La gestión adecuada de datos personales fortalece la confianza en las organizaciones.
Bruno González Zóttele
En un mundo cada vez más digital, y con la creciente importancia de la seguridad de la información, la Ley N° 25.326 de Protección de Datos Personales en Argentina se presenta como una herramienta fundamental para proteger los derechos de los individuos. En este marco, es importante tener en cuenta que el Poder Ejecutivo ha emitido recomendaciones clave a través de los Anexos I y II a la Resolución 47/2018, que delinean medidas específicas para garantizar la seguridad de los datos personales, tanto en medios informatizados como no informatizados.
Anexo I – Medidas de Seguridad para Medios Informatizados
La era digital requiere un enfoque exhaustivo en la protección de datos gestionados a través de sistemas electrónicos. Este anexo propone una serie de medidas esenciales:
-Integridad y confidencialidad en la recolección de datos: Para asegurar la exactitud y protección de los datos personales, se recomienda establecer formularios que garanticen la completitud de los datos, minimizando errores y cifrando las comunicaciones entre el cliente y el servidor. Además, se debe limitar el acceso no autorizado utilizando certificados digitales seguros.
-Gestión del acceso: Un punto crítico es la correcta administración de los permisos para acceder a los datos. Se sugiere un inventario de todos los sistemas y activos que contengan datos personales, asignando responsabilidades claras a cada usuario. Los superusuarios (administradores) deben ser monitoreados y su actividad registrada para evitar posibles vulneraciones. También se recomienda la implementación de políticas de contraseñas seguras y evitar el uso de usuarios genéricos.
-Monitoreo de actividad y control de cambios: Toda actividad en los sistemas debe ser registrada, y se deben realizar auditorías periódicas para verificar el cumplimiento de las medidas de seguridad. Ante cualquier cambio en los entornos productivos, se deben verificar que no comprometan la integridad, disponibilidad y confidencialidad de los datos.
-Respaldo y recuperación: Para evitar la pérdida de información, es crucial implementar procesos formales de respaldo y recuperación. Esto incluye definir qué información se respaldará, cómo se almacenará, y un procedimiento para realizar pruebas periódicas de recuperación.
-Gestión de vulnerabilidades: Es importante realizar revisiones continuas de los sistemas para identificar y corregir posibles debilidades, segmentando roles y perfiles de usuarios, y previniendo ataques mediante sistemas de detección de intrusiones.
Anexo II – Medidas de Seguridad para Medios NO Informatizados
El tratamiento de información en papel sigue siendo común en muchas organizaciones, por lo que es vital garantizar su seguridad. Este anexo proporciona una guía clara para la protección de datos personales almacenados de manera física:
-Control de acceso físico: se debe mantener un inventario detallado de los archivos físicos que contengan datos personales, definir responsables de su custodia y asegurar el control físico de acceso a estos documentos, ya sea a través de armarios con llave u otros mecanismos. Es fundamental llevar un registro de todas las personas que accedan a estos archivos, con detalles de hora, motivo y duración del acceso.
-Conservación de la información: las condiciones ambientales son un factor clave para preservar la integridad de los documentos físicos. Las recomendaciones incluyen controlar la temperatura, humedad y evitar la exposición directa a la luz. También se debe contar con medidas de protección contra incendios e inundaciones en las áreas donde se almacenen los archivos.
-Destrucción de la información: una vez que los documentos ya no sean necesarios, deben ser destruidos de forma segura. Las técnicas recomendadas incluyen incineración, trituración o pulverización, asegurando que la información no pueda ser recuperada de ninguna manera. Este proceso debe ser supervisado por un responsable designado y documentado adecuadamente.
Incidentes de seguridad: ¿Qué hacer?
La normativa resalta la importancia de actuar rápidamente ante incidentes de seguridad. Se recomienda establecer un procedimiento de gestión de incidentes que incluya la notificación a las autoridades competentes, un informe detallado de la violación de seguridad, y las medidas tomadas para mitigar el daño. Es clave documentar todo el proceso para prevenir futuros incidentes.
El cumplimiento, una ventaja competitiva
En un entorno donde los ciberataques y filtraciones de información son cada vez más frecuentes, la correcta gestión de los datos personales se ha convertido en un factor diferencial para las empresas que buscan destacar. Implementar estas medidas no solo asegura el cumplimiento de la ley, sino que consolida la confianza de clientes y empleados en la organización.
En Leonhardt & Dietl, contamos con un equipo especializado para acompañarte en el proceso de adecuación a la Ley N° 25.326 y garantizar que tu organización implemente las mejores prácticas en la protección de datos personales, ya sea en formato digital o físico. No dejes que un descuido ponga en riesgo lo más importante: la confianza de tus clientes.
Bruno González Zóttele es Abogado en Leonhardt & Dietl, y maestrando en Negocios Internacionales.
