Artículo 36. Acciones para la seguridad de los datos personales. A
fin de establecer y mantener la seguridad física y lógica de los datos
personales, el responsable deberá realizar al menos las siguientes acciones,
las cuales podrán ser requeridas en cualquier momento por la Agencia:
a) Elaborar una descripción detallada del tipo de datos personales tratados o
almacenados;
b) Crear y mantener actualizado un inventario de la infraestructura tecnológica,
incluyendo los equipos y programas de cómputo y sus licencias;
c)Señalar el tipo de
sistema, programa, método o proceso utilizado en el tratamiento o
almacenamiento de los datos; igualmente, indicarse el nombre y la versión de la
base de datos utilizada cuando proceda.
(Así reformado el inciso
anterior por el artículo 7° del decreto
ejecutivo N° 40008 del 19 de julio de 2016)
d) Contar con un análisis de riesgos, que consiste en identificar peligros y
estimar los riesgos que podrían afectar los datos personales;
e) Establecer las medidas de seguridad aplicables a los datos personales, e
identificar aquellas implementadas de manera efectiva;
f) Calcular el riesgo residual existente basado en la diferencia de las
medidas de seguridad existentes y aquéllas faltantes que resultan necesarias
para la protección de los datos personales;
g) Elaborar un plan de trabajo para la implementación de las medidas de
seguridad faltantes, derivados del resultado del cálculo del riesgo residual.
Las medidas de seguridad
de las bases de datos serán consideradas información no divulgada y serán
resguardadas exclusivamente por el responsable de la base de datos. Podrán ser
requeridas por la Agencia únicamente para consulta in situ y para la
verificación de acciones ante la existencia de una denuncia expresa de terceros
afectados. Para efectos de registro se notificará a la PRODHAB los protocolos
mínimos de seguridad con los que cuenta el responsable.
(Así
adicionado el párrafo anterior por el artículo 7° del decreto ejecutivo N° 40008 del 19 de julio
de 2016)