Impactos Legales en Sistemas de Información Protección de Datos Personales Habeas Data

Transcripción

1 Sistemas de Información para la Gestión Unidad 2: Impactos Legales en Sistemas de Información Protección de Datos Personales Habeas Data U.N.Sa. Facultad de Cs.Económicas SIG 2016 UNIDAD 2: RECURSOS DE TECNOLOGIA DE INFORMACIÓN Información 1. La Información: Propiedades de la Información. Sistemas de Información. Bases de Datos. 2. Toma de decisiones y sistemas de información. Sistemas e apoyo a la toma de decisiones. Sistemas de apoyo a ejecutivos y en grupos 3. Bases de datos e información: Entorno tradicional de archivos. Bases de datos y toma de decisiones. 4. Impacto ético, social y legal en la gestión de los sistemas de información. Políticas de Información y aseguramiento de la calidad de datos. Impactos legales en los Sistemas de Información. 1

2 Guía de temas -Sistema Protección Datos -Derechos titulares -Principios Generales -Habeas Data -Registro Documento Cuestionados -Registro Nacional No Llame -Drones -Facultades DNPDP ESCENARIO JURIDICO CONSTITUCION NACIONAL LEY Nº LEY N DECRETO 1558/2001 DISPOSICIONES DNPDP 2

3 CONCEPTO La protección integral de los datos personales garantiza el honor y la privacidad de la personas, como también el acceso a la información que sobre las mismas se registre Qué son los datos personales? Es información de cualquier tipo referida a personas físicas o de existencia ideal determinados o determinables OBJETIVOS DE UN SISTEMA DE PDP : Asegurar un nivel adecuado al cumplimiento de las normas Ofrecer apoyo y asistencia a los interesados en el ejercicio de sus derechos Ofrecer vías adecuadas de recursoa quienes resulten perjudicados en el caso de que no se observen las normas 3

4 DNPDP La Dirección Nacional de Protección de Datos Personales es el órgano descentralizado del Ministerio de Justicia y Derechos Humanos de la Nación para el control de la Ley de Protección de Datos Personales Ejerce las funciones encomendadas por la ley y su decreto reglamentario con plena independencia SISTEMA DE PROTECCION DE DATOS PERSONALES REGISTRO NACIONAL BASE DE DATOS REGISTRO NACIONAL DOCUMENTOS CUESTIONADOS REGISTRO NACIONAL NO LLAME 4

5 REGISTRO NACIONAL DE PDP Registro obligatorio de bases de datos personales dispuesto por la Ley Nº en la DNPDP Personas físicas o de existencia ideal privadas y publicas que sean titulares de bases de datos personales o realicen tratamiento de información personal CONCEPTOS DE LA LEY PDP Conjunto organizado de datos personales objeto de procesamiento Responsable BD Titular de una BD Titular de Datos Persona física o jurídica Base de Datos Datos Datos Personales Datos Sensibles salud, vida sexual Procesamiento Información de cualquier tipo referido a personas físicas y jurídicas Datos personales que revelan origen racial, étnico, opinión política, convicciones religiosas, Recolección, conservación, ordenamiento, modificación, relaciones de BD 5

6 DEFINICIONES Datos Personales:S/Persona Física o existencia Ideal Datos Sensibles: racial, político, religioso, filosófico,afiliaciones sindical, salud o vida sexual Archivo, registro, base o banco de datos:conj organizado de datos personales Tratamiento de los Datos:operaciones o procedimientos sistemáticos DEFINICIONES Responsable de Archivo, registro, base o banco de datos: Titular del archivo Datos Informatizados: Datos personales Titular de los Datos:Física o de existencia ideal cuyos datos sean objeto de tratamiento dentro de la Ley Usuario de los datos:usuario que efectúe tratamiento con los datos Disociación de datos:no pueda asociarse a personas determinada o determinable 6

7 Bases de datos sujetas a inscripción BD personales de organismos privados y privados, que excedan el uso exclusivamente personal y se destinen a dar informes deben inscribirse en la DNPDP. Qué beneficios obtengo con la inscripción? Cumplir con la Ley N Presunción de licitud de la base de datos. Confianza con los clientes. Mayor competitividad. Buenas Prácticas. Código de Conducta Sectorial Evitar Sanciones Certificado de Inscripción Isologotipo 7

8 PRINCIPIOS GENERALES Deben ser ciertos, adecuados, pertinentes, actualizados 1. CALIDAD Recolección no puede hacerse por medios d/ DATOS desleales No pueden ser utilizados para otras finalidades a las previstas Deben permitir derecho de acceso a su titular PRINCIPIOS GENERALES Para que el tratamiento de datos 2. CONSENsea LICITO debe mediar CONSENTIMIENTO TIMIENTO por escrito del titular 8

9 PRINCIPIOS GENERALES Finalidad y destinatarios Existencia de una base de datos, identidad domicilio de su responsable 3. INFORMACION Carácter obligatorio o facultativo de responder cuestionarios, en especial respecto a datos sensibles Consecuencias de proporcionar datos, su negativa o inexactitud de los mismos Posibilidad de ejercer derecho de acceso, rectificación y supresión de datos PRINCIPIOS GENERALES 4. DEBER DE CONFIDENCIALIDAD Secreto profesional sobre datos 9

10 PRINCIPIOS GENERALES 5. CESION Los DP solo pueden ser cedidos para cumplir con el interés legítimo del cedente y cesionario PRINCIPIOS GENERALES 6. TRANSFERENCIA Prohibido transferencia de DP INTERNACIONAL hacia organismos que no presenten niveles de protección adecuados Excepto colaboración judicial (PLA) internacional o transferencias bancarias o bursátiles 10

11 PRINCIPIOS GENERALES SEGURIDAD DE LOS DATOS - Artículo N 9 1. Responsable o usuario del archivo de datos debe adoptar medidas técnicas y organizativas para garantizar la seguridad y confidencialidad de los datos personales, evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones. PRINCIPIOS GENERALES SEGURIDAD DE LOS DATOS - Artículo N 9 2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad. 11

12 SEGURIDAD NIVELES DE SEGURIDAD DE LOS DATOS NIVEL BASICO datos personales NIVEL MEDIO datos sujetos a secreto fiscal, bancario, secreto penal, prestadoras de servicios públicos NIVEL ALTO datos sensibles MEDIDAS SEGURIDAD Documento Seguridad Personal Nivel Básico Medio Alto Medidas,normas, estándares Funciones personal Descripción BD Gestión Incidentes Back up Difusiónnormas e importancia cumplimiento Identificación resp. Seg. Revision doc seg Gestión desechos 12

13 Identificación y autenticación Control de Acceso MEDIDAS SEGURIDAD Nivel Básico Medio Alto Relación actualizada usuariosy accesos autorizados Criterio de acceso Gestión claves Mecanismos que eviten accesos a datos no autorizados Identificación inequívoca usuarios Limite accesos fallidos Control accesos fisico Gestión Soportes Back up MEDIDAS SEGURIDAD Nivel Básico Medio Alto Inventario Identificar informaciónque contiene Salida soporte autorizada Garantizar reconstrucción óptima de datos Copiasemanal por lo menos Registro in/out Medidasque impidan accesos indebido a datos al salir Cifrardatos en distribución Back up y recuperoen lugar diferente al de equipos 13

14 Auditorías MEDIDAS SEGURIDAD Nivel Básico Medio Alto Bianual Análisisresp. seg. y conclusiones Telecomunicaciones Transmisión datos cifrados PRINCIPIOS GENERALES PAUTAS DE SEGURIDAD DE LOS DATOS - recomendadas 1. Contar con un Documento de Seguridad de datos personales: Normativas de seguridad adecuadas a las disposiciones vigentes en materia de seguridad de datos de carácter personal dictadas por la DNPDP 2. Conforme niveles de seguridad de datos serán las medidas de seguridad específicas a efectos de garantizar la confidencialidad e integridad de la información y la correcta administración de riesgos expuestos 14

15 PRINCIPIOS GENERALES MEDIDAS MÍNIMAS DE SEGURIDAD recomendadas Identificar Responsable de Seguridad Auditorías que verifiquen cumplimiento de procedimientos e instrucciones vigentes en materia de seguridad de DP. Limitar posibilidad de accesos lógicos no autorizados Controlar acceso físico a locales donde se encuentren los DP Registrar las entradas y salidas de soportes informáticos identificando día y hora de entrada y salida del soporte, receptor, emisor, etc. PRINCIPIOS GENERALES MEDIDAS MÍNIMAS DE SEGURIDAD (cont) Copias de respaldo Procedimientos para la transferencia de Datos encriptación, etc En el caso de tener que recuperar datos del registro de incidentes de seguridad, se deberá identificar persona que recuperó y/o modificó dichos datos 15

16 PRINCIPIOS GENERALES DOCUMENTO DE SEGURIDAD DEBERIA CONTENER Funciones y obligaciones del personal Descripción de archivos con datos personales y sus sistemas de información Descripción de rutinas de controlde datos de los programas de ingreso de datos y las acciones a seguir ante errores detectados a efectos de su corrección Registros de incidentes de seguridad Procedimientos para realizar copias de respaldo y recuperación de datos PRINCIPIOS GENERALES EL DOCUMENTO DE SEGURIDAD (Cont) Adoptar medidas de prevención a efectos de impedir amenazas de software malicioso (virus, troyanos, etc) que puedan afectar archivos con datos personales Procedimiento que garantice una adecuada gestión de soportes 16

17 Esquema Documento de Seguridad 1. Funciones y obligaciones personal 2. Descripción archivos y sistemas de información; rutinas de control 3. Registro incidentes de seguridad 4. Procedimientos back up y recupero de datos 5. Relación actual SdeI y usuarios de datos 6. Procedimientos ID 7. Control acceso lógico y físico 8. Prevenir software malicioso 9. Procedimientos Gestión y Distribución de Soportes 10. Responsable de Seguridad 11. Auditorias INSPECCION Y CONTROL DNPDP Disp. N 5/2008 Inspecciones de oficio o a petición de un órgano publico o particular. Antelación no inferior a diez días hábiles Mejorar gestión tratamiento datos personales Evaluación grado de cumplimiento ley Recomendaciones mejor desempeño de responsables Verificación de medidas técnicas y organizativas desarrolladas 17

18 INSPECCION Y CONTROL DNPDP Disp. N 5/2008 CAPACITACION LEGALIDAD GESTION DATOS IDONEIDAD MEDIOS TRATAMIENTO DATOS CORRECTO TRATAMIENTO DATOS PUBLICIDAD ASESORIA LEGAL INFORMATICA DERECHOS DE LOS TITULARES DE DATOS - DERECHO DE INFORMACION - DERECHO DE ACCESO - CONTENIDO DE LA INFORMACION -DERECHO DE RECTIFICACION, ACTUALIZACION O SUPRESION DE DATOS 18

19 DERECHOS DE LOS TITULARES DE DATOS 1. DERECHO DE INFORMACION Al organismo de control referente a la existencia de bases de datos personales, finalidades y responsables DERECHOS DE LOS TITULARES DE DATOS 2. DERECHO DE ACCESO Para obtener información de datos personales incluidos en los bancos de datos públicos o privados La información solicitada se debe proporcionar dentro de los DIEZ días corridos de la notificación. Si no se satisface el pedido, quedará expedita la acción de hábeas data. 19

20 DERECHOS DE LOS TITULARES DE DATOS 3. CONTENIDO DE LA INFORMACION La información debe ser clara, amplia y completa. DERECHOS DE LOS TITULARES DE DATOS 4. DERECHO DE RECTIFICACION, ACTUALIZACION O SUPRESION DE DATOS El responsable o usuario del banco de datos, debe proceder a la rectificación, supresión o actualización de los datos personales en el plazo máximo de CINCO días hábiles de recibido el reclamo El incumplimiento de esta obligación dentro del término acordado habilitará a promover la acción de hábeas data. 20

21 REGISTRO NACIONAL DOCUMENTOS CUESTIONADOS Creado por Disposición DNPDP N 24/2010 Tiene por objetivo mantener actualizado un registro informatizado de documentos de identidad denunciados por autoridades públicas competentes y/o sus titulares con motivo de pérdida, hurto, robo o cualquier otra alteración REGISTRO NACIONAL NO LLAME Creado por Ley Tiene por objetivo concentrar en un solo ámbito números telefónicos de titulares que manifiesten su decisión de no ser contactados por las empresas que publiciten, oferten, vendan o regalen bienes o servicios mediante servicios de telefonía (cualquiera sea su modalidad), tales como telefonía básica, móvil, servicios de radiocomunicación móvil celular, comunicaciones móviles, SMS por IP, voz por IP, y cualquier otro servicio similar que la tecnología permita en el futuro. 21

22 USO DE DRONES Regulado por Disposición DNPDP 20/2015 Regula condiciones de licitud para recolectar datos personales a través de VANTs o Drones. Consentimiento previo Excepto Recolección de Datos: En un acto público En un evento privado siempre que respondan a usos y costumbres Por parte del Estado Nacional en ejercicio de sus funciones Atención a personas en situaciones de emergencia o siniestros Dentro de un predio de uso propio previendo mecanismos para que el público se informe de la recolección ACCION DE HABEAS DATA Quiénes pueden ejercerla? Para qué? Titular de datos Sobre quiénes? Responsables y Usuarios P R O C E D E N C I A Conocer datos personales almacenados en BD y su finalidad En caso de inexactitud, falsedad, desactualización, exigir su rectificación, supresión o actualización 22

23 Caso de Estudio Un cliente rescinde contrato de servicio de internet, la empresa asignó a un tercero homónimo la misma dirección de correo electrónico. Analizar licitud del tratamiento de este dato y alcance de la Ley Nº Caso de Estudio Conclusión DNPDP Finalizado el servicio el Denunciante dejó de ser el titular del correo electrónico, por lo que no cabe hacer lugar a la denuncia sustentada en la falta de su consentimiento para dicho tratamiento. Denunciada se le requiere política tratamiento de datos 23