Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Nivel 1

• PD.5-1: se han restringido los accesos a los datos personales mediante usuarios nominados y aplicando el principio de mínimo privilegio.
• PD.5-2: se han implementado medidas para restringir el acceso no autorizado a documentos físicos que contienen datos personales.

Nivel 2

• PD.5-3: se implementan medidas técnicas y organizativas necesarias para preservar la integridad, confidencialidad y disponibilidad de la información, garantizando así la seguridad de los datos personales.
• PD.5-4: se mantiene un registro de incidentes de seguridad que involucren datos personales, incluyendo la fecha y tipo de evento.

Nivel 3

• PD.5-5: se mantienen registros que permiten auditar el acceso a datos personales sensibles. Dichos registros permiten identificar quién accedió, en qué momento y a qué tipo de información.
• PD.5-6: existen procedimientos para notificar incidentes de seguridad a la URCDP dentro del plazo legal establecido, incluyendo la evaluación del impacto y acciones tomadas.
• PD.5-7: está definido un procedimiento formal para comunicar a los titulares de datos las vulneraciones de seguridad.

Nivel 4

• PD.5-8: se realizan simulaciones para verificar la eficacia de las medidas de seguridad aplicadas a los datos personales, incluyendo escenarios de incidentes o accesos indebidos.
• PD.5-9: la Dirección revisa periódicamente el tratamiento de los riesgos sobre datos personales y aprueba medidas estratégicas para reforzar su protección.

La organización debe implementar medidas orientadas a proteger los datos personales contra cualquier forma de adulteración, pérdida, acceso o tratamiento no autorizado. Esto incluye la detección de cualquier desviación de la información, ya sea intencional o accidental, originada por acciones humanas o fallos en los sistemas técnicos.

De acuerdo con el artículo 3 del decreto N°64/020, tanto el responsable como el encargado del tratamiento de datos deben adoptar las medidas técnicas y organizativas necesarias para preservar la integridad, confidencialidad y disponibilidad de la información, garantizando así la seguridad de los datos personales. Se recomienda considerar la adopción de estándares nacionales (como el presente Marco de Ciberseguridad) o internacionales de seguridad de la información.

En caso de incidentes de seguridad que resulten en la divulgación, destrucción, pérdida o alteración de datos personales, o el acceso no autorizado a estos, se deben iniciar procedimientos para minimizar el impacto de dichos incidentes dentro de las primeras 24 horas de haber sido constatados.

El artículo 4 establece que, tras constatar una vulneración de seguridad que afecte la protección de datos, el responsable del tratamiento debe notificarla a la Unidad Reguladora y de Control de Datos Personales (URCDP) en un plazo máximo de 72 horas. Esta comunicación debe incluir detalles relevantes como la fecha de la vulneración, su naturaleza, los datos personales afectados y los posibles impactos. Además, si la vulneración afecta significativamente los derechos de los titulares de los datos, debe comunicarse a estos en un lenguaje claro y sencillo. Una vez resuelta la vulneración, se debe elaborar y comunicar un informe detallado de la incidencia y las medidas adoptadas a la URCDP.

Los datos deben ser almacenados de manera que se permitan el ejercicio del derecho de acceso por parte de sus titulares, asegurando así su capacidad para revisar, modificar o eliminar su información personal conforme a la ley. Además, se prohíbe el registro de datos personales en bases de datos que no cumplan con las condiciones técnicas mínimas de integridad y seguridad. Esto implica la implementación de controles robustos (técnicos, personales y procesos) que protejan contra la manipulación indebida, el acceso no autorizado y otros riesgos potenciales, garantizando la confidencialidad, integridad y disponibilidad de la información. Las medidas pueden ser físicas, como, por ejemplo, utilizar llaves de seguridad, alarmas, control de ingreso, y también medidas lógicas, como por ejemplo usuarios nominados, contraseñas seguras y monitoreo, entre otras.

Los centros de salud están obligados a implementar medidas de seguridad para las historias clínicas, ya sea que estén en formato papel o electrónico.

Los centros de salud deben desarrollar políticas y procedimientos de seguridad de la información, designando además a un responsable para su gestión.

Además, durante la transferencia de información o traslado de documentos, se deben adoptar todas las medidas necesarias para preservar su confidencialidad e integridad. De igual manera, cualquier proceso de destrucción de información debe asegurar que los datos no puedan ser recuperados posteriormente.

Estos criterios de seguridad también deben aplicarse cuando el tratamiento de los datos esté a cargo de terceros en representación del centro asistencial, lo cual se debe gestionar aplicando las normativas específicas Ley 18.335 y decreto 274/010. 

• Medidas técnicas implementadas por cada base de datos.
• Registro de incidentes de seguridad que involucren datos personales, junto a sus fechas ciertas de detección, atención, reporte a la URCDP y reporte a los afectados.
• Procesos y procedimientos que permiten a los titulares hacer ejercicio de sus derechos.
• Matrices de control de acceso a los datos personales para las bases involucradas.

• Ley N° 18.331: Protección de datos personales y habeas data
• Artículos 3° y 4° del Decreto N°64/020
• Ley N° 18.335: Derechos y obligaciones de pacientes y usuarios de servicios de salud
• Decreto 274/010.
• Normativa complementaria y concordante.