La Argentina (único
país en Latinoamérica) tanto como la Comunidad Europea, USA, Canadá, Australia, Nueva
Zelanda, han dispuesto leyes de protección de datos personales adecuadas y completas, que
protegen a las personas de posibles abusos de la información que se tenga de ellas.
El fundamento de la Ley es definido en su articulo 1º al establecer que esta tiene por
objeto la protección integral de los datos personales asentados en archivos, registros,
banco de datos u otros medios técnicos de tratamiento de datos, sean estos privados o
públicos, destinados a dar informes, para garantizar el derecho al honor y a la intimidad
de las personas, así como también el acceso a la información que sobre estas mismas se
registre, de conformidad a lo establecido en el articulo 43, párrafo tercero de la
Constitución Nacional.
El análisis del párrafo precedente nos indica a priori que están encuadrados aquellos
que posean bases destinadas a dar informes a terceros, sin embargo cabe aclarar que el
articulo 24 amplia el objeto, al establecer que los particulares que formen archivos,
registros o banco de datos que no sean para un uso exclusivamente personal deberán
registrarse conforme lo hacen los demás usuarios y/o responsables de archivos y bancos de
datos.
Los datos que esta Ley protegen no son solo los datos personales (información de
cualquier tipo referida a personas físicas o de existencia ideal) sino los datos
sensibles que son aquellos que revelan origen racial o étnico, opiniones políticas,
convicciones religiosas, filosóficas o morales, afiliación sindical e información
referente a la salud o a la vida sexual. Todo esto indicado expresamente en el artículo
2º de la Ley.
En la Argentina existen miles de bases de datos, no solo en las grandes empresas, sino en
las también en las ONGs, las pequeñas y medianas empresas, los clubes, colegios
privados, medicina prepaga, los estudios contables y jurídicos, etc. Si la información
es hoy un activo importante e imprescindible en toda organización, como no pensar que
como en todo activo están presentes la amenaza de incidentes que produzcan daños o
adulteraciones en su utilización y el control que reduce el nivel de riesgo.
La adecuación a la Ley se sustenta en los siguientes pilares básicos:1. La Registración de los responsables de los bancos de
datos.
2. La adopción de medidas de seguridad de las bases.
3. El derecho de acceso
de los titulares de datos.
4. Riesgos de incurrir
en infracciones que impliquen multas, apercibimientos o sanciones administrativas y de
tipo penal.
La inscripción de los usuarios de
bases de datos en esta primera etapa tiene vencimiento el 31/1/2006, y establece una
inscripción posterior en forma anual. La misma deberá efectuarse ante la Dirección
Nacional de Registro de Datos Personales. Cabe aclarar que no interesa la cantidad de
personas que contiene la base para quedar obligado a la registración.
Las medidas de seguridad a implementar en las organizaciones aun no han sido
reglamentadas, sin embargo el criterio profesional indicará en todos los casos las
medidas a adoptar. Las normas ISO/IEC 17799 constituyen un marco de "buenas
practicas" para la gestión de la seguridad en la información. Estas normas definen
la seguridad de la información como la preservación de:
• Su confidencialidad.
• Su integridad.
• Su disponibilidad.
Las infracciones previstas en la
Disposición 7/2005 de la DNPDP, van desde no atender a los requerimientos del Organismo
de Contralor, no solicitar la inscripción de las bases, mantener los datos por mas tiempo
del establecido legalmente, a la responsabilidad por el daño causado por mal uso de la
información, que compromete el patrimonio del propietario de la base. Las sanciones
previstas van desde apercibimientos a multas de $1.000.- a $ 100.000.- según sea la
calificación en leves, graves y muy graves.
La Ley 25.326 incluye en su artículo 32 dos delitos que se incorporan al Código Penal y
que establecen penas de prisión de un mes a dos años.
Lo expuesto hasta aquí indica que el desafío que se plantea en el área de Recursos
Humanos es la toma de conciencia en que se debe llevar a cabo la Gestión de Seguridad de
la Información de su área, ya que los riesgos no se eliminan "se gestionan" y
la seguridad no es un producto es un proceso.
Toda organización posee legajos de personal con datos de todo tipo y documentación que
avalan esos datos, por sobre todo datos sensibles. Realiza liquidaciones de sueldos, emite
informes ante los distintos organismos de control e informes internos y procesos como
evaluaciones, selección y/o desarrollo de competencias. Todos estos procesos implican
tratamiento de datos. Las medidas de seguridad a implementar entre otras, serán
determinar quienes serán los autorizados a acceder a esa información y dar capacitación
al personal sobre los aspectos más relevantes de la Ley-
Como así también establecer pautas en lo referente a los aspectos físicos en la guarda
de los datos ya sea en forma electrónica o no.
Asimismo se debe instrumentar formularios o formas que indiquen el consentimiento de los
titulares de los datos y el procedimiento que el área dispondrá para garantizar el
derecho al acceso de los mismos, o de supresión o rectificación de datos. Esto último
es de vital importancia para aquellos departamentos de RR.HH que cuenten con bases de
datos propias para el proceso de selección de personal.
Si las actividades descriptas se efectúan fuera de la empresa ya sea tercerizando o
cediendo datos, se deberá contemplar la firma de convenios que aseguren los fines para
los cuales los datos son cedidos, además sería importante solicitar a las personas o
empresas a las que se ceden datos, que se encuentren debidamente inscriptos en la DNPDP
(Dirección Nacional de Protección de Datos Personales).
Los especialistas en Derecho Laboral advierten que en el futuro existirá la tendencia de
anexar al contrato de trabajo, acuerdos de confidencialidad. En este sentido los
especialistas coinciden en que seria un instrumento que se anexará a los contratos en
virtud de asegurar un correcto resguardo de los datos que se manejan en la empresa.
Lo reseñado afirma la necesidad de abordar con seriedad y de inmediato la adecuación de
estas bases de datos a la normativa vigente, con el objeto de minimizar los riesgos
legales en la organización. |
