El El 2 de noviembre del año 2000 fue publicada en el Boletín Oficial la Ley 25.326 de Protección de los Datos Personales, y el 29 de noviembre de 2001, el Poder Ejecutivo dictó el Decreto 1558/2001 reglamentando su ejercicio y creando a la Dirección Nacional de Protección de Datos Personales (DNPDP) como organismo de control. El objeto de la legislación vigente en materia de protección de datos personales es proteger la información personal asentada en archivos, registros, bases, bancos de datos, u otros medios técnicos de tratamiento de datos, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el tercer párrafo del artículo 43 de la Constitución Nacional. Lo que se pretende es proteger aspectos de la personalidad que individualmente pueden no tener mayor trascendencia, pero que al unirse con otros pueden configurar un perfil determinado de las personas y utilizarse inadecuadamente.

La Ley de 25.326, que prevee sanciones de hasta $ 100.000.- para casos de incumplimiento e introdujo nuevos delitos al Código Penal con penas de prisión de hasta cuatro años y medio, establece que todos aquellos archivos, registros, bases o bancos de datos que contengan información personal y no pertenezcan a particulares que les confieran un uso exclusivamente personal, deben inscribirse en el Registro Nacional de Bases de Datos Privadas a cargo del organismo de control Medidas de Seguridad Una de las cuestiones que más preocupan en el tratamiento de datos en general, y de los datos personales en particular, es el de su seguridad, tanto en el momento de su recolección como en el de su tratamiento y cesión a terceros. Es por ello que el art. 9 de la Ley 25.326, reconociendo que uno de los principios básicos para garantizar la protección de datos de carácter personal es el de la seguridad de los datos, prohibe que se registren datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.

De acuerdo a lo establecido por el mencionado artículo, y a los efectos de garantizar la seguridad y confidencialidad de la información, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado y detectar desviaciones de información, todos aquellos responsables de bases de datos que contengan información de carácter personal referida a terceros deben adoptar medidas técnicas y organizativas adecuadas a los riesgos que presenta cada tratamiento, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. El Decreto Reglamentario omitió establecer qué niveles de seguridad deben adoptarse en cada caso concreto, delegando dicha tarea en el organismo de control, que asumió la tarea de elaborar e implementar las medidas, prácticas y procedimientos de seguridad que susciten confianza en los sistemas de información que contienen información de cualquier tipo referida a personas físicas o jurídicas, determinadas o determinables. Y fue en el ejercicio de sus funciones que en el mes de noviembre de 2006 el Director Nacional de Protección de Datos, mediante el dictado de la Disposición Nro 11/2006, estableció cuáles son las medidas de seguridad que deben observarse en el tratamiento de los datos personales contenidos en archivos, registros, bases y bancos de datos privados y públicos no estatales.

Teniendo en cuenta que cada tratamiento de datos tiene su particularidad y riesgos, no sólo de acuerdo a quien sea el responsable del archivo, registro, base o banco de datos, sino también en virtud a la naturaleza de los datos personales sujetos a tratamiento, la Resolución 11/2006 estableció tres (3) niveles de seguridad: Básico, Medio y Crítico. A cada uno de estos niveles se le exigen diferentes medidas de seguridad, definidas teniendo en cuenta la mayor o menor necesidad de garantizar la confidencialidad e integridad de la información; la naturaleza de los datos y la correcta administración de los riesgos a que están expuestos, así como también el mayor o menor impacto que puede llegar a tener el hecho de que la información registrada no reúna las condiciones de integridad y confiabilidad deseadas.

Las medidas de seguridad deben entenderse siempre como una normativa de mínimos, es decir, como un piso básico de exigibilidad que describe las medidas de seguridad imprescindibles que deben reunir los archivos, registros, bases o bancos de datos que someten a tratamiento datos de carácter personal

Sanciones por incumplimiento

De acuerdo lo establecido por la Disposición Nº 7/2005 de la Dirección Nacional de Protección de Datos Personales, mantener bases de datos, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen, constituye una infracción grave, pasible de ser sancionada con hasta cuatro (4) apercibimientos, suspensión de uno (1) a treinta (30) días y/o multa de pesos tres mil uno ($ 3.001.-) a pesos cincuenta mil ($ 50.000.-).

Plazos para la implementación

Se han establecido distintos plazos para la implementación de las medidas de seguridad que se propician, teniendo en consideración el nivel de seguridad de que se trate, así corno también la posibilidad de otorgar una prórroga previa solicitud debidamente fundamentada. El plazo para implementar las medidas exigidas depende del tipo de datos tratados, se cuenta desde la fecha de publicación de la Disposición 11/2006 y es de doce (12) meses para las medidas de seguridad de nivel básico, de veinticuatro (24) meses para las medidas de seguridad de nivel medio y de treinta y seis (36) meses para las medidas de seguridad de nivel crítico.

El 22 de septiembre de 2007 venció el plazo para que todos los responsables de archivos, registros, bancos o bases de datos que contengan información personal implementen las medidas de seguridad de Nivel Básico y redacten el Documento de Seguridad exigido por la normativa vigente. En septiembre de 2008 vencerá el plazo para implementar las medidas de seguridad de Nivel Medio y en igual mes del año 2010 las de Nivel Crítico.