• English
 

DOCUMENTO DE SEGURIDAD

 

PROTECCIÓN DE INFORMACIÓN Y DATOS PERSONALES

INFORMACIÓN GENERAL

Responsable de los Datos: G.Breuer Soc. Civil

CUIT: 30-52562482-6

Domicilio: 25 de Mayo 460, piso 1 (CABA)

Teléfono: Nº  2150-7500

Email: abm@gbreuer.com.ar

Persona de contacto de la empresa: Alejandro Breuer Moreno

Responsable de la gestión de la seguridad en la empresa: Alejandro Breuer Moreno

Categoría / Jerarquía / Rango: Socio

CUIT o CUIL:

Última fecha de revisión del Documento de Seguridad: Marzo 2019

1. OBJETO

El presente Documento de Seguridad (en adelante, el “Documento”) establece directrices para la implementación de medidas de seguridad para el correcto tratamiento y conservación de la Información y los Datos Personales que el Estudio procesa en cumplimiento de su actividad.

Este Documento es complementario a la Política de Privacidad y Protección de la Información y Datos Personales, y los principios y obligaciones allí establecidos serán de aplicación en todo momento.

Los términos en mayúscula que no se encuentren definidos en este Documento tendrán el significado indicado bajo la Política de Privacidad.

Las medidas previstas en este Documento comprenden específicamente aspectos relativos a la seguridad de la Información y los Datos Personales que posea el Estudio, y tienen como finalidad mantener la integridad, accesibilidad y confidencialidad de los mismos.

2. ÁMBITO DE APLICACIÓN Y ALCANCE

Este Documento será de aplicación a toda la Información y Datos Personales que procese el Estudio en el cumplimiento de su actividad, y sus obligaciones se extienden a los sistemas de información, soportes y equipos empleados para su tratamiento.

El Documento deberá ser cumplido y respetado por el personal de G.Breuer y/o cualquier tercero autorizado que tenga acceso a la Información y los Datos Personales, estén estos contenidos o no en bases de datos de titularidad de la empresa.

3. DESCRIPCIÓN DE LAS BASES DE DATOS PERSONALES Y LOS SISTEMAS QUE LAS TRATAN

G.Breuer cuenta con las siguientes bases de datos (en adelante, las “Bases de Datos”):

a) BASES DE DATOS INFORMATIZADAS:

(i) Base de Datos de Marcas: incluye solicitudes de marca en trámite, oposiciones a solicitudes de marca, marcas registradas y archivo de marcas (Con G.Breuer actuando como agente de marcas o terceros).

(ii) Base de Datos de Patentes: incluye solicitudes de patente en trámite, patentes registradas y archivo (Con G.Breuer como agente o terceros).

(iii) Base de Datos de Modelos Industriales: incluye modelos industriales presentados por G.Breuer como agente de marcas y terceros.

(iv) Base de Datos de Nombres de Dominio: Incluye dominios gestionados por G.Breuer y trámites de disputa.

(v) Base de Datos de Derechos de Autor: incluye depósitos de derecho de autor efectuados por G.Breuer en representación de sus clientes.

(vi) Base de Datos de Cultivares: incluye depósitos de cultivares efectuados por G.Breuer en representación de sus clientes.

(vii) Base de Datos de Clientes, Agentes y Colegas: Incluye clientes actuales, pasados y potenciales.

(viii) Base de Datos de Poderes: incluye poderes de representación emitidos por clientes actuales y pasados en favor del estudio.

(ix) Base de Datos de Juicios: incluye actuaciones judiciales (activas y archivadas) de cualquier fuero y jurisdicción, en los que G.Breuer y/o sus miembros actúan en representación de sus clientes o como sus patrocinantes jurídicos.

(x) Base de Datos de Consultas Extrajudiciales: incluye consultas jurídicas de clientes al Estudio.

(xi) Base de Datos de Empleados y Sueldos: incluye empleados actuales y ex empleados.

(xii) Base de Datos de Postulantes a Empleos

(xiii) Base de Datos de Proveedores: incluye proveedores actuales y pasados.

(xiv) Base de Datos de Números Telefónicos

(xv) Base de Datos de Facturación:incluye facturas emitidas por el Estudio en virtud de trabajos realizados, o emitidas por terceros para el Estudio.

(xvi) Base de Datos de Reclamos

Los sistemas informáticos utilizados para el tratamiento de la información son los siguientes: Java, Informix de IBM y Google G Suite.

 

b)BASES DE DATOS FÍSICAS:

(i) Base de Datos de Marcas: incluye solicitudes de marca en trámite, oposiciones a solicitudes de marca, marcas registradas y archivo de marcas (Con G.Breuer actuando como agente de marcas o terceros).

(ii) Base de Datos de Patentes:incluye solicitudes de patente en trámite, patentes registradas y archivo (Con G.Breuer como agente o terceros).

(iii) Base de Datos de Modelos Industriales: incluye modelos industriales presentados por G.Breuer como agente de marcas y terceros.

(iv) Base de Datos de Nombres de Dominio: incluye dominios gestionados por G.Breuer y trámites de disputa.

(v) Base de Datos de Derechos de Autor: incluye depósitos de derecho de autor efectuados por G.Breuer en representación de sus clientes.

(vi) Base de Datos de Poderes de Representaciónincluye el soporte físico de los poderes emitidos por clientes actuales y pasados en favor del estudio y sus miembros.

(vii) Base de Datos de Juicios: incluye actuaciones judiciales (activas y archivadas) de cualquier fuero y jurisdicción, en lo que G.Breuer y/o sus miembros actúan en representación de sus clientes o como sus patrocinantes jurídicos.

(viii) Base de Datos de Consultas Extrajudiciales: incluye consultas jurídicas de clientes al Estudio.

4. RESPONSABLE DE SEGURIDAD

G.Breuer ha designado a como Responsable de Seguridad a Alejandro Breuer Moreno.

El Responsable de Seguridad es quien se encarga de coordinar y controlar la gestión y el cumplimiento de las medidas definidas en este Documento.

Cualquier incidente de seguridad deberá ser notificado inmediatamente al Responsable de Seguridad.

5. FUNCIONES Y OBLIGACIONES DEL PERSONAL O CONTRATADOS

Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla. A tal fin, los empleados deberán leer y aceptar las disposiciones contenidas en este Documento, en la Política de Privacidad y Protección de la Información y los Datos Personales y en el Código de Conducta del Estudio.

El personal que realice trabajos que no impliquen el Tratamiento de Datos Personales tendrá limitado el acceso a estos datos, a los soportes que los contengan, o a los recursos del sistema de información.

6. MEDIDAS DE SEGURIDAD Y ACCESO

G.Breuer pone todos los recaudos para resguardar la seguridad y privacidad de los Datos Personales e Información en su haber. Para ello ha implementado medidas de seguridad físicas y tecnológicas, que procuran que el acceso al Estudio y/o a su información sea exclusivamente por personal autorizado. Entre ellas se pueden mencionar: controles biométricos de acceso, cámaras de seguridad, sensores, alarmas, cerraduras y programas informáticos de seguridad y resguardo (firewalls y antivirus), entre otros.

Asimismo, con el fin de procurar que el acceso a los sistemas de resguardo de la información  sea seguro, ha implementado mecanismos de autenticación y contraseñas, junto a una definición precisa de roles y funciones de sus empleados e integrantes. En este contexto, ha contratado servicios de terceros (actualmente, G Suite de Google) que proveen acceso, almacenamiento y tratamiento de datos e información de manera segura, cumpliendo así con los más altos estándares del mercado.

Siguiendo las recomendaciones contenidas en el Anexo I de la Resolución 47/2018 de la Agencia de Acceso a la Información Pública, ha adoptado las siguientes medidas:

a) Identificación y autenticación

Para lo cualhaadoptado medidas y normas relativas a la identificación y autenticación del personal autorizado para acceder a los datos personales, con el fin de mantener la seguridad de los mismos. En caso que personal ajeno a G.Breuertenga acceso a los recursos, el mismo estará sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

A cada empleado cuyas funciones requieran el acceso a las Bases de Datos se le es asignado un usuario individual y personalizado. De este modo, cada usuario posee una cuenta propia, la cual no puede ser compartida ni utilizada por ningún otro empleado y/o tercero.

Para acceder a dicha cuenta el usuario debe ingresar una contraseña conocida únicamente por él/ella. Dicha contraseña no podrá ser escrita o almacenada en ningún soporte (físico o electrónico) que pueda ser fácilmente accesible por terceros. Se entenderá como una violación grave a la Política de Seguridad del Estudio la violación de esta consigna.

b) Niveles de acceso

Dentro del personal se definen distintos perfiles de usuarios, a los cuales les son asignados obligaciones, privilegios y niveles de acceso diferenciados.

El tipo de Información y/o Datos Personales a los que podrán acceder los empleados dependerá del área en la que se encuentran y las funciones que realizan. G.Breuer adopta un estricto criterio de accesos on a need to know basis(es decir, los empleados únicamente pueden acceder a aquellos datos que resulten necesarios para el cumplimiento de sus tareas). Para el caso en que ocurra un cambio de funciones o de área (y siempre y cuando el acceso ya no sea necesario para el cumplimiento de su nueva función) se retirará el acceso a los datos respectivos.

El Área de Sistemas es la única autorizada para conceder, alterar, limitar o anular el acceso del personal a los datos contenidos en las Bases de Datos y los recursos. Esta autorización se encuentra siempre bajo supervisión del Encargado de Protección de Datos.

c) Control de acceso

Todos los accesos son registrados, quedando asentada la identificación del usuario, la fecha y hora en que se realizó el acceso, el archivo o Base de Datos accedido, el tipo de acceso y si el mismo ha sido autorizado o denegado.

d) Mecanismos para evitar accesos no autorizados

Las contraseñas utilizadas por los usuarios para acceder a sus cuentas deberán ser alfanuméricas, tener al menos 8 (ocho) caracteres y alternar el uso de mayúsculas y minúsculas. Dichas contraseñas deberán ser modificadas por los usuarios al menos cada 90 días. Luego de 3 (tres) intentos fallidos de acceso al sistema de información, se bloqueará el usuario.

Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia (de acuerdo con lo establecido en el capítulo 7 de este Documento) y proceder inmediatamente a su cambio.

En caso en que se produzca una terminación de la relación laboral, se eliminará inmediatamente la posibilidad de acceso a la información y los datos personales desde la cuenta respectiva.

7. INCIDENTES DE SEGURIDAD

Un incidente de seguridad constituye un evento producido de forma aislada que supone un peligro para la seguridad de las Bases de Datos y los Datos Personales. En este sentido, se considerará como incidente la pérdida o destrucción no autorizada de Datos, el robo, extravío, copia no autorizada, el uso, acceso o tratamiento de Datos no autorizado, el daño, alteración o modificación no autorizada, y en general, cualquier incumplimiento de las medidas establecidas en este Documento y/o cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal objeto de tratamiento por parte de G.Breuer.

Se entiende que toda la presente Política de Seguridad está focalizada en los principios de prevención de contingencias y disminución de posibles daños. Por ello, para poder brindar una adecuada respuesta ante un incidente, el Estudio ha implementado un mecanismo que involucra las siguientes etapas: Identificación, Análisis, Resolución y Conclusión.

LaIdentificacióncomprende la identificación de un posible o potencial incidente. En esta etapa, el foco se encuentra en el monitoreo de los potenciales eventos e incidentes de seguridad. El Área de IT se encarga periódicamente de monitorear las redes y los sistemas informáticos, recurriendo para ello a la ayuda de recursos como Firewalls y Antivirus. Asimismo, cada empleado en particular ha sido instruido para reportar un potencial incidente, ni bien tome conocimiento del mismo.

Ante la ocurrencia de un incidente, constituye obligación del personal notificar al Responsable de Seguridad, según los procedimientos establecidos en este Documento. Esta etapa se denomina Análisisy comprende el aviso dado al Responsable de Seguridad y la evaluación de las medidas de contingencia y resolución a tomar en consecuencia.

En concreto, el Responsable analizará:

  • La naturaleza del incidente.
  • Tipo de datos afectados.
  • La posibilidad de daños a clientes, terceros y al Estudio
  • Estado del incidente (si el incidente está aislado, continúa o está contenido)

Una vez hecho este análisis, se pasará a la etapa de Resolución, en la cual el Responsable de Seguridad procurará dar solución al incidente a la mayor brevedad posible, tomando todas las medidas necesarias de acuerdo a la naturaleza y características del evento, e involucrando al área de IT, en caso de corresponder. Asimismo, dará aviso a la autoridad de control (AAIP) sin dilación y, de ser posible, dentro de las setenta y dos (72) horas de haber tomado conocimiento del evento. Idéntico aviso dará con respecto al titular de los Datos Personales.

La notificación del evento de seguridad a la autoridad de control y a su titular contendrá lo siguiente:

  • La naturaleza del incidente;
  • Los datos personales que pueden estimarse comprometidos;
  • Las acciones correctivas realizadas de forma inmediata;
  • Las recomendaciones al titular de los datos acerca de las medidas que éste puede adoptar para proteger sus intereses;
  • Los medios a disposición del titular de los datos para obtener mayor información al respecto.

Finalmente, solucionado el incidente, se pasará a la etapa “Conclusión”, en la que el Responsable de Seguridad analizará las razones por las cuales ocurrió el incidente y evaluará las medidas necesarias a tomar para disminuir al máximo posible la ocurrencia de un evento similar en el futuro. Resulta esencial el aprendizaje ante el evento sucedido, puesto que todo incidente debe necesariamente dejar una enseñanza para disminuir al máximo su ocurrencia a futuro.

a. Registro de incidentes

G.Breuer mantendrá un registro de los incidentes de seguridad ocurridos a fin de prevenir posibles ataques y, de ser posible, identificar y perseguir a los responsables de los mismos.

En el registro de incidentes deberán constar: (i) el tipo de incidente; (ii) el momento en que se ha producido o detectado; (iii) la persona que realiza la notificación; (iv) a quién se comunica; (v) los efectos que se hubieran derivado de la misma; y (vi) las medidas correctoras aplicadas.

b. Procedimiento de registro y resolución de incidencias

Se creará en el programa de e-mails utilizado por G.Breuer una carpeta llamada “Seguridad”, en la que se almacenarán todos los e-mails referidos a incidentes de seguridad. Cuando ocurra un hecho que sea considerado un incidente de seguridad, se redactarán uno o más e-mails describiendo lo sucedido y las acciones tomadas para su solución, y se los envía a una cuenta de correo distinta. Quedan de este modo registradas en esos e-mails, las fechas y horas, las características, y la solución del incidente.

Alternativamente, se podrá llevar el registro de incidentes en un capítulo de un Cuaderno de Informes de Sistemas, en el cual se reportarán todos los acontecimientos referidos a protección de la información y los datos personales. El mismo será guardado en un lugar seguro bajo llave.

8. PROCEDIMIENTO PARA EFECTUAR LAS COPIAS DE RESPALDO Y RECUPERACIÓN DE DATOS (BACKUPS)

Se realizan copias de respaldo o backupsperiódicamente, con el fin de resguardar la información contenida en las Bases de Datos.

Los procedimientos establecidos para las copias de respaldo y para su recuperación garantizan su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

El área de IT verificará semestralmente los procedimientos de copias de respaldo y recuperación de los datos.

9. MEDIDAS DE PREVENCIÓN FRENTE A AMENAZAS DE SOFTWARE MALICIOSO

Se realizan copias de respaldo o backupsperiódicamente, con el fin de resguardar la información contenida en las Bases de Datos.

Los procedimientos establecidos para las copias de respaldo y para su recuperación garantizan su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

El área de IT verificará semestralmente los procedimientos de copias de respaldo y recuperación de los datos.

10. TRATAMIENTO DE INFORMACIÓN Y DATOS PERSONALES EN SOPORTE FÍSICO:

Las bases de datos y archivos que se encuentran almacenados en soporte papel, se encuentran ubicados en sectores del estudio preparados para su almacenamiento y custodia. Únicamente el personal y miembros de los departamentos específicos cuentan con autorización a acceder a los mismos, quedando absolutamente prohibido la manipulación o consulta de ficheros, archivos y/o carpetas por personal no autorizado.

Los miembros del Estudio conocen que el manejo y/o acceso a las carpetas y/o al contenido de las bases de datos será exclusivamente para el cumplimiento de los fines específicos para los cuales han sido recolectados, y siempre dentro del marco de la actividad propia del Estudio.

Asimismo, el Estudio ha implementado una Política de Escritorio Limpio. Por ello entiende que el lugar propio y natural de cada carpeta es dentro de su archivo específico. De esta manera, una vez cumplida la tarea o labor para la cual se ha accedido a la misma, se procederá a su devolución inmediata por parte del personal calificado, quienes cuidarán que su almacenamiento sea en el lugar adecuado y de acuerdo a la numeración u orden que le ha sido asignado.

Se procurará también que no quede información ni datos personales fuera de sus lugares propios. Específicamente se instruye a los empleados que no dejen ningún tipo de contenido en el área de las fotocopiadoras y que en caso que utilicen medios físicos de soporte de la información (papel, CD, pendrives, discos duros, etc), que sean guardados en lugares apropiados (su respectivo archivo y/o escritorio bajo llave).

En caso que los mismos pierdan su utilidad y/o no sean más requeridos para la finalidad para la cual han sido colectados, deberán ser destruidos apropiadamente, de modo que nadie más pueda acceder a su contenido.

Todo Incidente de Seguridad que involucre Información o Datos Personales almacenados en soporte físico, será tratado de la manera detallada en el capítulo 7.

11. MONITOREO

G.Breuer se reserva el derecho de monitorear cualquier tráfico electrónico -como ser, correos electrónicos, navegación en Internet, etc.-, y documentación contenida en los dispositivos de la Compañía como parte de sus actividades operacionales normales, dentro del marco de la legislación vigente.

Los empleados entienden que las herramientas de la Compañía deberán ser utilizadas para fines exclusivamente laborales (si bien un uso personal esporádico y limitado será tolerado), y renuncian a cualquier expectativa de privacidad sobre las comunicaciones/actividades cursadas y documentación almacenada en las mismas.

a. Funciones y obligaciones del personal

A continuación se indican, de forma general, las funciones y obligaciones del personal de G.Breuer con acceso a la información contenida en las Bases de Datos.

  • Departamento de Marcas

Funciones: Gestionar todo lo relativo al registro y custodia de marcas.

  • Departamento de Patentes

Funciones: Gestionar todo lo relativo al registro y custodia de patentes.

  • Departamento de Legales

Funciones: Gestionar asuntos judiciales y administrativos relativos a propiedad industrial y derecho en general.

  • Departamento de Contaduría, Administración y RRHH:

Funciones: Gestionar la cobranza y los pagos, administración y recursos humanos del Estudio. Efectuar registros contables y liquidaciones impositivas. 0Implementación, coordinación y control de Políticas de Privacidad y Protección de la Inflñormación y Datos Personales.

  • Área de IT

Funciones: Operación, mantenimiento de sistemas y gestión de seguridad informática.

Los responsables de cada área son los encargados de la gestión y buen uso de los Datos Personales e Información contenidos en las Bases de Datos que administran.

b. Capacitación e información

Para asegurar que todas las personasinvolucradas en el tratamiento de información y Datosconocen las medidas de seguridad contenidas en este Documento, G.Breuer llevará adelante capacitaciones de carácter obligatorio.

Asimismo, el presente Documento se encontrará publicado permanentemente en la “Intranet” de G.Breuer, con el fin de estar siempre a disposición del personal para su consulta.

c. Confidencialidad

Se informa adecuadamente y se compromete a todo el personal de G.Breuer y/o terceros autorizados con acceso a las Bases de Datos y/o información confidencial a observar estricta confidencialidad con respecto a la información en éstas contenida.

Asimismo, se solicita a dichos individuos la firma de declaraciones de confidencialidad, a través de los cuales asumen el compromiso de mantener estricto secreto y confidencialidad de la información a la que acceden y a no compartirla sin autorización expresa.

d. Análisis de antecedentes:

Tal como quedara estipulado en la Política de Privacidad, a fin de dar un implementar un adecuado tratamiento de la seguridad de la Información y los Datos Personales, G.Breuer procurará verificar la educación y empleos anteriores de sus postulantes y buscará referencias internas y externas sobre los mismos, de acuerdo a la posición y las responsabilidades a cubrir.

12. CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD

El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento por el personal afectado, se sancionará conforme la gravedad de la falta.

El análisis de la infracción y la determinación de la sanción correspondiente serán realizados por el Responsable de Seguridad, con la colaboración del Encargado de Protección de Datos.

13. REVISIÓN DEL DOCUMENTO DE SEGURIDAD

Este Documento será revisado por el Responsable de Seguridad periódicamente y nunca menos de una vez al año. Se actualizará siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de las Bases de Datos o como consecuencia de los controles periódicos realizados.

Se considerará un cambio relevante a aquél que pueda repercutir en el normal cumplimiento de las medidas de seguridad implementadas.

Asimismo, este Documento deberá adecuarse en todo momento a las disposiciones vigentes en materia de protección de datos personales.

G.Breuer informará a los empleados cuando se realice una modificación.