Carta de Noticias Nro. 514/12
I.
A continuación recordamos y ampliamos
lo informado, en las cartas de noticias Nº 250 y 401, en relación al Régimen
de Protección de Datos Personales (ley 25326).
II.
Este régimen tiene como objetivo
proteger los datos de las personas asentados en archivos, públicos o privados, otorgando protección a
los ciudadanos sobre su derecho al honor y a la intimidad, facilitando el
control de su información personal mediante el acceso a sus datos personales
contenidos en los distintos Bancos de Datos.
III.
Es obligatoria la inscripción
en el Registro de Base de Datos para todas las personas físicas o
empresas que formen registros, archivos o bases de datos, que no tengan fines
exclusivamente personales.
IV.
Solo se deben registrar tipo
de datos y cantidad de personas que integran la base, no así los datos personales
de los clientes, proveedores o empleados.
V.
La inscripción tiene validez
anual, debiendo solicitar su renovación con 45 días de antelación a la fecha de
vencimiento de la misma.
VI.
La inscripción se hace en
dos etapas:
a)
primero, a través de la página web
del Ministerio de Justicia www.jus.gov.ar/dnpdp se debe completar
el formulario que es gratuito, si las
personas registradas en todas las bases de datos a inscribir no superan
las 5.000.
Este
formulario debe estar firmado por el
particular o representante de la sociedad y su firma debe ser certificada por
banco o escribano.
b)
Una vez completado el formulario
debe presentarse ante la Dirección Nacional
de Protección de Base de Datos, sita en Sarmiento 1118 Piso 5º CABA de 10 a 17:30 hs.
VII.
Para completar el formulario
se debe llevar a cabo el siguiente trabajo:
a)
Identificar toda documentación o
registro que tenga el registrante.
b)
Identificar tipo de datos y
cantidad de personas que integran los registros (empleados, clientes y
proveedores). Según la ley hay 3 niveles de datos:
1.
El nivel Básico: datos personales en general.
2. El nivel Intermedio: datos que superan a
los básicos sin ser datos sensibles.
3. El nivel Sensible: datos sensibles (ej. de
salud, afiliación sindical, convicciones religiosas, opiniones políticas, vida
sexual etc.).
c)
Identificar los soportes en que se
encuentran los datos.
d)
Identificar al responsable legal
de la base (empleado ó titular).
e)
Determinar si el tratamiento total
ó parcial de los datos está en manos de un tercero, y de ser así identificar la Razón Social y Nº de CUIT.
VIII.
Realizada la inscripción se puede
solicitar por escrito a la D.N .P.D.P.
el isologotipo
para usar en el sitio web de la empresa, lo que sirve que para el que
ingrese en la página verifique que aquella cumplió con la ley que protege los
datos de las personas.
IX.
Los profesionales en Ciencias
Económicas pueden realizar el trámite de inscripción en el Registro,
ante el Consejo Profesional mediante la presentación de un formulario más
simple y adecuado a la operatoria de dichos profesionales.
X.
El tratamiento de datos
personales es ilícito, si no se cuenta para ello con
el previo consentimiento del titular.
XI.
Ninguna persona puede ser
obligada a proporcionar datos sensibles (origen
racial, convicciones religiosas, políticas, filosóficas o morales, etc).
XII.
Cuando se recaban
datos personales se debe informar previamente a sus titulares en forma
expresa :
a)
La finalidad para la que serán
tratados y quiénes pueden ser sus destinatarios;
b)
La existencia del archivo, de que
se trate y la identidad y domicilio de su responsable;
c)
El carácter obligatorio o
facultativo de las respuestas al cuestionario que se le proponga,
d)
Las consecuencias de proporcionar
los datos, de la negativa a hacerlo o de la inexactitud de los mismos;
e)
La posibilidad del interesado de
ejercer los derechos de acceso, rectificación y supresión de los datos.
XIII.
Quienes intervengan en cualquier
fase del tratamiento de datos personales están obligados a guardar secreto
profesional respecto de los mismos.
XIV.
El responsable del archivo debe
adoptar las medidas técnicas y
organizativas necesarias para garantizar la seguridad y
confidencialidad de los datos.
XV. Está prohibido registrar datos en archivos
que no reúnan las condiciones técnicas de integridad y seguridad.
XVI. Asimismo, se prohibe la transferencia de datos de cualquier
tipo con otros países u organismos internacionales, que no proporcionen niveles
de protección adecuados.
XVII. En cuanto a las medidas de seguridad, se establecen 3 niveles
1.Básico:
aplicable a todas las bases de datos personales;
2.Medio: para las empresas privadas que
presten servicios públicos así como para las que deban guardar secreto por
expresa disposición legal;
3.Crítico: aplicable a las bases de datos
que contengan datos sensibles, entendidos como los datos personales que revelan
origen racial, opiniones políticas, convicciones religiosas, información
referente a la salud, etc.
XVIII.
La única medida exigida para el nivel
básico es disponer del Documento de Seguridad de Datos Personales,
conteniendo la siguiente información: 1) funciones y obligaciones del personal
o contratados (ej. definición de perfiles); 2) descripción de los archivos y
sistemas de información (ej. listado de clientes, versión del sistema
operativo); 3) descripción de las rutinas de control y las acciones a seguir en
caso de detección de errores (ej. minimizar la posibilidad de ingresar datos
ilógicos); 4) registros de incidentes de seguridad (ej. carpeta de e-mails para
registrar los incidentes); 5) procedimientos para copias de resguardo y
recuperación de datos (ej. copias en dos CD); 6) descripción de los usuarios
autorizados para usar la base de datos (ej. privilegios asignados a cada
perfil); 7) procedimientos de identificación y autenticación de usuarios
autorizados (ej. cambio periódico de las contraseñas); 8) control de acceso de
usuarios (ej. passwords personales); 9) medidas de prevención para impedir
amenazas de software malicioso (ej. firewalls); 10) procedimiento de gestión de
los soportes de información (ej. etiquetado de los CD de respaldo).
XIX.
Para el nivel medio se agregan
las siguientes medidas de seguridad: 1) identificación del responsable de
seguridad; 2) realización de auditorías internas o externas a fin de verificar
el cumplimiento de los procedimientos e instrucciones vigentes; 3) limitación
de la posibilidad de intentar reiteradamente accesos no autorizados; 4) establecimiento
de un control de acceso físico a los locales donde se encuentren situados los
sistemas de información; 5) gestión de soportes de información relativo a
entradas y salidas, recuperación de información y previsión de contingencias;
6) identificación de la persona que recuperó la información; 7) no realización
de pruebas de funcionamiento con datos o bases reales.
XX.
Finalmente, para el nivel
crítico se exige: 1) cifrado de datos cuando se proceda a la
distribución de soportes conteniendo datos sensibles; 2) registro de accesos
identificando usuario, fecha y hora, tipo de acceso y si el acceso ha sido
autorizado o denegado, dato accedido y tratamiento que se le haya dado; 3)
implementación de copias de respaldo externas bajo condiciones de seguridad específicas
y procedimiento de recuperación en caso de contingencias; 4) cifrado de datos
cuando se proceda a su transmisión fuera de la organización mediante redes de
comunicación.
XXI.
En caso de incumplimiento de alguna
de las obligaciones impuestas por el presente régimen, las empresas pueden ser
objeto de sanciones administrativas y penales.
XXII.
Asimismo, se establece la
responsabilidad solidaria entre el cedente y cesionario, de la base de
datos personales, por la observancia de las normas legales y reglamentarias.
XXIII.
En cuanto a las sanciones
administrativas, las mismas son:
a)
INFRACCIONES LEVES: hasta 2 apercibimientos y/o
una multa de $ 1.000 a
$ 3.000;
b)
INFRACCIONES GRAVES: hasta 4 apercibimientos, suspensión de 1 a 30 días y/o multa de $ 3.001 a $50.000,00; y
c)
INFRACCIONES MUY GRAVES: 6 apercibimientos, suspensión de 31 a 365 días, clausura ó cancelación del
archivo ó banco de datos y/o multa de $ 50.001,00 a $
100.000,00.
XXIV.
Para la
elaboración de la presente hemos contado con
la colaboración de nuestro Asesor Jurídico Dr. (Abogado) Carlos M.
Zolezzi.
Buenos Aires, 27 de Abril de 2012.
Dr.
Miguel Ángel Ramírez
Contador Público
U.B.A.
No hay comentarios:
Publicar un comentario