Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GGGU03
GGGU03
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
BOGOTÁ D.C.
2016
Página 1 de 26
PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
Contenido
1. Objetivo.......................................................................................................................................... 3
2. Alcance.......................................................................................................................................... 3
3. Roles.............................................................................................................................................. 3
4. Responsabilidades......................................................................................................................... 3
5. Generalidades................................................................................................................................ 6
6. Diligenciamiento del Instrumento de Gestión de la Información.....................................................6
7. Medidas de protección de acuerdo a la calificación de la información..........................................16
8. Existencia y Divulgación Integral o Parcial de la Información ......................................................19
9. Disposición de Documentos......................................................................................................... 28
10. Transferencia de Información....................................................................................................28
11. Medidas de Protección en las Fuentes de Información.............................................................28
12. Consolidación de Inventarios....................................................................................................28
13. Transferencia de Información a través de Mensajería Electrónica............................................29
14. Documentación de Referencia..................................................................................................29
Página 2 de 26
PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
1. Objetivo
Definir los lineamientos para el adecuado tratamiento de la información que es producida, gestionada
o custodiada por la Superintendencia Nacional de Salud.
2. Alcance
3. Roles
4. Responsabilidades
4.2 Responsable del Tratamiento: Los Responsables del Tratamiento deberán cumplir los
siguientes deberes, sin perjuicio de las demás disposiciones previstas en la Ley 1581 de 2012
1 Artículo 12 Requisitos especiales para el tratamiento de datos personales de niños, niñas y adolescentes,
Decreto 1377 de 2013
Página 3 de 26
PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas
data.
Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le
asisten por virtud de la autorización otorgada.
Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la
respectiva autorización otorgada por el Titular.
Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz,
completa, exacta, actualizada, comprobable y comprensible.
Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del
Tratamiento.
Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo
Tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley 1581 de
2012.
Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de
seguridad y privacidad de la información del Titular.
Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento,
todas las novedades respecto de los datos que previamente le haya suministrado y
adoptar las demás medidas necesarias para que la información suministrada a éste se
mantenga actualizada.
Designar medios para tramitar las consultas y reclamos formulados en los términos
señalados en la presente ley, haciendo cumplimiento de los derechos de los titulares.
Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado
cumplimiento de la Ley 1581 de 2012 sus decretos 1377 de 2013 y 886 de 2014 y para la
atención de consultas y reclamos.
Informar al Encargado del Tratamiento cuando determinada información se encuentra en
discusión por parte del Titular, una vez se haya presentado la reclamación y no haya
finalizado el trámite respectivo.
Informar a la Autoridad de Protección de Datos cuando se presenten violaciones a los
códigos de seguridad y existan riesgos en la administración de la información de los
Titulares.
Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.
4.3 Encargado del Tratamiento: Los Encargados del Tratamiento deberán cumplir los siguientes
deberes, sin perjuicio de las demás disposiciones previstas en la Ley 1581 de 2012 y en otras
que rijan su actividad3:
Garantizar al Titular, en todo tiempo el pleno y efectivo ejercicio del derecho de hábeas
data.
Página 4 de 26
PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del
Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos
para cada uno4.
4 Ibíd.
Página 5 de 26
PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
5. Generalidades
Aplicar la calificación de los activos información a fin de darle el adecuado tratamiento, de esta
manera mitiga los riesgos de seguridad de la información que puedan presentarse; ésta guía está
alineada con la Ley 1712 de 2014, la Ley 1581 de 2012 y el Anexo 8 de la Norma ISO 27001:2013.
Diligenciamiento encabezado
FECHA DE CREACIÓN
Página 6 de 26
PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
FECHA DE ACTUALIZACIÓN
INFORMACIÓN BASE
Reúne la información básica acerca de los activos de información o las bases de datos con datos
personales; los campos que contiene son:
Proceso: Escoja de la lista desplegable el proceso al que pertenece la producción del activo de
información descrito.
AD-Actuaciones Disciplinarias
PJ-Administración de Justicia dentro del Sistema General de Seguridad Social en Salud – SGSSS
GD-Administración de la Gestión Documental
IT-Administración de la Infraestructura Tecnológica
AB-Administración de los Bienes de Consumo y Devolutivos
AP-Administración de Personal
AS-Administración del Sistema Integrado de Gestión
ME-Adopción y Seguimiento de Acciones y Medidas Especiales
AI-Auditoría a los Sujetos Vigilados
RI-Evaluación Integral de Riesgos de Sujetos Vigilados
AR-Evaluación y Aprobación de Acuerdos de Reestructuración de Pasivos
EP-Formulación, Implementación y Evaluación de Estudios y Proyectos
Tipificación: seleccione si el activo a clarificar corresponde a una base de dados con datos
personales o si por el contrario un activo de información.
Página 7 de 26
PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
Base datos: se debe tipificar el activo como base de datos cuando esta contenga datos
personales, como mínimo nombre y cedula.
Activo: se tipifica como activo, toda información que gestiona, elabora, administra o
custodia la dependencia a través de sus procesos.
Activo
Base datos
Título: Indique el nombre del activo de información señalado, si es una base de datos que contienen
datos personales, asigne el nombre base de datos + la información contenida.
Ejemplo: Base de datos Funcionarios.
Español
Ingles
Otros
Página 8 de 26
PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
Documento físico
Documento electrónico
Documento Digital
Documento físico y electrónico
Base de Datos Física
Base de Datos Automatizada
Hoja de calculo
Documento de
texto
Audio
Video
Imagen
Hoja de calculo
Expediente
Historia laboral
Fecha de Generación Información: Indique la fecha de creación del activo de información o base de
datos dentro de la dependencia, en formato DD/MM/AAAA, si la fecha no es concreta o no se puede
identificar fácilmente y este activo es parte constante en su gestión, defina la fecha desde el 1 de
enero de la vigencia ó en el caso que el activo de información sea generado, creado o expedido por
una norma establezca la fecha de generación a partir de la fecha de expedición de la norma.
01/01/2016
Página 9 de 26
PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
Cada minuto
Cada hora
Medio Día
Diaria
Semanal
Mensual
Bimestral
Trimestral
Cuatrimestral
Semestral
Anual
Histórica
Por demanda
Lugar de Consulta: Indique el lugar físico, medio, donde se encuentre o repose la información.
Archivo de Gestión
Archivo Central
Cintas y medios de soporte (Backup o contingencia)
Computador Personal
Servidor externo a cargo de un tercero
Servidor externo propio
Servidor Propio
Ejemplo:
Cobra
Office 365 Enterprise E4
BI(Análisis de información y toma de decisiones )(MicroStrategy Salud Pública App)
SIGTA - Sistema de Información Corporativa para la gestión de la tasa-Pagos de la tasa
SUPERCOR - Sistema de Gestión Documental
CA - Mesa de Servicio
SIPOST
Nombre del responsable Producción: Indique la Delgada, Oficina, Dependencia, o entidad externa
que crea o genera la información.
Página 10 de 26
PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
Ejemplo:
Página 11 de 26
PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
Página 12 de 26
PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
CALIFICACIÓN DOCUMENTAL
Reúne la información acerca de la clasificación del activo de información de acuerdo a las Tablas de
Retención Documental vigentes para la Entidad, los campos que contiene son:
En los campos de la Clasificación Documental, indique según las Tablas de Retención Documental
los códigos según corresponda, si tiene dudas con el diligenciamiento solicite el apoyo al Grupo de
Gestión Documental (ver cuadro de mensaje en el formato para conocer los datos de contacto).
Página 13 de 26
PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
CALIFICACIÓN LEGAL
1. Pública
2. Pública Clasificada
3. Pública Reservada
Recuerde que se deben tener en cuenta los siguientes factores de acuerdo al tipo de información que
contenga el activo o la base de datos:
Una vez sea definida la calificación de la información se procede a establecer los mecanismos de
protección para la información durante su ciclo de vida.
La información se almacena siguiendo las disposiciones de las Tablas de Retención Documental. En
caso de que no exista en las Tablas de Retención Documental se debe proceder con su
incorporación.
Todos los controles de seguridad que se implementen a la información deben estar alineados a las
disposiciones del Decreto 1081 de 2015.
b. Los datos personales de niños, niñas y adolescentes, salvo aquellos que sean de
naturaleza pública, de acuerdo con lo previsto en:
Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos
datos que sean de naturaleza pública.
Es tarea del Estado y las entidades educativas de todo tipo proveer información y capacitar a los
representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los niños, niñas y
adolescentes respecto del Tratamiento indebido de sus datos personales, y proveer de conocimiento
acerca del uso responsable y seguro por parte de niños, niñas y adolescentes de sus datos
personales, su derecho a la privacidad y protección de su información personal y la de los demás
Página 14 de 26
PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N
Salvo que medie autorización del titular, a los datos semiprivados, privados y sensibles
contenidos en documentos públicos solo podrá accederse por decisión de autoridad
jurisdiccional o de autoridad pública o administrativa competente en ejercicio de sus funciones.
d. La información deberá tener controles físicos: etiquete la información de tal manera que se
pueda identificar como Información clasificada o reservada.
e. El Responsable de la Información es el encargado de asegurar la confidencialidad de la
información y garantizar su distribución únicamente bajo autorización y siguiendo el principio
de “necesidad de conocer, debido a los fines de su trabajo”.
Tipo de Información:
Se refiere al contenido de información del activo o la base de datos que usted administra, elabora o
gestiona.
Página 15 de 26
CALIFICACIÓN LEGAL DE LA INFORMACIÓN
Página 16 de 26
Reúne en los fundamentos legales para otorgar la calificación anteriormente dada.
ID
Objetiv Objetivo legítimo de la excepción
o
legítimo
Si un mismo acto o documento contiene información que puede ser divulgada e información
clasificada o reservada, el sujeto obligado debe revelar los datos no protegidos y presentar los
fundamentos constitucionales y legales por los que retiene los datos que no puede divulgar.
Los sujetos obligados podrán tachar los apartes clasificados o reservados del documento,
anonimizar, transliterar o editar el documento para suprimir la información que no puede
difundirse; abrir un nuevo expediente con la información pública que puede ser divulgada, o acudir a
las acciones que sean adecuadas para cumplir con su deber de permitir el acceso a toda aquella
información que no esté clasificada o reservada, teniendo en cuenta el formato y medio de
conservación de la información.
5 Artículo 31. Existencia y divulgación integral o parcial de la información, Decreto 103 de 2015
Página 17 de 26
Fundamento constitucional, legal o jurídico de la excepción: Una vez se ha establecido que el
activo de información contiene información que es exceptuada por los artículos mencionados en el
inciso anterior, seguidamente se procede a mencionar el fundamento constitucional o legal de la
excepción, identificando el Tipo de norma, Número y Año de expedición de la misma, artículo, inciso o
parágrafo que la ampara. Si corresponde a una base de datos defina si su elaboración corresponde a
un mandato u orden dispuestos en una norma que así lo exija, si el activo de información es calificado
como público por favor diligenciar el campo con la palabra “No aplica”.
Excepción total o parcial: Si un mismo documento contiene información pública, clasificada y/o
reservada, se debe revelar los datos no protegidos y presentar los fundamentos constitucionales y
legales por los que retiene los datos que no puede divulgar. Para esto se deberá tachar los apartes
clasificados o reservados del documento, anonimizar, transliterar o editar el documento para
suprimir la información que no puede difundirse, si el activo de información es calificado como
público por favor diligenciar el campo con la palabra “No aplica”.
Total
Parcial
No aplica
Página 18 de 26
se entregará la información anonimizada.
7 Se define la clasificación parcial debido a que la información contiene Datos Industriales,
se entregará la información anonimizada.
8 Se define la clasificación parcial debido a que la información contiene Datos Ideológicos,
se entregará la información anonimizada.
9 Se define la clasificación parcial debido a que la información contiene Datos de Salud, se
entregará la información anonimizada.
10 Se define la clasificación parcial debido a que la información contiene Características
Personales y Físicas, se entregará la información anonimizada.
11 Se define la clasificación parcial debido a que la información contiene Vida y Hábitos
Sexuales, se entregará la información anonimizada.
12 Se define la clasificación parcial debido a que la información contiene Datos de
Identificación, se entregará la información anonimizada.
13 Se define la clasificación parcial debido a que la información contiene Datos Laborales, se
entregará la información anonimizada.
Sin perjuicio de lo señalado en el artículo 19 de la Ley 1712 de 2014 y del período máximo de reserva
de la información a que hace referencia el artículo 22 de la Ley 1712 de 2014, la información
respectiva debe divulgarse si desaparecen las condiciones que justificaban su reserva.
El término máximo de quince (15) años a que se refiere el artículo 22 de la Ley 1712 de 2014
empezará a contarse a partir de la fecha en que la información se genera, si el activo de información
es calificado como público por favor diligenciar el campo con la palabra “No aplica”.
Articulo 18 (Información Pública Clasificada) - Parágrafo. Estas excepciones tienen una duración
ilimitada y no deberán aplicarse cuando la persona natural o jurídica ha consentido en la revelación
de sus datos personales o privados o bien cuando es claro que la información fue entregada como
parte de aquella información que debe estar bajo el régimen de publicidad aplicable.
Artículo 22. Excepciones temporales. La reserva de las informaciones amparadas por el artículo 19
(Información Pública Reservada) no deberá extenderse por un período mayor a quince (15) años.
Esta sección solo se emplea cuando el activo de información corresponde a una base de datos con
datos personales.
Cantidad de titulares o registros sin repetir: identifique el número de registros que tiene la base de
datos actualmente. Y marque dentro de los rangos establecidos la cantidad aproximada, si el activo
de información es calificado como público por favor diligenciar el campo con la palabra “No aplica”.
Página 19 de 26
.
0-100
100-1000
1000-10000
10000-100000
100000-1000000
1000000- o más
Nombre del encargado del tratamiento de la base: registre el nombre de la persona o empresa
que realiza el tratamiento de los datos personales, recuerde que este dato solo se diligencia si el
tratamiento esta a cargo de un tercero (contratista, proveedor o entidad externa), de lo contrario
diligencie “no aplica”.
Ejemplo.
El encargado que recoge información personal a nombre de la Superintedencia Nacinal de Salud,
como puede ser la empresa de vigilancia contratada o el proveedor de contact center contratado.
Cedula de Ciudadanía
Número de Identificación tributaria
Cedula Extranjería
Pasaporte
Documento Extranjero
Este dato corresponde al número de documento de identificación del encargado del tratamiento; si se
Página 20 de 26
refiere al nombre de Jefe, Delegado o Secretario, el dato se autocompleta en el campo, si el activo de
información es calificado como público por favor diligenciar el campo con la palabra “No aplica”.
Tipo de canal: corresponde al canal por el cual el dueño o titular de la información podrá contactarse
con el encargado o responsable del tratamiento para la solicitud de alguna acción sobre sus datos
(reclamaciones, eliminado, etc):
Aplicativo Móvil
Sitio Web
Punto de atención Personal
Correo electrónico
Teléfono Fijo
Datos de contacto del encargado del tratamiento de la información: en las siguientes celdas
relacione la información de contacto del encargado del tratamiento, como correo electrónico, sitio web
y dirección, si el activo de información es calificado como público por favor diligenciar el campo con la
palabra “No aplica”.
Envíos a terceros: registre el nombre de la entidad o tercero, si la base de datos que administra es
entregada a estos, como ejercicio de facilitar la eficiencia administrativa del estado, si el activo de
información es calificado como público por favor diligenciar el campo con la palabra “No aplica”.
Página 21 de 26
CALIFICACIÓN DE SEGURIDAD
Confidencialidad: Por favor indique el impacto que tendría para la Superintendencia Nacional de
Salud, la pérdida de confidencialidad sobre el activo de información, es decir, que la información allí
contenida sea conocida por personas no autorizadas:
Criterio Descripción
Crítico El conocimiento o divulgación no autorizada de la información
Valor = 5 que gestiona el activo, impacta negativamente a la SNS.
El conocimiento o divulgación no autorizada de la información
Alto
que gestiona el activo, impacta negativamente no sólo al
Valor = 3 y < 5
proceso que la gestiona, también otros procesos de la SNS.
El conocimiento o divulgación no autorizada de la información
Medio
que gestiona el activo, impacta negativamente de manera leve
Valor = 1 y < 3
al proceso,
Bajo El conocimiento o divulgación no autorizada de la información
Valor = 0 y < 1 que gestiona el activo, no impacta negativamente al proceso.
Integridad: Por favor indique impacto que tendría la pérdida de integridad del activo de información,
es decir, si la exactitud de la información y su contenido fueran alterados:
Criterio Descripción
Crítico La pérdida de exactitud y completitud del activo, impacta
Valor = 5 negativamente a la SNS.
La pérdida de exactitud y completitud del activo, impacta
Alto
negativamente no sólo al proceso que la gestiona, también otros
Valor = 3 y < 5
procesos de la SNS.
Medio La pérdida de exactitud y completitud del activo, impacta
Valor = 1 y < 3 negativamente de manera leve al proceso,
Bajo La pérdida de exactitud y completitud del activo, no impacta
Valor = 0 y < 1 negativamente al proceso.
Página 22 de 26
Seleccione en esta casilla el número correspondiente a la calificación que más aplique
Criterio Descripción
Crítico
La pérdida de la disponibilidad, impacta negativamente a la SNS.
Valor = 5
Alto La pérdida de la disponibilidad del activo, impacta negativamente no
Valor = 3 y < 5 sólo al proceso que la gestiona, también otros procesos de la SNS.
Medio La pérdida de la disponibilidad del activo, impacta negativamente de
Valor = 1 y < 3 manera leve al proceso,
Bajo La pérdida de la disponibilidad del activo, no impacta negativamente al
Valor = 0 y < 1 proceso.
Criticidad: Este criterio es la evaluación final de las calificaciones otorgas a los componentes de
confidencialidad, disponibilidad e integridad.
Interpretación
Si la criticidad del activo de información está dentro de los rangos
7. Disposición De Documentos
La Guía De Borrado Seguro de la Información Código GSGU06 establece los lineamientos para la
eliminación segura de la información digital.
8. Transferencia De Información
Página 23 de 26
Coordinación interinstitucional. Si un sujeto obligado remite o entrega información pública
calificada como clasificada o reservada a otro sujeto obligado, deberá advertir tal circunstancia e
incluir la motivación de la calificación, para que este último excepcione también su divulgación.6
Se deben aplicar las medidas de protección que se requieran para proteger las fuentes de
información independiente del tipo de fuente.
Una vez cada área ha terminado el inventario de la información, se obtienen instrumentos que son
requeridos como cumplimiento de la Ley 1712 de 2014 en el Índice de Información de Información
Calificada y Reservada y la Matriz de Activos de Información.
De igual manera se deben implantar controles que aseguren la adecuada gestión de los activos de
información con calificación Calificada y Reservada.
Página 24 de 26
CONTROL DE CAMBIOS
FECHA DEL
ASPECTOS QUE DETALLES DE LOS RESPONSABLE DE LA
CAMBIO VERSIÓ
CAMBIARON EN CAMBIOS SOLICITUD DEL
DD/MM/AAA N
EL DOCUMENTO EFECTUADOS CAMBIO
A
Solicitud de creación
mediante memorando
NURC: 3-2016-
015140 Jefe Oficina de
Adopción del
Tecnologías de la 18/08/2016 1
documento
Se realiza aprobación Información
Mediante memorando
NURC: 3-2016-
015375
Modificación de Jefe Oficina de 09/12/2016 2
controles para la Se modificaron las Tecnologías de la
identificación de siguientes actividades: Información
f. Medidas de
protección de
acuerdo a la
calificación de la
información: Se
modificaron los
controles para la
Información Publica
Clasificada e
Información Pública
Reservada.
CALIFICACIÓN
LEGAL: se hizo
aclaración acerca del
tiempo de reserva de
la Información Publica
Clasificada e
Información Pública
Reservada.
11. Medidas de
Protección en las
Fuentes de
Información
12. Consolidación de
Inventarios
Se realiza aprobación
Mediante memorando
Página 25 de 26
CONTROL DE CAMBIOS
FECHA DEL
ASPECTOS QUE DETALLES DE LOS RESPONSABLE DE LA
CAMBIO VERSIÓ
CAMBIARON EN CAMBIOS SOLICITUD DEL
DD/MM/AAA N
EL DOCUMENTO EFECTUADOS CAMBIO
A
NURC 3-2016-022686
Página 26 de 26