Dra. Silvia Iglesias siglesias@itsb.com.

ar

ITSB Dra.CP Silvia Iglesias

La Ley 25326 de Hbeas Data Las funciones de la DNPDP Creacin e Inscripcin de Bases Normas de Seguridad de Datos Caractersticas de las Auditorias de Seguridad y Cumplimiento

ITSB Dra.CP Silvia Iglesias

Constitucin Nacional Art 43 Prrafo 3 Ley 25326 y modificacion es Disposicione s de la DNPDP

Decisin Administrati va N 669/04

ITSB Dra.CP Silvia Iglesias

Informacin de cualquier tipo referida a personas fsicas o de existencia ideal determinadas o determinables

Proteger los datos personales asentados en archivos, registros. banco de datos estn estos asentados en papel, disco rgido, CD, Diskette
Proveer calidad y confidencialidad a los datos Proveer Seguridad a todos los datos Tener los consentimientos informados para tratamiento y cesin Cumplir con los derechos de acceso, rectificacin, actualizacin o supresin Prohbe la generacin por automaticidad los perfiles de personalidad

ITSB Dra.CP Silvia Iglesias

Bsicos Intermedios Sensibles

Nombre y apellido, documento de identidad, identificacin tributaria o previsional, ocupacin, domicilio y fecha de nacimiento

Son los que superan a los bsicos y no son sensibles. Ejemplo remuneracin, estado civil, patrimonio, e-mail

Los que revelan origen racial y tnico, opiniones polticas, convicciones religiosas, filosficas o morales, afiliacin sindical e informacin referente a las salud o a la vida sexual

ITSB Dra.CP Silvia Iglesias

Se autoriza la Cesin de Datos Personales:

Para cumplir con los fines directamente relacionados con inters legtimo del Cedente y del Cesionario y Con el previo consentimiento del Titular de los Datos, otorgado una vez que se le hubiere informado sobre la finalidad de la Cesin e identificado al Cesionario o provisto los elementos que permitan hacerlo.

El cesionario queda sujeto a las mismas obligaciones legales y reglamentarias del cedente y ambos respondern solidariamente.

ITSB Dra.CP Silvia Iglesias

El Consentimiento NO es necesario cuando

As lo disponga una ley Se obtengan de fuentes de acceso pblico Se recabe para el ejercicio de las funciones del Estado o en virtud de una obligacin legal Se traten de datos limitados a: Nombre, DNI, CUIT/CUIL, Ocupacin, Fecha de Nacimiento y Domicilio Deriven de una relacin contractual, cientfica o profesional y resulten necesarios para el cumplimiento de la misma
ITSB Dra.CP Silvia Iglesias 7

Se traten de operaciones que se realicen con entidades financieras y de las informaciones que reciban de sus clientes (art. 39 Ley 21.526)

La Cesin es entre dependencias de los rganos del Estado Se trate de Datos Personales relativos a la Salud y sea necesario por razones de Salud Pblica, en tanto se preserve la identidad de los Titulares de los Datos Se hubiera aplicado un PROCEDIMIENTO DE DISOCIACIN de la informacin, de modo que los Titulares de los Datos NO sean identificables
ITSB Dra.CP Silvia Iglesias 8

El titular de los datos, previa acreditacin de su identidad, tiene derecho a solicitar y obtener informacin de sus datos personales incluidos en los bancos de datos pblicos, o privados destinados a proveer informes.

El responsable o usuario debe proporcionar la informacin solicitada dentro de los diez das corridos de haber sido intimado fehacientemente

El derecho de acceso a que se refiere este artculo slo puede ser ejercido en forma gratuita a intervalos no inferiores a seis meses, salvo que se acredite un inters legtimo al efecto.

El ejercicio del derecho al cual se refiere este artculo en el caso de datos de personas fallecidas le corresponder a sus sucesores universales.

ITSB Dra.CP Silvia Iglesias

Toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que sea titular, que estn incluidos en un banco de datos. El responsable o usuario del banco de datos, debe proceder a la rectificacin, supresin o actualizacin de los datos personales del afectado, realizando las operaciones necesarias a tal fin en el plazo mximo de cinco das hbiles de recibido el reclamo del titular de los datos o advertido el error o falsedad. En el supuesto de cesin, o transferencia de datos, el responsable o usuario del banco de datos debe notificar la rectificacin o supresin al cesionario dentro del quinto da hbil de efectuado el tratamiento del dato.

La supresin no procede cuando pudiese causar perjuicios a derechos o intereses legtimos de terceros, o cuando existiera una obligacin legal de conservar los datos. Durante el proceso de verificacin y rectificacin del error o falsedad de la informacin que se trate, el responsable o usuario del banco de datos deber o bien bloquear el archivo, o consignar al proveer informacin relativa al mismo la circunstancia de que se encuentra sometida a revisin. Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos.

ITSB Dra.CP Silvia Iglesias

10

Los responsables o usuarios de bancos de datos pblicos pueden, mediante decisin fundada, denegar el acceso, rectificacin o la supresin en funcin de la proteccin de la defensa de la Nacin, del orden y la seguridad pblicos, o de la proteccin de los derechos e intereses de terceros.

La informacin sobre datos personales tambin puede ser denegada por los responsables o usuarios de bancos de datos pblicos, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigacin sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigacin de delitos penales y la verificacin de infracciones administrativas. La resolucin que as lo disponga debe ser fundada y notificada al afectado.

Sin perjuicio de lo establecido en los incisos anteriores, se deber brindar acceso a los registros en cuestin en la oportunidad en que el afectado tenga que ejercer su derecho de defensa.

ITSB Dra.CP Silvia Iglesias

11

Fijar normativa Auditar cumplimiento Atender reclamos de personas fsicas y de existencia ideal

Fijar sanciones
Sancionar per s Sancionar a pedido de los jueces

ITSB Dra.CP Silvia Iglesias

12

Art. 117Bis 1 mes a 2 aos al que insertara o hiciere insertar a sabiendas datos falsos 6 meses a 3 aos al que proporcionara a un tercero, a sabiendas, informacin falsa La escala se elevar en la mitad del mnimo y del mximo cuando el hecho derive en perjuicio de una persona Cuando el autor o responsable del ilcito sea funcionario pblico en ejercicio de sus funciones, se le aplicar la accesoria de inhabilitacin para el desempeo de cargos pblicos por el doble del tiempo que el de la condena

Art. 153 Ser reprimido con prisin de quince (15) das a seis (6) meses el que abriere o accediere indebidamente a una comunicacin electrnica, una carta, un pliego cerrado, un despacho telegrfico, telefnico o de otra naturaleza, que no le est dirigido; o se apoderare indebidamente de una comunicacin electrnica, una carta, un pliego, un despacho u otro papel privado, aunque no est cerrado; o indebidamente suprimiere o desviare de su destino una correspondencia o una comunicacin electrnica que no le est dirigida. En la misma pena incurrir el que indebidamente interceptare o captare comunicaciones electrnicas o telecomunicaciones provenientes de cualquier sistema de carcter privado o de acceso restringido. La pena ser de prisin de un (1) mes a un (1) ao, si el autor adems comunicare a otro o publicare el contenido de la carta, escrito, despacho o comunicacin electrnica. Si el hecho lo cometiere un funcionario pblico que abusare de sus funciones, sufrir adems, inhabilitacin especial por el doble del tiempo de la condena.

Art. 157Bis Ser reprimido con prisin de un (1) mes a dos (2) aos e inhabilitacin especial de un (1) a cuatro (4) aos, el funcionario pblico que revelare hechos, actuaciones, documentos o datos, que por ley deben ser secretos. Ser reprimido con la pena de prisin de un (1) mes a dos (2) aos el que: 1. A sabiendas e ilegtimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales; 2. Ilegtimamente proporcionare o revelare a otro informacin registrada en un archivo o en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposicin de la ley. 3. Ilegtimamente insertare o hiciere insertar datos en un archivo de datos personales. Cuando el autor sea funcionario pblico sufrir, adems, pena de inhabilitacin especial de un (1) a cuatro (4) aos.

ITSB Dra.CP Silvia Iglesias

13

Las normas sobre creacin, modificacin o supresin de archivos, registros o bancos de datos pertenecientes a organismos pblicos deben hacerse por medio de disposicin general publicada en el Boletn Oficial de la Nacin o diario oficial.

Las disposiciones respectivas, deben indicar: a) Caractersticas y finalidad del archivo; b) Personas respecto de las cuales se pretenda obtener datos y el carcter facultativo u obligatorio de su suministro por parte de aqullas; c) Procedimiento de obtencin y actualizacin de los datos; d) Estructura bsica del archivo, informatizado o no, y la descripcin de la naturaleza de los datos personales que contendrn; e) Las cesiones, transferencias o interconexiones previstas; f) rganos responsables del archivo, precisando dependencia jerrquica en su caso; g) Las oficinas ante las que se pudiesen efectuar las reclamaciones en ejercicio de los derechos de acceso, rectificacin o supresin. En las disposiciones que se dicten para la supresin de los registros informatizados se establecer el destino de los mismos o las medidas que se adopten para su destruccin.

ITSB Dra.CP Silvia Iglesias

14

Identificar las bases clientes, proveedores, empleados. alumnos, docentes, egresados, entidades y organizaciones vinculadas, etc. Identificar a los responsables Identificar datos que contienen y los soportes Normalizar por tipo de datos Cuantificar las personas registradas en cada base Clasificar los datos en Bsicos, Intermedio y Sensibles Verificar la seguridad de los datos Identificar las cesiones y las transferencias Identificar a los cesionarios

ITSB Dra.CP Silvia Iglesias

15

Ubicacin y Responsable de cada Base

Tipo de Datos: identificatorio, econmico, fiscal, filiatorio, etc.

Cantidad de personas registradas en cada base Tiempo de Conservacin Forma en que se recaban los datos Forma en que se procesan y acceden Si se ceden y/o tercerizan tareas con quien Como se ejerce el derecho de acceso, rectificacin y supresin
ITSB Dra.CP Silvia Iglesias 16

Comit de Seguridad de la Informacin Responsable de Seguridad Informtica Poltica de Seguridad de la Informacin Organizacin de la seguridad

Clasificacin y control de activos

Seguridad del personal Seguridad fsica y ambiental Gestin de comunicaciones y operaciones Control de accesos Desarrollo y mantenimiento de sistemas Administracin de la continuidad de las actividades del organismo Cumplimiento
ITSB Dra.CP Silvia Iglesias 17

La auditora consiste en:

Un formulario con el detalle de documentos y controles para preparar la auditora enviado 10 das antes Entrevistas al personal responsable y usuarios de datos personales Revisin de contratos y consentimientos informados Revisin de los procesos de tratamiento de datos informatizados y manuales, incluida la comercializacin Revisin de la seguridad de datos segn Revisin de los Procesos que garanticen el Acceso, Modificacin y Supresin de Datos Personales por los Titulares de datos

10/11/2009

ITSB - Dra. Silvia Iglesias

18

Evalan:
Capacitacin de los Responsables de Bases Legalidad y correccin de los datos objeto de tratamiento(Licitud de los datos, Registro en la DNPDP, Medidas de Seguridad, Poltica de Privacidad) Idoneidad de los medios empleados en el tratamiento de los datos y en gestiones anexas (Materiales, Sistemas y Software. Personal, Procedimientos de derecho de acceso, atencin de reclamos, correccin de errores, comunicacin) Acatamiento de las disposiciones de la DNPDP

10/11/2009

ITSB - Dra. Silvia Iglesias

19

Consultas a: Dra. Silvia Iglesias Directora Ejecutiva ITSB Secretaria Comit Seguridad de la Informacin IRAM siglesias@itsb.com.ar Usuario Skype: siglesias62 Av. Belgrano 687 Piso 8 Of 33 (C1092AAG) CABA 011 5238-0707 www.itsb.com.ar