Embed Size (px)
Citation preview
La protección de los
Datos Personales y el
abordaje profesional
Dr. Horacio R. Granero
Los daños en la era tecnológica
• La responsabilidad civil en la actualidad
• La culpa como único factor de atribución en el
Código Civil
• El avance técnico y su influencia en la
responsabilidad civil
• Teoría del riesgo y sus aplicaciones: Accidentes de
trabajo, daños aéreos Responsabilidad objetiva.
• La tecnología y la teoría de la “actividad riesgosa”
•P
2
- 3 -
•Protege el daño que se puede causar por una violación del deber de seguridad que tiene todo gestor de una base de datos personales.
•Es una obligación de resultado, consistente en garantizar que los datos personales no serán difundidos ni empleados para un fin distinto al tenido en cuenta al ser ingresados al Banco de Datos.
“Se considera que el tratamiento y /o difusión de datos de terceros puede ser considerado una cosa riesgosa” (Alessi, Ezio v/
Organización Veraz s/ habeas data, Cámara Civil Rosario, 8/8/2001)
Obligación legal de Protección
de Datos Personales
- 4 -
Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.
Los datos personales incluyen:
•Texto,
•Imagen ó
•Sonido
Datos personales
- 5 -
Derechos en conflicto
ante nuevas tecnologíasDerecho a la Información
(transmitir, captar, manejar,
registrar, conservar, comunicar
datos personales)
Derecho a la intimidad, el honor, la
identidad y de todo otro interés
esencial para la vida del individuo
Protección
Nuevos Derechos humanos
Control de la Información personal Autodeterminación Informativa (facultad de
cada individuo de decidir cuando y como
esta dispuesto a difundir su información
personal)
Reglamentación de la actividad
de los Bancos de DatosAcción de Habeas Data
Normativa de Protección de Datos
Argentina: Art.43 de la Constitución Nacional
Ley Nº 25.326
Decreto 1558/2001
Unión Europea: Directiva 95/46
Instrumentación
legal
- 6 -
ENTIDADES
ANALISIS
Calidad, finalidad y forma
de recolectar DatosCALIDAD FORMA DE
RECOLECCIÓN
FINALIDAD
Acorde a la Ley
Informada al titular
Los datos recolectados deben
ser adecuados a las
finalidades.
•Consentimiento Informado
Informar: finalidad, destino
posibilidad de cesión
•Consentimiento para el
tratamiento de datos.
•Revisión de contratos y
solicitudes y formas de
recolección de datos
Los Datos deben Ser:
•Ciertos
•Adecuados
•Pertinentes
•No Excesivos
(Finalidad)
•Actualizados
•Destruidos si dejaron
de ser necesarios
“Salvador, Claudio v. Citibank”, Cam. Nac.Com. - Sala D,
22/11/2005)
◦ La promesa de privacidad no observa las reglas específicas dispuestas
por la ley 25326 para el tratamiento de los datos para marketing
directo…
◦ Para ceder los datos para otro propósito debe obtener su
consentimiento porque de otro modo se transgrede el principio
de finalidad. Se debe mantener la confidencialidad de los datos del
actor, salvo los requeridos por el BCRA en virtud de la normativa
aplicable…” (del dictamen del Fiscal de Cámara)
•P
7
- 8 -
TRANSFERENCIA INTERNACIONAL
Únicamente a países u organismos Internacionales o supranacionales con nivel adecuado de protección
Requisitos de licitud:
•Ordenamiento jurídico en materia de protección de datos
•Cláusulas contractuales
•Sistemas de autoregulación
Equiparables a la Normativa del país
que da origen a la transferencia
Excepciones:
•Colaboración judicial internacional
•Intercambio de datos de carácter médico, con motivo del tratamiento del afectado o investigación
epidemiológica previa disociación
•Transferencias bancarias o bursátiles
•En el marco de tratados Internacionales
•Cooperación Internacional entre Organismos de Inteligencia (crimen organizado, terrorismo y narcotráfico)
- 9 -
Multas
La Disposición DNPDP 7/2005 del 8 de noviembre 2005
Deroga la Disposición DNPDP 1/2003
Aprueba la “clasificación de las infracciones”
Efectúa una gradación de las sanciones”
Infracciones leves (apercibimientos y multas de $ 1000 a $ 3000
Infracciones graves (suspensión de uno a 30 días y multa de $3001 a $ 50.000
Infracciones muy graves (suspensión de 31 a 365 días, clausura ocancelación del archivo, registro o banco de datos y multa de$ 50001 a $ 300.000
Crea el Registro de Infractores
- 10 -
Daño Moral
La Justicia Comercial está imponiendo
indemnizaciones por daño moral
“Prada c/ Citibank” (CNCom. Sala B, 27/08/02) -Daño
material $ 744,86 y moral $ 45.000.
“Del Giovannino, Luis c/Banco del Buen Ayres” (CNCom.
Sala B, 11/01/2001) Daño material $ 6.000 y moral $
40.000)
- 11 -
Disposición 7/2005
Clasifica y gradúa las infraccionesDisposición 11/2006
Determina Niveles de SeguridadBásico: a partir del 22/09/07: Para todos los responsables. Documento de seguridad de Datos Personales
Medio: a partir del 22/09/08: Para empresas privadas que desarrollen actividades de prestación de servicios públicos. Mayor control. Auditorías.
Crítico: a partir del 22/09/09: Para bancos de datos sensibles. Identificación y registro de accesos. Planes de contingencia.
- 12 -
Disposición 9/2008
•Prorroga el plazo establecido en la
Disp. 11/06 en 12 meses para el Nivel
Medio (al 22/09/09) y en 24 meses al
Nivel Crítico (al 22/09/10)
•Aprueba el “Documento de Seguridad
de Datos Personales”
- 13 -
Inclusión de Datos
1. Del Responsable de los Datos: (nombre de la firma /organización)
2. De Inscripción en el Registro Nacional de Bancos de Datos Nº: (indicar número de inscripción)
3. Fecha de la última Renovación: dd/mm/aa Validez UN año.
4. Persona de contacto de la firma / organización: (nombre, apellido y datos para contactarla)
5. Responsable de la gestión de la seguridad en la firma:
1- Funciones y obligaciones del personal o contratados.
Personal :
1. Se debe informar adecuadamente y comprometer a todo el personal y/o proveedores con acceso a los datos personales, a observar estricta confidencialidad de la información que posee la empresa mediante la firma de una "Obligación de confidencialidad" como la que se transcribe, o similar.
“El que suscribe ...(nombre apellido, CUIT-CUIL)..., empleado (o proveedor con acceso a los datos), asume el compromiso de mantener estricto secreto y confidencialidad de la información a la que accede, no debiendo exteriorizarla parcial ni totalmente sin autorización. Por el presente me notifico del carácter confidencial que reviste la información que posee el responsable de los datos y me comprometo a no usarla ni revelarla sin su consentimiento. Los datos personales presentes, su mera posesión, tratamiento, cesión o divulgación se hallan protegidos y regulados por la Ley Nº 25.326 de Hábeas Data siendo la Dirección Nacional de Protección de Datos Personales”
Documento de Seguridad de
Datos
- 14 -
2. Se pueden definir perfiles como Jefe o Secretaria, si la firma los posee, y asignar a cada perfil, obligaciones y "privilegios". Puede haber varios empleados bajo un mismo perfil.
Proveedor externo y mantenimiento de sistemas
Obligaciones:
Mantener los sistemas de información funcionando correctamente manteniendo la integridad de los datos personales.
Acceder a toda la información que la empresa guarda en sus sistemas.
2- Descripción de los archivos con datos personales y los sistemas que los tratan
Listado de clientes, listado de proveedores, listado de personal, otros especificar.
Se utiliza programa de gestión administrativa marca y versión especificar.
Sistema operativo marca y versión especificar.
3- Descripción de las rutinas de control de datos y acciones a seguir ante errores.
Se debe instruir al personal involucrado para percibir las posibles inconsistencias u errores y corregirlos en el momento en el que tomen cuenta si el sistema lo permite, o den aviso al idóneo con la posibilidad de corregirlos.
- 15 -
4- Registros de incidentes de seguridad. Notificación, gestión y respuesta.
Se debe crear en el programa de email una carpeta DNPDP, y luego se pasan a ella todos los emails referidos a protección de datos personales.
Cuando ocurre algo que se considere un incidente de seguridad se redactan uno o más emails describiendo lo sucedido y las acciones tomadas para su solución y se los envía a otra cuenta.
Quedan de este modo registradas en esos emails, las fechas y horas, las características, y la solución del incidente.
También se puede llevar registro de incidentes en un capítulo de un Cuaderno de Informes de Sistemas donde se reportan todos los acontecimientos referidos a la Protección de Datos Personales, que se guarda bajo llave en el escritorio de Secretaria.
5- Procedimiento para efectuar las copias de respaldo y recuperación de datos (Backups)
Se copian las carpetas Documentos y ...(especificar otras)... a dos CD-ROM, y se verifica el correcto copiado con la rutina del programa de copiado, y también leyéndolos.
Se consigna en la superficie de los CDs la fecha, y las carpetas que se han copiado en él.
Se guarda un CD bajo llave en un mueble de la oficina de administración y otro es llevado al domicilio particular del dueño de la firma.
- 16 -
6- Relación actualizada entre los Sistemas de Información y Usuarios de datos.
Esta Relación entre los Sistemas y Usuarios, es congruente con los "privilegios" de cada perfil.
7- Procedimientos de identificación y autenticación de los Usuarios de datos.
El sistema posee "Cuentas de Usuario" únicas, que se asignan a cada persona que accede a él.
Cada cuenta posee una "password" secreta, sólo conocida por el usuario, que es requerida para autenticarse y acceder al sistema.
La password posee no menos de ocho caracteres y debe ser cambiada por el usuario cada 30 días ya que caduca automáticamente.
8- Control de acceso de Usuarios de datos.
De acuerdo a su "perfil" se asignan a los Usuarios llaves de las puertas de ingreso a cada sector de la firma.
Se asignan muebles y cajoneras con llaves particulares para cada Usuario.
En el sistema informático cada Usuario posee una cuenta con su "password", y con sus particulares "privilegios" de acceso a determinada información.
- 17 -
9- Medidas de prevención frente a amenazas de software malicioso.
• El sistema operativo posee un "Módulo de Seguridad" con Firewall para evitar el acceso no deseado de intrusos a través de la red Internet, y programa Antivirus residente en memoria que limita el ingreso de virus a través de redes, disquetes, CDs u otros dispositivos de ingreso.
• Este "Módulo de Seguridad" cuenta con una solicitud periódica y automática de actualización, que se lleva a cabo cada vez que ocurre.
10- Procedimiento que garantice la adecuada Gestión de los Soportes de datos.
• Los soportes de datos de respaldo, ej. CD-ROMs de Backup, se etiquetan indicando, fecha, y contenidos en general.
• Se asienta el backup en un capítulo que contiene el Cuaderno de Informes de Sistemas, donde copian lo escrito en la etiqueta del CD.
• Se redacta un email con idéntico contenido, se lo envía a otra cuenta y se lo pasa a la carpeta DNPDP previamente creada.
• Se guarda un CD bajo llave en un mueble de la oficina de administración y otro es llevado al domicilio particular del dueño de la firma.
• Cuando la información de un soporte de datos ya no sea útil y haya prescripto, se procederá a su destrucción, rayando su superficie y partiéndolo en pedazos antes de tirarlo a la basura.
• Se realizan el asiento de la operación en el Cuaderno de Informes de Sistemas, y en el email.
Firma Responsable de los Datos Personales
Firma Responsable de Seguridad
- 18 -
Disposición 5/2008 (29/05/08)
Aprueba las Normas de Inspección y Control con el fin de
Mejorar la gestión de tratamiento de datos personales por parte del
responsable
Regular el ejercicio de la facultad de inspección de la DNPDP
Mejorar la protección de los derechos del titular del dato
Alcance de la Inspección :
Verificación de medidas técnicas y organizativas del responsable del
manejo de los datos
Metodología de la Inspección:
Legalidad y corrección de los datos tratados.
Idoneidad de los empleados y profesionales que asesoran
Las Resoluciones de la DNPDP
- 19 -
4.3.1 Legalidad y corrección de los datos tratados.
4.3.1.1 Tipos de datos que se gestionan
4.3.1.2 Finalidad del tratamiento, servicios que se prestan
4.3.1.3 Origen o fuente de los datos, formas de recolección.
Verificación del consentimiento del titular
4.3.1.4 Cesiones a terceros. Cumplimiento requisitos legales
4.3.1.5 Transferencias internacionales. Cumplimiento requisitos legales
4.3.1.6 Mecanismos de disociación de la información personal
4.3.1.7 Destrucción de la información
4.3.2 Inscripciones vigentes en la DNPDP
4.3.3 Medidas de seguridad de la información
4.3.3.1 Cumplimiento de la Disp. DNDP 11/06
4.3.4 Política de privacidad
4.3.4.1 Análisis de las políticas.
4.3.4.4 Convenios de confidencialidad firmados por los
empleados
Disposición 5/2008 (29/05/08)
4.4.3.3. Legales, calificación del personal
4.4.3.3.1. Conocimiento de la responsabilidad
vinculada al tratamiento de datos
personales.
4.4.3.3.2. Tiempo de antigüedad en la actividad.
4.4.3.3.3. Estudios básicos.
4.4.3.3.4. Estudios y formación vinculados a la
protección de datos personales.
◦ 4.4.3.3.4.1. Cursos al ingreso - Cursos actualización
◦ 4.4.3.3.4.2. Internos, en la organización.
◦ 4.4.3.3.4.3. Externos.
•P
20
- 21 -
Será necesario el consentimiento del titular de los datos para actividades
publicitarias como el reparto de documentos, venta directa o la cesión de
datos entre empresas
“La transpolación de la información para ser utilizada con fines
publicitarios propios o de terceros importaría exceder la causa que
ha dado motivo a que la entidad cuente con esos datos: el
acuerdo celebrado con la entidad en ocasión de contratar determinado
producto” (Unión de Usuarios y Consumidores v. Citibank” CNCom.
Sala E, 12 de mayo 2006)
Se protege a los titulares de los datos con respecto a temas por ejemplo
el establecimiento de perfiles determinados o hábitos de consumo
Bases datos publicidad
•P
22
ENTIDADES
Esquema de
Responsabilidad
RESPONSABILIDAD
PATRIMONIAL
RESPONSABILIDAD
PENAL
RESPONSABILIDAD
ADMINISTRATIVAEN CASCADA
Multas de $ 1.000 a $ 300.000
Cancelación o Clausura del
Banco de datos
Art. 157 bis
Ley 26.388 Delitos Inform.
Responsable solidaria e
ilimitadamente por
daños derivados de
actos propios o de
terceros que, gracias a
el, accedan a la
información
- 23 -
Expte. 4282/2003 - "M. G. C. c/ Consorcio de Propietarios Lima 355 y otro s/ daños y perjuicios" - CNCIV - SALA I - 03/05/2005
"El consorcio actuó en forma lícita, pues al supeditar el ingreso del actor al edificio a que éste consintiera la captación de su imagen por el sistema de seguridad no comprometió su derecho a la intimidad, no contravino lo dispuesto por el art. 31 de la ley 11723 ni las normas de
la ley 25326, y procedió regularmente."
Análisis de los límites legales
- 24 -
Necesidad de las auditorías legales tecnológicas
La aplicación de los nuevos métodos de seguridad informática
Firma Digital
Códigos de Barra de dos dimensiones
Objetivos : Conciencia de las
responsabilidades de la ley
