Guía Tratamiento de la Información · Web viewSi corresponde a una base de datos defina si su elaboración corresponde a un mandato u orden dispuestos en una norma que así lo exija,

PROCESO GOBIERNO Y GESTIÓN DE LA INFORMACIÓN CÓDIGO GGGU03

GUÍA TRATAMIENTO DE LA INFORMACIÓN VERSIÓN 2

GUÍA TRATAMIENTO DE LA INFORMACIÓN

BOGOTÁ D.C.2016

ELABORÓ: Profesional Oficina Tecnologías de la InformaciónProfesional Oficina Asesora de Planeación

REVISÓ:Jefe Oficina Tecnologías de la InformaciónJefe Oficina Asesora de PlaneaciónSecretaría General

APROBÓ:Jefe Oficina Tecnologías de la Información

FECHA:01/08/2016

FECHA: 10/08/2016

FECHA: 12/08/2016

Página 1 de 28



Contenido

1. Objetivo............................................................................................................................................32. Alcance.............................................................................................................................................3

3. Roles................................................................................................................................................34. Responsabilidades...........................................................................................................................3

5. Generalidades..................................................................................................................................66. Diligenciamiento del Instrumento de Gestión de la Información......................................................6

7. Medidas de protección de acuerdo a la calificación de la información..........................................168. Existencia y Divulgación Integral o Parcial de la Información .......................................................19

9. Disposición de Documentos...........................................................................................................2810. Transferencia de Información.....................................................................................................28

11. Medidas de Protección en las Fuentes de Información..............................................................2812. Consolidación de Inventarios......................................................................................................28

13. Transferencia de Información a través de Mensajería Electrónica.............................................2914. Documentación de Referencia...................................................................................................29

Página 2 de 28



1. Objetivo

Definir los lineamientos para el adecuado tratamiento de la información que es producida, gestionada o custodiada por la Superintendencia Nacional de Salud.

2. Alcance

Aplica para los activos de información de la Superintendencia Nacional de Salud.

3. Roles

ROL DESCRIPCIÓN DEL ROLTitular de la información Las personas cuyos datos personales sean objeto de recolec-

ción, almacenamiento, uso, circulación o supresión en la Supe-rintendencia Nacional de Salud.

Responsable del Tratamiento Superintendencia Nacional de Salud.Encargado del Tratamiento Terceros que a nombre de la Superintendencia Nacional de

Salud realiza el tratamiento de datos personales (Contratista, proveedor o entidad externa).

Responsable de la producción de la Información

Delgada, Oficina, Dependencia, o entidad externa que crea o ge-nera la información.

Responsable de la Información Delgada, Oficina, dependencia, tercero o entidad externa de la custodia o control de la información para efectos de permitir su acceso.

4. Responsabilidades

4.1 Titular de la información:

o Actualizar y rectificar sus datos personales frente al Responsable del Tratamiento o Encargados del Tratamiento, cuando sea necesario.

o Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen.

o Revocar la autorización y/o solicitar la supresión del dato, cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.

o Representante Legal del Niño, Niña o Adolescente otorgará la autorización previo ejercicio del menor del derecho de ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.1

4.2 Responsable del Tratamiento: Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la Ley 1581 de 2012

1 Artículo 12 Requisitos especiales para el tratamiento de datos personales de niños, niñas y adolescentes, Decreto 1377 de 2013

Página 3 de 28



y en otras que rijan su actividad2:

Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la res-pectiva autorización otorgada por el Titular.

Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.

Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Trata-miento esté previamente autorizado de conformidad con lo previsto en la Ley 1581 de 2012.

Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de se-guridad y privacidad de la información del Titular.

Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adop-tar las demás medidas necesarias para que la información suministrada a éste se manten-ga actualizada.

Designar medios para tramitar las consultas y reclamos formulados en los términos señala-dos en la presente ley, haciendo cumplimiento de los derechos de los titulares.

Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cum-plimiento de la Ley 1581 de 2012 sus decretos 1377 de 2013 y 886 de 2014 y para la aten-ción de consultas y reclamos.

Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finali-zado el trámite respectivo.

Informar a la Autoridad de Protección de Datos cuando se presenten violaciones a los có-digos de seguridad y existan riesgos en la administración de la información de los Titula-res.

Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

4.3 Encargado del Tratamiento: Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la Ley 1581 de 2012 y en otras que rijan su actividad3:

Garantizar al Titular, en todo tiempo el pleno y efectivo ejercicio del derecho de hábeas data.

Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración. pérdida, consulta, uso o acceso no autorizado o fraudulento.

2 Artículo 17, Ley 1581 de 2012.3 Artículo 18, Ley 1581 de 2012

Página 4 de 28



Realizar oportunamente la actualización, rectificación o supresión de los datos en los tér-minos que determina este manual.

Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

Tramitar las consultas y los reclamos formulados por los Titulares en los términos señala-dos en el presente manual.

Adoptar El manual interno de políticas y procedimientos para garantizar el adecuado cum-plimiento de la presente Ley 1581 de 2012, sus decretos 1377 de 2013 y para la atención de consultas y reclamos por parte de los Titulares de los datos.

Registrar en la base de datos la leyenda "reclamo en trámite" en la forma en que se regula en la Ley 1581 de 2012.

Insertar en la base de datos la leyenda "información en discusión judicial" una vez notifica-do por parte de la autoridad competente sobre procesos judiciales relacionados con la cali-dad del dato personal.

Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo blo-queo haya sido ordenado por la Superintendencia de Industria y Comercio.

Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

Informar a la Autoridad de Protección de Datos cuando se presenten violaciones a los có-digos de seguridad y existan riesgos en la administración de la información de los Titula-res.

Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno4.

4.4 Responsable de la Producción de la Información:

Controlar la generación, calificación, desarrollo, mantenimiento, uso y protección adecuada de la información.

Identificar todas las fuentes y promover la importancia de la calificación de la información para la adecuada operación de la Superintendencia Nacional de Salud.

Asegurar que se cumplan los controles para preservar la confidencialidad, la integridad y la disponibilidad de la información.

Mantener un nivel apropiado de protección física y lógica sobre la información. Revisar periódicamente la calificación de la información. Revisar periódicamente la efectividad de los controles sobre la información. Determinar y solicitar periódicamente el esquema de respaldo y restauración de la informa-

ción.

4.5 Responsable de la Información: La dependencia o unidad encargada de la custodia o con-trol de la información para efectos de permitir su acceso.

4 Ibíd.

Página 5 de 28



Brindar los controles adecuados de acuerdo al tipo de información que maneja.

5. Generalidades

Aplicar la calificación de los activos información a fin de darle el adecuado tratamiento, de esta mane-ra mitiga los riesgos de seguridad de la información que puedan presentarse; ésta guía está alineada con la Ley 1712 de 2014, la Ley 1581 de 2012 y el Anexo 8 de la Norma ISO 27001:2013.

6. Diligenciamiento del Instrumento de Gestión de la Información

Antes de comenzar el diligenciamiento del instrumento tenga en cuenta:

a. Se debe escribir en minúsculas.b. Solo utilice las mayúsculas en inicio de parrado, para identificar nombres propios, después de

punto.c. La información no puede tener casillas nulas o en blanco, siempre complete la información con la

palabra “No aplica”, siempre y cuando haya identificado que el activo de información no requiere la calificación solicitada.

Diligenciamiento encabezado

TITULO DEL INSTRUMENTO: Éste campo es variable conforme sea la publicación* de la Informa-ción que se va a hacer a partir de la Instrumento en general; puede ser:

Matriz de Activos de Información - Para uso de las dependencias Índice de Información Clasificada y Reservada – Lo usa la Oficina Asesora Jurídica

*Esta publicación la hacen las áreas correspondientes conforme a lo dispuesto en el Procedimiento de Calificación y Etiquetado de la Información – GGPD01

FECHA DE CREACIÓN

Diligencie la fecha de creación del documento en la dependencia correspondiente, en formato DD/MM/AAA

Página 6 de 28



FECHA DE ACTUALIZACIÓN

Diligencie la fecha de actualización del documento en la dependencia correspondiente, en formato DD/MM/AAA.

INFORMACIÓN BASE

Reúne la información básica acerca de los activos de información o las bases de datos con datos per-sonales; los campos que contiene son:

Proceso: Escoja de la lista desplegable el proceso al que pertenece la producción del activo de infor-mación descrito.

AD-Actuaciones DisciplinariasPJ-Administración de Justicia dentro del Sistema General de Seguridad Social en Salud – SGSSS GD-Administración de la Gestión DocumentalIT-Administración de la Infraestructura TecnológicaAB-Administración de los Bienes de Consumo y DevolutivosAP-Administración de PersonalAS-Administración del Sistema Integrado de GestiónME-Adopción y Seguimiento de Acciones y Medidas EspecialesAI-Auditoría a los Sujetos VigiladosRI-Evaluación Integral de Riesgos de Sujetos VigiladosAR-Evaluación y Aprobación de Acuerdos de Reestructuración de PasivosEP-Formulación, Implementación y Evaluación de Estudios y Proyectos

Los procesos listados corresponden a los definidos en el Subsistema de Gestión de Calidad.

Tipificación: seleccione si el activo a clarificar corresponde a una base de dados con datos persona-les o si por el contrario un activo de información.

Tenga en cuenta que:

Base datos: se debe tipificar el activo como base de datos cuando esta contenga datos perso-nales, como mínimo nombre y cedula.

Página 7 de 28



Activo: se tipifica como activo, toda información que gestiona, elabora, administra o custodia la dependencia a través de sus procesos.

ActivoBase datos

Título: Indique el nombre del activo de información señalado, si es una base de datos que contienen datos personales, asigne el nombre base de datos + la información contenida.Ejemplo: Base de datos Funcionarios.

Descripción: Describa brevemente el activo de información, si el activo de información se refiere a una base de datos con datos personales, indique dentro de este campo el propósito que tiene dicha base.

Idioma : Señale el idioma en el que está escrito el activo de información.

Español InglesOtros

Medio de conservación y/o soporte: Indique el soporte en el que se encuentra el activo de informa-ción, si se referencia una base de datos que contiene datos personales, identifique si la base de datos es automatizada, es decir, que la base de datos se encuentra en un sistema de información o motor de base de datos (no Excel), o si la base de datos es física, es decir, la información se encuentra en carpetas debidamente archivadas.

Página 8 de 28



Documento físicoDocumento electrónicoDocumento DigitalDocumento físico y electrónicoBase de Datos FísicaBase de Datos Automatizada

Formato: Identifique la forma o modo en que se presenta la información o se permite su visualización o consulta (puede escoger uno o varios).

Hoja de calculoDocumento de textoAudio Video ImagenHoja de calculoExpedienteHistoria laboral

Fecha de Generación Información: Indique la fecha de creación del activo de información o base de datos dentro de la dependencia, en formato DD/MM/AAAA, si la fecha no es concreta o no se puede identificar fácilmente y este activo es parte constante en su gestión, defina la fecha desde el 1 de ene-ro de la vigencia ó en el caso que el activo de información sea generado, creado o expedido por una norma establezca la fecha de generación a partir de la fecha de expedición de la norma.

01/01/2016

Página 9 de 28



Frecuencia de actualización: Identifica la periodicidad o el segmento de tiempo en el que se debe actualizar la información, de acuerdo a su naturaleza y a la normatividad aplicable.

Cada minutoCada horaMedio DíaDiariaSemanalMensualBimestralTrimestralCuatrimestralSemestralAnualHistóricaPor demanda

Lugar de Consulta: Indique el lugar físico, medio, donde se encuentre o repose la información.

Archivo de GestiónArchivo CentralCintas y medios de soporte (Backup o contingencia)Computador Personal Servidor externo a cargo de un tercero Servidor externo propioServidor Propio

Sistema de Información: Indique el sistema de información donde reposa la información.

Ejemplo:

Cobra Office 365 Enterprise E4

Página 10 de 28



BI(Análisis de información y toma de decisiones )(MicroStrategy Salud Pública App)SIGTA - Sistema de Información Corporativa para la gestión de la tasa-Pagos de la tasaSUPERCOR - Sistema de Gestión DocumentalCA - Mesa de Servicio SIPOST

Nombre del responsable Producción: Indique la Delgada, Oficina, Dependencia, o entidad externa que crea o genera la información.

Ejemplo:

Despacho Del SuperintendenteOficina Asesora JurídicaOficina Asesora De PlaneaciónOficina De Control InternoOficina De Tecnologías De La InformaciónOficina Asesora De Comunicaciones Estratégicas E Imagen InstitucionalDe TesoreríaGrupo De CarteraSubdirección AdministrativaGrupo De Contratación De Bienes Y ServiciosGrupo De Administración De Recursos FísicosGrupo De Gestión DocumentalGrupo De CorrespondenciaEntidades Externas

Código Nombre del responsable Producción: Corresponde al código de la Dependencia anterior-mente mencionada (La celda se autocompleta al seleccionar la anterior casilla).

Responsable de la Información o Encargado del tratamiento: Indique la Delgada, Oficina, depen-dencia, tercero o entidad externa de la custodia o control de la información para efectos de permitir su acceso.

Página 11 de 28



Despacho Del SuperintendenteOficina Asesora JurídicaOficina Asesora De PlaneaciónOficina De Control InternoDocumentalGrupo De CorrespondenciaDespacho Del Superintendente Delegado Para Las Medidas EspecialesDespacho Del Superintendente Delegado Para La Función Jurisdiccional Y De ConciliaciónDespacho Del Superintendente Delegado Para La Protección Al UsuarioDirección De Atención Al UsuarioDirección De Participación CiudadanaDirección Para La Supervisión De Riesgos EconómicosTodas las DependenciasEntidades Externas

Código Responsable de la Información: Corresponde al código de la Dependencia anteriormente mencionada (La celda se autocompleta al seleccionar la anterior casilla).

Página 12 de 28



CALIFICACIÓN DOCUMENTAL

Reúne la información acerca de la clasificación del activo de información de acuerdo a las Tablas de Retención Documental vigentes para la Entidad, los campos que contiene son:

En los campos de la Clasificación Documental, indique según las Tablas de Retención Documental los códigos según corresponda, si tiene dudas con el diligenciamiento solicite el apoyo al Grupo de Gestión Documental (ver cuadro de mensaje en el formato para conocer los datos de contacto).

Página 13 de 28



CALIFICACIÓN LEGAL

Criterio de Calificación: Indique si la información es:

1. Pública2. Pública Clasificada3. Pública Reservada

Recuerde que se deben tener en cuenta los siguientes factores de acuerdo al tipo de información que contenga el activo o la base de datos:

a. Medidas de protección de acuerdo a la calificación de la información

Una vez sea definida la calificación de la información se procede a establecer los mecanismos de protección para la información durante su ciclo de vida.La información se almacena siguiendo las disposiciones de las Tablas de Retención Documental. En caso de que no exista en las Tablas de Retención Documental se debe proceder con su incorporación.

Todos los controles de seguridad que se implementen a la información deben estar alineados a las disposiciones del Decreto 1081 de 2015.

b. Los datos personales de niños, niñas y adolescentes, salvo aquellos que sean de natu-raleza pública, de acuerdo con lo previsto en:

Artículo 7, Ley 1581 de 2012:

Derechos de los niños, niñas y adolescentes: En el Tratamiento se asegurará el respeto a los dere-chos prevalentes de los niños, niñas y adolescentes.

Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública.

Es tarea del Estado y las entidades educativas de todo tipo proveer información y capacitar a los re-presentantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los niños, niñas y adolescentes respecto del Tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de niños, niñas y adolescentes de sus datos persona-les, su derecho a la privacidad y protección de su información personal y la de los demás

Página 14 de 28



c. Permitir el acceso de un dato semiprivado, privado o sensible no le quita el carácter de in-formación clasificada, ni puede implicar su desprotección.

Salvo que medie autorización del titular, a los datos semiprivados, privados y sensibles conte-nidos en documentos públicos solo podrá accederse por decisión de autoridad jurisdiccional o de autoridad pública o administrativa competente en ejercicio de sus funciones.

d. La información deberá tener controles físicos: etiquete la información de tal manera que se pueda identificar como Información clasificada o reservada.

e. El Responsable de la Información es el encargado de asegurar la confidencialidad de la infor-mación y garantizar su distribución únicamente bajo autorización y siguiendo el principio de “necesidad de conocer, debido a los fines de su trabajo”.

Tipo de Información:

Se refiere al contenido de información del activo o la base de datos que usted administra, elabora o gestiona.

Por favor escoja el tipo de información de acuerdo al diagrama de Esquema de calificación de la In-formación.

Esquema calificación legal de la información

Página 15 de 28



Página 16 de 28

CALIFICACIÓN LEGAL DE LA INFORMACIÓN

A



Página 17 de 28

AAAAAAAAAAAAAAAAAAA



Reúne en los fundamentos legales para otorgar la calificación anteriormente dada.

Objetivo legítimo de la excepción: Seleccione el ID que se ajuste a la excepción de la calificación anteriormente dada, según la Ley 1712 de 2014, como se describe a continuación.

ID Obje-tivo le-gítimo

Objetivo legítimo de la excepción

1 Art. 18 - Clasificada: El derecho de toda persona a la privacidad e intimidad de las perso-nas, bajo las limitaciones propias que impone la condición de servidor público.

2 Art. 18 - Clasificada: El derecho de toda persona a la vida, la salud o la seguridad, la pro-tección de los datos genéticos humanos.

3 Art. 18 - Clasificada: Los secretos comerciales, industriales y profesionales, así como los planes estratégicos de las empresas públicas de servicios públicos.

4 Art. 19 - Reservada: La defensa y seguridad nacional, la salud pública, la seguridad públi-ca.

5 Art. 19 - Reservada: La prevención, investigación y persecución de los delitos y faltas disci-plinarias, mientras no se haga efectiva la medida de aseguramiento o se formule pliego de cargos.

6 Art. 19 - Reservada: El debido proceso y la igualdad de las partes en los procesos judicia-les.

7 Art. 19 - Reservada: La estabilidad macroeconómica y financiera del país, los relativos a las condiciones financieras de las operaciones de crédito publico y tesorería que realice la nación, así́ como a los estudios técnicos de valoración de los activos de la nación.

8 Art. 19 - Reservada: Los derechos de la Infancia y la adolescencia.9 Art. 19 - Reservada: Las instrucciones en materia diplomática o sobre negociaciones reser-

vadas. Los documentos que contengan las opiniones o puntos de vista que formen parte del proceso deliberativo de los servidores públicos.

10 No aplica

Existencia y Divulgación Integral o Parcial de la Información5

Si un mismo acto o documento contiene información que puede ser divulgada e información clasificada o reservada, el sujeto obligado debe revelar los datos no protegidos y presentar los fundamentos constitucionales y legales por los que retiene los datos que no puede divulgar.

5 Artículo 31. Existencia y divulgación integral o parcial de la información, Decreto 103 de 2015

Página 18 de 28



Los sujetos obligados podrán tachar los apartes clasificados o reservados del documento, anonimizar, transliterar o editar el documento para suprimir la información que no puede difundirse; abrir un nuevo expediente con la información pública que puede ser divulgada, o acudir a las acciones que sean adecuadas para cumplir con su deber de permitir el acceso a toda aquella información que no esté clasificada o reservada, teniendo en cuenta el formato y medio de conservación de la información.

Fundamento constitucional, legal o jurídico de la excepción: Una vez se ha establecido que el activo de información contiene información que es exceptuada por los artículos mencionados en el inciso anterior, seguidamente se procede a mencionar el fundamento constitucional o legal de la excepción, identificando el Tipo de norma, Número y Año de expedición de la misma, artículo, inciso o parágrafo que la ampara. Si corresponde a una base de datos defina si su elaboración corresponde a un mandato u orden dispuestos en una norma que así lo exija, si el activo de información es calificado como público por favor diligenciar el campo con la palabra “No aplica”.

Excepción total o parcial: Si un mismo documento contiene información pública, clasificada y/o re-servada, se debe revelar los datos no protegidos y presentar los fundamentos constitucionales y lega-les por los que retiene los datos que no puede divulgar. Para esto se deberá tachar los apartes clasi-ficados o reservados del documento, anonimizar, transliterar o editar el documento para suprimir la información que no puede difundirse, si el activo de información es calificado como público por favor diligenciar el campo con la palabra “No aplica”.

Total ParcialNo aplica

Descripción Clasificación o Reserva Parcial: Seleccione el ID de la descripción que justifica la cla-sificación o reserva parcial del activo de información, si el activo de información es calificado como público por favor diligenciar el campo con la palabra “No aplica”:

Seleccione el identificador que mejor describa el motivo de la clasificación parcial:

Página 19 de 28



ID Descripción de la Clasificación o Reserva parcial1 Se define la reserva parcial debido a que la información contiene Datos personales de

niños, niñas y adolescentes, se entregará la información anonimizada.2 Se define la reserva parcial debido a que la información contiene Datos socioeconómicos,

se entregará la información anonimizada.3 Se define la reserva parcial debido a que la información contiene Datos de defensa, se

entregará la información anonimizada.4 Se define la reserva parcial debido a que la información contiene Datos de

investigaciones, se entregará la información anonimizada.5 Se define la clasificación parcial debido a que la información contiene Datos Patrimoniales,

se entregará la información anonimizada.6 Se define la clasificación parcial debido a que la información contiene Datos Académicos,

se entregará la información anonimizada.7 Se define la clasificación parcial debido a que la información contiene Datos Industriales,

se entregará la información anonimizada.8 Se define la clasificación parcial debido a que la información contiene Datos Ideológicos,

se entregará la información anonimizada.9 Se define la clasificación parcial debido a que la información contiene Datos de Salud, se

entregará la información anonimizada.10 Se define la clasificación parcial debido a que la información contiene Características

Personales y Físicas, se entregará la información anonimizada.11 Se define la clasificación parcial debido a que la información contiene Vida y Hábitos

Sexuales, se entregará la información anonimizada.12 Se define la clasificación parcial debido a que la información contiene Datos de

Identificación, se entregará la información anonimizada.13 Se define la clasificación parcial debido a que la información contiene Datos Laborales, se

entregará la información anonimizada.

Plazo de la calificación o reserva:

Sin perjuicio de lo señalado en el artículo 19 de la Ley 1712 de 2014 y del período máximo de reserva de la información a que hace referencia el artículo 22 de la Ley 1712 de 2014, la información respectiva debe divulgarse si desaparecen las condiciones que justificaban su reserva.

El término máximo de quince (15) años a que se refiere el artículo 22 de la Ley 1712 de 2014 empezará a contarse a partir de la fecha en que la información se genera, si el activo de información es calificado como público por favor diligenciar el campo con la palabra “No aplica”.

Página 20 de 28



Según la Ley 1712 de 2014, el plazo de calificación o reserva es de:

Articulo 18 (Información Pública Clasificada) - Parágrafo. Estas excepciones tienen una duración ilimitada y no deberán aplicarse cuando la persona natural o jurídica ha consentido en la revelación de sus datos personales o privados o bien cuando es claro que la información fue entregada como parte de aquella información que debe estar bajo el régimen de publicidad aplicable.

Artículo 22. Excepciones temporales. La reserva de las informaciones amparadas por el artículo 19 (Información Pública Reservada) no deberá extenderse por un período mayor a quince (15) años.

CALIFICACIÓN PROTECCIÓN DE DATOS

Esta sección solo se emplea cuando el activo de información corresponde a una base de datos con datos personales.

Cantidad de titulares o registros sin repetir: identifique el número de registros que tiene la base de datos actualmente. Y marque dentro de los rangos establecidos la cantidad aproximada, si el activo de información es calificado como público por favor diligenciar el campo con la palabra “No aplica”..

0-100100-10001000-1000010000-100000100000-10000001000000- o más

Forma de obtención de la información: Determine la manera de obtener los datos registrados en la base de datos. Seleccione la opción que describa la obtención de los datos.

Fuentes de Acceso PúblicoPor un terceroRecolectados del titular No aplica

Página 21 de 28



Nombre del encargado del tratamiento de la base: registre el nombre de la persona o empresa que realiza el tratamiento de los datos personales, recuerde que este dato solo se diligencia si el tra-tamiento esta a cargo de un tercero (contratista, proveedor o entidad externa), de lo contrario diligen-cie “no aplica”.

Ejemplo.El encargado que recoge información personal a nombre de la Superintedencia Nacinal de Salud, como puede ser la empresa de vigilancia contratada o el proveedor de contact center contratado.

Tipo de documento: registre el documento de identificación de la persona o empresa que registro como encargado del tratamiento de la base de datos. Seleccione entre los siguientes tipos de identifi-cación, delo contrario selecciones “no aplica”:

Cedula de Ciudadanía Número de Identificación tributaria Cedula ExtranjeríaPasaporteDocumento Extranjero

Este dato corresponde al número de documento de identificación del encargado del tratamiento; si se refiere al nombre de Jefe, Delegado o Secretario, el dato se autocompleta en el campo, si el activo de información es calificado como público por favor diligenciar el campo con la palabra “No aplica”.

Tipo de canal: corresponde al canal por el cual el dueño o titular de la información podrá contactarse con el encargado o responsable del tratamiento para la solicitud de alguna acción sobre sus datos (reclamaciones, eliminado, etc):

Aplicativo Móvil Sitio WebPunto de atención PersonalCorreo electrónicoTeléfono Fijo

Página 22 de 28



Datos de contacto del encargado del tratamiento de la información: en las siguientes celdas relacione la información de contacto del encargado del tratamiento, como correo electrónico, sitio web y dirección, si el activo de información es calificado como público por favor diligenciar el campo con la palabra “No aplica”.

Envíos a terceros: registre el nombre de la entidad o tercero, si la base de datos que administra es entregada a estos, como ejercicio de facilitar la eficiencia administrativa del estado, si el activo de in-formación es calificado como público por favor diligenciar el campo con la palabra “No aplica”.

Transferencias internacionales: registre el nombre de la entidad, tercero y país, si la base de datos que administra es entregada a estos, como ejercicio de facilitar convenios internacionales, si el activo de información es calificado como público por favor diligenciar el campo con la palabra “No aplica”.

Nota: Cuando no se trata sólo de activos de información y no de bases de información de datos per-sonales, no es necesario completar los campos contenidos en: CALIFICACIÓN PROTECCIÓN DE DATOS.

Tratamiento de Datos de Menores de Edad: De contener información la Base de Datos, diligenciar de acuerdo con su afirmación: Si o No, si el activo de información es calificado como público por favor diligenciar el campo con la palabra “No aplica”.

CALIFICACIÓN DE SEGURIDAD

Página 23 de 28



Confidencialidad: Por favor indique el impacto que tendría para la Superintendencia Nacional de Salud, la pérdida de confidencialidad sobre el activo de información, es decir, que la información allí contenida sea conocida por personas no autorizadas:

Califique este criterio de 1 a 5 acorde a la siguiente tabla:

Criterio DescripciónCrítico

Valor = 5El conocimiento o divulgación no autorizada de la información que gestiona el activo, impacta negativamente a la SNS.

AltoValor = 3 y < 5

El conocimiento o divulgación no autorizada de la información que gestiona el activo, impacta negativamente no sólo al proceso que la gestiona, también otros procesos de la SNS.

MedioValor = 1 y < 3

El conocimiento o divulgación no autorizada de la información que gestiona el activo, impacta negativamente de manera leve al proceso,

BajoValor = 0 y < 1

El conocimiento o divulgación no autorizada de la información que gestiona el activo, no impacta negativamente al proceso.

Seleccione en esta casilla el número correspondiente a la calificación que más aplique

Integridad: Por favor indique impacto que tendría la pérdida de integridad del activo de información,

es decir, si la exactitud de la información y su contenido fueran alterados:



Valor = 5La pérdida de exactitud y completitud del activo, impacta negativamente a la SNS.

AltoValor = 3 y < 5

La pérdida de exactitud y completitud del activo, impacta negativamente no sólo al proceso que la gestiona, también otros procesos de la SNS.


La pérdida de exactitud y completitud del activo, impacta negativamente de manera leve al proceso,

BajoValor = 0 y < 1

La pérdida de exactitud y completitud del activo, no impacta negativamente al proceso.

Seleccione en esta casilla el número correspondiente a la calificación que más aplique

Página 24 de 28



Disponibilidad: El impacto que tendría la pérdida de disponibilidad, es decir, si los usuarios autoriza-dos no pudieran tener acceso a los activos de información en el momento requerido:



Valor = 5 La pérdida de la disponibilidad, impacta negativamente a la SNS.

AltoValor = 3 y < 5

La pérdida de la disponibilidad del activo, impacta negativamente no sólo al proceso que la gestiona, también otros procesos de la SNS.


La pérdida de la disponibilidad del activo, impacta negativamente de manera leve al proceso,

BajoValor = 0 y < 1

La pérdida de la disponibilidad del activo, no impacta negativamente al proceso.

Criticidad: Este criterio es la evaluación final de las calificaciones otorgas a los componentes de con-fidencialidad, disponibilidad e integridad.

InterpretaciónSi la criticidad del activo de información está dentro de los rangos

7. Disposición De Documentos

Descrito en el Sistema Integrado de Gestión – Subsistema de Gestión Documental - Programa de Gestión Documental de la Entidad - DISPOSICIÓN DE DOCUMENTOS.

La Guía De Borrado Seguro de la Información Código GSGU06 establece los lineamientos para la

Página 25 de 28



eliminación segura de la información digital.

8. Transferencia De Información

Descrito en el Sistema Integrado de Gestión – Subsistema de Gestión Documental - Programa de Gestión Documental de la Entidad – TRANSFERENCIA. – Circular Interna 009 de 2014

Coordinación interinstitucional. Si un sujeto obligado remite o entrega información pública calificada como clasificada o reservada a otro sujeto obligado, deberá advertir tal circunstancia e incluir la motivación de la calificación, para que este último excepcione también su divulgación.6

Se debe proteger la información que es transferida a externos, utilizando mecanismo de protección según sea adecuado.

9. Medidas de Protección en las Fuentes de Información

Se deben aplicar las medidas de protección que se requieran para proteger las fuentes de información independiente del tipo de fuente.

10. Consolidación de Inventarios

Una vez cada área ha terminado el inventario de la información, se obtienen instrumentos que son requeridos como cumplimiento de la Ley 1712 de 2014 en el Índice de Información de Información Calificada y Reservada y la Matriz de Activos de Información.

De igual manera se deben implantar controles que aseguren la adecuada gestión de los activos de información con calificación Calificada y Reservada.

11. Transferencia de Información a través de Mensajería Electrónica

El servicio de correo electrónico está protegido mediante el sistema de Prevención de Pérdida de Datos, (en inglés DLP), de igual manera el único canal de comunicación de mensajería electrónica autorizado para la Entidad es el provisto por la Oficina de Tecnologías de la Información.

12. Documentación de Referencia

Norma NTC IEC 27001:2013 Anexo A13 Ley 1266 de 2008 Ley 1581 de 2012 y sus Decretos reglamentarios aplicables. Ley 1712 de 2014 y sus Decretos reglamentarios aplicables.

6 Artículo 32. Coordinación interinstitucional, Decreto 103 de 2015

Página 26 de 28



CONTROL DE CAMBIOSASPECTOS QUE CAMBIARON EN EL DOCUMENTO

DETALLES DE LOS CAMBIOS

EFECTUADOS

RESPONSABLE DE LA SOLICITUD DEL

CAMBIO

FECHA DEL CAMBIO

DD/MM/AAAAVERSIÓN

Adopción del documento

Solicitud de creación mediante memorando NURC: 3-2016-015140

Se realiza aprobación Mediante memorando NURC: 3-2016-015375

Jefe Oficina de Tecnologías de la Información

18/08/2016 1

Modificación de controles para la identificación de

Se modificaron las siguientes actividades:

f. Medidas de protección de acuerdo a la calificación de la información: Se modificaron los controles para la Información Publica Clasificada e Información Pública Reservada.

CALIFICACIÓN LEGAL: se hizo aclaración acerca del tiempo de reserva de la Información Publica Clasificada e Información Pública Reservada.

11. Medidas de Protección en las Fuentes de Información

12. Consolidación de

Jefe Oficina de Tecnologías de la Información

09/12/2016 2

Página 27 de 28



CONTROL DE CAMBIOSASPECTOS QUE CAMBIARON EN EL DOCUMENTO

DETALLES DE LOS CAMBIOS

EFECTUADOS

RESPONSABLE DE LA SOLICITUD DEL

CAMBIO

FECHA DEL CAMBIO

DD/MM/AAAAVERSIÓN

InventariosSe realiza aprobación Mediante memorando NURC 3-2016-022686

Página 28 de 28

Documents

Guía Tratamiento de la Información · Web viewSi corresponde a una base de datos defina si su elaboración corresponde a un mandato u orden dispuestos en una norma que así lo exija,