Beruflich Dokumente
Kultur Dokumente
326 de Protección de los Datos Personales considera que toda base de datos que
exceda el uso exclusivamente personal -aunque no esté destinada a proporcionar informes a
terceros- o que tenga como finalidad la cesión o transferencia de datos personales, sea a título
gratuito u oneroso, está sujeta a sus disposiciones.
La realidad indica que la mayoría de las empresas cuentan con este tipo de archivos y que, a
pesar de ello, no han cumplido con las disposiciones normativas vigentes.
Pero nuestro legislador, en sintonía con la mayoría de las disposiciones europeas, no sólo ha
impuesto obligaciones formales, como el registro, sino que obliga a tomar medidas concretas,
que permitan resguardar efectivamente el derecho constitucional del titular de los datos. Entre
ellas se encuentra la de adoptar medidas técnicas y organizativas que garanticen la seguridad
y confidencialidad de los datos personales con el objeto de evitar su adulteración, pérdida,
consulta o tratamiento no autorizado.
El primer nivel, denominado ‘Básico’, exigible para cualquier clase de bases de datos, está
compuesto por las siguientes previsiones:
Adopción y descripción de rutinas de control, las que deben incluir una función que
minimice la posibilidad de ingresar datos ilógicos, incorrectos o faltantes.
Confección de un registro de incidentes de seguridad y de su notificación,
gestión y respuesta.
Procedimientos para efectuar el back up y la recuperación de datos.
Procedimiento de identificación y autenticación de usuarios, de modo tal que el
acceso sea controlado y limitado a quienes realmente necesitan para sus tareas el
acceso a determinada base de datos, otorgando contraseñas que garanticen
confidencialidad, inteligibilidad y cuya modificación sea periódica.
Implementación de software destinado a evitar virus y malware, el que debe ser
actualizado con periodicidad y ejecutado rutinariamente.
Hace aproximadamente un mes comenzó una campaña vía e-mail por parte de la Dirección,
en la que se informaba la necesidad de responder a un formulario de prefiscalización de estas
medidas como paso previo a realizar inspecciones y aplicar sanciones que oscilan entre los
mil y los cien mil pesos, por lo que el tema ha cobrado especial relevancia en estos días. No
debemos olvidar que estas medidas debían implementarse en las empresas antes del 22 de
septiembre de 2007, por lo que quien no las haya incorporado se encuentra ya en infracción y
en tiempo de descuento para cumplimentarlas.
Aunque el solo cumplimiento de la ley tiene un valor innegable, esta iniciativa de la Dirección
Nacional de Protección de Datos Personales es una oportunidad inmejorable para auditar
la legalidad de las bases de datos de la empresa y revisar las prácticas internas
relacionadas con las mismas.
La normativa comentada no hace otra cosa que reflejar las best practices en la materia, y
debe ser considerada un norte para los directivos de la empresa y encargados de sistemas,
quienes tienen el desafío de modificar los comportamientos de la organización, mejorándolos.
Y nunca es tarde para eso.