Conocer la Ley de datos personales y la comunicación A-4609 del BCRA:
dos pilares para cualquier empresa
Dirigir una compañía requiere de grandes esfuerzos y conocimientos. Aunque el equipo de legales debe asegurarse la cumplimentación y el aprovechamiento de las responsabilidades y oportunidades legales, los directivos deben tener un panorama completo de las leyes que afectan a su actividad.
La ley de datos personales y la comunicación A-4609 del BCRA (Banco Central de la República Argentina), son dos legislaciones que afectan directamente a las operaciones de la gran mayoría de las empresas en la actualidad. El primero se refiere a la confidencialidad y seguridad de datos personales, el segundo regula la gestión y el control de riesgos relacionados con tecnología de informática y de la información para entidades financieras.
Evidentemente, ambas legislaciones tienen uno de sus pilares en la informática. La ley de datos personales revisa el hecho de que hoy en día la data es un capital de sumo valor en los negocios, y que es necesario regular su circulación. La comunicación A-4609 del BCRA es actualizada para adaptarse a las nuevas modalidades de transacción de dinero.
Por estas razones, en este artículo te explicaremos cuáles son los principios de estas regulaciones y sus definiciones principales. Luego, repasaremos algunas prácticas para cumplir con la ley argentina de protección de datos personales y veremos cómo afecta la comunicación A-4609 del BCRA a las pequeñas y medianas empresas.
¿Qué es la Ley de datos personales 25326?
La Ley de datos personales 25326 es el conjunto de legislaciones que tiene como objeto la protección integral de datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos, sean de carácter público o privado. Fue promulgada en octubre del 2000, y desde entonces, la ley de protección de datos personales ha sido actualizada, modificada y/o complementada por más de 120 normas y resoluciones.
La Ley de datos personales recaba los principios de clasificación, los derechos de los titulares de los datos, las responsabilidades de quienes los utilizan, los mecanismos de control y las sanciones a las posibles infracciones de la privacidad de los datos.
Para completar este somero resumen de la ley 25326 repasemos las figuras y definiciones principales:
Datos personales:
Información, de cualquier tipo, referida a personas físicas.
Datos sensibles:
Datos personales que dan cuenta de origen racial/étnico, convicciones políticas, religiosas, morales, afiliación sindical e información relacionada con la historia clínica y la vida sexual.
Archivo, registro, base o banco de datos:
Conjunto organizado de datos, objeto de tratamiento o procesamiento, sea cual sea la modalidad de su almacenamiento y tratamiento.
Responsable de archivo, registro, base o banco de datos:
Persona física o jurídica que es titular de un conjunto de datos.
Tratamiento de datos:
Todas las operaciones y procedimientos que integran la recolección, conservación, almacenamiento, ordenamiento, modificación, evaluación, filtración, cesión y/o bloqueo de datos personales.
Datos informatizados:
Datos personales procesados mediante informáticas o automatizadas.
Titular de los datos:
Persona física o jurídica con domicilio legal cuyos datos sean objetos del tratamiento.
Usuario de datos:
Personería pública o privada que realiza el tratamiento de datos, sea cual sea su fin.
Disociación de datos:
Todo procesamiento de datos personales de forma que la información extraída no pueda asociarse a una persona determinada.
Limitaciones para la recolección y divulgación de datos personales
Las diferencias entre firewall y antivirus se hacen evidentes al revisar sus aplicaciones. Al ver para qué sirve un firewall y para qué sirve un antivirus podrás diferenciarlos claramente.
▶ Te puede interesar: ¿Qué rol cumple un CISO en el organigrama empresarial?
Consentimiento
Los titulares de los datos tienen que aceptar su consentimiento libre, expreso e informado para que sus datos sean registrados y utilizados. Esto significa que la Ley de Protección de Datos establece que los titulares deben conocer los datos que están entregando y el uso que se les dará para otorgar su consentimiento.
Información
¿Cuál es la información que los titulares deben conocer y aceptar? Por ejemplo, la ley 25.326, establece que los usuarios de los datos deben ofrecer a los titulares:
La finalidad con la que se tratarán los datos y los destinatarios posibles de la misma.
La existencia del archivo que recolecta tales datos y el alcance del mismo.
El carácter obligatorio o no de entregar ciertos datos.
Las consecuencias de proporcionar los datos, de no hacerlo, y de hacerlo con inexactitud.
Las competencias del titular de ejercer sus derechos de acceso, rectificación y supresión de los datos entregados.
Todos estos aspectos se suelen encontrar en la pestaña de términos y condiciones que se ofrece en un contrato. Aunque la mayoría de los usuarios no los lean con la determinación prevista por la Ley de Protección de Datos, al aceptar los términos y condiciones, se suelen aceptar estas condiciones.
Datos sensibles
La Ley de Protección de Datos contempla con cuidado la circulación y el uso de los datos sensibles, recordemos, aquellos relacionados a la raza/etnia, convicciones políticas y religiosas, orientación sexual e identidad de género.
Esto se basa en la práctica de cuidar actos discriminatorios, así la ley 25.326 establece que:
Nadie puede ser obligado a proporcionar datos sensibles.
Los datos sensibles sólo pueden ser recolectados y tratados cuando se relacionen con temas de interés general y debe ser autorizado por la ley. También se prevé su recolección con fines científicos mientras sus titulares no puedan ser identificados.
Queda prohibido la formación de archivos y registros que almacenen datos sensibles, con excepciones para instituciones directamente relacionadas, referida a las listas de miembros de instituciones religiosas, organizaciones políticas y sindicales.
Seguridad y confidencialidad
Finalizamos este apartado con lo referente a la seguridad y confidencialidad de los datos, obligaciones y responsabilidades de los usuarios y gestores de los bancos y archivos de datos. Acorde a la Ley de Protección de Datos, los recolectores de los mismos deben:
Garantizar las medidas técnicas y organizativas que aseguren la seguridad y confidencialidad de los datos, para evitar su adulteración, pérdida o tratamiento no autorizado.
Respetar el secreto profesional respecto a los datos tratados, que se mantiene aún finalizada la relación con los titulares de los mismos.
¿Qué es la comunicación A-4609 del BCRA?
Pareciera que la comunicación A-4609 no tiene incidencia directa sobre las personerías que no sean entidades financieras. Pero en realidad, es de suma importancia, ya que regula los mecanismos con los que las bancas supervisan y aseguran la seguridad de las transacciones entre partes.
Las disposiciones del Banco Central en la comunicación A-4609 establece los “Requisitos Mínimos de Gestión, Implementación y Control de los Riesgos Relacionados con Tecnología Informática, Sistemas de Información y Recursos Asociados para las Entidades Financieras”. Su dictado data de 2006, y actualiza la comunicación A-3198, de 1996, que había quedado obsoleta por no adaptarse al nivel de transformación tecnológica.
Es decir, la comunicación A-4609 del BCRA establece los estándares de seguridad que las entidades bancarias deben mantener para asegurar las transacciones de sus clientes, junto a los requisitos mínimos de gestión que el BCRA establece para las para las entidades financieras.
Se hace foco sobre una perspectiva de Riesgo Integrado, que se compone por los riesgos de mercado, de crédito, de operaciones, de negocios y el riesgo organizacional. Los últimos tres corresponden al riesgo operativo, que es aquel al que la comunicación A-4609 busca combatir.
La comunicación A-4609 del BCRA también contempla a la protección de activos de información relacionados con las operaciones y transacciones financieras en línea, poniendo el eje en siete puntos de estándar de seguridad:
Eficacia
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Riesgo operativo: buenas prácticas empresariales
El riesgo operativo de esta manera es definido como “El riesgo resultante de inadecuados o fallidos procesos internos, personas o sistemas o de un evento externo”. Si bien el texto ordenado del BCRA no hace una mención directa a este concepto, es fundamental comprenderlo para extraer conclusiones y prácticas que ayudarán a las empresas a conjurar los riesgos inherentes a las transacciones.
A partir de estudiar la comunicación A-4609 del BCRA, encontramos 10 principios del control de riesgo operativo, que integran las buenas prácticas empresariales para gestionar el riesgo de acuerdo a los estándares del BCRA.
1.
Primer principio del riesgo operativo
La dirección debe conocer cuáles son los riesgos operativos para el banco proveedor según la comunicación A-4609 del BCRA. Esto permite la revisión y aprobación de los protocolos bancarios y la definición de estrategias de evaluación seguimiento, control y mitigamiento de estos riesgos.
2.
Segundo principio del riesgo operativo
Los requisitos del BCRA para entidades financieras establecen que la gestión del riesgo operativo debe someterse a un proceso de auditoría interna por personal externo a la compañía.
3.
Tercer principio del riesgo operativo
Se debe diseñar un marco para la gestión de riesgo operativo que se aplique en toda la organización. La gerencia es responsable de desarrollar políticas y procedimientos para gestionar estos riesgos.
4.
Cuarto principio del riesgo operativo
Las entidades financieras deben identificar y evaluar el riesgo operativo presente en todos y cada uno de sus productos, operaciones, procesos y sistemas. Acorde a la comunicación A-4609 del BCRA, esto debe hacerse tanto sobre los productos presentes como integrarse a la planificación y lanzamiento de un nuevo producto.
5.
Quinto principio del riesgo operativo
Se debe vigilar los perfiles de riesgo operativo y las exposiciones de vulnerabilidades y pérdidas. La resolución del Banco Central establece que se deben generar informes periódicos sobre la gestión de riesgo.
6.
Sexto principio del riesgo operativo
Las entidades financieras deben desarrollar políticas y procedimientos para cubrir los riesgos operativos más importantes, que deben estar sometidos a constante revisión para evaluar el perfil de riesgo.
7.
Séptimo principio del riesgo operativo
La comunicación A-4609 del BCRA contempla la obligatoriedad de planes de contingencia y reanudación de la actividad, para asegurar la capacidad operativa y llevar a cabo reducción de riesgos en caso de vulneraciones graves.
8.
Octavo principio del riesgo operativo
Los supervisores establecidos por la resolución del Banco Central tienen licencia para exigir a los bancos un marco eficaz para identificar, mensurar, evitar y controlar sus riesgos operativos.
9.
Noveno principio del riesgo operativo
Los mismos supervisores deben realizar una evaluación periódica de las políticas con las que los bancos gestionan los riesgos operativos.
10.
Décimo principio del riesgo operativo
La comunicación A-4609 del BCRA establece que las entidades financieras deben proporcionar información pública para que los participantes del mercado puedan evaluar su gestión del riesgo operativo, como parte de la oferta de un productor a un cliente.
¡Eso es todo por hoy! Ahora comprendes por qué la dirección de una empresa fintech debe conocer las comunicación A-4609 del BCRA y la Ley de Protección de Datos: alineados a sus exigencias, llegan la práctica ética del negocio y se eleva la seguridad de la compañía.
Y ya prácticamente no se usan los registros de datos físicos. Complementar la protección de datos con una buena estrategia de ciberseguridad es lo único que le permitirá a tu organización asegurar la confidencialidad de los datos que utiliza y las operaciones que realiza.
Esa es nuestra meta. Desde Brotek ofrecemos servicios de consultoría y desarrollo de protocolos de ciberseguridad para que tus activos informáticos estén protegidos con los más altos estándares internacionales de seguridad digital.
No dudes en consultarnos para que te ayudemos a ofrecerle a tus clientes la seguridad que necesitan para confiar en tu marca.
Te gustaria conocer mas sobre Ciberseguridad
Suscribite a nuestro newsletter