Argentina: nuevas medidas de seguridad para datos personales

La AAIP adoptó nuevas medidas de seguridad para datos personales a través de la Res. 47/2018. El texto de la norma esta al final de este post. Estas medidas eran muy esperadas porque la antigua reglamentación ya era bastante antigua (Disposiciones DNPDP 11 /2006 y 9/2008.). La medida es muy positiva por muchos aspectos. Van mis primeros comentarios.

Entre los puntos que destacamos es que  se implementa la notificación de incidentes de seguridad. Esto sumado a la reciente Res. 40 sobre posibilidad de nombrar un delegado en el sector público cada vez acerca mas la normativa argentina al modelo del RGPD europeo (y al proyecto que elaboró la DNPDP con amplia discusión de la industria y académicos).

Otro punto saliente es que son “medidas recomendadas” y no impuestas como hacía la anterior reglamentación. De alguna forma me parece que la AAIP nos empieza a adaptar a la responsabilidad proactiva que viene de la mano del RGPD europeo.

Me parece muy positivo que el estado no imponga estos temas. En el mundo que vivimos, el sector privado avanza mas rápido que muchos estados en temas de seguridad informática, con lo cual, que el Estado le imponga al sector privado ciertas medidas, es peligroso y complicado. Para cuando una norma estatal  las aprueba, las medidas ya son anticuadas.

Esto no significa que el tema seguridad quede fuera de la agenda. Una empresa que no tiene medidas de seguridad, y declara eso en el formulario de registro no podría registrar su base porque la ley en el art. 9 de la ley 25.326 exige que tenga medidas de seguridad internas. En una auditoria de la AAIP la empresa que no tenga mediadas de seguridad tendrá un aplazo. Pero queda claro que va a existir mas flexibilidad en el cumplimiento de estos recaudos. Por otra parte, leo las medidas que se sugieren implementar en los dos anexos y todas parece mas que lógicas. Me atrevo a decir que cualquier organización importante tiene que, como mínimo, implementar estas medidas. No tenerles sería como circular con un auto sin seguro a 200 KM por hora en una autopista. Hoy en día nadie lo hace, pero muchos implementan sistemas informáticos en grandes organizaciones sin medidas adecuadas de protección de los datos.

La nueva norma tiene dos anexos, uno para datos informatizados y otros no informatizados. Otro acierto mas de la norma. Las antiguas normas parecían mas enfocadas a bases de datos digitales, pero aun las organizaciones tienen muchos datos personales en papel que también son vulnerables.

 

TEXTO DE LA NORMA

AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

Resolución 47/2018

RESOL-2018-47-APN-AAIP

Ciudad de Buenos Aires, 23/07/2018

VISTO el EX-2018-33523527-APN-DNPDP#AAIP, la Ley N° 25.326, la Ley N° 27.275, el Decreto N° 1558 del 29 de noviembre de 2001 modificado por el Decreto N° 1160 del 11 de agosto de 2010, el Decreto N° 746 del 25 de septiembre de 2017, el Decreto N° 899 del 6 de noviembre de 2017, las Disposiciones de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES N° 11 del 22 de septiembre de 2006 y N° 9 del 3 de septiembre de 2008; y

CONSIDERANDO:

Que por el artículo 19 de Ley N° 27.275 se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional, en la órbita de la JEFATURA DE GABINETE DE MINISTROS.

Que por el Decreto N° 746 del 25 de septiembre de 2017 se sustituyó el artículo 19 de la Ley de Acceso a la Información Pública N° 27.275, atribuyendo a la referida Agencia la facultad de actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326, como así también en su artículo 13, se incorporó como inciso t) al artículo 24 del capítulo IV de la de la Ley 27.275 de Derecho de Acceso a la Información Pública, la competencia de “Fiscalizar la protección integral de los datos personales asentados en archivos, registros, banco de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, y el acceso a la información que sobre las mismas se registre”.

Que por el artículo 29 del ANEXO I al Decreto N° 1558 de fecha 29 de noviembre de 2001, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES en el ámbito de la entonces SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, para cumplir las funciones de órgano de control y autoridad de aplicación de la Ley de Protección de Datos Personales N° 25.326 y su reglamentación.

Que el Decreto N° 899 de fecha 6 de noviembre 2017, reordenó el plexo regulatorio vigente en relación a las competencias asignadas a los organismos mencionados y de conformidad con los términos del artículo 19 de la Ley N° 27.275, sustituido por el artículo 11 del Decreto N° 746/17, atribuyó a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, el ejercicio de la función de órgano de control de la Ley N° 25.326, que hasta entonces detentaba la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES dependiente del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS.

Que, en virtud de lo expuesto, el Decreto N° 899/17 dispuso en su artículo 2° que “Toda referencia normativa a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA” .

Que, entre las atribuciones asignadas a la AGENCIA DE ACCESO A LA INFORMACIÓN PUBLICA se encuentra la de dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas en la Ley N° 25.326 artículo 29, inciso 1, apartado b), como así también, la de controlar la observancia de las normas sobre integridad y seguridad de los datos por parte de los archivos, registros o bancos de datos, artículo 29, inciso 1, apartado d), de la Ley N° 25.326.

Que, la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, dictó normas relativas a las condiciones de seguridad que deben observarse para los archivos, registros y bases o bancos de datos de carácter personal, y aprobó las medidas de seguridad para el tratamiento y conservación de los datos personales, que deben aplicar los responsables y usuarios de archivos, registros, bases y bancos de datos públicos no estatales y privados.

Que mediante Disposición N° 11 de fecha 22 de Septiembre 2006 la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES aprobó el documento “Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados”, como instrumento para la especificación de la normativa de seguridad, al que debían adecuarse los responsables y usuarios de archivos, registros, bases y banco de datos públicos no estatales y privados.

Que, asimismo, por Disposición DNPDP N° 9 de fecha 3 de Septiembre de 2008 se aprobó un modelo de “Documento de Seguridad de Datos Personales” que contenía los lineamientos indispensables mínimos que permitía a los obligados diseñar un instrumento que se adecue a las necesidades de su organización y cumpla con las normas dictadas en la materia.

Que el desarrollo de la tecnología e internet ha evolucionado a lo largo de los años a un ritmo vertiginoso, como así también las redes sociales, los servicios de mensajería instantánea y el comercio a través de la red. Ello pone en continuo riesgo la seguridad, integridad y confidencialidad de la información que contiene datos personales.

Que, conscientes de la importancia que reviste el resguardo de la integridad y seguridad de la información en materia de datos personales, se propicia actualizar las medidas de seguridad que deben observar quienes hagan tratamientos de datos personales en archivos, registros, bancos y bases de datos públicos y privados, con el objeto de eliminar y/o mitigar los riesgos de dicha información.

Que, de conformidad con lo prescripto por el artículo 9° de la Ley N° 25.326, el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales, a fin de evitar su adulteración, pérdida, consulta o tratamiento no autorizado y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

Que el Decreto Nº 891 de fecha 1 de noviembre de 2017, aprueba las “Buenas Prácticas en Materia de Simplificación”, propiciándose entre otras medidas, la simplificación normativa y la mejora continua de los procesos.

Que, esta AGENCIA DE ACCESO A LA INFORMACIÓN PUBLICA, en cumplimiento de las funciones asignadas por la Ley N° 25.326 y en su carácter de Órgano de Control, estima pertinente aprobar nuevas medidas de seguridad recomendadas, las que resultan acordes con los estándares internacionales a la fecha de su dictado, para la protección de la confidencialidad e integridad de la información que contiene datos de carácter personal en todo el proceso de tratamiento, desde su recolección hasta su destrucción.

Que a tal fin, resulta necesario establecer nuevas medidas de seguridad recomendadas para la administración, planificación, control y mejora continua de la seguridad de la información, respecto al tratamiento de los datos personales.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete.

Que, la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartados b) y d) de la Ley N° 25.326, modificatorios y complementarios.

Por ello,

EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1º.- Deróguense las Disposiciones de la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS N° 11 del 22 de setiembre de 2006 y N° 09 del 3 de septiembre de 2008.

ARTÍCULO 2°.- Apruébese el documento denominado “MEDIDAS DE SEGURIDAD RECOMENDADAS PARA EL TRATAMIENTO Y CONSERVACION DE LOS DATOS PERSONALES EN MEDIOS INFORMATIZADOS”, cuyo texto forma parte integrante de la presente como Anexo I (IF-2018-34800234-APN-AAIP).

ARTÍCULO 3°.- Apruébese el documento denominado “MEDIDAS DE SEGURIDAD RECOMENDADAS PARA EL TRATAMIENTO Y CONSERVACION DE LOS DATOS PERSONALES EN MEDIOS NO INFORMATIZADOS” cuyo texto forma parte integrante de la presente como Anexo II (IF-2018-34800290-APN-AAIP).

ARTÍCULO 4º.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese. Eduardo Andrés Bertoni

AnexoI – res47-01

AnexoII – res47-02