de Noticias, el análisis y la investigación pertinente, llevados a cabo por nuestros profesionales en forma interdisiplinaria (abogados, contadores y especialistas en sistemas).

viernes, 27 de abril de 2012

514/12 - Protección de datos personales


Carta de Noticias Nro. 514/12

             I.      A continuación recordamos y ampliamos lo informado, en las cartas de noticias Nº 250 y 401, en relación al Régimen de Protección de Datos Personales (ley 25326).

          II.      Este régimen tiene como objetivo proteger los datos de las personas asentados en archivos,  públicos o privados, otorgando protección a los ciudadanos sobre su derecho al honor y a la intimidad, facilitando el control de su información personal mediante el acceso a sus datos personales contenidos en los distintos Bancos de Datos.

       III.      Es obligatoria la inscripción en el Registro de Base de Datos para todas las personas físicas o empresas que formen registros, archivos o bases de datos, que no tengan fines exclusivamente personales.

       IV.      Solo se deben registrar tipo de datos y cantidad de personas que integran la base, no así los datos personales de los clientes, proveedores o empleados.

          V.      La inscripción tiene validez anual, debiendo solicitar su renovación con 45 días de antelación a la fecha de vencimiento de la misma.

       VI.      La inscripción se hace en dos etapas: 
a)      primero, a través de la página web del Ministerio  de Justicia www.jus.gov.ar/dnpdp se debe completar el formulario que es gratuito, si  las personas registradas en todas las bases de datos a inscribir no superan las  5.000.
Este formulario debe estar firmado por  el particular o representante de la sociedad y su firma debe ser certificada por banco o escribano.
b)      Una vez completado el formulario debe presentarse ante la Dirección Nacional de Protección de Base de Datos, sita en Sarmiento 1118 Piso 5º CABA de 10 a 17:30 hs.

    VII.      Para completar el formulario se debe llevar a cabo el siguiente trabajo:
a)      Identificar toda documentación o registro que tenga el registrante.
b)      Identificar tipo de datos y cantidad de personas que integran los registros (empleados, clientes y proveedores). Según la ley hay 3 niveles de datos:
1.      El nivel Básico: datos personales en general.
2.      El nivel Intermedio: datos que superan a los básicos sin ser datos sensibles.
3.      El nivel Sensible: datos sensibles (ej. de salud, afiliación sindical, convicciones religiosas, opiniones políticas, vida sexual etc.).

c)      Identificar los soportes en que se encuentran los datos.
d)     Identificar al responsable legal de la base (empleado ó titular).
e)      Determinar si el tratamiento total ó parcial de los datos está en manos de un tercero, y de ser así identificar la Razón Social y Nº de CUIT.
                                                          
 VIII.      Realizada la inscripción se puede solicitar por escrito a la D.N.P.D.P. el isologotipo para usar en el sitio web de la empresa, lo que sirve que para el que ingrese en la página verifique que aquella cumplió con la ley que protege los datos de las personas.

       IX.      Los profesionales en Ciencias Económicas pueden realizar el trámite de inscripción en el Registro, ante el Consejo Profesional mediante la presentación de un formulario más simple y adecuado a la operatoria de dichos profesionales.

          X.      El tratamiento de datos personales es ilícito, si no se cuenta para ello con el previo consentimiento del titular.

       XI.      Ninguna persona puede ser obligada a proporcionar datos sensibles (origen racial, convicciones religiosas, políticas, filosóficas o morales, etc).

    XII.      Cuando se recaban datos personales se debe informar previamente a sus titulares en forma expresa :
a)      La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios;
b)      La existencia del archivo, de que se trate y la identidad y domicilio de su responsable;
c)      El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga,
d)     Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos;
e)      La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.

 XIII.      Quienes intervengan en cualquier fase del tratamiento de datos personales están obligados a guardar secreto profesional respecto de los mismos.

 XIV.      El responsable del archivo debe adoptar las medidas  técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos.

    XV.      Está prohibido registrar datos en archivos que no reúnan las condiciones técnicas de integridad y seguridad.

 XVI.      Asimismo, se prohibe la transferencia de datos de cualquier tipo con otros países u organismos internacionales, que no proporcionen niveles de protección adecuados.

XVII.      En cuanto a las medidas de seguridad, se establecen 3 niveles
1.Básico: aplicable a todas las bases de datos personales;
2.Medio: para las empresas privadas que presten servicios públicos así como para las que deban guardar secreto por expresa disposición legal;
3.Crítico: aplicable a las bases de datos que contengan datos sensibles, entendidos como los datos personales que revelan origen racial, opiniones políticas, convicciones religiosas, información referente a la salud, etc.
XVIII.      La única medida exigida para el nivel básico es disponer del Documento de Seguridad de Datos Personales, conteniendo la siguiente información: 1) funciones y obligaciones del personal o contratados (ej. definición de perfiles); 2) descripción de los archivos y sistemas de información (ej. listado de clientes, versión del sistema operativo); 3) descripción de las rutinas de control y las acciones a seguir en caso de detección de errores (ej. minimizar la posibilidad de ingresar datos ilógicos); 4) registros de incidentes de seguridad (ej. carpeta de e-mails para registrar los incidentes); 5) procedimientos para copias de resguardo y recuperación de datos (ej. copias en dos CD); 6) descripción de los usuarios autorizados para usar la base de datos (ej. privilegios asignados a cada perfil); 7) procedimientos de identificación y autenticación de usuarios autorizados (ej. cambio periódico de las contraseñas); 8) control de acceso de usuarios (ej. passwords personales); 9) medidas de prevención para impedir amenazas de software malicioso (ej. firewalls); 10) procedimiento de gestión de los soportes de información (ej. etiquetado de los CD de respaldo).

 XIX.      Para el nivel medio se agregan las siguientes medidas de seguridad: 1) identificación del responsable de seguridad; 2) realización de auditorías internas o externas a fin de verificar el cumplimiento de los procedimientos e instrucciones vigentes; 3) limitación de la posibilidad de intentar reiteradamente accesos no autorizados; 4) establecimiento de un control de acceso físico a los locales donde se encuentren situados los sistemas de información; 5) gestión de soportes de información relativo a entradas y salidas, recuperación de información y previsión de contingencias; 6) identificación de la persona que recuperó la información; 7) no realización de pruebas de funcionamiento con datos o bases reales.

    XX.      Finalmente, para el nivel crítico se exige: 1) cifrado de datos cuando se proceda a la distribución de soportes conteniendo datos sensibles; 2) registro de accesos identificando usuario, fecha y hora, tipo de acceso y si el acceso ha sido autorizado o denegado, dato accedido y tratamiento que se le haya dado; 3) implementación de copias de respaldo externas bajo condiciones de seguridad específicas y procedimiento de recuperación en caso de contingencias; 4) cifrado de datos cuando se proceda a su transmisión fuera de la organización mediante redes de comunicación.
                               
 XXI.      En caso de incumplimiento de alguna de las obligaciones impuestas por el presente régimen, las empresas pueden ser objeto de sanciones administrativas y penales.

XXII.      Asimismo, se establece la responsabilidad solidaria entre el cedente y cesionario, de la base de datos personales, por la observancia de las normas legales y reglamentarias.

XXIII.      En cuanto a las sanciones administrativas, las mismas son:
a)      INFRACCIONES LEVES: hasta 2 apercibimientos  y/o una multa de $ 1.000 a $ 3.000;
b)      INFRACCIONES GRAVES: hasta 4 apercibimientos, suspensión de 1 a 30 días y/o multa de $ 3.001 a $50.000,00; y
c)      INFRACCIONES MUY GRAVES: 6 apercibimientos, suspensión de 31 a 365 días, clausura ó cancelación del archivo ó banco de datos y/o multa de $ 50.001,00 a $ 100.000,00.
                                          
XXIV.      Para la elaboración de la presente hemos contado con  la colaboración de nuestro Asesor Jurídico Dr. (Abogado) Carlos M. Zolezzi.
                        
                       Buenos Aires,  27 de Abril de 2012.
Dr. Miguel Ángel Ramírez
Contador Público U.B.A.
Publicado por

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)