El Registro Nacional de las Personas (RENAPER) luego de un supuesto incidente de seguridad que habría sufrido, publicó su política para la protección de los datos personales dentro del organismo.

La política busca resguardar y proteger el derecho a la privacidad de las personas humanas cuyos datos son objeto de tratamiento por parte del RENAPER. En su Disposición 1/2022 (disponible aquí), el RENAPER señala que la política adoptada es superadora de la Política Modelo de Protección de Datos Personales para Organismos Públicos elaborada por la Agencia de Acceso a la Información Pública (aprobada a través de la Resolución No. 40/2018 de la Agencia, accesible a través del siguiente link).

El ámbito de aplicación de la política pareciera extenderse a aquellos terceros que utilicen los servicios del RENAPER.  

La política señala que todas las bases que contengan datos personales y sean utilizadas con fines estadísticos deberán buscar ser anonimizadas previamente a fin de no poder vincular las mismas a ningún ciudadano en particular. A su vez, los datos anonimizados deberán imposibilitar la asociación con los titulares de datos personales previo a su tratamiento. En cuanto a datos biométricos, la política sigue lo dispuesto por el Criterio 4 de la Disposición 4/2019, y reafirma, así, que estos se considerarán datos sensibles únicamente cuando puedan revelar datos adicionales cuyo uso resulte potencialmente discriminatorio para el titular de datos personales.

Por otro lado, la política establece que dentro del RENAPER cada responsable del tratamiento debe llevar un registro escrito de las actividades de tratamiento o procesamiento que se efectúen dentro de su competencia, la cual deberá contener, como mínimo, categorías de datos, identificación de activos y el registro de todas las actividades de procesamiento realizadas bajo su competencia. Esta obligación no está presente en la Ley de Protección de Datos Personales 25326, aunque sí en la legislación comparada como por ejemplo el Reglamento General de Protección de Datos Personales europeo (RGPD o GDPR).

Además, el RENAPER deberá designar a un responsable de protección de los datos personales (generalmente conocido como Oficial de Protección de Datos o DPO), quien deberá velar por el cumplimiento de la política y actuará como consultor de quienes sean responsables de tratamiento de los datos personales.

Finalmente, en lo que a incidentes de seguridad refiere, el responsable de seguridad de la información ‒identificado en la política de Seguridad de la Información aprobada mediante Resolución RENAPER N0. 2979 del 13 de diciembre de 2013‒ tiene la obligación de comunicar la existencia del incidente tanto a la Dirección Nacional de Ciberseguridad como a la Dirección Nacional de Protección de Datos Personales de la Agencia de Acceso a la Información Pública en un plazo no superior a las 48 horas de haber tomado conocimiento y bajo las directivas impuestas en la Decisión Administrativa 641/2021 sobre los Requisitos mínimos de Seguridad de la Información para Organismos, junto con las medidas correctivas y paliativas implementadas y/o a implementar por el RENAPER para minimizar las consecuencias de dicho incidente de seguridad.

Por Gustavo P. Giay, Diego Fernández y Manuela Adrogue