P: ¿Qué
regulaciones existen en Argentina respecto a la Protección
de Datos Personales?
R: Los requisitos básicos
se encuentran en la Ley No. 25.326 sancionada el 4 de Octubre
de 2000 y que fuera reglamentada por el Decreto 1.558/200.
Esta ley tiene similitudes a otras de diferentes países
P: ¿A qué
se refieren los requisitos impuestos por dicha ley?
R: La ley define la formación
y tratamiento de las bases de datos personales, estableciendo
la obligatoriedad de su inscripción con fecha de
vencimiento al 31 de marzo de 2006.
P: ¿Qué
implica dicho tratamiento de las bases de datos?
R: Básicamente hay que
establecer medidas de seguridad para dar cumplimiento a
los términos de la ley. Dicha protección acaba
de ser normada por medio de la Disposición No. 11/2006
de la Dirección Nacional de Protección de
Datos Personales.
P: ¿Qué
establece dicha Disposición?
R: En primer lugar se establecen
tres niveles, Básico, Medio y Crítico, en
función del tipo de datos personales de las bases
de datos en cuestión, donde el concepto de base de
datos se extiende también a archivos y registros,
incluso no informatizados. Luego detalla las medidas de
seguridad correspondientes para cada nivel.
P: ¿Cuál
es la relación entre niveles y tipos de datos personales?
R: El nivel Básico se
aplica a las bases de datos personales en general que manejen
empresas públicas y privadas; es el que más
se extiende a una gran cantidad de empresas.
El nivel Medio corresponde a las empresas privadas de servicios
públicos, así como también a las entidades
públicas/privadas que deban guardan secreto por otras
disposiciones regulatorias, como es el caso de los bancos
y entidades financieras.
Finalmente el nivel Crítico se refiere a las organizaciones
cuyas bases de datos guarden datos sensibles como los de
salud, afiliación sindical, convicciones religiosas,
opiniones políticas, etc.
P: ¿Y en cuanto
a las medidas de seguridad de cada nivel?
R: Para cada nivel se ha establecido
una serie de medidas de seguridad tomando como base las
del nivel Básico, ya que dichas medidas son acumulativas.
De esta manera, para el nivel Medio hay que satisfacer todas
las medidas del nivel Básico más otras específicas
del nivel Medio. Lo mismo ocurre con el nivel Crítico
respecto del nivel Medio. Para cada nivel se establecieron
diferentes plazos para su cumplimiento.
P: ¿Cuáles
son los plazos en cuestión?
R: La disposición establece
los plazos para implementar las medidas de seguridad y presentar
el correspondiente Documento de Seguridad de Datos Personales,
como soporte del cumplimiento de la Disposición.
Dichos plazos, tomados a partir del 22 de Septiembre de
2006, son de uno, dos y tres años para los niveles
Básico, Medio y Crítico respectivamente.
P: ¿Cómo
se implementan las medidas de seguridad?
R: Las medidas de seguridad
establecidas por la Disposición son totalmente mapeables
a los controles de las normas de seguridad ISO 17799/27001.
Una de las medidas del nivel Básico, por ejemplo,
se refiere al Control de Acceso de usuarios. Este requisito
se mapea en cuatro controles que detalla la ISO 17799 y
que se implementan luego bajo los términos de la
ISO 27001. De hecho todo un proyecto de protección
de datos personales puede tomarse como un proyecto de seguridad
bajo dichas normas, de modo tal que el Alcance que pide
la ISO 27001 se refiera al cumplimiento de la Ley y Disposición
comentadas.
© 2006 - Carlos Ormella Meyer
PROTECCION DE DATOS PERSONALES
Necesita reparar su pc? haga 
