La garantía constitucional de habeas data protege el patrimonio, la intimidad y honor de toda persona determinada o determinable a la que pueda atribuírsele la información acumulada y de posible divulgación que conste en registros o bancos de datos públicos o privados destinados a proveer informes.
A cuyo fin la Constitución Nacional otorga un medio judicial expedito y rápido (acción de amparo) para tomar de los datos referidos a ella y de su finalidad; como asimismo, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización ( C. N.: art. 43 párrafo 3ro).
La Ley Nacional Nro. 25.326 de Protección de los Datos Personales (B.O.02/11/2000), denominada Ley de Habeas Data, reglamenta el procedimiento, límites y requisitos exigidos para la aplicación de dicho instituto constitucional, disponiendo la aplicación supletoria de la Ley de Amparo Nro. 16.986 y del Código Procesal Civil y Comercial de la Nación. Además, estatuye el llamado Sistema Normativo de Protección de Datos Personales que establece los requisitos que deben reunir los bancos de datos para estar y funcionar conforme a derecho.
La normativa común o de fondo contenida en la Ley de Protección de los Datos Personales es aplicable entonces en todo el territorio nacional.
La Ley define al registro, base o banco de datos indistintamente, como el conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.
Es decir que quedan comprendidos los datos personales en cuanto obren o se encuentren incorporados en registros o bancos de datos , cualquiera sea el formato o soporte en que aparezca la información.
La Dirección Nacional de Protección de Datos Personales de la Secretaria de Justicia y Asuntos Legislativos del Ministerio de Justicia y Derechos Humanos, actúa como órgano de control del cumplimiento de la Ley y dicta las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad de los archivos, registros y bases o bancos de datos públicos y privados (Decreto Reglamentario Nro, 1.558/01 B.O. 03-12-2001).
Ante el Registro habilitado en dicha Dirección Nacional deben inscribirse todos los archivos, registros, bases o bancos de datos privados destinados a proporcionar informes, aquellos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a título oneroso o gratuito.
Las sanciones administrativas por la inobservancia de la normativa reseñada, recaen sobre el Responsable de Archivo (titular) o Usuarios de registros, bases o bancos de datos públicos, trátense de persona física o de existencia ideal pública o privada, quienes deben soportar las multas, clausura o cancelación del archivo impuestas por el Órgano de control; los daños y perjuicios ocasionados y las sanciones penales que correspondan.
Quedan exceptuados de la Ley los procesos de recolección de datos en los que sea posible mantener el anonimato, las fuentes de información periodísticas entre otros.
Medidas de Seguridad
El artículo 9 de la Ley Nacional Nro. 25.326 , indica que el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
Las medidas de Seguridad son normadas por medio de la Disposición No. 11/2006 de la Dirección Nacional de Protección de Datos Personales.
En primer lugar se establecen tres niveles, Básico, Medio y Crítico, en función del tipo de datos personales de las bases de datos en cuestión, donde el concepto de base de datos se extiende también a archivos y registros, incluso no informatizados. Luego detalla las medidas de seguridad correspondientes para cada nivel.
El nivel Básico se aplica a las bases de datos personales en general que manejen empresas públicas y privadas; es el que más se extiende a una gran cantidad de empresas.
El nivel Medio corresponde a las empresas privadas de servicios públicos, así como también a las entidades públicas/privadas que deban guardar secreto por otras disposiciones regulatorias, como es el caso de los bancos y entidades financieras.
Finalmente el nivel Crítico se refiere a las organizaciones cuyas bases de datos guarden datos sensibles como los de salud, afiliación sindical, convicciones religiosas, opiniones políticas, etc.
Los datos sensibles son los datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
Hay numerosos casos de bases de datos en el ámbito empresario, que dan información sobre una persona y que exceden un uso exclusivamente personal en virtud de las cesiones o transferencias de información que realizan. Algunos ejemplos de las más habituales, entre otras, son las base de datos de clientes, proveedores, empleados, marketing.
Para cada nivel se ha establecido una serie de medidas de seguridad tomando como base las del nivel Básico, ya que dichas medidas son acumulativas. De esta manera, para el nivel Medio hay que satisfacer todas las medidas del nivel Básico más otras específicas del nivel Medio. Lo mismo ocurre con el nivel Crítico respecto del nivel Medio. Para cada nivel se establecieron diferentes plazos para su cumplimiento.
Cabe destacar que una de las medidas de nivel Medio, se refiere a la realización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales. Y además, que la inscripción en el Registro Nacional de Bases de Datos Privadas es obligatoria y debe renovarse anualmente.
Nuestros especialistas adecuarán sus necesidades a la normativa vigente; asegurándole un asesoramiento personalizado y una actualización permanente mediante la implementación técnica de los requisitos legales que, en lo sucesivo, se exijan sobre la materia.
A cuyo fin la Constitución Nacional otorga un medio judicial expedito y rápido (acción de amparo) para tomar de los datos referidos a ella y de su finalidad; como asimismo, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización ( C. N.: art. 43 párrafo 3ro).
La Ley Nacional Nro. 25.326 de Protección de los Datos Personales (B.O.02/11/2000), denominada Ley de Habeas Data, reglamenta el procedimiento, límites y requisitos exigidos para la aplicación de dicho instituto constitucional, disponiendo la aplicación supletoria de la Ley de Amparo Nro. 16.986 y del Código Procesal Civil y Comercial de la Nación. Además, estatuye el llamado Sistema Normativo de Protección de Datos Personales que establece los requisitos que deben reunir los bancos de datos para estar y funcionar conforme a derecho.
La normativa común o de fondo contenida en la Ley de Protección de los Datos Personales es aplicable entonces en todo el territorio nacional.
La Ley define al registro, base o banco de datos indistintamente, como el conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.
Es decir que quedan comprendidos los datos personales en cuanto obren o se encuentren incorporados en registros o bancos de datos , cualquiera sea el formato o soporte en que aparezca la información.
La Dirección Nacional de Protección de Datos Personales de la Secretaria de Justicia y Asuntos Legislativos del Ministerio de Justicia y Derechos Humanos, actúa como órgano de control del cumplimiento de la Ley y dicta las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad de los archivos, registros y bases o bancos de datos públicos y privados (Decreto Reglamentario Nro, 1.558/01 B.O. 03-12-2001).
Ante el Registro habilitado en dicha Dirección Nacional deben inscribirse todos los archivos, registros, bases o bancos de datos privados destinados a proporcionar informes, aquellos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a título oneroso o gratuito.
Las sanciones administrativas por la inobservancia de la normativa reseñada, recaen sobre el Responsable de Archivo (titular) o Usuarios de registros, bases o bancos de datos públicos, trátense de persona física o de existencia ideal pública o privada, quienes deben soportar las multas, clausura o cancelación del archivo impuestas por el Órgano de control; los daños y perjuicios ocasionados y las sanciones penales que correspondan.
Quedan exceptuados de la Ley los procesos de recolección de datos en los que sea posible mantener el anonimato, las fuentes de información periodísticas entre otros.
Medidas de Seguridad
El artículo 9 de la Ley Nacional Nro. 25.326 , indica que el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
Las medidas de Seguridad son normadas por medio de la Disposición No. 11/2006 de la Dirección Nacional de Protección de Datos Personales.
En primer lugar se establecen tres niveles, Básico, Medio y Crítico, en función del tipo de datos personales de las bases de datos en cuestión, donde el concepto de base de datos se extiende también a archivos y registros, incluso no informatizados. Luego detalla las medidas de seguridad correspondientes para cada nivel.
El nivel Básico se aplica a las bases de datos personales en general que manejen empresas públicas y privadas; es el que más se extiende a una gran cantidad de empresas.
El nivel Medio corresponde a las empresas privadas de servicios públicos, así como también a las entidades públicas/privadas que deban guardar secreto por otras disposiciones regulatorias, como es el caso de los bancos y entidades financieras.
Finalmente el nivel Crítico se refiere a las organizaciones cuyas bases de datos guarden datos sensibles como los de salud, afiliación sindical, convicciones religiosas, opiniones políticas, etc.
Los datos sensibles son los datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
Hay numerosos casos de bases de datos en el ámbito empresario, que dan información sobre una persona y que exceden un uso exclusivamente personal en virtud de las cesiones o transferencias de información que realizan. Algunos ejemplos de las más habituales, entre otras, son las base de datos de clientes, proveedores, empleados, marketing.
Para cada nivel se ha establecido una serie de medidas de seguridad tomando como base las del nivel Básico, ya que dichas medidas son acumulativas. De esta manera, para el nivel Medio hay que satisfacer todas las medidas del nivel Básico más otras específicas del nivel Medio. Lo mismo ocurre con el nivel Crítico respecto del nivel Medio. Para cada nivel se establecieron diferentes plazos para su cumplimiento.
Cabe destacar que una de las medidas de nivel Medio, se refiere a la realización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales. Y además, que la inscripción en el Registro Nacional de Bases de Datos Privadas es obligatoria y debe renovarse anualmente.
Nuestros especialistas adecuarán sus necesidades a la normativa vigente; asegurándole un asesoramiento personalizado y una actualización permanente mediante la implementación técnica de los requisitos legales que, en lo sucesivo, se exijan sobre la materia.
Entradas
No hay comentarios:
Publicar un comentario