Protección de datos personales en Argentina
Por Ing. Carlos Ormella Meyer
P: ¿Qué regulaciones existen en Argentina respecto a la Protección de Datos Personales?
R: Los requisitos básicos se encuentran en la Ley No. 25.326 sancionada el 4 de Octubre de 2000 y que fuera reglamentada por el Decreto 1.558/2001. Esta ley tiene similitudes con la LOPD (Ley Orgánica de Protección de Datos) de España.
P: ¿A qué se refieren los requisitos impuestos por dicha ley?
R: La ley define la formación y tratamiento de las bases de datos personales, estableciendo la obligatoriedad de su inscripción con fecha de vencimiento al 31 de marzo de 2006.
P: ¿Qué implica dicho tratamiento de las bases de datos?
R: Básicamente hay que establecer medidas de seguridad para dar cumplimiento a los términos de la ley. Dicha protección ha sido normada por medio de la Disposición No. 11/2006 de la Dirección Nacional de Protección de Datos Personales (DNPDP).
P: ¿Qué establece dicha Disposición?
R: En primer lugar se establecen tres niveles, Básico, Medio y Crítico, en función del tipo de datos personales de las bases de datos en cuestión, donde el concepto de base de datos se extiende también a archivos y registros, incluso no informatizados. La Disposición detalla también las medidas de seguridad correspondientes para cada nivel.
P: ¿Cuál es la relación entre niveles y tipos de datos personales?
R: El nivel Básico se aplica a las bases de datos personales en general que manejen empresas públicas y privadas, y se extiende a un alto porcentaje de empresas y organizaciones.
El nivel Medio corresponde a las empresas privadas de servicios públicos, así como también a las entidades públicas/privadas que deban guardan secreto por otras disposiciones regulatorias, como es el caso de los bancos y entidades financieras.
Finalmente el nivel Crítico se refiere a las organizaciones cuyas bases de datos guarden datos sensibles como los de salud, afiliación sindical, orientación religiosa, opiniones políticas, etc.
P: ¿Y en cuanto a las medidas de seguridad de cada nivel?
R: Para cada nivel se ha establecido una serie de medidas de seguridad tomando como base las del nivel Básico, ya que dichas medidas son acumulativas. De esta manera, para el nivel Medio hay que satisfacer todas las medidas del nivel Básico más otras específicas del nivel Medio. Lo mismo ocurre con el nivel Crítico respecto del nivel Medio. Para cada nivel se establecieron diferentes plazos para su cumplimiento.
P: ¿Cuáles son los plazos en cuestión?
R: La disposición establece los plazos para implementar las medidas de seguridad y preparar el correspondiente Documento de Seguridad de Datos Personales, como soporte del cumplimiento de la Disposición. Para el nivel Básico la puesta en vigencia venció el 22 de Septiembre de 2007, mientras que se han prorrogado las otras dos: 3 de Septiembre de 2009 para el nivel Medio y 3 de Septiembre de 2010 para el nivel Crítico.
P: ¿Cómo se implementan las medidas de seguridad?
R: Las medidas de seguridad establecidas por la Disposición son totalmente mapeables a los controles de las normas de seguridad ISO 27002 (anteriormente ISO 17799) y la ISO 27001. Una de las medidas del nivel Básico, por ejemplo, se refiere a Funciones y Obligaciones del Personal. Este requisito se mapea en cinco controles que detalla la ISO 27002 y que se implementan luego bajo los términos de la ISO 27001.
Adicionalmente, la ISO 27799 proporciona información específica sobre protección de datos de salud aplicable al Nivel Crítico antes mencionado.
Además, un proyecto de protección de datos personales puede considerarse como un proyecto de seguridad bajo dichas normas, de modo tal que el Alcance que pide la ISO 27001 se refiera al cumplimiento de la Ley y Disposición comentadas.
Fuente: Altosec
P: ¿Qué regulaciones existen en Argentina respecto a la Protección de Datos Personales?
R: Los requisitos básicos se encuentran en la Ley No. 25.326 sancionada el 4 de Octubre de 2000 y que fuera reglamentada por el Decreto 1.558/2001. Esta ley tiene similitudes con la LOPD (Ley Orgánica de Protección de Datos) de España.
P: ¿A qué se refieren los requisitos impuestos por dicha ley?
R: La ley define la formación y tratamiento de las bases de datos personales, estableciendo la obligatoriedad de su inscripción con fecha de vencimiento al 31 de marzo de 2006.
P: ¿Qué implica dicho tratamiento de las bases de datos?
R: Básicamente hay que establecer medidas de seguridad para dar cumplimiento a los términos de la ley. Dicha protección ha sido normada por medio de la Disposición No. 11/2006 de la Dirección Nacional de Protección de Datos Personales (DNPDP).
P: ¿Qué establece dicha Disposición?
R: En primer lugar se establecen tres niveles, Básico, Medio y Crítico, en función del tipo de datos personales de las bases de datos en cuestión, donde el concepto de base de datos se extiende también a archivos y registros, incluso no informatizados. La Disposición detalla también las medidas de seguridad correspondientes para cada nivel.
P: ¿Cuál es la relación entre niveles y tipos de datos personales?
R: El nivel Básico se aplica a las bases de datos personales en general que manejen empresas públicas y privadas, y se extiende a un alto porcentaje de empresas y organizaciones.
El nivel Medio corresponde a las empresas privadas de servicios públicos, así como también a las entidades públicas/privadas que deban guardan secreto por otras disposiciones regulatorias, como es el caso de los bancos y entidades financieras.
Finalmente el nivel Crítico se refiere a las organizaciones cuyas bases de datos guarden datos sensibles como los de salud, afiliación sindical, orientación religiosa, opiniones políticas, etc.
P: ¿Y en cuanto a las medidas de seguridad de cada nivel?
R: Para cada nivel se ha establecido una serie de medidas de seguridad tomando como base las del nivel Básico, ya que dichas medidas son acumulativas. De esta manera, para el nivel Medio hay que satisfacer todas las medidas del nivel Básico más otras específicas del nivel Medio. Lo mismo ocurre con el nivel Crítico respecto del nivel Medio. Para cada nivel se establecieron diferentes plazos para su cumplimiento.
P: ¿Cuáles son los plazos en cuestión?
R: La disposición establece los plazos para implementar las medidas de seguridad y preparar el correspondiente Documento de Seguridad de Datos Personales, como soporte del cumplimiento de la Disposición. Para el nivel Básico la puesta en vigencia venció el 22 de Septiembre de 2007, mientras que se han prorrogado las otras dos: 3 de Septiembre de 2009 para el nivel Medio y 3 de Septiembre de 2010 para el nivel Crítico.
P: ¿Cómo se implementan las medidas de seguridad?
R: Las medidas de seguridad establecidas por la Disposición son totalmente mapeables a los controles de las normas de seguridad ISO 27002 (anteriormente ISO 17799) y la ISO 27001. Una de las medidas del nivel Básico, por ejemplo, se refiere a Funciones y Obligaciones del Personal. Este requisito se mapea en cinco controles que detalla la ISO 27002 y que se implementan luego bajo los términos de la ISO 27001.
Adicionalmente, la ISO 27799 proporciona información específica sobre protección de datos de salud aplicable al Nivel Crítico antes mencionado.
Además, un proyecto de protección de datos personales puede considerarse como un proyecto de seguridad bajo dichas normas, de modo tal que el Alcance que pide la ISO 27001 se refiera al cumplimiento de la Ley y Disposición comentadas.
Fuente: Altosec
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!