Ley de Protección de Datos Personales: Capacitación y Concientización como Requisito

¿Usted posee bases de datos bajo su poder? ¿Sabía que alguien que presuma o tenga certeza de que sus datos personales se encuentran en su base de datos puede iniciar operaciones para consultarlos, modificarlos o eliminarlos? ¿Se encuentra usted preparado para dar cumplimento a los requisitos de la ley de habeas data y evitar sanciones legales?

Todos hemos escuchado alguna vez algo sobre la ley de protección de datos personales ( Ley Argentina 25.326), pero muy pocos conocemos sus requisitos.

Esta ley, sancionada en octubre del año 2000, tiene por objeto “[...] la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, p ara garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional” [1] y es aplicable tanto a personas de existencia física como ideal.

Tanto la ley, como sus modificaciones y decretos reglamentarios [2], no solo establecen requisitos de registro y de protección a nivel técnico de los datos, sino que requieren la definición de políticas, procedimientos, responsabilidades y la capacitación y concientización del personal sobre la adecuada protección de los datos personales. Estos requisitos no solo se establecen, sino que también son incluídos en los formularios de inspección que se utilizan para las inspecciones.

Para empezar, el personal de la empresa que maneja o está en contacto con datos personales debe saber distinguir Datos Personales y Datos Sensibles, ya que ambos requieren tratamiento, pero los datos sensibles requieren aún más controles (dado que la revelación no controlada de su contenido puede dar origen a un trato discriminatorio sobre el titular de los datos).

Asimismo debe conocer cuáles son los derechos y obligaciones de los distintos actores involucrados: Responsable de Archivo, Titular de los datos, Usuario de Datos, y debe ser concientizado sobre las consecuencias del incumplimiento de los requisitos y obligaciones establecidos por la ley 25326. Debe conocer también cómo deben tratarse los datos en relación a su exactitud, actualización y supresión, y el deber de confidencialidad al que se encuentran obligados aún después de haber finalizado su relación con el titular de los datos. El personal debe ser consciente de las medidas de protección a adoptar para impedir amenazas de software malicioso que puedan afectar archivos con datos de carácter personal. Éstos son algunos de los aspectos destacables de la normativa, sobre los cuales la empresa debe focalizar a nivel de capacitación y concientización general.

Por último, una vez definidas las políticas, procedimientos y documentos de seguridad de datos personales de la empresa, deben ser comunicados, y se debe capacitar y concientizar sobre los mismos. Dentro de los puntos clave encontramos los relacionados al registro y gestión de incidentes de seguridad, control de acceso (físico y lógico), auditorías, backup y pruebas de restauración, gestión y destrucción de soportes, transmisión de datos, mecanismos de acceso y rectificación, actualización o supresión de datos a solicitud del titular de los mismos, entre otros.

La ley de protección de datos personales vigente considera, como en cualquier esquema o norma de seguridad de la información, que podemos disponer de las mejores prácticas a nivel técnico, pero si el personal no está correctamente capacitado y concientizado, tendremos altas chances de que en la práctica nuestra empresa siga teniendo problemas en aspectos relacionados a la seguridad (en este caso de los datos personales).

Teniendo en cuenta que la ley argentina está vigente, y que las inspecciones se están realizando  [3] [4], es importante que las empresas conozcan la misma, sus implicancias y comiencen a trabajar sobre sus requisitos. ¿Está su empresa preparada para el desafío?