Guía de Implementación del Marco de Ciberseguridad 5.0

PD.6 Principio de reserva

Requisito PD.6Principio de reserva
ObjetivoAsegurar que los datos personales sean utilizados en forma reservada y utilizarse únicamente para el tratamiento habitual de su actividad.
Controles

Nivel 1

  • PD.6-1: el acceso a datos personales está limitado únicamente a las personas que realizan tareas directamente asociadas con la finalidad específica para la cual dichos datos fueron recabados.

Nivel 2

  • PD.6-2: están definidos y documentados los roles autorizados a acceder a datos personales y las finalidades permitidas para su uso.
  • PD.6-3: los contratos, reglamentos o políticas internas contemplan sanciones explícitas ante el uso o divulgación indebida de datos personales.
  • PD.6-4: el personal autorizado a tratar datos personales está sujeto a compromisos de confidencialidad, los cuales pueden formalizarse mediante cláusulas en contratos, reglamentos internos, políticas institucionales o documentos específicos firmados, según corresponda al vínculo con la organización.

Nivel 3

  • PD.6-5: están definidas y documentadas qué conductas constituyen violaciones al principio de reserva.
  • PD.6-6: existe un procedimiento formalizado para investigar violaciones al principio de reserva.

Nivel 4

  • PD.6-7: toda solicitud interna de acceso a datos personales debe indicar la finalidad específica de uso y ser aprobada por los responsables designados.
Guía de implementaciónLa organización y terceros autorizados que accedan a datos personales dentro de su ámbito laboral, deberán utilizar esta información de forma reservada y únicamente para fines específicos vinculados a su actividad o giro habitual. Queda terminantemente prohibida la divulgación de datos a partes no autorizadas, asegurando así la protección de la privacidad de los titulares. Quienes, por su rol laboral o relación con el responsable de la base de datos, intervengan en cualquier fase del tratamiento de los datos, deben mantener un estricto secreto profesional, tal como lo estipula el artículo 302 del Código Penal. Es importante destacar que los funcionarios públicos tienen implícita la reserva en su relación funcional, así como los dependientes en su relación laboral.
Instituciones de saludLa historia clínica contiene información sensible y su acceso debe restringirse exclusivamente a personal involucrado en la atención médica (personal médico o administrativo), el usuario, en determinadas circunstancias familiares cercanos, y el Ministerio de Salud Pública.
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Listado de usuarios, rol y permisos sobre datos a tratar.
  • Matrices de control de acceso a los datos personales para las bases involucradas.
  • Política de control de acceso lógico.
Normativa asociada

Ley N° 18.331: Protección de datos personales y habeas data.

Código penal, artículo 302 sobre secreto profesional

Etiquetas