La Ley de Protección de Datos Personales (LPDP) establece que los titulares de bases de datos registradas deben tomar ciertas medidas de seguridad tendientes a la protección de los datos contenidos en ellas.

Dichas medidas de seguridad se definieron mediante la Resolución 11/2006 dictada por la Dirección Nacional de Datos Personales (DNDP), las que tienen por objeto la protección de los datos contenidos en las bases en un sentido amplio, desde evitar que sean consultados por personas no autorizadas hasta el mantenimiento de la integridad y de la finalidad para la cual fue recabado, intentando minimizar cualquier posibilidad de riesgo a través de la adopción de diferentes mecanismos.

El fin de las medidas es, ante todo, la protección, control y aseguramiento de la integridad de la información. Este fin es el que nos permite plantar como premisa válida que las medidas que deben adoptar los titulares de las bases - registradas o no- podrían ser tomadas en la empresa como una buena práctica y, con los recaudos, adecuaciones y complementos del caso, extender dichas medidas a la protección de la información confidencial respecto de la cual se deba responder.

Macarena Pereyra Rozas se recibió de abogada en la Universidad Católica Argentina (UCA). Se especializó en Derecho en Alta Tecnología y Asesoramiento Empresario, es autora de varios artículos sobre derecho informático en referentes reconocidos del mercado local; y actualmente es socia de Carranza Torres & Asociados.

Evidentemente, estas medidas tienden a proteger la información contenida en las bases en un sentido amplio, resguardándola no sólo de posibles fugas sino también de modificaciones o pérdida indeseada intentando reducir a la máxima expresión la posibilidad de errores humanos en el tratamiento de los datos personales.

Dentro del repertorio de medidas que la DNPD exige se encuentra la de: identificar usuarios que acceden a las bases, el resguardo de la información mediante la adopción de medidas que eviten su fuga, pérdida o alteración.

De estas medidas descriptas, se desprende, entonces, que adoptar medidas de seguridad no sólo es válido para cumplir con las formalidades de la ley, sino que pueden constituirse en un primer mecanismo para la protección de la demás información confidencial de las empresas.

Entendemos que un primer paso podría darse extendiendo las medidas a todos los archivos, soportes o registros que contengan información valiosa para la empresa. Es importante resaltar que el enunciado de esta premisa es sólo un primer paso para comenzar a establecer mecanismos de protección y cuidado que deben ir fortaleciéndose con acciones concretas y adaptadas a la necesidad de cada negocio.

En este planteo de tomar como punto de partida las medidas contenidas en la resolución mencionada, concebimos que las mismas no agotan el repertorio de posibilidades válidas para la protección integral de la información confidencial, ya que en cada caso se deberá detectar el mecanismo eficiente de protección a adoptar, teniendo cuenta para ello el objeto de protección, el soporte en el que se encuentra, el lugar en el que será depositado, etc.

De este modo, la gestión de las herramientas informáticas y la información digital de la empresa debiera ocupar un lugar importante en la agenda de la dirección y gerencia con el objetivo que las medidas tecnológicas que se tomen tengan un adecuado sustento fáctico y jurídico y sean eficientes para repeler una acción de responsabilidad civil, penal o administrativa de modo tal de tomar los recaudos del caso a los efectos de prevenir eventuales responsabilidades.

Más información: www.carranzatorres.com.ar.