Artículo 36. Acciones para la seguridad de los datos personales. A fin de establecer y mantener la seguridad física y lógica de los datos personales, el responsable deberá realizar al menos las siguientes acciones, las cuales podrán ser requeridas en cualquier momento por la Agencia:

a) Elaborar una descripción detallada del tipo de datos personales tratados o almacenados;

b) Crear y mantener actualizado un inventario de la infraestructura tecnológica, incluyendo los equipos y programas de cómputo y sus licencias;

c)Señalar el tipo de sistema, programa, método o proceso utilizado en el tratamiento o almacenamiento de los datos; igualmente, indicarse el nombre y la versión de la base de datos utilizada cuando proceda.

(Así reformado el inciso anterior por el artículo 7°  del decreto ejecutivo N° 40008 del 19 de julio de 2016)

d) Contar con un análisis de riesgos, que consiste en identificar peligros y estimar los riesgos que podrían afectar los datos personales;

e) Establecer las medidas de seguridad aplicables a los datos personales, e identificar aquellas implementadas de manera efectiva;

f) Calcular el riesgo residual existente basado en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;

g) Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivados del resultado del cálculo del riesgo residual.

Las medidas de seguridad de las bases de datos serán consideradas información no divulgada y serán resguardadas exclusivamente por el responsable de la base de datos. Podrán ser requeridas por la Agencia únicamente para consulta in situ y para la verificación de acciones ante la existencia de una denuncia expresa de terceros afectados. Para efectos de registro se notificará a la PRODHAB los protocolos mínimos de seguridad con los que cuenta el responsable.

(Así adicionado el párrafo anterior por el artículo 7°  del decreto ejecutivo N° 40008 del 19 de julio de 2016)