Optimizacin del Control - PowerPoint PPT Presentation

1 / 36
About This Presentation
Title:

Optimizacin del Control

Description:

Derecho de la Alta Tecnolog a (UCA) Quinto Seminario Nacional e Internacional ... 2. Se pueden definir perfiles como Jefe o Secretaria, si la firma los posee, y ... – PowerPoint PPT presentation

Number of Views:29
Avg rating:3.0/5.0
Slides: 37
Provided by: horacior
Category:

less

Transcript and Presenter's Notes

Title: Optimizacin del Control


1

Quinto Seminario Nacional e Internacional La
protección de Datos Personales hacia el
Bicentenario de la República Argentina
  • Optimización del Control
  • Utilidad de las auditoría legal sobre
    cumplimiento empresario de la normativa



  • por el Dr. Horacio R. Granero
  • Socio del Estudio Allende Brea
  • Director de la Carrera de Postgrado de
  • Abogado Especializado en
  • Derecho de la Alta Tecnología (UCA)

2
Los daños en la era tecnológica
  • La responsabilidad civil en la actualidad
  • La culpa como único factor de atribución en el
    Código Civil.
  • El avance técnico y su influencia en la
    responsabilidad civil
  • Teoría del riesgo y sus aplicaciones Accidentes
    de trabajo, daños aéreos Responsabilidad
    objetiva.
  • La tecnología y la teoría de la actividad
    riesgosa

3
Los daños en la era tecnológica
  • Existe en la actualidad una real responsabilidad
    reguladora que preocupa a los ejecutivos durante
    toda la cadena de valor por el peligro de
    sanciones severas y variadas
  • La gestión de riesgos empresariales continúa
    creciendo en importancia dentro de todas las
    empresas.
  • Los controles para mitigar los riesgos
    reguladores, operativos y de reputación están
    cosechando ahora el mismo tipo de atención y
    recursos que los esfuerzos de gestión de riesgos
    más tradicionales de las corporaciones.

4
Obligación legal de Protección de Datos
Personales
  • Protege el daño que se puede causar por una
    violación del deber de seguridad que tiene todo
    gestor de una base de datos personales.
  • Es una obligación de resultado, consistente en
    garantizar que los datos personales no serán
    difundidos ni empleados para un fin distinto al
    tenido en cuenta al ser ingresados al Banco de
    Datos.
  • Se considera que el tratamiento y /o difusión de
    datos de terceros puede ser considerado una cosa
    riesgosa (Alessi, Ezio v/ Organización Veraz
    s/ habeas data, Cámara Civil Rosario, 8/8/2001)

5
Obligación legal de Protección de Datos
Personales
  • Similitud con el control Y2K Resoluciones
    administrativas
  • Comunicaciones del Banco Central,
  • Disposición 3645/99 ANMAT, del 15 de julio de
    1999, B.O., 23 de julio de 1999 que prohíbe el
    ingreso al país de aparatos y dispositivos
    electrónicos o con electrónica incorporada y de
    uso biomédico, que dependan para sus correctas
    prestaciones de procesos relacionados con las
    fechas, si los mismos no poseen certificación de
    compatibilidad año 2000)
  • Secretaría de Energía, Resolución 119/99 del
    25/3/99, B.O. 30/03/99 instruye a los Agentes
    Generadores, Transportistas, Distribuidores y
    Grandes Usuarios Mayores del Mercado Eléctrico
    Mayorista, a desarrollar las actividades y
    cumplir con las instrucciones que para la
    implementación del Proyecto del Año 2000, defina
    la Compañía Administradora del Mercado Mayorista
    Eléctrico S.A. (CAMMESA). Asimismo se establecían
    etapas y fechas límite de cumplimiento).
  • Se dictó una norma específica en el ámbito de la
    Lealtad Comercial, para hacer efectivo el deber
    de información al consumidor y adquirente de
    bienes y servicios informáticos.
  • Los Estándares Tecnológicos de la Administración
    Pública (ETAP) de la Secretaria de al Función
    pública contemplan desde 1997 la adquisición de
    material compatible año 2000, exigencia que
    resultaba obligatoria

6
Obligación legal de Protección de Datos
Personales
  • Similitud con el control Y2K Control
    de legalidad
  • Necesidad de analizar los contratos celebrados
    con proveedores
  • Imposibilidad de alegar caso fortuito o fuerza
    mayor
  • Implementación del deber de información a los
    usuarios
  • Agravamiento de la situación del acreedor por
    prolongación del tiempo
  • Obligación de asumir los gastos que insuma la
    protección
  • Análisis de validez de las cláusulas de
    limitacíón de responsabilidad

7
Obligación legal de Protección de Datos
Personales
  • Responsabilidad empresaria
  • Art. 274 LS Los directores responden ilimitada
    y solidariamente hacia la sociedad, los
    accionistas y los terceros, por el mal desempeño
    de su cargo, según el criterio del art. 59, así
    como por la violación de la ley, el estatuto o
    reglamento y por cualquier otro daño producido
    por dolo, abuso de facultades o culpa grave
  • Art. 59 LS Los administradores y los
    representantes de la sociedad deben obrar con
    lealtad y con la diligencia de un buen hombre de
    negocios. Los que faltaren a sus obligaciones son
    responsables, ilimitada y solidariamente, por los
    daños y perjuicios que resultaren de su acción u
    omisión

8
Recolección de datos
9
Bases datos publicidad
  • Será necesario el consentimiento del titular de
    los datos para actividades publicitarias como el
    reparto de documentos, venta directa o la cesión
    de datos entre empresas  
  • La transpolación de la información para ser
    utilizada con fines publicitarios propios o de
    terceros importaría exceder la causa que ha dado
    motivo a que la entidad cuente con esos datos el
    acuerdo celebrado con la entidad en ocasión de
    contratar determinado producto (Unión de
    Usuarios y Consumidores v. Citibank CNCom. Sala
    E, 12 de mayo 2006)
  • Se protege a los titulares de los datos con
    respecto a temas por ejemplo el establecimiento
    de perfiles determinados o hábitos de consumo

10
Daño Moral
  • La Justicia Comercial está imponiendo
    indemnizaciones por daño moral
  • Prada c/ Citibank (CNCom. Sala B, 27/08/02)
    -Daño material 744,86 y moral 45.000.
  • Del Giovannino, Luis c/Banco del Buen Ayres
    (CNCom. Sala B, 11/01/2001) Daño material 6.000
    y moral 40.000)

11

Las Resoluciones de la DNPDP
  • Disposición 7/2005
  • Clasifica y gradúa las infracciones
  • Disposición 11/2006
  • Determina Niveles de Seguridad
  • Básico a partir del 22/09/07 Para todos los
    responsables. Documento de seguridad de Datos
    Personales
  • Medio a partir del 22/09/08 Para empresas
    privadas que desarrollen actividades de
    prestación de servicios públicos. Mayor control.
    Auditorías.
  • Crítico a partir del 22/09/09 Para bancos de
    datos sensibles. Identificación y registro de
    accesos. Planes de contingencia.

12

Las Resoluciones de la DNPDP
  • Disposición 5/2008 (29/05/08)
  • Aprueba las Normas de Inspección y Control con el
    fin de
  • Mejorar la gestión de tratamiento de datos
    personales por parte del responsable
  • Regular el ejercicio de la facultad de inspección
    de la DNPDP
  • Mejorar la protección de los derechos del titular
    del dato
  • Alcance de la Inspección
  • Verificación de medidas técnicas y organizativas
    del responsable del manejo de los datos
  • Metodología de la Inspección
  • Legalidad y corrección de los datos tratados.
  • Idoneidad de los empleados y profesionales que
    asesoran

13

Disposición 5/2008 (29/05/08)
  • 4.3.1 Legalidad y corrección de los datos
    tratados.
  • 4.3.1.1 Tipos de datos que se gestionan
  • 4.3.1.2 Finalidad del tratamiento, servicios que
    se prestan
  • 4.3.1.3 Origen o fuente de los datos, formas de
    recolección. Verificación del
    consentimiento del titular
  • 4.3.1.4 Cesiones a terceros. Cumplimiento
    requisitos legales
  • 4.3.1.5 Transferencias internacionales.
    Cumplimiento requisitos legales
  • 4.3.1.6 Mecanismos de disociación de la
    información personal
  • 4.3.1.7 Destrucción de la información
  • 4.3.2 Inscripciones vigentes en la DNPDP
  • 4.3.3 Medidas de seguridad de la información
  • 4.3.3.1 Cumplimiento de la Disp. DNDP 11/06
  • 4.3.4 Política de privacidad
  • 4.3.4.1 Análisis de las políticas.
  • 4.3.4.4 Convenios de confidencialidad firmados
    por los empleados

14

Las Resoluciones de la DNPDP
  • Disposición 9/2008
  • Prorroga el plazo establecido en la Disp. 11/06
    en 12 meses para el Nivel Medio (al 22/09/09) y
    en 24 meses al Nivel Crítico (al 22/09/10)
  • Aprueba el Documento de Seguridad de Datos
    Personales

15

Documento de Seguridad de Datos
  • Inclusión de Datos
  • 1. Del Responsable de los Datos (nombre de la
    firma /organización)
  • 2. De Inscripción en el Registro Nacional de
    Bancos de Datos Nº (indicar número de
    inscripción)
  • 3. Fecha de la última Renovación dd/mm/aa
    Validez UN año.
  • 4. Persona de contacto de la firma /
    organización (nombre, apellido y datos para
    contactarla)
  • 5. Responsable de la gestión de la seguridad en
    la firma
  • 1- Funciones y obligaciones del personal o
    contratados.
  • Personal
  • 1. Se debe informar adecuadamente y comprometer
    a todo el personal y/o proveedores con acceso a
    los datos personales, a observar estricta
    confidencialidad de la información que posee la
    empresa mediante la firma de una "Obligación de
    confidencialidad" como la que se transcribe, o
    similar.
  • El que suscribe ...(nombre apellido,
    CUIT-CUIL)..., empleado (o proveedor con acceso a
    los datos), asume el compromiso de mantener
    estricto secreto y confidencialidad de la
    información a la que accede, no debiendo
    exteriorizarla parcial ni totalmente sin
    autorización. Por el presente me notifico del
    carácter confidencial que reviste la información
    que posee el responsable de los datos y me
    comprometo a no usarla ni revelarla sin su
    consentimiento. Los datos personales presentes,
    su mera posesión, tratamiento, cesión o
    divulgación se hallan protegidos y regulados por
    la Ley Nº 25.326 de Hábeas Data siendo la
    Dirección Nacional de Protección de Datos
    Personales

16

Documento de Seguridad de Datos
  • 2. Se pueden definir perfiles como Jefe o
    Secretaria, si la firma los posee, y asignar a
    cada perfil, obligaciones y "privilegios". Puede
    haber varios empleados bajo un mismo perfil.
  • Proveedor externo y service de sistemas
    (Consignar nombre y CUIT
  • Obligaciones
  • Mantener los sistemas de información funcionando
    correctamente manteniendo la integridad de los
    datos personales.
  • Acceder a toda la información que la empresa
    guarda en sus sistemas.
  • 2- Descripción de los archivos con datos
    personales y los sistemas que los tratan
  • Listado de clientes, listado de proveedores,
    listado de personal, otros especificar.
  • Se utiliza programa de gestión administrativa
    marca y versión especificar.
  • Sistema operativo marca y versión especificar.
  • 3- Descripción de las rutinas de control de datos
    y acciones a seguir ante errores.
  • Se debe instruir al personal involucrado para
    percibir las posibles inconsistencias u errores y
    corregirlos en el momento en el que tomen cuenta
    si el sistema lo permite, o den aviso al idóneo
    con la posibilidad de corregirlos.

17

Documento de Seguridad de Datos
  • 4- Registros de incidentes de seguridad.
    Notificación, gestión y respuesta.
  • Se debe crear en el programa de email una carpeta
    DNPDP, y luego se pasan a ella todos los emails
    referidos a protección de datos personales.
  • Cuando ocurre algo que se considere un incidente
    de seguridad se redactan uno o más emails
    describiendo lo sucedido y las acciones tomadas
    para su solución y se los envía a otra cuenta.
  • Quedan de este modo registradas en esos emails,
    las fechas y horas, las características, y la
    solución del incidente.
  • También se puede llevar registro de incidentes en
    un capítulo de un Cuaderno de Informes de
    Sistemas donde se reportan todos los
    acontecimientos referidos a la Protección de
    Datos Personales, que se guarda bajo llave en el
    escritorio de Secretaria.
  • 5- Procedimiento para efectuar las copias de
    respaldo y recuperación de datos (Backups)
  • Se copian las carpetas Documentos y
    ...(especificar otras)... a dos CD-ROM, y se
    verifica el correcto copiado con la rutina del
    programa de copiado, y también leyéndolos.
  • Se consigna en la superficie de los CDs la fecha,
    y las carpetas que se han copiado en él.
  • Se guarda un CD bajo llave en un mueble de la
    oficina de administración y otro es llevado al
    domicilio particular del dueño de la firma.

18

Documento de Seguridad de Datos
  • 6- Relación actualizada entre los Sistemas de
    Información y Usuarios de datos.
  • Esta Relación entre los Sistemas y Usuarios, es
    congruente con los "privilegios" de cada perfil.
  • 7- Procedimientos de identificación y
    autenticación de los Usuarios de datos.
  • El sistema posee "Cuentas de Usuario" únicas, que
    se asignan a cada persona que accede a él.
  • Cada cuenta posee una "password" secreta, sólo
    conocida por el usuario, que es requerida para
    autenticarse y acceder al sistema.
  • La password posee no menos de ocho caracteres y
    debe ser cambiada por el usuario cada 30 días ya
    que caduca automáticamente.
  • 8- Control de acceso de Usuarios de datos.
  • De acuerdo a su "perfil" se asignan a los
    Usuarios llaves de las puertas de ingreso a cada
    sector de la firma.
  • Se asignan muebles y cajoneras con llaves
    particulares para cada Usuario.
  • En el sistema informático cada Usuario posee una
    cuenta con su "password", y con sus particulares
    "privilegios" de acceso a determinada
    información.

19

Documento de Seguridad de Datos
  • 9- Medidas de prevención frente a amenazas de
    software malicioso.
  • El sistema operativo posee un "Módulo de
    Seguridad" con Firewall para evitar el acceso no
    deseado de intrusos a través de la red Internet,
    y programa Antivirus residente en memoria que
    limita el ingreso de virus a través de redes,
    disquetes, CDs u otros dispositivos de ingreso.
  • Este "Módulo de Seguridad" cuenta con una
    solicitud periódica y automática de
    actualización, que se lleva a cabo cada vez que
    ocurre.
  • 10- Procedimiento que garantice la adecuada
    Gestión de los Soportes de datos.
  • Los soportes de datos de respaldo, ej. CD-ROMs de
    Backup, se etiquetan indicando, fecha, y
    contenidos en general.
  • Se asienta el backup en un capítulo que contiene
    el Cuaderno de Informes de Sistemas, donde copian
    lo escrito en la etiqueta del CD.
  • Se redacta un email con idéntico contenido, se lo
    envía a otra cuenta y se lo pasa a la carpeta
    DNPDP previamente creada.
  • Se guarda un CD bajo llave en un mueble de la
    oficina de administración y otro es llevado al
    domicilio particular del dueño de la firma.
  • Cuando la información de un soporte de datos ya
    no sea útil y haya prescripto, se procederá a su
    destrucción, rayando su superficie y partiéndolo
    en pedazos antes de tirarlo a la basura.
  • Se realizan el asiento de la operación en el
    Cuaderno de Informes de Sistemas, y en el email.
  • Firma Responsable de los Datos Personales
  • Firma Responsable de Seguridad

20

Disposición 10/2008 (15/09/08)
Art. 1º Los responsables y usuarios de bancos
de datos públicos o privados deberán incluir, en
lugar visible, en su página web y en toda
comunicación o publicidad, en particular, en los
formularios utilizados para la recolección de
datos personales, una leyenda que indique El
titular de los datos personales tiene la facultad
de ejercer el derecho de acceso a los mismos en
forma gratuita a intervalos no inferiores a seis
meses, salvo que se acredite un interés legítimo
al efecto conforme lo establecido en el artículo
14, inciso 3 de la Ley Nº 25.326.
21

Disposición 10/2008 (15/09/08)
Art. 2 - Dispónese que las personas mencionadas
en el artículo anterior deberán incluir también,
en la forma y lugares indicados precedentemente,
una leyenda que exprese La DIRECCION NACIONAL
DE PROTEC CION DE DATOS PERSONALES, Órgano de
Control de la Ley Nº 25.326, tiene la atribución
de atender las denuncias y reclamos que se
interpongan con relación al incumplimiento de las
normas sobre protección de datos personales.
22
Utilidad de implantar una responsablidad objetiva
Responsabilidad out of standard Responsabilida
d on standard Responsabilidad over standard
23
Utilidad de implantar una responsablidad objetiva
Al contratar un seguro si no cumple con lo
exigido, como por ejemplo colocar extinguidores
en las zonas indicadas, la aseguradora no abonará
la póliza en caso de siniestro
24
Utilidad de implantar una responsablidad objetiva
Si se instalan matafuegos la compañía se seguros
abonará la póliza
25
Utilidad de implantar una responsablidad objetiva
26
Utilidad de las auditorias legales
27
Utilidad de las auditorias legales
ENTIDADES
SEGURIDAD DE LOS DATOS
28
Utilidad de las auditorias legales
ENTIDADES
Áreas Críticas
29
Utilidad de las auditorias legales
30

Utilidad de las auditorias legales
  • Determinación de los límites legales
  • "El consorcio actuó en forma lícita, pues al
    supeditar el ingreso del actor al edificio a que
    éste consintiera la captación de su imagen por el
    sistema de seguridad no comprometió su derecho a
    la intimidad, no contravino lo dispuesto por el
    art. 31 de la ley 11723 ni las normas de la ley
    25326, y procedió regularmente."
  • "M. G. C. c/ Consorcio de Propietarios Lima 355 y
    otro s/ daños y perjuicios" - CNCIV - SALA I -
    03/05/2005

31

Utilidad de las auditorias legales
  • Análisis exhaustivo de la información de carácter
    personal que posea el cliente y de las medidas de
    seguridad adoptadas, identificando las
    insuficiencias legales en que incurre
  • Notificación a la Dirección Nacional de
    Protección de Datos Personales de las bases de
    datos de carácter personal, que se encuentren en
    posesión del cliente, para su posterior
    inscripción en el Registro de Protección de
    Datos.
  • Redacción del Documento de Seguridad, por el que
    se regulan las medidas de seguridad adoptadas por
    el responsable de la base de los datos de
    carácter personal. Este Documento de Seguridad
    variará según el nivel de seguridad a adoptar.
  • Informe de Auditoría, por el que se proponen las
    medidas correctoras para la adecuación del
    cliente a la legislación en materia de protección
    de datos.

32
El valor de las normas
  • Las normas no deben estar para entorpecer, sino
    para ayudar a la sociedad, para que ésta logre su
    fin el bien común

33
El valor de las normas
  • Las normas no deben estar para entorpecer, sino
    para ayudar a la sociedad, para que ésta logre su
    fin el bien común
  • La falta de normas o las normas malas sí
    entorpecen la labor.

34
El valor de las normas
  • La tecnología y las normas legales no son un mal
    necesario es un bien, sólo que hay que saber en
    qué emplearla (ejemplo de Peter Drucker y la
    bicicleta con motor)

35
El valor de las normas
  • La tecnología y las normas legales no son un mal
    necesario es un bien, sólo que hay que saber en
    qué emplearla (ejemplo de Peter Drucker y la
    bicicleta con motor)

36
Horacio R. Granerohrg_at_allendebrea.com.ar
Muchas Gracias
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Optimizacin del Control" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!