PD.5 Principio de seguridad de los datos
Requisito PD.5 | Principio de seguridad de los datos |
---|---|
Objetivo | Definir las medidas que deben adoptar los responsables o usuarios de bases de datos para garantizar la seguridad y la confidencialidad de los datos personales. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | La organización debe implementar medidas orientadas a proteger los datos personales contra cualquier forma de adulteración, pérdida, acceso o tratamiento no autorizado. Esto incluye la detección de cualquier desviación de la información, ya sea intencional o accidental, originada por acciones humanas o fallos en los sistemas técnicos. De acuerdo con el artículo 3 del decreto N°64/020, tanto el responsable como el encargado del tratamiento de datos deben adoptar las medidas técnicas y organizativas necesarias para preservar la integridad, confidencialidad y disponibilidad de la información, garantizando así la seguridad de los datos personales. Se recomienda considerar la adopción de estándares nacionales (como el presente Marco de Ciberseguridad) o internacionales de seguridad de la información. En caso de incidentes de seguridad que resulten en la divulgación, destrucción, pérdida o alteración de datos personales, o el acceso no autorizado a estos, se deben iniciar procedimientos para minimizar el impacto de dichos incidentes dentro de las primeras 24 horas de haber sido constatados. El artículo 4 establece que, tras constatar una vulneración de seguridad que afecte la protección de datos, el responsable del tratamiento debe notificarla a la Unidad Reguladora y de Control de Datos Personales (URCDP) en un plazo máximo de 72 horas. Esta comunicación debe incluir detalles relevantes como la fecha de la vulneración, su naturaleza, los datos personales afectados y los posibles impactos. Además, si la vulneración afecta significativamente los derechos de los titulares de los datos, debe comunicarse a estos en un lenguaje claro y sencillo. Una vez resuelta la vulneración, se debe elaborar y comunicar un informe detallado de la incidencia y las medidas adoptadas a la URCDP. Los datos deben ser almacenados de manera que se permitan el ejercicio del derecho de acceso por parte de sus titulares, asegurando así su capacidad para revisar, modificar o eliminar su información personal conforme a la ley. Además, se prohíbe el registro de datos personales en bases de datos que no cumplan con las condiciones técnicas mínimas de integridad y seguridad. Esto implica la implementación de controles robustos (técnicos, personales y procesos) que protejan contra la manipulación indebida, el acceso no autorizado y otros riesgos potenciales, garantizando la confidencialidad, integridad y disponibilidad de la información. Las medidas pueden ser físicas, como, por ejemplo, utilizar llaves de seguridad, alarmas, control de ingreso, y también medidas lógicas, como por ejemplo usuarios nominados, contraseñas seguras y monitoreo, entre otras. |
Instituciones de salud | Los centros de salud están obligados a implementar medidas de seguridad para las historias clínicas, ya sea que estén en formato papel o electrónico. Los centros de salud deben desarrollar políticas y procedimientos de seguridad de la información, designando además a un responsable para su gestión. Además, durante la transferencia de información o traslado de documentos, se deben adoptar todas las medidas necesarias para preservar su confidencialidad e integridad. De igual manera, cualquier proceso de destrucción de información debe asegurar que los datos no puedan ser recuperados posteriormente. Estos criterios de seguridad también deben aplicarse cuando el tratamiento de los datos esté a cargo de terceros en representación del centro asistencial, lo cual se debe gestionar aplicando las normativas específicas Ley 18.335 y decreto 274/010. |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría |
|
Normativa asociada |
|