Generalmente se oye hablar de la seguridad de la información como parámetro conveniente de los usuarios en aras a proteger de manera cierta y concreta este intangible que constituye por estos tiempos el epicentro de toda actividad.

Desde esta perspectiva, asegurar la información es una meta deseada y aconsejada que, en definitiva, queda en cabeza de los propios usuarios como una opción más que, en definitiva, los va a preservar de posibles ataques.

Sin embargo, ese paradigma poco a poco ha ido cambiando. De un patrón de conveniencia se está pasando a un patrón más paternalista. Es que, en un proceso que va pasando casi inadvertido es el propio Estado quien, con diferentes normas, trata de ir dando pautas que obligan a los usuarios a clasificar su información y a registrar los parámetros generales de las bases en las que ella está contenida.

El Estado, lentamente, se ha ido inmiscuyendo en esa área de la información, creando normas que sirvan para darle claridad y seguridad al uso e intercambio de la información.

Primero se ha avanzado sobre la seguridad de la información manejada por el propio Estado y luego se ha comenzado a avanzar sobre directivas expresas a los particulares usuarios de esa información.

Ese proceso que, aunque lento, va en franco avance, tiene hoy un nuevo escalón que está dado por la reglamentación que hizo la Dirección Nacional de Protección de Datos Personales de la República Argentina respecto de distintas disposiciones contenidas en la Ley 25.326 (artículo 9)[1].

De la lectura de la Disposición 11/2006 DNPDP[2] se puede colegir que ahora los usuarios de información no sólo deben registrar esas  bases en donde está contenida la misma sino que, además, tienen la obligación –ya no el derecho-, al menos en estas áreas de manejo de la información, de adoptar mecanismos de protección en aras a aquella preservación y de que la información en ellas contenida sea garantizada como confidencial e íntegra y en definitiva, confiable.

En tal sentido, se clasifica a las bases de datos en tres niveles: básico, medio y crítico, de acuerdo con las características de los datos en ellas contenidos[3].

Las de nivel básico son aquellas bases, registros, archivos y bancos que contengan datos de carácter personal.

Las de nivel medio, son aquellas que pertenezcan a empresas que desarrollen actividades de prestación de servicios públicos y a las entidades que cumplan una función pública o privada que deban guardar secreto de la información por expresa disposición legal (vbgr. Secreto bancario).

Por último, las de nivel crítico, son aquellas que contengan datos personales definidos como “sensibles”.

Va de suyo que a mayor sensibilidad de los datos, mayores son las obligaciones a cargo del titular de la base en miras a proteger la información en ella contenida.

Así, a título sólo enunciativo, los titulares de bases de nivel básico, deberán tener un registro de incidentes de seguridad, definir procedimientos para efectuar copias de respaldo y recuperación de datos, contar con procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información, establecer un control de acceso de usuarios a los datos, implementar medidas de prevención para impedir amenazas de software malicioso e implementar un procedimiento que garantice una adecuada gestión de los soportes.

Por su lado, los titulares de bases de nivel medio, además de lo expuesto para las de nivel básico, deberán implementar un instructivo de seguridad con indicación específica del responsable de esa área crítica, realizar de manera periódica auditorías que verifiquen el cumplimiento de las pautas de seguridad, deberán implementar un control de acceso físico a los locales donde se encuentre centralizada la información, implementar un registro de entradas y salidas de los soportes informáticos y adoptar medidas para impedir la recuperación de información contenida en un soporte que vaya a ser desechado o reutilizado.

Por último, los titulares de bases de nivel crítico, además de todo lo expuesto, deberán cifrar los soportes que contengan datos personales y sean distribuidos o transmitidos, analizar periódicamente el registro de accesos a la base, conservar este registro por un período de 3 años e implementar copias de resguardo externas en cajas ignífugas y a prueba de gases o en caja de seguridad bancaria

Otro dato no menor son los plazos con los que los distintos titulares, según el tipo de base que manejen, cuentan para implementar esos procesos de protección de la información. Según la disposición citada, los titulares de bases de nivel básico deberán adoptar todos los recaudos exigidos antes de los doce  meses de dictada dicha disposición, los titulares de bases de nivel medio lo tendrán que hacer antes de los veinticuatro meses y, finalmente, los titulares de bases de nivel crítico tendrán que hacer lo propio antes de  los treinta y seis meses.

Como se dijo, ahora las tareas de control, seguridad y auditoría, pasaron a ser, en esos ámbitos una obligación y no sólo un derecho del usuario.

Es importante que se comprenda el cambio de paradigma para implementar, con la debida antelación, todos los procedimientos necesarios y no incurrir en responsabilidades ulteriores innecesarias.