Estándares de seguridad de las bases de datos
Páginas: 7 (1635 palabras)
Publicado: 6 de septiembre de 2010
Estándares de seguridad de las bases de datos
Por Horacio Bruera
Investigación y Desarrollo
A los efectos de garantizar una tutela legal efectiva de los datos personales, la Ley 25.326 de Protección de Datos Personales (LPDP) impone una serie de obligaciones que pesan sobre los responsables y usuarios de las bases de datos. Entre ellas, está la obligación de seguridad y confidencialidad delos datos personales almacenados en las bases de datos públicas o privadas, a punto tal que la LPDP prohíbe expresamente registrar datos personales en bases de datos que no reúnan las condiciones técnicas de integridad y seguridad.
A fin de tener un panorama claro de las obligaciones y responsabilidades derivadas de su incumplimiento, examinaremos detenidamente la regulación que la LPDP y susnormas reglamentarias traen en materia de seguridad de los datos personales.
La LPDP y la obligación de seguridad
La LPDP dispone que “el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento noautorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado”.
Agrega que el órgano de control de la ley, que es la Dirección Nacional de Protección de Datos Personales (DNDPD), debe “controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos,registros o bancos de datos”, pudiendo actuar de oficio o a petición de parte interesada y, en los casos en que resulte necesario, solicitar autorización judicial para acceder a locales, equipos o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la ley.
Este plexo normativo básico es complementado por el Decreto reglamentario de la LPDP, que establece que la DNPDP“promoverá la cooperación entre sectores públicos y privados para la elaboración e implantación de medidas, prácticas y procedimientos que susciten la confianza en los sistemas de información, así como en sus modalidades de provisión y utilización”, y tendrá, entre otras funciones, la de dictar “las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad de los archivos,registros y bases o bancos de datos públicos y privados”.
Lo primero que destacamos es que, como muy bien dice la ley, la obligación de seguridad pesa tanto sobre los responsables como sobre los usuarios de bases de datos, quienes no necesariamente son la misma persona. Responsable es la persona física o jurídica titular de la base de datos, mientras que usuario es la persona que realiza tratamientode datos, sea en bases de datos propias o de terceros. Sobre ambos, conjuntamente, pesa la obligación de seguridad.
El segundo punto que es importante tener en cuenta es que la ley obliga a adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad. Esto es, no basta con adoptar medidas técnicas (ej. recursos de hardware y software), sino que debenimplementarse medidas relacionadas con la organización empresaria como tal (ej. capacitación del personal).
¿Qué medidas deben adoptarse? Acá entra a tallar la DNPDP, dado que la ley y el decreto reglamentario ponen en cabeza del órgano de control el dictado de “las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad” y el contralor de “la observancia de las normassobre integridad y seguridad”, facultándola para “solicitar autorización judicial para acceder a locales, equipos o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento” de la LPDP.
El tercer aspecto que remarcamos es la doble finalidad a que apunta la obligación de seguridad: por un lado, evitar la adulteración, pérdida, consulta o tratamiento no autorizado de...
Por Horacio Bruera
Investigación y Desarrollo
A los efectos de garantizar una tutela legal efectiva de los datos personales, la Ley 25.326 de Protección de Datos Personales (LPDP) impone una serie de obligaciones que pesan sobre los responsables y usuarios de las bases de datos. Entre ellas, está la obligación de seguridad y confidencialidad delos datos personales almacenados en las bases de datos públicas o privadas, a punto tal que la LPDP prohíbe expresamente registrar datos personales en bases de datos que no reúnan las condiciones técnicas de integridad y seguridad.
A fin de tener un panorama claro de las obligaciones y responsabilidades derivadas de su incumplimiento, examinaremos detenidamente la regulación que la LPDP y susnormas reglamentarias traen en materia de seguridad de los datos personales.
La LPDP y la obligación de seguridad
La LPDP dispone que “el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento noautorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado”.
Agrega que el órgano de control de la ley, que es la Dirección Nacional de Protección de Datos Personales (DNDPD), debe “controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos,registros o bancos de datos”, pudiendo actuar de oficio o a petición de parte interesada y, en los casos en que resulte necesario, solicitar autorización judicial para acceder a locales, equipos o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la ley.
Este plexo normativo básico es complementado por el Decreto reglamentario de la LPDP, que establece que la DNPDP“promoverá la cooperación entre sectores públicos y privados para la elaboración e implantación de medidas, prácticas y procedimientos que susciten la confianza en los sistemas de información, así como en sus modalidades de provisión y utilización”, y tendrá, entre otras funciones, la de dictar “las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad de los archivos,registros y bases o bancos de datos públicos y privados”.
Lo primero que destacamos es que, como muy bien dice la ley, la obligación de seguridad pesa tanto sobre los responsables como sobre los usuarios de bases de datos, quienes no necesariamente son la misma persona. Responsable es la persona física o jurídica titular de la base de datos, mientras que usuario es la persona que realiza tratamientode datos, sea en bases de datos propias o de terceros. Sobre ambos, conjuntamente, pesa la obligación de seguridad.
El segundo punto que es importante tener en cuenta es que la ley obliga a adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad. Esto es, no basta con adoptar medidas técnicas (ej. recursos de hardware y software), sino que debenimplementarse medidas relacionadas con la organización empresaria como tal (ej. capacitación del personal).
¿Qué medidas deben adoptarse? Acá entra a tallar la DNPDP, dado que la ley y el decreto reglamentario ponen en cabeza del órgano de control el dictado de “las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad” y el contralor de “la observancia de las normassobre integridad y seguridad”, facultándola para “solicitar autorización judicial para acceder a locales, equipos o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento” de la LPDP.
El tercer aspecto que remarcamos es la doble finalidad a que apunta la obligación de seguridad: por un lado, evitar la adulteración, pérdida, consulta o tratamiento no autorizado de...
Leer documento completo
Regístrate para leer el documento completo.