Direcci�n Nacional de Protecci�n de Datos Direcci n Nacional de Protecci n de Datos Personales PROTECCION DE DATOS PERSONALES Disposici n 11/2006 Apru banse las "Medidas de Seguridad para el Tratamiento y Conservaci n de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos P blicos no estatales y Privados". Bs. As., 19/9/2006 VISTO el Expediente N� 153.743/06 del registro del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, las competencias atribuidas a esta DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES por la Ley N� 25.326 y su reglamentaci n aprobada por Decreto N� 1558 del 29 de noviembre de 2001, y CONSIDERANDO: Que de conformidad con lo prescripto por el art culo 9� de la Ley N� 25.326, el responsable o usuario del archivo de datos debe adoptar las medidas t cnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales, a fin de evitar su adulteraci n, p rdida, consulta o tratamiento no autorizado y que permitan detectar desviaciones, intencionales o no, de informaci n, ya sea que los riesgos provengan de la acci n humana o del medio t cnico utilizado. Que por su parte, entre las atribuciones asignadas a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se encuentra la de dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas en la Ley N� 25.326 (art culo 29, inciso 1, apartado b) y espec ficamente la de dictar normas administrativas y de procedimientos t cnicos relativos al tratamiento y condiciones de seguridad de los archivos, registros y bases o bancos de datos p blicos y privados (art culo 29, inciso 5, apartado a, del Anexo al del Decreto N� 1558/01), as como la de controlar la observancia de las normas sobre integridad y seguridad de los datos por parte de los archivos, registros o bancos de datos (art culo 29, inciso 1, apartado d, de la Ley N� 25.326). Que como consecuencia de ello y en cumplimiento de la facultad que este Organo de Control tiene para el dictado de normas relativas a las condiciones de seguridad de los archivos, registros y bases o bancos de datos, corresponde aprobar las medidas de seguridad para el tratamiento y conservaci n de los datos personales, que deber n observar los responsables y usuarios de archivos, registros, bases y bancos de datos p blicos no estatales y privados. Que a tal fin, se establece un "Documento de Seguridad de Datos Personales", como instrumento para la especificaci n de la normativa de seguridad, el que deber adecuarse en todo momento a las disposiciones vigentes en la materia dictadas por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES. Que asimismo, se establecen TRES (3) niveles de seguridad: BASICO, MEDIO y CRITICO, conforme la naturaleza de la informaci n tratada, pautas aplicables tambi n a los archivos no informatizados (registro manual). Que para cada uno de los niveles antes mencionados se han previsto distintas medidas de seguridad, establecidas teniendo en cuenta la mayor o menor necesidad de garantizar la confidencialidad e integridad de la informaci n contenida en el banco de datos respectivo; la naturaleza de los datos y la correcta administraci n de los riesgos a que est n expuestos, as corno tambi n el mayor o menor impacto que tendr a en las personas el hecho de que la informaci n registrada en los archivos no re na las condiciones de integridad y confiabilidad debidas. Que se han establecido distintos plazos para la implementaci n de las medidas de seguridad que se propician, teniendo en consideraci n el nivel de seguridad de que se trate, as corno tambi n la posibilidad de otorgar una pr rroga previa solicitud debidamente fundamentada. Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS ha tomado la intervenci n que le compete. Que la presente medida se dicta el uso de las facultades conferidas en el art culo 29, inciso 1, apartado b, de la Ley N� 25.326 y art culo 29, inciso 5, apartado a, del Anexo al Decreto N� 1558/01. Por ello, EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES DISPONE: Art culo 1� � Apru bense las "Medidas de Seguridad para el Tratamiento y Conservaci n de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos P blicos no estatales y Privados", cuyo texto como Anexo I forma parte del presente. Art. 2� � Establ cese que el plazo para la implementaci n de las medidas de seguridad a contar desde la fecha del dictado del presente acto, ser de DOCE (12) meses para las de Nivel B sico, de VEINTICUATRO (24) meses para las de Nivel Medio y de TREINTA Y SEIS (36) meses para las de Nivel Cr tico, los que ser n prorrogables a pedido de la parte interesada y por razones debidamente fundadas. ( Nota Infoleg: por art. 1� de la Disposici n N� 9/2008 de la Direcci n Nacional de Protecci n de Datos Personales, B.O. 3/9/2008, se prorroga el plazo establecido en el presente art culo para la implementaci n de las medidas de seguridad de los Niveles Medio y Cr tico, los que ser n exigibles dentro de DOCE (12) y VEINTICUATRO (24) meses, respectivamente, a contar desde la entrada en vigencia de la referida disposici n) Art. 3� � Comun quese, publ quese, d se a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y arch vese. � Juan A. Travieso. ANEXO I "MEDIDAS DE SEGURIDAD PARA EL TRATAMIENTO Y CONSERVACION DE LOS DATOS PERSONALES CONTENIDOS EN ARCHIVOS, REGISTROS, BANCOS Y BASES DE DATOS PUBLICOS NO ESTATALES Y PRIVADOS" � MEDIDAS DE SEGURIDAD DE NIVEL BASICO: Los archivos, registros, bases y bancos de datos que contengan datos de car cter personal deber n adoptar las medidas de seguridad calificadas como de Nivel B sico que a continuaci n se detallan: Disponer del Documento de Seguridad de Datos Personales en el que se especifiquen, entre otros, los procedimientos y las medidas de seguridad a observar sobre los archivos, registros, bases y bancos que contengan datos de car cter personal. Deber mantenerse en todo momento actualizado y ser revisado cuando se produzcan cambios en el sistema de informaci n. Deber contener: 1. Funciones y obligaciones del personal. 2. Descripci n de los archivos con datos de car cter personal y los sistemas de informaci n que los tratan. 3. Descripci n de las rutinas de control de datos de los programas de ingreso de datos y las acciones a seguir ante los errores detectados a efectos de su correcci n. Todos los programas de ingreso de datos, cualquiera sea su modo de procesamiento (batch, interactivo, etc.), deben incluir en su dise o, rutinas de control, que minimicen la posibilidad de incorporar al sistema de informaci n, datos il gicos, incorrectos o faltantes. 4. Registros de incidentes de seguridad. 4.1. Notificaci n, gesti n y respuesta ante los incidentes de seguridad. 5. Procedimientos para efectuar las copias de respaldo y de recuperaci n de datos. 6. Relaci n actualizada entre Sistemas de Informaci n y usuarios de datos con autorizaci n para su uso. 7. Procedimientos de identificaci n y autenticaci n de los usuarios de datos autorizados para utilizar determinados sistemas de informaci n. La relaci n entre el usuario autorizado y el/los sistemas de informaci n a los que puede acceder debe mantenerse actualizada. En el caso en que el mecanismo de autenticaci n utilice contrase a, la misma ser asignada por el responsable de seguridad de acuerdo a un procedimiento que garantice su confidencialidad. Este procedimiento deber prever el cambio peri dico de la contrase a (lapso m ximo de vigencia) las que deber n estar almacenadas en forma ininteligible. 8. Control de acceso de usuarios a datos y recursos necesarios para la realizaci n de sus tareas para lo cual deben estar autorizados. 9. Adoptar medidas de prevenci n a efectos de impedir amenazas de software malicioso (virus, troyanos, etc.) que puedan afectar archivos con datos de car cter personal. Entre otras: 1) Instalar y actualizar, con la periodicidad pertinente, software de detecci n y reparaci n de virus, ejecut ndolo rutinariamente; 2) Verificar, antes de su uso, la inexistencia de virus en archivos recibidos a trav s de la web, correo electr nico y otros cuyos or genes sean inciertos. 10. Procedimiento que garantice una adecuada Gesti n de los Soportes que contengan datos de car cter personal (identificaci n del tipo de informaci n que contienen, almacenamiento en lugares de acceso restringidos, inventarios, autorizaci n para su salida fuera del local en que est n ubicados, destrucci n de la informaci n en desuso, etc.). Nota: Cuando los archivos, registros, bases y bancos contengan una serie de datos personales con los cuales, a trav s de un determinado tratamiento, se permita establecer el perfil de personalidad o determinadas conductas de la persona, se deber n garantizar las medidas de seguridad del presente nivel m s las establecidas en los puntos 2, 3, 4 y 5 del siguiente. � MEDIDAS DE SEGURIDAD DE NIVEL MEDIO: Los archivos, registros, bases y bancos de datos de las empresas privadas que desarrollen actividades de prestaci n de servicios p blicos, as como los archivos, registros, bases y bancos de datos pertenecientes a entidades que cumplan una funci n p blica y/o privada que, m s all de lo dispuesto por el art culo 10 de la Ley N� 25.326, deban guardar secreto de la informaci n personal por expresa disposici n legal (v.g.: secreto bancario), adem s de las medidas de seguridad de nivel B sico, deber n adoptar las que a continuaci n se detallan: 1. El Instructivo de seguridad deber identificar al Responsable (u rgano espec fico) de Seguridad. 2. Realizaci n de auditor as (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales. Los informes de auditor a pertinentes, ser n presentados al Responsable del Archivo a efectos de que se adopten las medidas correctivas que correspondan. La Direcci n Nacional de Protecci n de Datos Personales, en las inspecciones que realice, deber considerar obligatoriamente, con car cter no vinculante, los resultados de las auditor as referidas precedentemente, siempre que las mismas hayan sido realizadas dentro de un per odo m ximo de un a o. 3. Se limitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informaci n. 4. Se establecer un control de acceso f sico a los locales donde se encuentren situados los sistemas de informaci n con datos de car cter personal. 5. Gesti n de Soportes e informaci n contenida en ellos, 5.1. Se dispondr de un registro de entradas y salidas de los soportes inform ticos de manera de identificar, d a y hora de entrada y salida del soporte, receptor, emisor, forma de env o, etc. 5.2. Se adoptar n las medidas necesarias para impedir cualquier recuperaci n de la informaci n con posterioridad a que un soporte vaya a ser desechado o reutilizado, o que la informaci n deba ser destruida, por la causa que correspondiere. Asimismo se deber n adoptar similares medidas cuando los soportes, o la informaci n (ej.: cuando se hacen copias de respaldo a trav s de una red de transmisi n de datos, la informaci n sale de un soporte local y viaja hasta otro remoto v a dicha red.), vaya a salir fuera de los locales en que se encuentren ubicados, 5.3. Deber disponerse de un procedimiento de recuperaci n de la informaci n de respaldo y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales. 6. Los registros de incidentes de seguridad, en el caso de tener que recuperar datos, deber n identificar la persona que recuper y/o modific dichos datos. Ser necesaria la autorizaci n en forma fehaciente del responsable del archivo informatizado. 7. Las pruebas de funcionamiento de los sistemas de informaci n, realizadas con anterioridad a su puesta operativa no se realizar n con datos/archivos reales, a menos que se aseguren los niveles de seguridad correspondientes al tipo de datos informatizados tratados. � MEDIDAS DE SEGURIDAD DE NIVEL CRITICO: Los archivos, registros, bases y bancos de datos que contengan datos personales, definidos como "datos sensibles", con la excepci n que se se alar m s abajo, adem s de las medidas de seguridad de nivel B sico y Medio, deber n adoptar las que a continuaci n se detallan: 1. Distribuci n de soportes: cuando se distribuyan soportes que contengan archivos con datos de car cter personal �incluidas las copias de respaldo�, se deber n cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no puedan ser le dos o manipulados durante su transporte. 2. Registro de accesos: se deber disponer de un registro de accesos con informaci n que identifique al usuario que accedi , cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deber identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificaci n, etc.). Este registro de accesos deber ser analizado peri dicamente por el responsable de seguridad y deber ser conservado como minino por el t rmino de un TRES (3) a os. 3. Copias de respaldo: adem s de las que se mantengan en la localizaci n donde residan los datos deber n implementarse copias de resguardo externas, situadas fuera de la localizaci n, en caja ign fuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localizaci n. Deber disponerse de un procedimiento de recuperaci n de esa informaci n y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales. 4. Transmisi n de datos: los datos de car cter personal que se transmitan a trav s de redes de comunicaci n1, deber n serlo cifrados o utilizando cualquier otro mecanismo que impida su lectura y/o tratamiento por parte de personas no autorizadas. Nota: Quedan exceptuados de aplicar las medidas de seguridad de nivel cr tico, los archivos, registros, bases y bancos de datos que deban efectuar el tratamiento de datos sensibles para fines administrativos o por obligaci n legal. No obstante, ello no excluye que igualmente deban contar con aquellas medidas de resguardo que sean necesarias y adecuadas al tipo de dato. 1 se trata de comunicaciones que salgan fuera de la red de la organizaci n.