miércoles, 26 de agosto de 2009

Datos Sensibles ¿protegidos?

El pasado jueves 13 de agosto estuve en una charla sobre Protección de Datos Personales en la JIAP, la cual me resultó interesante compartir aquí.

Gabriel Fernández (especialista UNIT en Seguridad de la Información y Gestión de la Calidad) y Glenda Garcés (asesora de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento - AGESIC) desarrollaron su charla en base al régimen de Protección de Datos Personales establecido en Uruguay por la Ley N° 18.331 de Protección de Datos Personales y Acción de Habeas Data del 11 de Agosto de 2008, de la cual ya he escrito más de una vez en este mismo blog.

AGESIC en colaboración con UNIT presentaron en la charla un adelanto de lo que será un documento con directrices para la aplicación de medidas de seguridad exigidas por dicha ley alineadas con los requisitos de la familia de normas UNIT-ISO/IEC 27000, de manera de facilitar el cumplimiento de la ley y su reglamentación.

La presentación comenzó definiendo lo que para la norma es un dato personal (cualquier tipo de información referida a persona física o jurídica), y de lo que se consideran datos sensibles (una lista taxativa que incluye datos personales que revelen origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e informaciones referentes a la salud o a la vida sexual).

La segunda puntualización realizada tiene que ver con quienes son los responsables de las bases de datos, y queda claro que no es el administrador de la base de datos, sino el propietario de la base de datos o quien decida sobre la finalidad, contenido y uso del tratamiento. También se asignan en la ley responsabilidades para los encargados de tratamiento (cualquier persona que trate datos personales por cuenta del responsable de la base de datos, es decir cualquier usuario con acceso a la base de datos).

En las normas UNIT-ISO/IEC 27000 se recogen una serie de buenas prácticas para la seguridad (definida como confidencialidad, integridad y disponibilidad) de la información, así como ciertas propiedades que deben cumplirse (no repudio, autenticidad, rendir cuentas, confiabilidad).

Las normas apuntan a la gestión de riesgos, identificando y valorando activos, cuantificando la amenaza (vulnerabilidad) y determinando una probabilidad que define el riesgo. Esta cuantificación es relevante pues se han de definir umbrales de riesgo aceptable.

Algunas recomendaciones de seguridad (llamadas por la norma controles de línea base) tienen que ver con: documentar la política, asignar responsables, formar y concientizar, garantizar correctitud del procesamiento, gestionar las vulnerabilidades técnicas, gestionar la continuidad del negocio y los incidentes.

La UNIT-ISO/IEC 27002 define dominios de control, sobre los cuales lista 39 objetivos y 133 controles, por lo que AGESIC ha entendido necesario crear una directriz que ayude a la progresiva incorporación de estas normas a partir de la ley 18.331. Esta directriz está en proceso de aprobación, y resumirá los controles necesarios para dar cumplimiento a la normativa legal en Uruguay.

Para saber más la AsIAP realiza un nuevo AsIAPrendo el 29 de setiembre dedicado a este tema, o leer la segunda parte de este artículo que continúa aquí...

[Imagen tomada de un artículo de Pedro Huichalaf Roa en Liberación Digital de Chile]
.
.