Publicado por alvlin, el Hace algunos días asistí a una charla organizada por la empresa Security Advisor sobre la recientemente aprobada Ley de protección de datos personales: Ley Nº 18.331 PROTECCIÓN DE DATOS PERSONALES Y ACCIÓN DE "HABEAS DATA".
Fue creada en conjunto por el Ministerio de Economía y Finanzas, el Instituto de Derecho Informático de la Facultad de Derecho y la Agencia para el Desarrollo de la Gestión Electrónica y la Sociedad de la Información y el Conocimiento (AGESIC).
Se elaboró tomando como base a la Ley Orgánica de Protección de Datos de Carácter Personal de España (conocida como LOPD), uno de sus objetivos es lograr que Uruguay sea considerado por la UE como un país con nivel adecuado
de protección de datos, para así facilitar las relaciones entre Uruguay y la UE.
Almacenamiento de datos
Esta nueva ley impone controles al almacenamiento de datos personales cualquiera sea el fin. Se obliga a aquellas entidades que requieran almacenamiento de información personal a que registren sus bases de datos, y a no guardar información personal sin consentimiento previo e informado
del titular de esos datos; esto es, el fin para el que se guardan los datos debe estar determinado y debe ser informado al titular.
La ley define un conjunto de datos como datos sensibles
que no pueden ser almacenados:
Dato sensible: datos personales que revelen origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e informaciones referentes a la salud o a la vida sexual.
Se menciona también que los datos que se guardan deben estar relacionados con el giro de actividad de la empresa, y que deben ser
proporcionales al fin (si para la actividad de la empresa se requiere nombre y teléfono, la empresa no puede almacenar además dirección postal, correo-e, licencia de conducir, etc).
Por otro lado, se permite que la base de datos no tenga que registrarse si solamente contiene nombre, nacionalidad, fecha de nacimiento y cédula de identidad (basicamente, se excluyen los datos que aparecen en el documento).
Reglamentación
Actualmente se está trabajando en una reglamentación para la ley. Esta reglamentación se hace necesaria en tanto que se puede ver que la intención fue crear una ley amplia que permitiese abarcar la mayor cantidad de casos posibles.
La ley define:
Bases de Datos: indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.
y
Dato personal: información de cualquier tipo referida a personas físicas o jurídicas determinadas o determinables.
Esto hace que una habitación llena de biblioratos sea también una base de datos, y por lo tanto deba registrarse.
De la definición de dato personal se deriva que, en tanto que el dato hace a la persona determinable
, se entiende que una foto o una grabación en video (o de la voz) de la persona es un dato personal.
La reglamentación es necesaria en tanto que, con estas definiciones, el estado legal de las cámaras de vigilancia de los bancos es dudoso (por poner un ejemplo de muchos que se pueden pensar).
Exclusiones
La ley no aplica para datos que una empresa obtenga a partir de una relación contractual; por ejemplo las empresas podrán tener bases de datos con información sobre sus empleados sin tener que registrarlas. Otro ejemplo puede ser un contrato de servicios de telefonía, o de servicios médicos.
La ley tampoco aplica para aquellos datos cuyo tratamiento esté regido por otras normas específicas, como es el caso de la información crediticia, el historial penal, o la historia clínica de una persona. Esto implica que las bases de datos que contengan esta clase de información tampoco necesitan ser registradas, ni se requiere obtener autorización del usuario. Sí podría aplicarse en algunos casos, y esto dependerá de la regulación que se de a la ley, el principio de proporcionalidad (no almacenar más información de la necesaria).
Pasos siguientes
Se prevé un plazo de 1 año desde la fecha de aprobación para que las empresas que cuentan con bases de datos comprendidas en la ley, se adecúen a la misma.
Por lo pronto, el órgano de control encargado de recibir los registros de las bases de datos aún no existe, y la reglamentación que se mencionaba antes está en proceso de creación.
En lo personal me pareció una buena ley, bien estructurada y respetuosa de los derechos de los ciudadanos para con su información personal. Habrá que ver si la reglamentación que se propondrá continúa en la misma línea.
Presentaciones de la charla
- Charla de apertura, agenda y cierre de Ing. Leonardo Berro , Director de Security Advisor
Organizaciones Seguras y aportes para la seguridad de datos sensibles en la Empresa
- Charla a cargo del Sr. Federico Monteverde, Asesor de Agesic
Importancia de proteger nuestros datos personales, desde los antecedentes a la futura reglamentación
- Charla a cargo de la Lic. Déborah Rivas y de la Dra. Giovanna Lorenzi, Consultora de KPMG Uruguay (IT Advisory Legal)
Quo Vadis? … Hacia dónde vas América Latina?
- Charla a cargo de la Ing. Cristina Ledesma, Integrante de la CD de la ISACA
Fortaleciendo las estrategias hacia la aplicabilidad, que tan lejos (o cerca) estamos?
22/10/2008, a las 16:18
"Esto hace que una habitación llena de biblioratos sea también una base de datos, y por lo tanto deba registrarse"
es que para los políticos seguramente esa sea la única base de datos que conocen
22/10/2008, a las 19:26
Sé que lo decís en broma, pero para aquellos que lo puedan llegar a tomar en serio: la idea es no dejar fuera a ningún tipo de almacenamiento, después de todo se intenta regular la posesión de datos personales y no la
De otra forma sería muy sencillo mantener un archivo en papel de los datos y utilizarlos de la misma forma que si fueran un archivo electrónico, basicamente las restricciones de la ley serían fácilmente evitables.