Después de un data breach el RENAPER adopta Politica de protección de datos

Después de un data breach masivo que podría haber llegado a afectar a todos los ciudadanos de Argentina, y luego de 22 años de vigencia de la ley 25.326 de proteccion de datos personales, el RENAPER adopta Politica de protección (PP) de datos..

Lo bueno de la norma:

- el RENAPER se da una PP para regular sus datos personales.

- La PP sigue de cerca la ley 25.326.

- La PP establece claras obligaciones para amparar los datos.

- Se requiere se nombre  un DPO para Renaper cfr. art. 25 de la PP (primer DPO del Estado?).

- Hay una norma especial para gestión de indicendes de seguridad.

Lo malo:

- la ley 25.326 está vigente desde el 2.000,  es decir que el Renaper, que administra los datos de todos los ciudadanos, tardó 22 años implementar una PP (RENAPER ya contaba con una Política de seguridad de la información del año 2013 que no es lo mismo que una de datos personales).

- el hacking al RENAPEr ya ocurrió.

- la PP implementada podría haber evitado el data breach.

- no hay referencia a transferenica de datos personales en causas penales.

- no hay referencia a transferencia internacional de datos personales.

- el RENAPEr se arroga facultades de prohibir a otras dependencias crear una base de datos similar.

TEXTO

DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS

Disposición 1/2022

DI-2022-1-APN-RENAPER#MI

Ciudad de Buenos Aires, 01/01/2022

VISTO el Expediente N° EX-2021-127051166-APN-RENAPER#MI, las Leyes N° 17.671 y sus modificatorias, N° 25.326, su modificatoria y complementarias, el Decreto N° 79 del 27 de diciembre de 2019 y la Resolución N° 40 del 4 de julio de 2018 de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, y

CONSIDERANDO:

Que por el Expediente citado en el VISTO tramita la aprobación de la POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES para el ámbito de esta DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS, organismo descentralizado actuante en la órbita de la SECRETARÍA DE INTERIOR del MINISTERIO DEL INTERIOR.

Que la mencionada POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES tiene por objeto resguardar y proteger el derecho a la privacidad de las personas humanas cuyos datos son objeto de tratamiento por parte de esta Dirección Nacional.

Que el marco normativo que por el presente acto se aprueba, respeta los parámetros de licitud, consentimiento informado y tratamiento de los datos personales y sensibles que este organismo administra, en un todo de acuerdo al marco legal previsto en la Ley N° 25.326.

Que, asimismo, ha adoptado un diseño superador al de la POLÍTICA MODELO DE PROTECCIÓN DE DATOS PERSONALES PARA ORGANISMOS PÚBLICOS que, como Anexo I (IF-2018-31883807-APN-AAIP), fuera aprobado por la Resolución N° 40/18 de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, ente autárquico con autonomía funcional, actuante en la órbita de la JEFATURA DE GABINETE DE MINISTROS.

Que es misión de esta Dirección Nacional la administración de los datos de todas las personas humanas que habitan el territorio nacional y de las personas humanas argentinas radicadas en el extranjero, de modo que tiene la obligación de preservación, custodia y tratamiento conforme a lo dispuesto en las Leyes N° 17.671 y N° 25.326.

Que han tomado la intervención de su competencia la DIRECCIÓN GENERAL DE TECNOLOGÍA E INNOVACIÓN EN IDENTIDAD y la DIRECCIÓN GENERAL TÉCNICA JURÍDICA, ambas de esta Dirección Nacional.

Que la presente medida se dicta en uso de las atribuciones y facultades previstas en los artículos 2° inciso b) de la Ley N° 17.671, 2° del Decreto N° 79/19 y 2° de la Resolución N° 40/18 de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.

Por ello,

EL DIRECTOR NACIONAL DE LA DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS

DISPONE:

ARTÍCULO 1°.- Apruébase la POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES, para el ámbito de esta DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS, organismo descentralizado actuante en la órbita de la SECRETARÍA DE INTERIOR del MINISTERIO DEL INTERIOR, la que como Anexo Disposición N° DI-2021-127127848-APN-DGTII#RENAPER, forma parte integrante de la presente medida.

ARTÍCULO 2°.- La presente Disposición entrará en vigencia el día de su publicación en el Boletín Oficial.

ARTÍCULO 3°.- Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL, y archívese.

Santiago Juan Rodriguez

NOTA: El/los Anexo/s que integra/n este(a) Disposición se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 04/01/2022 N° 51/22 v. 04/01/2022

Fecha de publicación 04/01/2022