En seis meses vencerá el plazo para que empresas cumplan con requisitos mínimos. Firmas de salud, en la mira. Podrán aplicarse multas de hasta $100.000
La ley 25.326, de Protección de Datos Personales, en su artículo 2°, expresa que son datos sensibles los datos personales “que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual”.
Si una persona brinda sus datos personales para un fin determinado, ¿se pueden utilizar para cualquier otra finalidad que pueda surgir en el futuro?La misma debe estar determinada de antemano: no se puede prestar un consentimiento expreso general para que utilicen esos mismos datos para fines incompatibles (por ejemplo: publicidad, créditos, préstamos, etcétera).Los datos pueden ser utilizados para realizar estadísticas o papers científicos, pero este tratamiento se debe realizar en forma disociada, eliminando la información que pueda identificar o hacer identificables a las personas.SancionesAquellos que no soliciten la inscripción de la base de datos dentro del plazo otorgado (180 días corridos a partir del 18 de mayo) deberán pagar una multa que va desde $1.000 a $3.000. Quienes no inscriban la base de datos cuando haya sido requerido para ello por la Dirección Nacional de Protección de Datos Personales (DNPDP) deberán pagar una multa que va de $3.000 a $50.000.En resumen, los sindicatos y las obras sociales sindicales tienen la obligación de adecuarse a la ley 25.326 y sus normas complementarias, así como también, inscribirse en el Registro Nacional de Bases de Datos.Medidas de seguridadLa ley 25.326 detalla que el responsable o usuario del archivo de datos "debe adoptar medidas para garantizar la seguridad y confidencialidad", esto podría interpretarse como "un deber genérico", ya que recién a partir de septiembre de este año se deberán tener" implementadas las medidas para las bases de nivel básico".En el caso particular de las empresas de medicina prepaga, obras sociales, clínicas, hospitales y sanatorios, o sea, que contengan datos personales definidos como “sensibles”, deben adoptar las medidas de seguridad de nivel básico, medio y crítico (disposición 11/2006 de la DNPDP).Entre las medidas se pueden destacar:
Documento de Seguridad de Datos Personales.
Funciones y obligaciones del personal.
Descripción de las rutinas de control de datos de los programas de ingreso de datos y las acciones a seguir ante los errores detectados a efectos de su corrección.
Registros de incidentes de seguridad.
Control de acceso de usuarios a datos y recursos necesarios para la realización de sus tareas para lo cual deben estar autorizados.
Identificar al Responsable (u órgano específico) de Seguridad.
Copias de respaldo.
jueves, 27 de agosto de 2009
lunes, 24 de agosto de 2009
miércoles, 19 de agosto de 2009
COMENTARIOS SOBRE LA LEY DE HABEAS DATA
La garantía constitucional de habeas data protege el patrimonio, la intimidad y honor de toda persona determinada o determinable a la que pueda atribuírsele la información acumulada y de posible divulgación que conste en registros o bancos de datos públicos o privados destinados a proveer informes.
A cuyo fin la Constitución Nacional otorga un medio judicial expedito y rápido (acción de amparo) para tomar de los datos referidos a ella y de su finalidad; como asimismo, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización ( C. N.: art. 43 párrafo 3ro).
La Ley Nacional Nro. 25.326 de Protección de los Datos Personales (B.O.02/11/2000), denominada Ley de Habeas Data, reglamenta el procedimiento, límites y requisitos exigidos para la aplicación de dicho instituto constitucional, disponiendo la aplicación supletoria de la Ley de Amparo Nro. 16.986 y del Código Procesal Civil y Comercial de la Nación. Además, estatuye el llamado Sistema Normativo de Protección de Datos Personales que establece los requisitos que deben reunir los bancos de datos para estar y funcionar conforme a derecho.
La normativa común o de fondo contenida en la Ley de Protección de los Datos Personales es aplicable entonces en todo el territorio nacional.
La Ley define al registro, base o banco de datos indistintamente, como el conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.
Es decir que quedan comprendidos los datos personales en cuanto obren o se encuentren incorporados en registros o bancos de datos , cualquiera sea el formato o soporte en que aparezca la información.
La Dirección Nacional de Protección de Datos Personales de la Secretaria de Justicia y Asuntos Legislativos del Ministerio de Justicia y Derechos Humanos, actúa como órgano de control del cumplimiento de la Ley y dicta las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad de los archivos, registros y bases o bancos de datos públicos y privados (Decreto Reglamentario Nro, 1.558/01 B.O. 03-12-2001).
Ante el Registro habilitado en dicha Dirección Nacional deben inscribirse todos los archivos, registros, bases o bancos de datos privados destinados a proporcionar informes, aquellos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a título oneroso o gratuito.
Las sanciones administrativas por la inobservancia de la normativa reseñada, recaen sobre el Responsable de Archivo (titular) o Usuarios de registros, bases o bancos de datos públicos, trátense de persona física o de existencia ideal pública o privada, quienes deben soportar las multas, clausura o cancelación del archivo impuestas por el Órgano de control; los daños y perjuicios ocasionados y las sanciones penales que correspondan.
Quedan exceptuados de la Ley los procesos de recolección de datos en los que sea posible mantener el anonimato, las fuentes de información periodísticas entre otros.
Medidas de Seguridad
El artículo 9 de la Ley Nacional Nro. 25.326 , indica que el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
Las medidas de Seguridad son normadas por medio de la Disposición No. 11/2006 de la Dirección Nacional de Protección de Datos Personales.
En primer lugar se establecen tres niveles, Básico, Medio y Crítico, en función del tipo de datos personales de las bases de datos en cuestión, donde el concepto de base de datos se extiende también a archivos y registros, incluso no informatizados. Luego detalla las medidas de seguridad correspondientes para cada nivel.
El nivel Básico se aplica a las bases de datos personales en general que manejen empresas públicas y privadas; es el que más se extiende a una gran cantidad de empresas.
El nivel Medio corresponde a las empresas privadas de servicios públicos, así como también a las entidades públicas/privadas que deban guardar secreto por otras disposiciones regulatorias, como es el caso de los bancos y entidades financieras.
Finalmente el nivel Crítico se refiere a las organizaciones cuyas bases de datos guarden datos sensibles como los de salud, afiliación sindical, convicciones religiosas, opiniones políticas, etc.
Los datos sensibles son los datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
Hay numerosos casos de bases de datos en el ámbito empresario, que dan información sobre una persona y que exceden un uso exclusivamente personal en virtud de las cesiones o transferencias de información que realizan. Algunos ejemplos de las más habituales, entre otras, son las base de datos de clientes, proveedores, empleados, marketing.
Para cada nivel se ha establecido una serie de medidas de seguridad tomando como base las del nivel Básico, ya que dichas medidas son acumulativas. De esta manera, para el nivel Medio hay que satisfacer todas las medidas del nivel Básico más otras específicas del nivel Medio. Lo mismo ocurre con el nivel Crítico respecto del nivel Medio. Para cada nivel se establecieron diferentes plazos para su cumplimiento.
Cabe destacar que una de las medidas de nivel Medio, se refiere a la realización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales. Y además, que la inscripción en el Registro Nacional de Bases de Datos Privadas es obligatoria y debe renovarse anualmente.
Nuestros especialistas adecuarán sus necesidades a la normativa vigente; asegurándole un asesoramiento personalizado y una actualización permanente mediante la implementación técnica de los requisitos legales que, en lo sucesivo, se exijan sobre la materia.
A cuyo fin la Constitución Nacional otorga un medio judicial expedito y rápido (acción de amparo) para tomar de los datos referidos a ella y de su finalidad; como asimismo, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización ( C. N.: art. 43 párrafo 3ro).
La Ley Nacional Nro. 25.326 de Protección de los Datos Personales (B.O.02/11/2000), denominada Ley de Habeas Data, reglamenta el procedimiento, límites y requisitos exigidos para la aplicación de dicho instituto constitucional, disponiendo la aplicación supletoria de la Ley de Amparo Nro. 16.986 y del Código Procesal Civil y Comercial de la Nación. Además, estatuye el llamado Sistema Normativo de Protección de Datos Personales que establece los requisitos que deben reunir los bancos de datos para estar y funcionar conforme a derecho.
La normativa común o de fondo contenida en la Ley de Protección de los Datos Personales es aplicable entonces en todo el territorio nacional.
La Ley define al registro, base o banco de datos indistintamente, como el conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.
Es decir que quedan comprendidos los datos personales en cuanto obren o se encuentren incorporados en registros o bancos de datos , cualquiera sea el formato o soporte en que aparezca la información.
La Dirección Nacional de Protección de Datos Personales de la Secretaria de Justicia y Asuntos Legislativos del Ministerio de Justicia y Derechos Humanos, actúa como órgano de control del cumplimiento de la Ley y dicta las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad de los archivos, registros y bases o bancos de datos públicos y privados (Decreto Reglamentario Nro, 1.558/01 B.O. 03-12-2001).
Ante el Registro habilitado en dicha Dirección Nacional deben inscribirse todos los archivos, registros, bases o bancos de datos privados destinados a proporcionar informes, aquellos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a título oneroso o gratuito.
Las sanciones administrativas por la inobservancia de la normativa reseñada, recaen sobre el Responsable de Archivo (titular) o Usuarios de registros, bases o bancos de datos públicos, trátense de persona física o de existencia ideal pública o privada, quienes deben soportar las multas, clausura o cancelación del archivo impuestas por el Órgano de control; los daños y perjuicios ocasionados y las sanciones penales que correspondan.
Quedan exceptuados de la Ley los procesos de recolección de datos en los que sea posible mantener el anonimato, las fuentes de información periodísticas entre otros.
Medidas de Seguridad
El artículo 9 de la Ley Nacional Nro. 25.326 , indica que el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
Las medidas de Seguridad son normadas por medio de la Disposición No. 11/2006 de la Dirección Nacional de Protección de Datos Personales.
En primer lugar se establecen tres niveles, Básico, Medio y Crítico, en función del tipo de datos personales de las bases de datos en cuestión, donde el concepto de base de datos se extiende también a archivos y registros, incluso no informatizados. Luego detalla las medidas de seguridad correspondientes para cada nivel.
El nivel Básico se aplica a las bases de datos personales en general que manejen empresas públicas y privadas; es el que más se extiende a una gran cantidad de empresas.
El nivel Medio corresponde a las empresas privadas de servicios públicos, así como también a las entidades públicas/privadas que deban guardar secreto por otras disposiciones regulatorias, como es el caso de los bancos y entidades financieras.
Finalmente el nivel Crítico se refiere a las organizaciones cuyas bases de datos guarden datos sensibles como los de salud, afiliación sindical, convicciones religiosas, opiniones políticas, etc.
Los datos sensibles son los datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
Hay numerosos casos de bases de datos en el ámbito empresario, que dan información sobre una persona y que exceden un uso exclusivamente personal en virtud de las cesiones o transferencias de información que realizan. Algunos ejemplos de las más habituales, entre otras, son las base de datos de clientes, proveedores, empleados, marketing.
Para cada nivel se ha establecido una serie de medidas de seguridad tomando como base las del nivel Básico, ya que dichas medidas son acumulativas. De esta manera, para el nivel Medio hay que satisfacer todas las medidas del nivel Básico más otras específicas del nivel Medio. Lo mismo ocurre con el nivel Crítico respecto del nivel Medio. Para cada nivel se establecieron diferentes plazos para su cumplimiento.
Cabe destacar que una de las medidas de nivel Medio, se refiere a la realización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales. Y además, que la inscripción en el Registro Nacional de Bases de Datos Privadas es obligatoria y debe renovarse anualmente.
Nuestros especialistas adecuarán sus necesidades a la normativa vigente; asegurándole un asesoramiento personalizado y una actualización permanente mediante la implementación técnica de los requisitos legales que, en lo sucesivo, se exijan sobre la materia.
LEY DE PROTECCION DE DATOS PERSONALES
ANTECEDENTES Y FUNDAMENTOS
La Ley Nº 25.326 tiene como objetivo proteger los datos de las personas asentados en archivos, registros, bancos de datos u otros mecanismos técnicos del tratamiento de datos sean éstos públicos o privados, otorgando protección a los ciudadanos sobre su derecho al honor y a la intimidad, facilitando el control de su información personal mediante el acceso a sus datos personales contenidos en los distintos Bancos de Datos, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional (art. 1º de la Ley Nº 25.326).
La citada ley reglamentó la actividad de los Bancos de Datos públicos y privados que procesan información personal por medios informáticos o manuales y los sometió al control de la Dirección Nacional de Protección de Datos Personales (en adelante DNPDP) en el ámbito Nacional, creándose el Registro Nacional de Bases de Datos a fin de que los ciudadanos puedan conocer la existencia de los Bancos de Datos y la información que los mismos contienen sobre ellos.
La Ley Nº 25.326 tiene como objetivo proteger los datos de las personas asentados en archivos, registros, bancos de datos u otros mecanismos técnicos del tratamiento de datos sean éstos públicos o privados, otorgando protección a los ciudadanos sobre su derecho al honor y a la intimidad, facilitando el control de su información personal mediante el acceso a sus datos personales contenidos en los distintos Bancos de Datos, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional (art. 1º de la Ley Nº 25.326).
La citada ley reglamentó la actividad de los Bancos de Datos públicos y privados que procesan información personal por medios informáticos o manuales y los sometió al control de la Dirección Nacional de Protección de Datos Personales (en adelante DNPDP) en el ámbito Nacional, creándose el Registro Nacional de Bases de Datos a fin de que los ciudadanos puedan conocer la existencia de los Bancos de Datos y la información que los mismos contienen sobre ellos.
Suscribirse a:
Entradas (Atom)
Entradas
