AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

Resolución 47/2018

RESOL-2018-47-APN-AAIP

Ciudad de Buenos Aires, 23/07/2018

VISTO el EX-2018-33523527-APN-DNPDP#AAIP, la Ley N° 25.326, la Ley N° 27.275, el Decreto N° 1558 del 29 de noviembre de 2001 modificado por el Decreto N° 1160 del 11 de agosto de 2010, el Decreto N° 746 del 25 de septiembre de 2017, el Decreto N° 899 del 6 de noviembre de 2017, las Disposiciones de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES N° 11 del 22 de septiembre de 2006 y N° 9 del 3 de septiembre de 2008; y

CONSIDERANDO:

Que por el artículo 19 de Ley N° 27.275 se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional, en la órbita de la JEFATURA DE GABINETE DE MINISTROS.

Que por el Decreto N° 746 del 25 de septiembre de 2017 se sustituyó el artículo 19 de la Ley de Acceso a la Información Pública N° 27.275, atribuyendo a la referida Agencia la facultad de actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326, como así también en su artículo 13, se incorporó como inciso t) al artículo 24 del capítulo IV de la de la Ley 27.275 de Derecho de Acceso a la Información Pública, la competencia de “Fiscalizar la protección integral de los datos personales asentados en archivos, registros, banco de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, y el acceso a la información que sobre las mismas se registre”.

Que por el artículo 29 del ANEXO I al Decreto N° 1558 de fecha 29 de noviembre de 2001, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES en el ámbito de la entonces SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, para cumplir las funciones de órgano de control y autoridad de aplicación de la Ley de Protección de Datos Personales N° 25.326 y su reglamentación.

Que el Decreto N° 899 de fecha 6 de noviembre 2017, reordenó el plexo regulatorio vigente en relación a las competencias asignadas a los organismos mencionados y de conformidad con los términos del artículo 19 de la Ley N° 27.275, sustituido por el artículo 11 del Decreto N° 746/17, atribuyó a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, el ejercicio de la función de órgano de control de la Ley N° 25.326, que hasta entonces detentaba la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES dependiente del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS.

Que, en virtud de lo expuesto, el Decreto N° 899/17 dispuso en su artículo 2° que “Toda referencia normativa a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA” .

Que, entre las atribuciones asignadas a la AGENCIA DE ACCESO A LA INFORMACIÓN PUBLICA se encuentra la de dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas en la Ley N° 25.326 artículo 29, inciso 1, apartado b), como así también, la de controlar la observancia de las normas sobre integridad y seguridad de los datos por parte de los archivos, registros o bancos de datos, artículo 29, inciso 1, apartado d), de la Ley N° 25.326.

Que, la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, dictó normas relativas a las condiciones de seguridad que deben observarse para los archivos, registros y bases o bancos de datos de carácter personal, y aprobó las medidas de seguridad para el tratamiento y conservación de los datos personales, que deben aplicar los responsables y usuarios de archivos, registros, bases y bancos de datos públicos no estatales y privados.

Que mediante Disposición N° 11 de fecha 22 de Septiembre 2006 la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES aprobó el documento “Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados”, como instrumento para la especificación de la normativa de seguridad, al que debían adecuarse los responsables y usuarios de archivos, registros, bases y banco de datos públicos no estatales y privados.

Que, asimismo, por Disposición DNPDP N° 9 de fecha 3 de Septiembre de 2008 se aprobó un modelo de “Documento de Seguridad de Datos Personales” que contenía los lineamientos indispensables mínimos que permitía a los obligados diseñar un instrumento que se adecue a las necesidades de su organización y cumpla con las normas dictadas en la materia.

Que el desarrollo de la tecnología e internet ha evolucionado a lo largo de los años a un ritmo vertiginoso, como así también las redes sociales, los servicios de mensajería instantánea y el comercio a través de la red. Ello pone en continuo riesgo la seguridad, integridad y confidencialidad de la información que contiene datos personales.

Que, conscientes de la importancia que reviste el resguardo de la integridad y seguridad de la información en materia de datos personales, se propicia actualizar las medidas de seguridad que deben observar quienes hagan tratamientos de datos personales en archivos, registros, bancos y bases de datos públicos y privados, con el objeto de eliminar y/o mitigar los riesgos de dicha información.

Que, de conformidad con lo prescripto por el artículo 9° de la Ley N° 25.326, el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales, a fin de evitar su adulteración, pérdida, consulta o tratamiento no autorizado y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

Que el Decreto Nº 891 de fecha 1 de noviembre de 2017, aprueba las “Buenas Prácticas en Materia de Simplificación”, propiciándose entre otras medidas, la simplificación normativa y la mejora continua de los procesos.

Que, esta AGENCIA DE ACCESO A LA INFORMACIÓN PUBLICA, en cumplimiento de las funciones asignadas por la Ley N° 25.326 y en su carácter de Órgano de Control, estima pertinente aprobar nuevas medidas de seguridad recomendadas, las que resultan acordes con los estándares internacionales a la fecha de su dictado, para la protección de la confidencialidad e integridad de la información que contiene datos de carácter personal en todo el proceso de tratamiento, desde su recolección hasta su destrucción.

Que a tal fin, resulta necesario establecer nuevas medidas de seguridad recomendadas para la administración, planificación, control y mejora continua de la seguridad de la información, respecto al tratamiento de los datos personales.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete.

Que, la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartados b) y d) de la Ley N° 25.326, modificatorios y complementarios.

Por ello,

EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1º.- Deróguense las Disposiciones de la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS N° 11 del 22 de setiembre de 2006 y N° 09 del 3 de septiembre de 2008.

ARTÍCULO 2°.- Apruébese el documento denominado “MEDIDAS DE SEGURIDAD RECOMENDADAS PARA EL TRATAMIENTO Y CONSERVACION DE LOS DATOS PERSONALES EN MEDIOS INFORMATIZADOS”, cuyo texto forma parte integrante de la presente como Anexo I (IF-2018-34800234-APN-AAIP).

ARTÍCULO 3°.- Apruébese el documento denominado “MEDIDAS DE SEGURIDAD RECOMENDADAS PARA EL TRATAMIENTO Y CONSERVACION DE LOS DATOS PERSONALES EN MEDIOS NO INFORMATIZADOS” cuyo texto forma parte integrante de la presente como Anexo II (IF-2018-34800290-APN-AAIP).

ARTÍCULO 4º.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese. Eduardo Andrés Bertoni

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 25/07/2018 N° 53148/18 v. 25/07/2018

(Nota Infoleg: Los anexos referenciados en la presente norma han sido extraídos de la edición web de Boletín Oficial.)




Anexo

Número: IF-2018-34800234-APN-AAIP

CIUDAD DE BUENOS AIRES

Viernes 20 de Julio de 2018

Referencia: ANEXO I Medidas de seguridad recomendadas para el tratamiento y conservación de los Datos Personales en medios informatizados

ANEXO I-

"Medidas de seguridad recomendadas para el tratamiento y conservación de los Datos Personales en medios informatizados".

De modo referencial y con el objetivo de facilitar el cumplimiento de la Ley N° 25.326 de Protección de los Datos Personales, se establecen las medidas de seguridad recomendadas para la administración, planificación, control y mejora continua de la seguridad de la información.

Los procesos aquí señalados reúnen el conjunto de tareas y especialidades que las entidades pueden poseer, con estas u otras denominaciones y en la composición orgánica que mejor satisfaga sus intereses y funcionamiento.

La Ley N° 25.326 en su artículo 2° define: Datos Personales (en adelante DP) a "Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables". Datos Sensibles (en adelante DS) a "Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual".

A - Recolección de datos

Relacionado con los procesos necesarios para asegurar la completitud e integridad de los datos, minimizar los errores e implementar las medidas técnicas con el objeto de asegurar la confidencialidad y limitar el acceso durante la recolección.

DP




B - Control de acceso

Relacionado con la implementación de medidas de seguridad, mecanismos de autenticación, segregación de roles y funciones, y demás características del acceso a los sistemas para la protección de la identidad y la privacidad.

DP




C - Control de cambios

Relacionado con la implementación de los procesos para identificar fehacientemente a toda persona que acceda a realizar cambios en los entornos productivos que contengan datos personales, garantizando su identificación, autenticación y autorización correspondiente.




D - Respaldo y recuperación

Destinado a la implementación de los procesos de respaldo que permitan una correcta recuperación ante un incidente que impida el acceso a la información originalmente almacenada, definiendo prácticas de seguridad, difusión, entrenamiento y capacitación, para el desarrollo de tareas preventivas y correctivas de los incidentes de seguridad.

DP




E - Gestión de vulnerabilidades

Destinado a la implementación de procesos continuos de revisión que permitan identificar, analizar, evaluar y corregir todas las vulnerabilidades posibles de los sistemas informatizados que traten información, aplicando técnicas de control de la integridad, registro, trazabilidad y verificación.

DP




F - Destrucción de la información

Relacionado con la implementación de los procesos de eliminación de datos, asegurando que el contenido confidencial sea debidamente destruido, utilizando métodos de borrado seguro y aplicando un control eficaz del proceso.

DP




G - Incidentes de seguridad

Relativo al tratamiento de los eventos y consecuentes incidentes de seguridad que puedan afectar los datos personales, su detección, evaluación, contención y respuesta, como así también las actividades de escalamiento y corrección del entorno técnico y operativo.

DP




H - Entornos de Desarrollo

Relativo a la definición de los entornos de desarrollo de los sistemas de información, sean propios o de terceros.

DP







Anexo

Número: IF-2018-34800290-APN-AAIP


CIUDAD DE BUENOS AIRES

Viernes 20 de Julio de 2018


Referencia: ANEXO II Medidas de seguridad recomendadas para el tratamiento y conservación de los Datos Personales en medios NO informatizados

ANEXO II -

"Medidas de seguridad recomendadas para el tratamiento y conservación de los Datos Personales en medios NO informatizados".

De modo referencial y con el objetivo de facilitar el cumplimiento de la Ley N° 25.326 de Protección de los Datos Personales, se establecen las medidas de seguridad recomendadas para la administración, planificación, control y mejora continua de la seguridad de la información.

Los procesos aquí señalados reúnen el conjunto de tareas y especialidades que las entidades pueden poseer, con estas u otras denominaciones y en la composición orgánica que mejor satisfaga sus intereses y funcionamiento.

La Ley N° 25.326 en su artículo 2° define: Datos Personales (en adelante DP) a "Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables". Datos Sensibles (en adelante DS) a "Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual".

A - Recolección de datos

Relacionado con los procesos necesarios para asegurar la completitud e integridad de los datos minimizando los errores.

DP




B - Control de acceso

Relacionado con la implementación de medidas de seguridad para la protección de la identidad y la privacidad.

DP




C - Conservación de la información

Relacionado con la implementación de las medidas de control de ventilación, iluminación y demás condiciones que garanticen la integridad física y funcional de la información.

DS



D - Destrucción de la información

Relacionado con la implementación de los procesos de eliminación de datos, asegurando que el contenido confidencial sea debidamente destruido, utilizando métodos de destrucción seguros y aplicando un control eficaz.

DP




E - Incidentes de seguridad

Relativo al tratamiento de los eventos y consecuentes incidentes de seguridad, que puedan afectar los datos personales, su detección, evaluación, contención y tratamiento.

DP