Protección de Datos Personales La Ley aplicada a nuestro día a día Protección de Datos...
24
Protección de Datos Personales Protección de Datos Personales La Ley aplicada a nuestro La Ley aplicada a nuestro día a día día a día Marzo 2011 Marzo 2011
-
Upload
balduino-bonilla -
Category
Documents
-
view
109 -
download
1
Transcript of Protección de Datos Personales La Ley aplicada a nuestro día a día Protección de Datos...
Protección de Datos PersonalesProtección de Datos Personales
La Ley aplicada a nuestro La Ley aplicada a nuestro
día a díadía a día
Protección de Datos PersonalesProtección de Datos Personales
La Ley aplicada a nuestro La Ley aplicada a nuestro
día a díadía a día
Marzo 2011Marzo 2011
Introducción
Conceptos, alcance y responsabilidades
Casos aplicados
Acciones realizadas y a realizar
Conclusiones
Preguntas y respuestas
2
AgendaAgenda
IntroducciónIntroducción
La Ley 25326 de Protección de Datos Personales es una norma vigente y de alcance nacional, que tiene por objetivo la protección integral de los datos personales asentados.
El Consejo entiende que es de vital importancia la capacitación de todos sus colaboradores acerca del contenido de la Ley, de la forma en que ésta alcanza y afecta al trabajo de todos.
Teniendo estos objetivos por delante, estas charlas brindarán conocimientos y herramientas de aplicación en el ámbito laboral y personal, generando conciencia acerca de los derechos, obligaciones y responsabilidades por ella asignados.
3
ConceptosConceptos
Titular: persona cuyos datos sean objeto de tratamiento.
Responsable: persona física o de existencia ideal, pública o privada, propietario de un archivo, registro o base de datos.
Usuario: persona pública o privada que realice el tratamiento de los datos, directamente o a través de conexión con los mismos.
Archivo de datos: conjunto organizado de datos personales que sean objeto de tratamiento.
Tratamiento: operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, almacenamiento, modificación, destrucción y en general, el procesamiento de datos personales, así como su cesión a terceros.
4
Conceptos (cont.)Conceptos (cont.)
5
USUARIO
TITULAR
RESPONSABLE
Archivo de datos
Tratamientode datos
Sr. Juan PérezAv. Rivadavia 1234Tel. 4433-3344CUIT 20-12345678-9
DATOS PERSONALES
AlcanceAlcance
Proteger los datos personales asentados en archivos, registros, bases o bancos de datos.
Estén soportados en papel, planillas, bases de datos, CDs, pendrives, o cualquier dispositivo de almacenamiento.
Son datos personales la información referida a personas físicas o jurídicas, determinadas o determinables.
Son datos personales sensibles aquellos que revelen origen racial, étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical, referentes a la salud o a la vida sexual.
Son bases lícitas aquellas que están registradas y aseguradas según indica la Ley. 6
Alcance (cont.)Alcance (cont.)
7
Principios del tratamiento de datos:
Finalidad Licitud Consentimiento Calidad de los datos Información Categoría Seguridad de los datos Confidencialidad Cesión Disociación
ResponsabilidadesResponsabilidades
La DNPDP es el órgano nacional que controla los archivos, registros, bases o bancos de datos registrados, asegurando la efectiva tutela de los datos personales de los titulares.
Los responsables y usuarios de los datos están obligados a adoptar medidas de seguridad que deben abarcar tanto pautas técnicas como capacitación al personal sobre estos temas.
La DNPDP tiene facultades para regular los requisitos de dichas medidas de seguridad y controlar su efectiva implementación.
8
Administrar bases de datos registradas.
Proveer calidad, confidencialidad y seguridad a los datos asentados.
Cumplir con los derechos de los titulares en cuanto al acceso, rectificación, actualización y/o supresión de los datos.
Brindar información de sus datos personales dentro de los 10 (diez) días corridos de solicitados.
Rectificar, actualizar y/o suprimirlos en un plazo máximo de 5 (cinco) días hábiles del reclamo, sin cargo alguno para el interesado.
Tener los consentimientos informados para el tratamiento y cesión de datos.
Responsabilidades Responsabilidades (cont.)(cont.)
9
Casos aplicadosCasos aplicados
10
En la oficina de Recursos Humanos de una fábrica existe un fichero rotativo donde se registran los datos básicos de los empleados de planta (nombre y apellido, dirección y teléfono). Este fichero está accesible arriba de un escritorio y es utilizado para comunicarse con los empleados en caso de reprogramación de turnos de trabajo.
Datos personales básicos.Datos personales básicos. Seguridad física inadecuada.Seguridad física inadecuada. Concientización al personal.Concientización al personal.
Casos aplicados (cont.)Casos aplicados (cont.)
11
Los analistas de un proveedor de software tienen en sus notebooks (a veces en discos extraíbles) una copia del sistema y de las bases de datos de sus clientes, a los efectos de permitirles efectuar modificaciones a los programas y responder rápidamente a las consultas que surjan, independientemente de donde se encuentren.
Datos personales de terceros.Datos personales de terceros. Exposición de información no autorizada.Exposición de información no autorizada. Cláusula de cesión de datos.Cláusula de cesión de datos. Acuerdo de confidencialidad.Acuerdo de confidencialidad. Medidas de seguridad.Medidas de seguridad. Disociación de datos.Disociación de datos.
Casos aplicados (cont.)Casos aplicados (cont.)
12
En una obra social acostumbran imprimir las historias clínicas de los asociados en la impresora general que tienen disponible en el pasillo del hall. Debido a que varias veces quedan listados sin retirar al finalizar el día, dieron órdenes al personal de limpieza de la noche que tiren a la basura todos los papeles que se encuentren.
Información personal sensible.Información personal sensible. Exposición en lugares de libre acceso.Exposición en lugares de libre acceso. Seguridad física inadecuada.Seguridad física inadecuada. Acuerdo de confidencialidad con terceros.Acuerdo de confidencialidad con terceros. Reubicación de impresoras.Reubicación de impresoras. Destrucción de información sensible.Destrucción de información sensible.
Casos aplicados (cont.)Casos aplicados (cont.)
13
En un club de fútbol comenzaron a enviar a sus asociados publicidad de los productos ofrecidos por los sponsors del estadio. Hubieron varios reclamos para suprimir los datos por la cantidad de publicidad recibida y entonces decidieron entregarles una copia de sus registros a los sponsors para que ellos los enviaran por su cuenta.
Atención de reclamos.Atención de reclamos. Cesión de datos inadecuada.Cesión de datos inadecuada. Licitud de datos.Licitud de datos. Finalidad distinta a la obtenida.Finalidad distinta a la obtenida. Prestación de consentimiento.Prestación de consentimiento.
Casos aplicados (cont.)Casos aplicados (cont.)
14
Empleados de una agencia de comunicaciones utilizan herramientas informáticas para mantener actualizados a sus clientes de las novedades políticas y económicas a través de correos electrónicos. Para agilizar la gestión y como tienen mucho personal temporal, todas las computadoras poseen la misma contraseña de acceso.
Accesos irrestrictos a datos.Accesos irrestrictos a datos. Inadecuada seguridad informática.Inadecuada seguridad informática. Responsabilidad por la gestión.Responsabilidad por la gestión. Acuerdos de confidencialidad.Acuerdos de confidencialidad. Concientización al personal.Concientización al personal.
Participación del Censo Nacional de Banco de Datos (2004).
Relevamiento de las bases de datos del Consejo (2007).
Inscripción en la DNPDP (2007):
– Matriculados,– Asociados a Simeco,– Estudiantes,– Legajos, y– Proveedores.
Relevamiento de temas relacionados con la Ley 25326 en áreas/sectores certificados (2009/2010).
Realización de charlas de concientización al personal sobre temas de Seguridad de la Información (2009 a la fecha).
Acciones realizadasAcciones realizadas
15
Formalización de marcos normativos (2009/2010):
– Manual de Políticas y Normas de Seguridad de la Información,
– Procedimientos varios de Gestión Administrativa,– Acuerdos de Confidencialidad,– Código de Conducta, entre otros.
Aseguramiento de los recursos informáticos y aplicativos utilizados (2009 a la fecha).
Confección de documentación técnica de los sistemas que administran las bases de datos inscriptas (2009/2010).
Consentimientos para el tratamiento de los Datos Personales del Matriculado (2009 a la fecha).
Acciones realizadas Acciones realizadas (cont.)(cont.)
16
Realización de charlas de concientización sobre el tratamiento de Datos Personales a Jefes y Gerentes (2010).
Creación del Comité de Protección de Bases de Datos (2010).
Adecuaciones de todos los Formularios donde se recolectan Datos Personales de Matriculados (2010/2011).
Inscripción en la DNPDP de la base de Datos vinculados con el Matriculado (2011).
Información a Matriculados (2010/2011):
– Filmación en lugares comunes, y– Grabación de las conversaciones telefónicas.
Acciones realizadas Acciones realizadas (cont.)(cont.)
17
Concientización obligatoria anual a todo el personal sobre temas relacionados con la Ley 25326.
Renovación del Acuerdo de Confidencialidad en áreas que administran Datos Sensibles:
– Consejo Salud,– Tribunal de Etica,– Subsidios,– Consejito,– Recursos Humanos, y– Administración.
Acciones a realizarAcciones a realizar
ACUERDO DE CONFIDENCIALIDAD
El que suscribe, , DNI , declara conocer y
acepta todas las obligaciones emergentes de la Política de Seguridad de la Información adoptada por el CONSEJO PROFESIONAL DE CIENCIAS ECONOMICAS DE LA CIUDAD AUTONOMA DE BUENOS AIRES (en adelante el Consejo)en el que desempeño mis funciones, así como también de todas las normas, procedimientos y prácticas que surjan. Mediante la suscripción del presente instrumento, me comprometo a usar la información adquirida en el ejercicio o con motivo del ejercicio de mis funciones solamente para el uso específico al que se la ha destinado y a no comunicar, diseminar o de alguna otra forma hacer pública la información a ninguna persona o entidad, salvo en caso que la clasificación que se le hubiese asignado así lo permita o mediase su aprobación previa y por escrito. Para el caso de ser necesario entregar información a terceras personas, me comprometo a verificar previamente que el destinatario de la información y/o el organismo en el cual desempeña sus tareas, haya suscripto un compromiso o acuerdo de confidencialidad que lo obligue a no divulgar a terceros la información recibida, haciéndome responsable de los daños y perjuicios que pudiere causar su difusión en caso de no tomar esta medida. La obligación de reserva o confidencialidad asumida en virtud del presente compromiso, seguirá vigente por un plazo de 5 (cinco) años después de finalizada la tarea encomendada y aún después de la rescisión o resolución contractual o el cese o interrupción de la relación de empleo que me vincula con el Consejo, haciéndome responsable de los daños y perjuicios que pudiere causar la difusión de datos o informes no autorizados. El presente compromiso, de ninguna manera sustituye la normativa vigente aplicable a la función que desempeño en lo relativo a las obligaciones de secreto y reserva previstas en el Art. 85 de la Ley 20744 (t.o. 1976), en la Ley 24766, en la Ley 25326 de Protección de Datos Personales, y al delito de violación de secreto tipificado en el Art. 156 del Código Penal de la Nación. Todo incumplimiento de las obligaciones de confidencialidad que asumo por este acuerdo faculta al Consejo para disponer la extinción del contrato de trabajo con justa causa y para iniciar las acciones judiciales que correspondan, como parte querellante, por los daños y perjuicios que produjere.
Firma:
Aclaración:
Nº de documento:
Fecha:
18
Continuar con la adecuación de perfiles de usuarios y permisos de accesos a los sistemas aplicativos.
Adecuaciones de formularios y pantallas conteniendo exclusivamente la información requerida según el nivel de acceso otorgado.
Incorporación de mejoras en los procedimientos relacionados con la administración de datos personales y sensibles.
Continuar con la realización de charlas de concientización al personal sobre temas de seguridad de la información.
Ejecución de auditorías de revisión de escritorios limpios.
Acciones a realizar Acciones a realizar (cont.)(cont.)
19
La Ley 25.326 es una norma de orden público y alcance nacional.Los responsables y usuarios tienen responsabilidad sobre el tratamiento y gestión que se realice con los datos.Se requiere adoptar medidas de seguridad, con condiciones técnicas de integridad y seguridad en los archivos de datos personales que se gestionen.Se requiere observar y hacer observar a los miembros de la organización como a terceros con acceso a los datos el cumplimiento de las normas vigentes.La inspección incluye temas de tratamiento y gestión de datos personales, capacitación al personal, aspectos legales, acuerdos de confidencialidad, medidas implementadas de seguridad informática, documentación de los sistemas y revisiones de auditoría.
ConclusionesConclusiones
20
En el Consejo Profesional de Ciencias Económicas de CABA:
Todos tenemos la responsabilidad de cumplir y hacer cumplir lo dispuesto por la Ley 25326.Se deben registrar las bases de datos administradas, proveyendo calidad, confidencialidad y seguridad a los datos allí asentados, como así también obtener el consentimiento para el tratamiento y cesión de los datos si fuera necesario.El personal que atiende a Matriculados y público en general debe conocer los derechos que poseen los titulares, en cuanto al acceso, rectificación, actualización y/o supresión de sus datos personales.El personal que administra y/o trata datos sensibles debe conocer la importancia de su origen y velar por su protección y seguridad.
Conclusiones (cont.)Conclusiones (cont.)
21
El personal que participa en la definición de circuitos administrativos y/o confecciona procedimientos y formularios debe conocer lo dispuesto por la Ley y aplicarlo en su trabajo diario.El personal de Sistemas debe considerar la necesidad de visibilidad de los datos expuestos en pantallas, listados y consultas, como así también la inclusión de rutinas de control de campos que aseguren su integridad y veracidad. También deben mantener disponible documentación técnica y funcional de todos los desarrollos relacionados.El personal de Seguridad Informática debe asegurar que todos los recursos tecnológicos y datos administrados se encuentren debidamente protegidos y sean accedidos exclusivamente por el personal autorizado según responsabilidades y funciones definidas.
Conclusiones (cont.)Conclusiones (cont.)
22
El personal de Asuntos Legales debe considerar cláusulas de confidencialidad y de cesión de datos en todos los acuerdos contractuales que se realicen.Todo el personal del Consejo debe:
Cumplir con las normativas institucionales vigentes.Proteger los datos personales administrados, independientemente de su forma y ubicación.Asegurar la calidad, integridad y confidencialidad de los datos tratados.Utilizar exclusivamente las herramientas y sistemas informáticos provistos para su tratamiento.No divulgar ni compartir sus cuentas de usuarios y claves personales de acceso.
Conclusiones (cont.)Conclusiones (cont.)
23
24
Preguntas y respuestasPreguntas y respuestas
Muchas graciasMuchas gracias
