Protección de datos personales en plataformas de integración

Abstract

Los Sistemas de Información Cooperativos (SIC) son sistemas de información a gran escala que interconectan los sistemas de software de diferentes organizaciones autónomas, distribuidas geográficamente y con objetivos comunes. Los SICs son sistemas fuertemente distribuidos y altamente coordinados, que a menudo presentan patrones de interacción interorganizacional y requieren compartir y acceder de forma distribuida a recursos de cómputo e información. En general, los SICs basados en servicios se apoyan fuertemente en plataformas de interoperabilidad las cuales brindan una capa de procesamiento intermedio entre las organizaciones. En Uruguay, por ejemplo, la Agencia de Gobierno Electrónico y Sociedad de la Información (AGESIC) provee, mediante su Plataforma de Gobierno Electrónico (PGE), una plataforma de interoperabilidad que brinda infraestructura (hardware y software) y servicios utilitarios, que reducen la complejidad de implementar servicios al público y/o accesibles dentro del Estado. Esto permite la implementación de una Service Oriented Architecture (SOA) a nivel del Estado, en la cual los servicios ofrecidos por los organismos son descriptos, publicados y descubiertos, invocados y combinados a través de interfaces y protocolos estandarizados. El gran volumen e intercambio de datos que manejan los SICs y la relevancia y privacidad de los mismos hizo que a nivel mundial fuera necesario comenzar a trabajar en el establecimiento de normativas asociadas a la protección de datos personales. En particular en Uruguay en el 2008 se promulgó la Ley N° 18.331 de Protección de Datos Personales y Acción de “Habeas Data”. Este tipo de normativas se vuelven aún más relevantes en áreas como la salud. En este contexto, resulta de interés que las plataformas de integración para SICs provean mecanismos que permitan la gestión de estas normativas, así como el monitoreo y aseguramiento de su cumplimiento en el marco de las interacciones que se dan entre las organizaciones. En este proyecto se proponen lineamientos para el diseño de un componente que permita a plataformas como la PGE gestionar las normativas asociadas a la protección de datos personales así como también monitorear y asegurar su cumplimiento en las interacciones que se dan entre los organismos. Para esto se comenzó con un estudio de la ley ya mencionada para conocer los conceptos que se manejan y qué aspectos se deben tener en cuenta para garantizar el cumplimiento de la misma. Luego se examinó la comunicación entre los distintos organismos a través de la PGE y se establecieron mecanismos y acciones a tomar para garantizar el cumplimiento de la ley. Por último se planteó una propuesta de solución que contempla los puntos anteriores y se desarrolló un prototipo para evaluar su viabilidad y validar la solución propuesta.