Luego de la reciente disposición dictada por la Dirección Nacional de Protección de Datos Personales (DNPDP), que habilitó inspecciones de control, las empresas refuerzan las consultas legales sobre los requisitos para inscribir sus bases de datos en el registro habilitado por la Ley de Hábeas Data (LHD).

Sucede que la LHD protege el tratamiento de los datos personales obrantes en la base de datos de las empresas y ordena a las compañías a la adopción de procedimientos y protocolos de seguridad que impidan un “uso incorrecto o desviado” de esa información que pudiera perjudicar a sus titulares.

Los medios electrónicos y de comunicación hacen que la información prolifere en gran caudal y sin control. No hay empresas que en la actualidad no manejen bases de datos de clientes, proveedores y recursos humanos; en muchos casos se trata de información sensible y confidencial que se encuentra protegida por la LHD.

En ese contexto, hay riesgos. Los expertos sostienen que ninguna empresa se encuentra a salvo de la conducta de un “empleado infiel” o de una filtración de sus sistemas de información que posibilite un tráfico ilegal de datos, lo que la expondría a sanciones administrativas, penales y civiles.

“La mayoría de las consultas legales que formulan las compañías se relacionan con saber si tienen que inscribirse en el registro y qué procedimientos de seguridad deben adoptar para proteger sus datos, registros e informes”, sostuvo Mario Biscardi, socio de Biscardi & Asociados.

Todas estas consideraciones, relacionadas con la protección y el uso de datos, fueron abordadas en el marco de las jornadas sobre “Privacidad y protección de Datos Personales” organizadas conjuntamente por la Cámara de Comercio Argentino – Brasileña (CAMBRAS), Deloitte y Biscardi & Asociados.

Uso indebido
“La ley plantea que las empresas pueden tener datos personales siempre y cuando tengan el consentimiento de sus titulares. Esos datos deben tener un fin y deben ser utilizados respetando el derecho de uso otorgado”, recalcó Andrés Gil, socio de Servicios de Seguridad y Privacidad de Deloitte.

Sin embargo, los problemas se producen cuando las empresas se nutren de esos datos sin el consentimiento de sus titulares y cuando los emplean para un uso no permitido.

Un caso típico es el de los bancos que aprovechan la información de sus clientes para ofrecer nuevos servicios y productos financieros.

La situación actual
“En la actualidad solamente se encuentran registradas ante la DNPDP cerca de 20.000 empresas y aún faltan registrarse alrededor de un millón si se tiene en cuenta que en la Argentina solamente existen 900 mil pymes”, acotó Gil.

La mayoría de las empresas registradas son las que tienen grandes estructuras y manejan un volumen de información relevante entre proveedores, empleados y clientes. En este grupo se encuentran los bancos, las compañías de medicina prepaga, sanatorios y empresas de servicios públicos.

Sin embargo, los especialistas indican que la falta de inscripción del resto de las pequeñas y medianas empresas tiene que ver con evitar el “blanqueo” y los sucesivos costos que implica el registro, ya que la inscripción debe renovarse y además coloca a las empresas registradas en una posición más “vulnerable” de cara a futuras inspecciones por parte de la DNPDP.

Más controles
“Las resoluciones que reglamentaron la LHD requieren la adopción de medidas de seguridad y resguardo de información, la adopción de password, filtros que impidan la divulgación de datos, auditorías y medidas de prevención del software ilegal”, manifestó Daniel Vardé socio de auditoría de Deloitte.

Por eso, los expertos recomiendan acatar sus disposiciones para aumentar el nivel de protección de los datos e implementar políticas y procesos de seguimiento, que fomenten una verdadera cultura de protección de los datos.

La Ley de Hábeas Data
La Ley 25.326, de Protección de los Datos Personales, considera que toda base de datos que exceda el uso exclusivamente personal -aunque no esté destinada a proporcionar informes a terceros- o que tenga como finalidad la cesión o transferencia de datos personales, está sujeta a sus disposiciones, entre las que figura la obligación que tienen las empresas que manejan datos de inscribirse en forma anual en un registro.

A pesar que esta ley ya tiene casi ocho años, a principios de este mes se dio un paso importante en su reglamentación.

La DNPDP dictó la disposición 5º -por la cual aprobó las normas de inspección y control de la repartición- a través de la cual podrá realizar inspecciones a las empresas que manejen bases de datos existentes, a fin de verificar el cumplimiento de la ley.

La reciente disposición indica que la facultad de fiscalización que tiene asignada la Dirección se desarrollará de oficio y cuando el organismo estime que corresponda.

El comienzo de la inspección se instrumentará mediante decisión de la DNPDP y será notificado al responsable de la base de datos sujeta a control con una antelación de 10 días hábiles.

Además, el aviso se podrá omitir si se entiende que afectaría el resultado de la investigación. No obstante, esto requiere una justificación del inspector en el mismo momento de apertura del acta. La fiscalización consistirá en una o más visitas, en las que el inspector podrá acceder a la totalidad de los locales, equipos y programas informáticos del responsable de la base de datos.

Qué tienen que hacer las empresas
Para cumplir con la ley, la primera obligación es la de registrar la base ante la DNPDP mediante la confección de un formulario “on line”, la remisión de una nota de solicitud de inscripción con firma certificada y el pago de una tasa, si correspondiera, según la cantidad y calidad de los datos recopilados, explicó Daniel Monastersky, titular de Monastersky & Asociados.

Esta inscripción debe renovarse anualmente. Si la inscripción es aprobada, la empresa registrante tiene derecho a utilizar el isologotipo de responsable registrado, brindando así confianza a los terceros con los cuales contrata y a aquéllos que, por diversas razones, le confían datos sensibles, aclaró le abogado.

También en la ciudad
La problemática de la protección de los datos personales también se ha instalado en la agenda del gobierno porteño, ya que próximamente se lanzará el Registro Público de Bases de Datos del Sector Público del Gobierno de la Ciudad.

El próximo martes 1º de julio comenzará el proceso de inscripción obligatoria de archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires, que tengan por objeto el asiento de datos personales referidos a personas físicas o de existencia ideal.

La ley 1845 de Protección de Datos Personales designó a la Defensoría del Pueblo como órgano de control del cumplimiento de dicha norma.

A tal efecto, la Defensora del Pueblo, Alicia Pierini, dispuso la creación del Centro de Protección de Datos Personales de cuya dirección dependerán dos oficinas: una destinada al registro de las bases existentes y otra de denuncias e investigación.

El Centro de Protección de Datos Personales no sólo tendrá a su cargo supervisar que sean respetados los principios generales y normativos en el tratamiento de datos personales, sino que deberá velar por los derechos de los titulares de los datos para que puedan acceder, actualizar, rectificar y en su caso suprimir su información personal.

Los interesados podrán dirigirse al Centro a fin de obtener información como así también el asesoramiento y la forma operativa de ejercer sus derechos.

Las bases o bancos de datos del sector público porteño ofrecen una gran diversidad. En este sentido, pueden mencionarse los bancos pertenecientes al Registro Civil o los de la Secretaría Electoral del Tribunal Superior de Justicia, como las más de 3.000 bases que en conjunto pueden encontrarse entre las áreas de Salud y Educación.

Matías Debarbieri
© infobaeprofesional