La Ley de Protección de Datos Personales exige que todo aquel que efectue operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relevamiento, evaluación, bloqueo, destrucción, y en general, el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, interconexiones o transferencias,  debe adoptar medidas técnicas y organizativas adecuadas a los riesgos que presenta el tratamiento de este tipo de información.

Así lo establece el artículo 9, inciso 1 de la Ley 25.326 cuando al referirse a la seguridad de los datos señala que el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. 

Además, el inciso 2º del artículo citado prohibe registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.

Se trata de otra obligación tendiente a garantizar la integridad y seguridad de los datos personales incorporados en los archivos, registros, bancos o bases de datos alcanzados por la Ley.

El responsable del archivo, registro, banco o base de datos es quien debe determinar la implantación de las medidas de seguridad pertinentes y los usuarios quienes deben respetarlas y cumplirlas estrictamente.

El Decreto 1558/01 estableció que la Dirección Nacional de Protección de Datos Personales es el organismo encargado de dictar las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad de los archivos, registros, bases y bancos de datos públicos y privados.

A través de la Disposición Nº 11/2006, la Dirección Nacional de Protección de Datos ha establecido las medidas de seguridad para el tratamiento y conservación de los datos personales que deben observar los responsables y usuarios de archivos, registros, bases y bancos de datos públicos no estatales y privados.

A tal fin, dispuso que el "Documento de Seguridad de Datos Personales” es el instrumento creado para la especificación de la normativa de seguridad, el que deberá adecuarse en todo momento a las disposiciones vigentes en la materia y que, de acuerdo a la naturaleza de la información tratada, se establecen tres (3) niveles de seguridad: Básico, Medio y Crítico.

A cada uno de estos niveles se le exigen diferentes medidas de seguridad, establecidas teniendo en cuenta la mayor o menor necesidad de garantizar la confidencialidad e integridad de la información contenida en el banco de datos respectivo; la naturaleza de los datos y la correcta administración de los riesgos a que están expuestos, así como también el mayor o menor impacto que tiene en las personas el hecho de que la información registrada en los archivos no reúna las condiciones de integridad y confiabilidad debidas.

El plazo para implementar las medidas exigidas depende del tipo de datos tratados, se cuenta desde la fecha de publicación de la Disposición que dispuso su creación y es de doce (12) meses para las medidas de seguridad de nivel básico, de veinticuatro (24) meses para las medidas de seguridad de nivel medio y de treinta y seis (36) meses para las medidas de seguridad de nivel crítico.

El 22 de Septiembre de 2007 venció el plazo para implementar las medidas de seguridad de nivel básico, motivo por el cual, la Dirección Nacional de Protección de Datos Personales ha comenzado a supervisar su cumplimiento. A tal fin, ha implementado un formulario electrónico de "prefiscalización" previo a la inspección que podrá efectuar ante los responsables de las bases de datos privadas que han sido registradas.

Para esta etapa es fundamental la redacción de un Documento de Seguridad que describa los procedimientos y las medidas de seguridad básicas que se han implementado para garantizar la seguridad de la información almacenada en las bases de datos.

A través de la Disposición Nº 9/2008, la Dirección Nacional de Protección de Datos Personales decidió prorrogar por doce (12) meses el plazo de entrada en vigencia de las medidas de seguridad de nivel medio y por 24 (veinticuatro) meses el plazo de entrada en vigencia de las medidas de seguridad de nivel crítico, por lo que el plazo para instrumentarlas comenzará a ser exigido en los meses de septiembre del año 2009 y 2010, respectivamente.

Si desea recibir información y asesoramiento relacionado con la implementación de las medidas de seguridad exigidas por el organismo de control y la redacción del Documento de Seguridad, no dude en contactarnos.