Guía de Implementación del Marco de Ciberseguridad 5.0

PD.1 Principio de legalidad

Requisito PD.1Principio de legalidad
ObjetivoAsegurar que el tratamiento de datos personales se realice conforme a la Ley 18.331 (Protección de datos personales y habeas data).
Controles

Nivel 1

  • PD.1-1: se lleva un inventario actualizado de bases de datos personales, incluyendo responsables, categoría de datos y sistemas que las soportan.
  • PD.1-2: todas las bases de datos que contienen datos personales están registradas ante la URCDP. 

Nivel 2

  • PD.1-3: se cuenta con un estudio de la normativa vigente que debe cumplir cada base de datos registrada.

Nivel 3

  • PD.1-4: se realizan revisiones periódicas del cumplimiento legal del tratamiento de datos personales en los sistemas y procesos de la organización.
  • PD.1-5: se implementan medidas correctivas cuando se detectan incumplimientos en materia de legalidad del tratamiento de datos.

Nivel 4

  • PD.1-6: se ha integrado la revisión del cumplimiento legal del tratamiento de datos personales dentro del proceso de auditoría interna.
Guía de implementaciónLas bases de datos que contengan datos personales deben cumplir con la normativa vigente y estar inscriptas en el registro correspondiente, el cual está a cargo de la Unidad Reguladora y de Control de Datos Personales (URCDP)
Instituciones de salud

La ley de protección de datos personales establece como datos sensibles aquellos datos que abarcan aspectos esenciales del individuo, como su salud, características físicas, ideología, y vida sexual, entre otros, requiriendo consentimiento expreso y escrito para su tratamiento.

Además, la ley también indica que la recolección de datos relativos a la salud debe realizarse por establecimientos sanitarios públicos o privados y por profesionales vinculados a las ciencias de la salud física o mental de los pacientes que acuden a ellos, o que estén o hubieran estado bajo tratamiento en aquellos.

La historia clínica incluye datos sensibles, detallando, entre otros: enfermedades, tratamientos, adicciones (si las tiene), información genética, y potencialmente datos sobre raza, sexualidad o creencias religiosas. Estos datos son cruciales para la asistencia sanitaria, asegurando que médicos y centros dispongan de la información necesaria para una atención adecuada.

El centro de salud debe mantener una historia clínica detallada, ya sea en formato papel o electrónico, que registre la trayectoria de salud del individuo desde su nacimiento hasta su fallecimiento. Además, el tratamiento de este tipo de datos sensibles requiere el consentimiento expreso y escrito de los titulares de los datos. Esto implica que, si un usuario cambia de institución o de sistema de cobertura de salud, para obtener la historia clínica completa de la institución de origen, es necesario contar con dicho consentimiento, basándose en la normativa vigente. Asimismo, esta ley establece que únicamente las instituciones autorizadas para tratar datos sensibles pueden crear bases de datos con este tipo de contenido. Sin perjuicio de la normativa en materia de salud que permite el traspaso de historias clínicas de un prestador a otro. 

Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Listado de bases de datos con datos personales.
  • Evidencia del registro de las bases de datos personales, con la debida resolución de inscripción a la URCDP.
  • Evidencia de los consentimientos de comunicación de datos personales sensibles.
  • Listado de sistemas que dan soporte a las bases de datos personales.
Normativa asociada

Ley N° 18.331: Protección de datos personales y habeas data

Normativa complementaria y concordante

Etiquetas