Un Río y Dos Orillas en Protección de Datos Personales

Protección de datos personales y la familia de normas ISO 27.000

(Parte II)

En la primer parte de esta serie de notas sobre la familia de normas ISO 27.000 y las leyes de protección de datos me referí, en particular, a la Ley Uruguaya de PDP (Protección de Datos Personales) 18.331 y el decreto 414-009.

Poco tiempo después de posteada esa nota la AGESIC (1) desarrolla y publica las “Directrices para la aplicación de la Ley 18.331” esta recomendación o guía de buenas prácticas se encuentra basada en la familia de normas UNIT-ISO/IEC 27.000 en particular en la 27.002. Cabe aclarar que esto no es merito personal alguno, nada tuve que ver en ello. Lo que si tuve fue la visión de cuál era el camino adecuado, al menos según mi criterio y pareciera que el de AGESIC también.

Distinto es el caso de Argentina, país donde nací. La Ley de protección de datos personales, Ley 25.326, se sanciono (octubre de 2000) esto es bastante tiempo antes que la Ley Uruguaya homóloga se sancionase. En Argentina las  “Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados” fueron establecidas por la DNPDP (2) mediante la  Disposición 11/2006 (Publicación en B.O.: 22/9/2006). Estas medidas se estructuran en tres categorías según la clasificación de los datos que se almacene, medidas de seguridad de nivel: básico (personales en gral.), medio (ej. Datos bancarios) y alto (datos sensibles). Esta clasificación es similar a la LOPD (3) de la AEPD (4).

A mi parecer a las medidas de seguridad emitidas por el órgano de control Argentino les falta la referencia o marco de un estándar internacional como son los ISO. Si bien muchos de los puntos exigidos por la DNPDP en las medidas de seguridad se encuentran detallados en la ISO 27.002 en ningún documento se hace mención a esta. Resulta rara esta situación cuando en distintos documentos del ArCERT (5) y del ONTI (6) se mencionan a las normas de la familia IRAM/ISO 27.000 o su antecesora la IRAM/ISO 17.799.

Más allá de todo esto y, a modo de ejemplo, veamos un caso práctico de aplicación de la noma ISO 27.002 para el cumplimiento de las leyes de protección de datos personales. Voy a tomar para este ejemplo el principio de legalidad o licitud aplicado a una base de datos de carácter personal.

Si se encuentra interesado en seguir leyendo puede descargar el artículo desde la sección de terceros del sitio Segu-Info: http://www.segu-info.com.ar/terceros/, a quienes agradezco su publicación.

www.tecnointegracion.net

Anuncios

Una respuesta a “Un Río y Dos Orillas en Protección de Datos Personales

  1. Hola Oscar. Muy bueno tu blog. En lo referente a PDP y tu experiencia mosquitera en Montevideo, jaja, qué decir?…fue una lástima que no dieras conmigo antes. Yo comparto tu idea, de hacho creo que deberíamos hacer algo para ofrecer la figura del Data Protection Officer tanto en Argentina como en mi caso Uruguay. Quizá podríamos conversar y llegar a buen puerto. Aquí mismo puedes entrar a mi revista online http://www.revistaprotecciondatos.com de inminente salida en papel y mi web para contactarnos: http://www.meridianpdp.com
    un saludo,
    @Iamandisaravia

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s