Viendo 15 publicaciones - del 1 al 15 (de un total de 94)
  • Autor
    Aportes
  • #7829

    Habiendo transcurrido más de 16 años desde la sanción de la Ley 25.326, aparece como lógico, frente a la multiplicidad de cambios tecnológicos, culturales y sociales; plantear qué aspectos de dicha norma y su reglamentación, deben adecuarse a dichas modificaciones. Abrimos pues a propuesta del Director Nacional de Protección de Datos Personales, Dr. Eduardo Bertoni, este nuevo eje de debate e invitamos a todos a sumarse a una segura rica discusión sobre un tema de tanta actualidad. Cordiales saludos.

    #7919

    Pablo Segura
    Participante

    La ley 25.326 fue sancionada en Octubre del 2000 y reglamentada un año después. Resulta una obviedad destacar los cambios de la tecnología operados en los últimos 15 años, muchos de los cuales han impactado en la protección de los datos personales y las posibles vulneraciones al derecho a la privacidad. Asimismo, la experiencia acumulada por la Dirección Nacional de Protección de Datos Personales desde su creación determina la necesidad de una reforma. Finalmente, resulta importante considerar el nuevo contexto internacional, particularmente las nuevas regulaciones en Europa que han sido recientemente aprobadas (Reglamento (UE) 2016/679) y que entrarán en vigencia en 2018. En consecuencia, la oportunidad y necesidad de la reforma aparecen como indiscutibles. Sin embargo se propone discutir en el foro la conveniencia de una reforma PARCIAL o TOTAL.

    En el archivo adjunto se proponen las líneas específicas de discusión de la reforma. Vale destacar que estas líneas son pertinentes ya sea que se trate de una reforma parcial o de una total.

    #7975

    Natalia Eugenia Roda
    Participante

    creo que la reforma debe ser parcial pero actualizada a los momentos en que vivimos, incorporando los datos visuales, electronicos y la difusion informatizada de los datos

    #8011

    Muchas gracias Natalia por haberte sumado a este debate, y quedamos a disposición para más comentarios que debatan este interesante proyecto.

    #8364

    Mariano M Del Río
    Participante

    Estimados, buenas tardes

    Estoy interesado en realizar aportes, aunque me gustaría conocer la forma en la cual se estará trabajando. Descargar el archivo .doc y realizar comentarios es algo válido? O vamos a mantener algún encuentro o sesión de trabajo?

    De una primera lectura creo que se debería trabajar tanto en el cuerpo de la ley como en algunas disposiciones, por ejemplo, disposición 11/2006. En el mundo actual es indivisible el tratamiento de datos personales y los aspectos asociados a la ciberseguridad. Sobre esto último, creo que aún en el cuerpo de la ley, como en dicha disposición se debería incluir la obligatoriedad de reportar las brechas de seguridad, si bien existe la necesidad de contar con registro de incidentes, no existen indicadores que permitan conocer al titular de los datos la presencia o no de incidentes. A su vez, entiendo que debería analizarse la posibilidad de contar con un cuerpo de especialistas que puedan realizar las auditorías de cumplimiento, ya que al día de hoy, sumado al desconocimiento de la ley, la adopción de la disposición 11/2006 se encuentra en un nivel de madurez inicial.

    Un saludo y agradezco la oportunidad que brindan para colaborar.

    #8474

    Estimado Mariano,

    La dinámica que se ha propuesto supone ambas formas de participación. Virtualmente mediante el comentario del documento que se ha adjuntado por parte del Responsable de la Iniciativa y se prevé la realización de encuentros presenciales, cuyas fechas estamos precisamente definiendo en estos días. A disposición,

    #8932

    Paula Suarez
    Participante

    Buenos días, Me gustaría sumarme al proyecto aportando mi experiencia en la protección de datos personales.  Muchas gracias

    #8946

    Pablo Segura
    Participante

    Estimada Paola, gracias por sumarte al debate. Aguardamos tus aportes, que podés incorporarlas a esta plataforma.

    Saludos,

    #8984

    Mariano M Del Río
    Participante

    <u>1.- Disposiciones generales: reformulación del objeto de la ley y de las definiciones</u>

    De acuerdo con las propuestas para ser incorporadas en las definiciones. En la experiencia de la implementación de soluciones, suele ser muy discutido el tema de “Consentimiento del Titular” ya que la ley indica que debe ser expreso, pero en algunos casos, las herramientas tecnológicas podrían no ser suficientes, o en su defecto, la ley o disposiciones complementarias, deberían explicitar cuales son las características que se deben cumplir para que un determinado mecanismo sea considerado válido para el registro del “consentimiento expreso”. Algunos ejemplos: formulario web, sms, mensaje en redes sociales, etc.

    <u>2.- Principios: actualización de los principios generales establecidos en la ley vigente</u>

    En relación a este tema creo que sin dudas se debe abordar el tratamiento de datos personales en soluciones de cloud computing, que generalmente están fuera del país, configurando una “transferencia internacional de datos”. Resulta ineludible esta cuestión, ya que todo tipo de servicios hoy en día se encuentran basados en internet y dichos servicios, en su mayoría, no residen en territorio argentino. Ejemplos: GoogleApps, Gmail, Office 365, Facebook, Instagram, Tumblr, Blogger, Medium.

    Creo que resulta inaplicable la necesidad de un contrato de transferencia de datos en este tipo de servicios, y a su vez, generalmente residen en países que no son considerados “país con tratamiento adecuado de datos personales”, por ejemplo, Estados Unidos.

    Creo que en estos casos, se debe acudir al consentimiento expreso del titular, aceptando los riesgos y declarando en los términos y condiciones + política de privacidad a qué se encuentran expuestos los datos. Otra opción podría ser que se cuente con un catálogo de servicios y países sobre los cuales se podría tratar datos personales debido a que cuentan con legislación equivalente. Sin dudas es un tema complejo, pero debemos tratarlo ya que hoy se encuentran datos personales de argentinos referidos a finanzas, salud, gustos o intereses, completamente fuera del marco de la ley.

    Existen guías y documentos, por ejemplo de la Cloud Security Alliance, donde se especifíca la responsabilidad de cada parte interviniente en una solución de Cloud Computing, para que todos estén en conocimiento de cuáles son las responsabilidades (indeclinables) que deben cumplir. Incluso la AEPD ha generado material específico sobre Cloud Computing, hasta para despachos de abogados.

    <u>3.- Derechos y obligaciones: revisión de los derechos y obligaciones de los titulares de datos, de usuarios y de responsables de bancos de datos o archivos</u>

    Sobre este punto sólo puedo agregar que existen distintos requerimientos legales, cada uno con su propio período de retención o conservación de datos. Esto dificulta mucho la gestión y diseño de soluciones en las empresas. Por lo tanto, creo conveniente que se establezcan en el marco de la nueva ley, períodos de mínima y máxima, que permitan a los responsables de tratamiento, planificar, diseñar, definir e implementar soluciones escalables en el tiempo. El alineamiento del marco legal, regulaciones BCRA y cualquier otro organismo que afecte datos personales, es clave para el diseño de estos criterios.

    Adicionalmente, creo que se debería establecer un período formal en el cual el responsable de tratamiento de datos personales deba obtener una rectificación, ratificación o actualización por parte del titular de los datos. Este canal permitiría reducir el volumen de datos erróneos, y a su vez, profundiza el compromiso de todas las partes respecto al cuidado y tratamiento de este tipo de datos. Las soluciones tecnológicas actuales (referido también al apartado de consentimiento) permiten que se puedan desarrollar soluciones a gran escala, con determinada facilidad.

    <u>4.- Órgano de control: revisión de las facultades y del diseño institucional.</u>

    Sobre este apartado, creo que se debería mantener cierta relación con otros aspectos, como por ejemplo, el nivel de cumplimiento, la presencia de brechas de seguridad, etc. En este sentido, alguien que está en incumplimiento o tiene brechas por incumplir, podría ser sancionado inhabilitando su CUIT. Creo que aplicar multas monetarias es bueno, pero “detener” la actividad que no garantiza los derechos y la seguridad de los titulares de los datos, podría ser una mejor opción.

    Se conoce que si bien se han realizado inspecciones, las mismas no corresponden a un programa basado en criticidad de los datos, rubros o algo que determine algún criterio de planificación. Más bien, parecen inspecciones forzadas por el marketing de los temas o la opinión pública, por ejemplo: pedir información a UBER y no a las empresas de servicios de salud!

    Habiéndose cumplido todos los plazos legales para registrar bases y aplicar medidas de seguridad establecidas en disposición 11/2006, creo que habría que lanzar una campaña para regularizar la situación y luego de los 6 meses, iniciar inspecciones. Para ello, tal como había comentado anteriormente, propongo que se genere un catálogo de empresas homologadas para realizar dichas inspecciones, con algún beneficio impositivo o algo que genere el interés de dichas empresas. Este “volumen” de personas capacitadas que podrían llevar a cabo las inspecciones mejoraría la eficacia del control. Tal como se puede ver, desde 2012 no hay nuevas inspecciones publicadas y las que se encuentran publicadas corresponden al período 2008/2012, es decir, de los 15 años que tiene la ley, sólo se realizaron inspecciones durante 4 años.

    Con la conformación del catálogo de empresas homologadas se podría mejorar mucho estos indicadores y obtener un panorama más completo del estado del arte del cumplimiento de la ley 25326. El “Sello de Empresa Habilitada para Evaluar Cumplimiento #Ley25326” podría ser una buena herramienta.

    <u>5.- Cuestiones no incorporadas en la ley vigente: necesidad de la incorporación de temas o conceptos no incorporados en la ley vigente.</u>

    Dentro de lo que conforma el “Accountability” sumaría como requisito el reporte de brechas de seguridad, garantizando la confidencialidad y con obligación de reportarlo al CERT Nacional, que sería el organismo responsable de la gestión del caso.

    A su vez, respecto a “demostrar” el cumplimiento, iniciativas como “STAR” de la Cloud Security Alliance, podría ser un buen modelo, el cual consiste en completar un cuestionario específico, podría ser basado en la Ley 25326 + Disposición 11/2006, en el cual (con cierto nivel de detalle y garantizando confidencialidad de la empresa) se mencionan las características del programa de seguridad implementado.

    Pueden ver algunos ejemplos aquí: https://cloudsecurityalliance.org/star/

    Otra opción que se podría manejar, es el catálogo de herramientas “homologadas” para cumplir el marco legal vigente, algo así se hizo en el Center for Internet Security, estableciendo un proceso de homologación de distintos productos y servicios (esto además, genera trabajo privado, incentiva pymes).

     

     

    #8990

    Pablo Segura
    Participante

    Estimado Mariano, muchas gracias por tu aporte. Los conceptos que proponés son interesantes, aunque en algunos casos, como en lo que respecta a la actividad de inspección de la DNPDP no son tanto para la ley sino para el replanteo de los procedimientos internos, que es una instancia de menos jerarquía (se aprueba por Disposición del Director). De todos modos, es igualmente útil.

    Saludos y esperamos contar con más de tus reflexiones.

    #9670

    Buenos días. En el marco de la última reunión presencial que se realizara sobre el Eje Modernización Registral, y que contara entre otras presencias, con la del Dr. Eduardo Bertoni, Director del Registro Nacional de Protección de Datos Personales; se acordó conjuntamente con las autoridades del Programa Justicia 2020, analizar la forma en que se presenta este hilo, de manera tal de dotarlo de mayor visibilidad y motivar un debate que seguramente será de calidad, rico y fundamentalmente de mejora en la institucionalidad nacional. Los tendré al tanto de estas novedades. Cordiales saludos.

    #9671

    Buenos días. En el marco de la última reunión presencial que se realizara sobre el Eje Modernización Registral, y que contara entre otras presencias, con la del Dr. Eduardo Bertoni, Director del Registro Nacional de Protección de Datos Personales; se acordó conjuntamente con las autoridades del Programa Justicia 2020, analizar la forma en que se presenta este hilo, de manera tal de dotarlo de mayor visibilidad y motivar un debate que seguramente será de calidad, rico y fundamentalmente de mejora en la institucionalidad nacional. Los tendré al tanto de estas novedades. Cordiales saludos.

    #9673

    Estimado Orlando,

    Me acabo de sumar a los equipos de trabajo.

    Mi nombre es Maria Mercedes. Soy Contadora Publica y especialista en Auditoria Interna.

    He leido los mensajes del foro y supe que se realizó una reunion sobre el eje de modernizacion.

    Existe alguna minuta de esa reunion a la que se pueda acceder de modo tal de comenzar a trabajar? o bien un cronograma o agenda que establezca los dias yhorarios de las reuniones presenciales?

    Aguardo su respuesta.

    Un saludo cordial

    #9674

    Estimados,
    Buenas tardes.
    Recientemente me he incorporado a este equipo de trabajo. Soy abogado especialista en Protección de Datos Personales.
    Me gustaría participar de las reuniones que se realicen con motivo de la propuesta de reforma de la ley 25.326.
    Adicionalmente, trataré de ir incorporando por esta vía mis propuestas e inquietudes al respecto.
    Desde ya muchas gracias por generar esta amplitud y posibilidad de debate.
    Cordiales saludos,

    #9917

    Muchas gracias Alejandro por haberse sumado a este Eje de Trabajo sobre la Ley de Protección de Datos Personales; estamos coordinando la jerarquización de este hilo para darle mayor visibilidad a tan importante tema y en simultáneo conviniendo con el Director del Registro Nacional, Eduardo Bertoni, la próxima convocatoria a una reunión presencial, a los fines de debatir estas trascendentes cuestiones. Cordiales saludos.

Viendo 15 publicaciones - del 1 al 15 (de un total de 94)
Viendo 15 publicaciones - del 1 al 15 (de un total de 94)

El debate ‘Propuestas para una Reforma a la Ley de Protección de Datos Personales’ está cerrado y no admite más respuestas.