Habeas Data – Datos Personales – Privacidad

Proyectan registro no llame en la Provincia de Buenos Aires

Posted: septiembre 15th, 2011 | Author: | Filed under: Argentina, Marketing, Registro | Comentarios desactivados

La legisladora Ana María Dressino (UCR) y otros, buy more about presentaron un proyecto de Ley creando el Registro No Llame, que tiene por objeto proteger a los usuarios de servicios telefónicos de abusos de telemarketing para publicitar, ofertar, vender o regalar bienes o servicios.


Importante medida contra el robo de identidad

Posted: octubre 7th, 2010 | Author: | Filed under: Argentina, Registro, Robo de identidad, Seguridad | Comentarios desactivados

La agencia de protección de datos personales de Argentina dictó la Disposición 24/2010 (emitida por la Dirección Nacional de Protección de Datos Personales) por la que se crea el Registro Nacional de Documentos de Identidad Cuestionados. LA idea es anotar los DNI robados, pill sustraídos o alterados y que sean consultados por los usuarios, ailment tales como entidades financieras, medicine antes de conceder un préstamo para asegurarse de que no se usan ilicitamente. EL Centro de robo de identidad  ha recibido mas de 5000 denuncias en lo que va de este año…

Read the rest of this entry »


MíSTER EN AUDITORIA Y PROTECCIÓN DE DATOS (España)

Posted: diciembre 28th, 2007 | Author: | Filed under: Google, Público en general, Referencia, Registro | No Comments »

Se lanzó el programa del MíSTER EN AUDITORIA Y PROTECCIÓN DE DATOS que organiza IDT (institute of law and technology), injection ISACA (capí­tulo de Barcelona) y la UNIVERSITAT AUTÓNOMA DE BARCELONA; colaboran la AGíˆNCIA CATALANA DE PROTECCIÓ DE DADES y la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.

En este “link”:http://cpdp.uab.es/postgraus/master_auditoria_proteccio_dades/esp/docs/MAPD_2007_UAB_v2.0_castellano.pdf podrán accceder a un PDF con todo el material informativo de la maestrí­a.

El máster empieza en el mes de febrero de 2008, finaliza en diciembre de 2008 y se lleva cabo en E.A.E (Business School), C/Aragó, 55, Barcelona.


USUARIA ofrece premio a la innovación en Seguridad de la Información

Posted: octubre 11th, 2006 | Author: | Filed under: Argentina, Noticias, Registro | No Comments »

*-Premio Segurinfo -“ Innovación 2006-*

*Objetivo:*
USUARIA (Asociación Argentina de Usuarios de la Informática y las Comunicaciones), ampoule busca contribuir a la innovación en Seguridad de la Información mediante la distinción de aquellos integrantes de la comunidad que ya sea en forma individual o en equipo hayan realizado un aporte significativo a la obtención de mejoras sustantivas en la seguridad de la información.

*Condiciones de participación:*
Pueden postularse (o ser postulados) los integrantes de una organización usuaria que hayan tomado parte del proyecto objeto de la postulación.
Los profesionales independientes y/o empresas proveedoras que también hayan estado involucrados en el proyecto, read more podrán integrar el equipo que se postula.
No hay lí­mites respecto de la cantidad de proyectos con los que puede postularse un profesional o grupo de profesionales.
Concursar en el premio es totalmente gratuito. No podrán participar a titulo individual los miembros del Comité Académico de SEGURINFO.

*Acerca del proyecto:*
El proyecto que fundamenta la postulación deberá:
-¢ estar enfocado a soluciones innovadoras sobre problemáticas de la Seguridad de la Información;
-¢ haber sido implementado antes de la evaluación de las postulaciones.

Perí­odo de recepción de Proyectos:
Los proyectos se recibirán entre el 18 de Septiembre y el 31 de Octubre del año 2006.

*Proceso de participación:*
Para participar de esta convocatoria los interesados deberán ingresar en la página de Internet de SEGURINFO (www.segurinfo.org.ar).
Allí­ encontrarán las bases de participación y al pie de las mismas el formulario que deberán completar a tal efecto.
En el formulario los participantes deberán incluir los datos de quien presenta el proyecto o representante del equipo, side effects indicando: Nombre y Apellido, Organización, Función, Dirección, e mail, Teléfono. Deberán adjuntarse los documentos que describen el proyecto.

*Formato de la Presentación:*
La presentación consistirá en un documento que detalle:
-¢ Objetivo del proyecto.
-¢ Amenazas y riesgos que mitiga.
-¢ Detalles sobre su desarrollo.
-¢ Beneficios obtenidos a partir de su implementación. En el caso que existieran, métricas que lo soportan
Adicionalmente se podrá incluir en formato de presentación la arquitectura del proyecto para su exposición.

*Perí­odo de evaluación de Proyectos:*
Durante el mes de Noviembre del 2006 el Comité Académico de SEGURINFO evaluará los proyectos y el 30 de Noviembre entregará el PREMIO SEGURINFO INNOVACIÓN 2006 al proyecto que haya obtenido la mejor calificación sobre los proyectos presentados.
Se entregarán menciones en el caso que el Comité Académico lo considere.
Los proyectos seleccionados serán invitados a ser expuestos por sus autores durante la realización de SEGURINFO 2007.

*Criterios para la premiación de Proyectos:*
El Comité Académico de SEGURINFO seleccionará los proyectos a premiar sobre la base de los siguientes criterios:

Originalidad: Carácter original o innovativo del proyecto.
Pertinencia: Alineación del proyecto con las estrategias de buenas prácticas en Seguridad de la Información.
Impacto medido en una o más de las siguientes dimensiones:
Fortalecimiento de la Seguridad de la información,
Optimización de recursos en cuanto a software, hardware o RRHH utilizados,
Optimización en cuanto al aprovechamiento de recursos financieros utilizados para la implementación del proyecto.
No serán tenidos en cuenta aquellos trabajos que independientemente de su calificación respecto de otros criterios estén reñidos con la ética y las buenas costumbres del ámbito profesional, a exclusivo juicio del Comité Académico de SEGURINFO.

*Aceptación de las Condiciones:*
La participación en este Concurso implica el conocimiento y aceptación de estas Condiciones, así­ como de las decisiones que adopten USUARIA y el Comité de SEGURINFO sobre cualquier cuestión no prevista en las mismas. Los participantes no tendrán derecho a reclamo alguno sobre las decisiones adoptadas.

En particular, USUARIA se reserva el derecho de publicar los documentos correspondientes a las presentaciones recibidas respetando la propiedad intelectual del o de los autores asumiendo el compromiso de mencionarla en todos los casos en los que sea utilizada.

*Circunstancias especiales:*
Ante circunstancias imprevistas que constituyan caso fortuito, fuerza mayor o similar que lo justifiquen, USUARIA y el Comité Académico de SEGURINFO podrán suspender, cancelar o modificar total o parcialmente el presente Concurso.

Mas información en “http://www.segurinfo.org.ar/”:http://www.segurinfo.org.ar/


New security measures for databases required in Argentina

Posted: octubre 3rd, 2006 | Author: | Filed under: Argentina, Auditoria, DNPDP, Law, Registro, Sanciones, Seguridad | Comentarios desactivados

Data Protection Agency of Argentina – Disposition 11/2006 – “Security Measures for the Treatment and Maintenance of the Personal Data Contained in Files, approved Records, sickness Databanks and Databases, impotent either non state Public and Private- be passed.

NOTE: See also Disposition 9/2008.

Bs. As., 9/19/2006
Publication in the Official Gazette: 9/22/2006

IN VIEW OF File No 153,743/06 of the registry of the MINISTRY OF JUSTICE AND HUMAM RIGHTS, the responsibilities ascribed to the NATIONAL BUREAU FOR THE PROTECTION OF PERSONAL DATA by Act 25,326t and establishment thereof by Decree 1558 of November 29 2001, and

CONSIDERING,

Read the rest of this entry »


Aprueban medidas de seguridad para bancos de datos en Argentina

Posted: septiembre 25th, 2006 | Author: | Filed under: Argentina, Normas, Registro | No Comments »

De conformidad con lo prescripto por el artí­culo 9 de la “ley 25.326″:http://www.habeasdata.org/ley25326, viagra approved el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales. Esta norma se encarga de reglamentar tales medidas.

*DISPOSICION Nº 11/2006.*
Apruébanse las “Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, pills Registros, Bancos y Bases de Datos Públicos no estatales y Privados”.

Bs. As., 19/9/2006

*Publicado en el Boletí­n Oficial del 22/09/2006*

VISTO el Expediente N* ° 153.743/06 del registro del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, las competencias atribuidas a esta DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES por la “Ley 25.326″:http://www.habeasdata.org/ley25326 y su reglamentación aprobada por Decreto N* ° 1558 del 29 de noviembre de 2001, y CONSIDERANDO:

Que de conformidad con lo prescripto por el artí­culo 9* ° de la “Ley 25.326″:http://www.habeasdata.org/ley25326, el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales, a fin de evitar su adulteración, pérdida, consulta o tratamiento no autorizado y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

Que por su parte, entre las atribuciones asignadas a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se encuentra la de dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas en la Ley N* ° 25.326 (artí­culo 29, inciso 1, apartado b) y especí­ficamente la de dictar normas administrativas y de procedimientos técnicos relativos al tratamiento y condiciones de seguridad de los archivos, registros y bases o bancos de datos públicos y privados (artí­culo 29, inciso 5, apartado a, del Anexo al del Decreto N* ° 1558/01), así­ como la de controlar la observancia de las normas sobre integridad y seguridad de los datos por parte de los archivos, registros o bancos de datos (artí­culo 29, inciso 1, apartado d, de la “Ley 25.326″:http://www.habeasdata.org/ley25326).

Que como consecuencia de ello y en cumplimiento de la facultad que este Organo de Control tiene para el dictado de normas relativas a las condiciones de seguridad de los archivos, registros y bases o bancos de datos, corresponde aprobar las medidas de seguridad para el tratamiento y conservación de los datos personales, que deberán observar los responsables y usuarios de archivos, registros, bases y bancos de datos públicos no estatales y privados.

Que a tal fin, se establece un “Documento de Seguridad de Datos Personales”, como instrumento para la especificación de la normativa de seguridad, el que deberá adecuarse en todo momento a las disposiciones vigentes en la materia dictadas por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

Que asimismo, se establecen TRES (3) niveles de seguridad: BASICO, MEDIO y CRITICO, conforme la naturaleza de la información tratada, pautas aplicables también a los archivos no informatizados (registro manual).

Que para cada uno de los niveles antes mencionados se han previsto distintas medidas de seguridad, establecidas teniendo en cuenta la mayor o menor necesidad de garantizar la confidencialidad e integridad de la información contenida en el banco de datos respectivo; la naturaleza de los datos y la correcta administración de los riesgos a que están expuestos, así­ corno también el mayor o menor impacto que tendrí­a en las personas el hecho de que la información registrada en los archivos no reúna las condiciones de integridad y confiabilidad debidas.

Que se han establecido distintos plazos para la implementación de las medidas de seguridad que se propician, teniendo en consideración el nivel de seguridad de que se trate, así­ corno también la posibilidad de otorgar una prórroga previa solicitud debidamente fundamentada.

Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS ha tomado la intervención que le compete.

Que la presente medida se dicta el uso de las facultades conferidas en el artí­culo 29, inciso 1, apartado b, de la Ley N* ° 25.326 y artí­culo 29, inciso 5, apartado a, del Anexo al Decreto N* ° 1558/01.

Por ello, EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES DISPONE:

Artí­culo 1* ° – Apruébense las “Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados”, cuyo texto como Anexo I forma parte del presente.

Art. 2* ° – Establécese que el plazo para la implementación de las medidas de seguridad a contar desde la fecha del dictado del presente acto, será de DOCE (12) meses para las de Nivel Básico, de VEINTICUATRO (24) meses para las de Nivel Medio y de TREINTA Y SEIS (36) meses para las de Nivel Crí­tico, los que serán prorrogables a pedido de la parte interesada y por razones debidamente fundadas.

Art. 3* ° – Comuní­quese, publí­quese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y archí­vese.

*ANEXO I*

“MEDIDAS DE SEGURIDAD PARA EL TRATAMIENTO Y CONSERVACION DE LOS DATOS PERSONALES CONTENIDOS EN ARCHIVOS, REGISTROS, BANCOS Y BASES DE DATOS PUBLICOS NO ESTATALES Y PRIVADOS”

*MEDIDAS DE SEGURIDAD DE NIVEL BASICO:*

Los archivos, registros, bases y bancos de datos que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de Nivel Básico que a continuación se detallan:

Disponer del Documento de Seguridad de Datos Personales en el que se especifiquen, entre otros, los procedimientos y las medidas de seguridad a observar sobre los archivos, registros, bases y bancos que contengan datos de carácter personal. Deberá mantenerse en todo momento actualizado y ser revisado cuando se produzcan cambios en el sistema de información.

Deberá contener:

1. Funciones y obligaciones del personal.

2. Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan.

3. Descripción de las rutinas de control de datos de los programas de ingreso de datos y las acciones a seguir ante los errores detectados a efectos de su corrección. Todos los programas de ingreso de datos, cualquiera sea su modo de procesamiento (batch, interactivo, etc.), deben incluir en su diseño, rutinas de control, que minimicen la posibilidad de incorporar al sistema de información, datos ilógicos, incorrectos o faltantes.

4. Registros de incidentes de seguridad.

4.1. Notificación, gestión y respuesta ante los incidentes de seguridad.

5. Procedimientos para efectuar las copias de respaldo y de recuperación de datos.

6. Relación actualizada entre Sistemas de Información y usuarios de datos con autorización para su uso.

7. Procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información.

La relación entre el usuario autorizado y el/los sistemas de información a los que puede acceder debe mantenerse actualizada. En el caso en que el mecanismo de autenticación utilice contraseña, la misma será asignada por el responsable de seguridad de acuerdo a un procedimiento que garantice su confidencialidad. Este procedimiento deberá prever el cambio periódico de la contraseña (lapso máximo de vigencia) las que deberán estar almacenadas en forma ininteligible.

8. Control de acceso de usuarios a datos y recursos necesarios para la realización de sus tareas para lo cual deben estar autorizados.

9. Adoptar medidas de prevención a efectos de impedir amenazas de software malicioso (virus, troyanos, etc.) que puedan afectar archivos con datos de carácter personal. Entre otras:

1) Instalar y actualizar, con la periodicidad pertinente, software de detección y reparación de virus, ejecutándolo rutinariamente; 2) Verificar, antes de su uso, la inexistencia de virus en archivos recibidos a través de la web, correo electrónico y otros cuyos orí­genes sean inciertos.

10. Procedimiento que garantice una adecuada Gestión de los Soportes que contengan datos de carácter personal (identificación del tipo de información que contienen, almacenamiento en lugares de acceso restringidos, inventarios, autorización para su salida fuera del local en que están ubicados, destrucción de la información en desuso, etc.).

Nota: Cuando los archivos, registros, bases y bancos contengan una serie de datos personales con los cuales, a través de un determinado tratamiento, se permita establecer el perfil de personalidad o determinadas conductas de la persona, se deberán garantizar las medidas de seguridad del presente nivel más las establecidas en los puntos 2, 3, 4 y 5 del siguiente.

*MEDIDAS DE SEGURIDAD DE NIVEL MEDIO:*

Los archivos, registros, bases y bancos de datos de las empresas privadas que desarrollen actividades de prestación de servicios públicos, así­ como los archivos, registros, bases y bancos de datos pertenecientes a entidades que cumplan una función pública y/o privada que, más allá de lo dispuesto por el artí­culo 10 de la Ley N* ° 25.326, deban guardar secreto de la información personal por expresa disposición legal (v.g.: secreto bancario), además de las medidas de seguridad de nivel Básico, deberán adoptar las que a continuación se detallan:

1. El Instructivo de seguridad deberá identificar al Responsable (u órgano especí­fico) de Seguridad.

2. Realización de auditorí­as (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales.

Los informes de auditorí­a pertinentes, serán presentados al Responsable del Archivo a efectos de que se adopten las medidas correctivas que correspondan. La Dirección Nacional de Protección de Datos Personales, en las inspecciones que realice, deberá considerar obligatoriamente, con carácter no vinculante, los resultados de las auditorí­as referidas precedentemente, siempre que las mismas hayan sido realizadas dentro de un perí­odo máximo de un año.

3. Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

4. Se establecerá un control de acceso fí­sico a los locales donde se encuentren situados los sistemas de información con datos de carácter personal.

5. Gestión de Soportes e información contenida en ellos, 5.1. Se dispondrá de un registro de entradas y salidas de los soportes informáticos de manera de identificar, dí­a y hora de entrada y salida del soporte, receptor, emisor, forma de enví­o, etc.

5.2. Se adoptarán las medidas necesarias para impedir cualquier recuperación de la información con posterioridad a que un soporte vaya a ser desechado o reutilizado, o que la información deba ser destruida, por la causa que correspondiere.

Asimismo se deberán adoptar similares medidas cuando los soportes, o la información (ej.: cuando se hacen copias de respaldo a través de una red de transmisión de datos, la información sale de un soporte local y viaja hasta otro remoto ví­a dicha red.), vaya a salir fuera de los locales en que se encuentren ubicados, 5.3. Deberá disponerse de un procedimiento de recuperación de la información de respaldo y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales.

6. Los registros de incidentes de seguridad, en el caso de tener que recuperar datos, deberán identificar la persona que recuperó y/o modificó dichos datos. Será necesaria la autorización en forma fehaciente del responsable del archivo informatizado.

7. Las pruebas de funcionamiento de los sistemas de información, realizadas con anterioridad a su puesta operativa no se realizarán con datos/archivos reales, a menos que se aseguren los niveles de seguridad correspondientes al tipo de datos informatizados tratados.

*MEDIDAS DE SEGURIDAD DE NIVEL CRITICO:*

Los archivos, registros, bases y bancos de datos que contengan datos personales, definidos como “datos sensibles”, con la excepción que se señalará más abajo, además de las medidas de seguridad de nivel Básico y Medio, deberán adoptar las que a continuación se detallan:

1. Distribución de soportes: cuando se distribuyan soportes que contengan archivos con datos de carácter personal -incluidas las copias de respaldo-, se deberán cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no puedan ser leí­dos o manipulados durante su transporte.

2. Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de un TRES (3) años.

3. Copias de respaldo: además de las que se mantengan en la localización donde residan los datos deberán implementarse copias de resguardo externas, situadas fuera de la localización, en caja igní­fuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localización. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales.

4. Transmisión de datos: los datos de carácter personal que se transmitan a través de redes de comunicación1, deberán serlo cifrados o utilizando cualquier otro mecanismo que impida su lectura y/o tratamiento por parte de personas no autorizadas.

Nota: Quedan exceptuados de aplicar las medidas de seguridad de nivel crí­tico, los archivos, registros, bases y bancos de datos que deban efectuar el tratamiento de datos sensibles para fines administrativos o por obligación legal. No obstante, ello no excluye que igualmente deban contar con aquellas medidas de resguardo que sean necesarias y adecuadas al tipo de dato.