Bases de Datos Personales. Medidas de Seguridad

La Ley de Protección de Datos Personales obliga a los responsables o usuarios a adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos y que permitan detectar las desviaciones de información (intencionales o no, provenientes de acciones humanas o de características técnicas del medio utilizado).

La Dirección Nacional de Protección de Datos Personales  ha dictado la disposición 11/2006 (ver texto completo) (Boletín Oficial del 22 de septiembre de 2006) aprobando las “Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados”.

Esta normativa establece tres niveles de seguridad: Básico, Medio y Crítico, dependiendo de la naturaleza de la información tratada.

Naturalmente, las medidas de seguridad son distintas para cada uno de ellos. Son también distintos los plazos otorgados para la implementación de las mismas. Estos plazos son prorrogables a pedido de parte interesada proporcionando las razones del pedido.

Nivel Básico: Se encuentran en este nivel, los archivos, registros, bases y bancos de datos que contengan datos de carácter personal. El plazo otorgado para la implementación es de doce meses.

Se debe disponer de un Documento de Seguridad de Datos Personales cuyo contenido mínimo está previsto en la disposición mencionada.

Nivel Medio: están incluidos los archivos, registros, bases y bancos de datos de empresas privadas que desarrollen actividades de prestación de servicios públicos y aquellos pertenecientes a entidades que cumplan una función pública y/o privada y que deban guardar secreto de la información personal por expresa disposición legal (más allá de lo dispuesto por la Ley de Protección de Datos Personales). El plazo otorgado para la implementación es de veinticuatro meses.

También en este nivel debe existir un Documento de Seguridad de Datos Personales, cuyo contenido mínimo está previsto en la disposición (incluye todas las normas correspondientes al documento del nivel básico adicionándole otras propias de este nivel).

Nivel Crítico: están incluidos los archivos, registros, bases y bancos de datos que contengan datos sensibles. El plazo de implementación es de treinta y seis meses.

En este caso el contenido del Documento de Seguridad de Datos Personales incluye los anteriores agregándole nuevas medidas de seguridad.

Se encuentran exceptuados de aplicar las medidas de seguridad del nivel crítico, los archivos, registros, bases y bancos de datos que efectúen tratamiento de dtos sensibles para fines administrativos o por obligación legal (pero, igualmente, deben contar con medidas de resguardo que sean adecuadas y necesarias al tipo de dato).

Carlos Oscar Lerner

28 de septiembre de 2006