AGENCIA
DE ACCESO A LA INFORMACIÓN PÚBLICA
Resolución 47/2018
RESOL-2018-47-APN-AAIP
Ciudad de Buenos Aires, 23/07/2018
VISTO el EX-2018-33523527-APN-DNPDP#AAIP, la Ley N° 25.326, la Ley N°
27.275, el Decreto N° 1558 del 29 de noviembre de 2001 modificado por
el Decreto N° 1160 del 11 de agosto de 2010, el Decreto N° 746 del 25
de septiembre de 2017, el Decreto N° 899 del 6 de noviembre de 2017,
las Disposiciones de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS
PERSONALES N° 11 del 22 de septiembre de 2006 y N° 9 del 3 de
septiembre de 2008; y
CONSIDERANDO:
Que por el artículo 19 de Ley N° 27.275 se creó la AGENCIA DE ACCESO A
LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional, en
la órbita de la JEFATURA DE GABINETE DE MINISTROS.
Que por el Decreto N° 746 del 25 de septiembre de 2017 se sustituyó el
artículo 19 de la Ley de Acceso a la Información Pública N° 27.275,
atribuyendo a la referida Agencia la facultad de actuar como Autoridad
de Aplicación de la Ley de Protección de Datos Personales N° 25.326,
como así también en su artículo 13, se incorporó como inciso t) al
artículo 24 del capítulo IV de la de la Ley 27.275 de Derecho de Acceso
a la Información Pública, la competencia de “Fiscalizar la protección
integral de los datos personales asentados en archivos, registros,
banco de datos, u otros medios técnicos de tratamiento de datos, sean
éstos públicos o privados destinados a dar informes, para garantizar el
derecho al honor y a la intimidad de las personas, y el acceso a la
información que sobre las mismas se registre”.
Que por el artículo 29 del ANEXO I al Decreto N° 1558 de fecha 29 de
noviembre de 2001, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS
PERSONALES en el ámbito de la entonces SECRETARÍA DE JUSTICIA Y ASUNTOS
LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, para
cumplir las funciones de órgano de control y autoridad de aplicación de
la Ley de Protección de Datos Personales N° 25.326 y su reglamentación.
Que el Decreto N° 899 de fecha 6 de noviembre 2017, reordenó el plexo
regulatorio vigente en relación a las competencias asignadas a los
organismos mencionados y de conformidad con los términos del artículo
19 de la Ley N° 27.275, sustituido por el artículo 11 del Decreto N°
746/17, atribuyó a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, el
ejercicio de la función de órgano de control de la Ley N° 25.326, que
hasta entonces detentaba la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN
DE DATOS PERSONALES dependiente del MINISTERIO DE JUSTICIA Y DERECHOS
HUMANOS.
Que, en virtud de lo expuesto, el Decreto N° 899/17 dispuso en su
artículo 2° que “Toda referencia normativa a la DIRECCIÓN NACIONAL DE
PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se
considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA” .
Que, entre las atribuciones asignadas a la AGENCIA DE ACCESO A LA
INFORMACIÓN PUBLICA se encuentra la de dictar las normas y
reglamentaciones que se deben observar en el desarrollo de las
actividades comprendidas en la Ley N° 25.326 artículo 29, inciso 1,
apartado b), como así también, la de controlar la observancia de las
normas sobre integridad y seguridad de los datos por parte de los
archivos, registros o bancos de datos, artículo 29, inciso 1, apartado
d), de la Ley N° 25.326.
Que, la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES
del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, dictó normas relativas a
las condiciones de seguridad que deben observarse para los archivos,
registros y bases o bancos de datos de carácter personal, y aprobó las
medidas de seguridad para el tratamiento y conservación de los datos
personales, que deben aplicar los responsables y usuarios de archivos,
registros, bases y bancos de datos públicos no estatales y privados.
Que mediante Disposición N° 11 de fecha 22 de Septiembre 2006 la
entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES aprobó el
documento “Medidas de Seguridad para el Tratamiento y Conservación de
los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases
de Datos Públicos no estatales y Privados”, como instrumento para la
especificación de la normativa de seguridad, al que debían adecuarse
los responsables y usuarios de archivos, registros, bases y banco de
datos públicos no estatales y privados.
Que, asimismo, por Disposición DNPDP N° 9 de fecha 3 de Septiembre de
2008 se aprobó un modelo de “Documento de Seguridad de Datos
Personales” que contenía los lineamientos indispensables mínimos que
permitía a los obligados diseñar un instrumento que se adecue a las
necesidades de su organización y cumpla con las normas dictadas en la
materia.
Que el desarrollo de la tecnología e internet ha evolucionado a lo
largo de los años a un ritmo vertiginoso, como así también las redes
sociales, los servicios de mensajería instantánea y el comercio a
través de la red. Ello pone en continuo riesgo la seguridad, integridad
y confidencialidad de la información que contiene datos personales.
Que, conscientes de la importancia que reviste el resguardo de la
integridad y seguridad de la información en materia de datos
personales, se propicia actualizar las medidas de seguridad que deben
observar quienes hagan tratamientos de datos personales en archivos,
registros, bancos y bases de datos públicos y privados, con el objeto
de eliminar y/o mitigar los riesgos de dicha información.
Que, de conformidad con lo prescripto por el artículo 9° de la Ley N°
25.326, el responsable o usuario del archivo de datos debe adoptar las
medidas técnicas y organizativas necesarias para garantizar la
seguridad y confidencialidad de los datos personales, a fin de evitar
su adulteración, pérdida, consulta o tratamiento no autorizado y que
permitan detectar desviaciones, intencionales o no, de información, ya
sea que los riesgos provengan de la acción humana o del medio técnico
utilizado.
Que el Decreto Nº 891 de fecha 1 de noviembre de 2017, aprueba las
“Buenas Prácticas en Materia de Simplificación”, propiciándose entre
otras medidas, la simplificación normativa y la mejora continua de los
procesos.
Que, esta AGENCIA DE ACCESO A LA INFORMACIÓN PUBLICA, en cumplimiento
de las funciones asignadas por la Ley N° 25.326 y en su carácter de
Órgano de Control, estima pertinente aprobar nuevas medidas de
seguridad recomendadas, las que resultan acordes con los estándares
internacionales a la fecha de su dictado, para la protección de la
confidencialidad e integridad de la información que contiene datos de
carácter personal en todo el proceso de tratamiento, desde su
recolección hasta su destrucción.
Que a tal fin, resulta necesario establecer nuevas medidas de seguridad
recomendadas para la administración, planificación, control y mejora
continua de la seguridad de la información, respecto al tratamiento de
los datos personales.
Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE
COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha
tomado la intervención que le compete.
Que, la presente medida se dicta en uso de las facultades conferidas
por el artículo 29, inciso 1, apartados b) y d) de la Ley N° 25.326,
modificatorios y complementarios.
Por ello,
EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1º.- Deróguense las Disposiciones de la entonces DIRECCIÓN
NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y
DERECHOS HUMANOS N° 11 del 22 de setiembre de 2006 y N° 09 del 3 de
septiembre de 2008.
ARTÍCULO 2°.- Apruébese el documento denominado “MEDIDAS DE SEGURIDAD
RECOMENDADAS PARA EL TRATAMIENTO Y CONSERVACION DE LOS DATOS PERSONALES
EN MEDIOS INFORMATIZADOS”, cuyo texto forma parte integrante de la
presente como Anexo I (IF-2018-34800234-APN-AAIP).
ARTÍCULO 3°.- Apruébese el documento denominado “MEDIDAS DE SEGURIDAD
RECOMENDADAS PARA EL TRATAMIENTO Y CONSERVACION DE LOS DATOS PERSONALES
EN MEDIOS NO INFORMATIZADOS” cuyo texto forma parte integrante de la
presente como Anexo II (IF-2018-34800290-APN-AAIP).
ARTÍCULO 4º.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL
REGISTRO OFICIAL y, oportunamente, archívese. Eduardo Andrés Bertoni
NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la
edición web del BORA -www.boletinoficial.gob.ar-
e. 25/07/2018 N° 53148/18 v. 25/07/2018
(Nota Infoleg: Los anexos referenciados en la presente norma han sido
extraídos de la edición web de Boletín Oficial.)
Anexo
Número:
IF-2018-34800234-APN-AAIP
CIUDAD DE BUENOS AIRES
Viernes 20 de Julio de 2018
Referencia: ANEXO I Medidas de
seguridad recomendadas para el tratamiento y conservación de los Datos
Personales en medios informatizados
ANEXO
I-
"Medidas de seguridad recomendadas
para el tratamiento y conservación de los Datos Personales en medios
informatizados".
De modo referencial y con el objetivo de facilitar el cumplimiento de
la Ley N° 25.326 de Protección de los Datos Personales, se establecen
las medidas de seguridad recomendadas para la administración,
planificación, control y mejora continua de la seguridad de la
información.
Los procesos aquí señalados reúnen el conjunto de tareas y
especialidades que las entidades pueden poseer, con estas u otras
denominaciones y en la composición orgánica que mejor satisfaga sus
intereses y funcionamiento.
La Ley N° 25.326 en su artículo 2° define: Datos Personales (en
adelante DP) a "Información de cualquier tipo referida a personas
físicas o de existencia ideal determinadas o determinables". Datos
Sensibles (en adelante DS) a "Datos personales que revelan origen
racial y étnico, opiniones políticas, convicciones religiosas,
filosóficas o morales, afiliación sindical e información referente a la
salud o a la vida sexual".
A - Recolección de datos
Relacionado con los procesos necesarios para asegurar la completitud e
integridad de los datos, minimizar los errores e implementar las
medidas técnicas con el objeto de asegurar la confidencialidad y
limitar el acceso durante la recolección.
DP
B - Control de acceso
Relacionado con la implementación de medidas de seguridad, mecanismos
de autenticación, segregación de roles y funciones, y demás
características del acceso a los sistemas para la protección de la
identidad y la privacidad.
DP
C - Control de cambios
Relacionado con la implementación de los procesos para identificar
fehacientemente a toda persona que acceda a realizar cambios en los
entornos productivos que contengan datos personales, garantizando su
identificación, autenticación y autorización correspondiente.
D - Respaldo y recuperación
Destinado a la implementación de los procesos de respaldo que permitan
una correcta recuperación ante un incidente que impida el acceso a la
información originalmente almacenada, definiendo prácticas de
seguridad, difusión, entrenamiento y capacitación, para el desarrollo
de tareas preventivas y correctivas de los incidentes de seguridad.
DP
E - Gestión de vulnerabilidades
Destinado a la implementación de procesos continuos de revisión que
permitan identificar, analizar, evaluar y corregir todas las
vulnerabilidades posibles de los sistemas informatizados que traten
información, aplicando técnicas de control de la integridad, registro,
trazabilidad y verificación.
DP
F - Destrucción de la información
Relacionado con la implementación de los procesos de eliminación de
datos, asegurando que el contenido confidencial sea debidamente
destruido, utilizando métodos de borrado seguro y aplicando un control
eficaz del proceso.
DP
G - Incidentes de seguridad
Relativo al tratamiento de los eventos y consecuentes incidentes de
seguridad que puedan afectar los datos personales, su detección,
evaluación, contención y respuesta, como así también las actividades de
escalamiento y corrección del entorno técnico y operativo.
DP
H - Entornos de Desarrollo
Relativo a la definición de los entornos de desarrollo de los sistemas
de información, sean propios o de terceros.
DP
Anexo
Número:
IF-2018-34800290-APN-AAIP
CIUDAD DE BUENOS AIRES
Viernes 20 de Julio de 2018
Referencia: ANEXO II Medidas de
seguridad recomendadas para el tratamiento y conservación de los Datos
Personales en medios NO informatizados
ANEXO
II -
"Medidas de seguridad recomendadas
para el tratamiento y conservación de los Datos Personales en medios NO
informatizados".
De modo referencial y con el objetivo de facilitar el cumplimiento de
la Ley N° 25.326 de Protección de los Datos Personales, se establecen
las medidas de seguridad recomendadas para la administración,
planificación, control y mejora continua de la seguridad de la
información.
Los procesos aquí señalados reúnen el conjunto de tareas y
especialidades que las entidades pueden poseer, con estas u otras
denominaciones y en la composición orgánica que mejor satisfaga sus
intereses y funcionamiento.
La Ley N° 25.326 en su artículo 2° define: Datos Personales (en
adelante DP) a "Información de cualquier tipo referida a personas
físicas o de existencia ideal determinadas o determinables". Datos
Sensibles (en adelante DS) a "Datos personales que revelan origen
racial y étnico, opiniones políticas, convicciones religiosas,
filosóficas o morales, afiliación sindical e información referente a la
salud o a la vida sexual".
A - Recolección de datos
Relacionado con los procesos necesarios para asegurar la completitud e
integridad de los datos minimizando los errores.
DP
B - Control de acceso
Relacionado con la implementación de medidas de seguridad para la
protección de la identidad y la privacidad.
DP
C - Conservación de la información
Relacionado con la implementación de las medidas de control de
ventilación, iluminación y demás condiciones que garanticen la
integridad física y funcional de la información.
DS
D - Destrucción de la información
Relacionado con la implementación de los procesos de eliminación de
datos, asegurando que el contenido confidencial sea debidamente
destruido, utilizando métodos de destrucción seguros y aplicando un
control eficaz.
DP
E - Incidentes de seguridad
Relativo al tratamiento de los eventos y consecuentes incidentes de
seguridad, que puedan afectar los datos personales, su detección,
evaluación, contención y tratamiento.
DP
