SecureTech | cybersecurity and compliance blog

Los análisis me salieron bien :)

El título de este artículo no es un golpe bajo, o una ironía, en realidad quiero compartir con todos aquellos que hayan visto los resultados de los análisis clínicos que me realicé, que salieron bien!!

De acuerdo a la Ley 25326 de Protección de los Datos de Carácter Personal, hay una serie de datos que se consideran sensibles, recordemos la definición:

Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

Como se puede observar, los datos referentes a la salud se los considera sensibles. Ahora bien, para saber qué medidas de seguridad se deben implementar para poder proteger en forma adecuada a los datos de carácter personal, se ha publicado allá por el año 2006 la Disposición N° 11, que establece los 3 niveles (Básico, Medio, Crítico) de clasificación de los datos de carácter personal y las medidas correspondientes a cada uno de ellos:

La siguiente información corresponde a los datos correspondientes al Nivel Crítico:

Los archivos, registros, bases y bancos de datos que contengan datos personales, definidos como “datos sensibles”, con la excepción que se señalará más abajo, además de las medidas de seguridad de nivel Básico y Medio, deberán adoptar las que a continuación se detallan:

1. Distribución de soportes: cuando se distribuyan soportes que contengan archivos con datos de carácter personal —incluidas las copias de respaldo—, se deberán cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no puedan ser leídos o manipulados durante su transporte.

2. Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de un TRES (3) años.

3. Copias de respaldo: además de las que se mantengan en la localización donde residan los datos deberán implementarse copias de resguardo externas, situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localización. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales.

4. Transmisión de datos: los datos de carácter personal que se transmitan a través de redes de comunicación (1), deberán serlo cifrados o utilizando cualquier otro mecanismo que impida su lectura y/o tratamiento por parte de personas no autorizadas.

Nota: Quedan exceptuados de aplicar las medidas de seguridad de nivel crítico, los archivos, registros, bases y bancos de datos que deban efectuar el tratamiento de datos sensibles para fines administrativos o por obligación legal. No obstante, ello no excluye que igualmente deban contar con aquellas medidas de resguardo que sean necesarias y adecuadas al tipo de dato.

(1) Se trata de comunicaciones que salgan fuera de la red de la organización.

Como se puede observar, los datos de nivel crítico deben reunir la suma de los tres niveles en cuanto a las medidas de seguridad a implementar. Puntualmente en lo referido al transporte (4), se establece claramente que deben viajar cifrados. Si esto es así, ¿entonces por qué he recibido los resultados en un mail con un PDF adjunto?