Mucho se ha hablado de las fugas de datos personales y la importancia de la protección de las bases de datos a partir del escándalo de la fuga de datos de 87 millones de usuarios de Facebook y la aplicación efectiva del Reglamento General de Protección de Datos (RGPD) de la Unión Europea a partir del pasado 25 de mayo. Si bien estos casos y normativas parecen ajenos a la realidad argentina, la letra chica de la Ley hace necesario realizar una revisión un poco más profunda de los hechos y ver cómo impactan en nuestro país estos sucesos.
Tengo una base de datos: ¿debo inscribirla?
En la Argentina la regulación de bases de datos y protección de datos se encuentra en la Ley Nº 25.326, cuyo objeto es garantizar a las personas el control del uso de sus datos personales. La entidad a cargo de ejecutar esta regulación es la Agencia de Acceso a la Información Pública.
La regulación local establece que será lícita la información de una base de datos si se encuentra debidamente inscripta, advirtiendo que la no inscripción puede acarrear responsabilidades administrativas, civiles y penales.
Las bases que deben inscribirse conforme a la regulación local son las bases de datos privadas destinada a dar informes, que se dividen en:
- Las bases de cesión y transferencia de datos
- Las bases de datos de uso exclusivamente personal (por ejemplo, bases de datos de clientes, bases de datos de proveedores, bases de datos de personal y bases de datos de marketing).
Es importante destacar que las bases de datos que se sometan a registro deben respetar ciertos niveles de seguridad (básico, medio y crítico, dependiendo del tipo de datos que almacenen) y tendrán que consignar un responsable o usuario de datos. Esta persona será la encargada de adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado.
Unión Europea reglamento para europeos y visitantes
Si bien nuestra Ley de protección de los datos personales es una Ley que se ajusta a la mayoría de los estándares internaciones, ahora, a la normativa local, se suma la aplicación de la RGPD del Parlamento Europeo. Puntualmente, esta nueva normativa aplica para aquellas bases de datos nacionales que traten datos de ciudadanos de la Unión Europea o incluso de personas que se encuentren en su territorio (en forma fija o incluso transeuntes).
La aplicación de la normativa extranjera es no menor y hace a la necesidad de revisar los registros de bases de datos y las medidas que cada Empresa y Pyme toma para proteger los datos de sus usuarios, proveedores y personal.
Por ejemplo, a partir del 25 de mayo pasado, aquellas Empresas que traten datos de usuarios de la UE tendrán que implementar mecanismos que permitan acreditar que se han adoptando todas las medidas necesarias para tratar los datos personales como exige la norma. Asimismo, se debe tener en cuenta que la normativa amplía los datos especialmente protegidos o sensibles de los listados en nuestra normativa.
¿Cuáles son las sanciones por incumplir con la normativa?
En términos de sanciones, la GDPR plantea desde ya que las Pymes tendrán un trato diferente. Sin embargo, las sanciones por incumplimiento a los requisitos de la normativa Europea podrían alcanzar hasta el 4% de la facturación anual de la compañía multada. Por ello, tanto las companías locales como internaciones que se encuentren alcanzadas por esta nueva regulación se encuentran ya actualizando sus bases.
