PROCES GOBIERNO Y GESTIÓN DE LA GGGU0

CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

GUÍA TRATAMIENTO DE LA INFORMACIÓN

BOGOTÁ D.C.
2016

ELABORÓ: REVISÓ: APROBÓ:

Profesional Oficina Jefe Oficina Tecnologías de la Jefe Oficina Tecnologías de la
Tecnologías de la Información Información
Información Jefe Oficina Asesora de
Profesional Oficina Asesora Planeación
de Planeación Secretaría General
FECHA: FECHA: FECHA:
01/08/2016 10/08/2016 12/08/2016

Página 1 de 26
 PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

Contenido

1. Objetivo.......................................................................................................................................... 3
2. Alcance.......................................................................................................................................... 3
3. Roles.............................................................................................................................................. 3
4. Responsabilidades......................................................................................................................... 3
5. Generalidades................................................................................................................................ 6
6. Diligenciamiento del Instrumento de Gestión de la Información.....................................................6
7. Medidas de protección de acuerdo a la calificación de la información..........................................16
8. Existencia y Divulgación Integral o Parcial de la Información ......................................................19
9. Disposición de Documentos......................................................................................................... 28
10. Transferencia de Información....................................................................................................28
11. Medidas de Protección en las Fuentes de Información.............................................................28
12. Consolidación de Inventarios....................................................................................................28
13. Transferencia de Información a través de Mensajería Electrónica............................................29
14. Documentación de Referencia..................................................................................................29

Página 2 de 26
 PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

1. Objetivo

Definir los lineamientos para el adecuado tratamiento de la información que es producida, gestionada
o custodiada por la Superintendencia Nacional de Salud.

2. Alcance

Aplica para los activos de información de la Superintendencia Nacional de Salud.

3. Roles

ROL DESCRIPCIÓN DEL ROL

Titular de la información
Responsable del Tratamiento
Encargado del Tratamiento
Responsable de la producción
de la Información
Responsable de la Información
Las personas cuyos datos personales sean objeto de
recolección, almacenamiento, uso, circulación o supresión en la
Superintendencia Nacional de Salud.
Superintendencia Nacional de Salud.
Terceros que a nombre de la Superintendencia Nacional de
Salud realiza el tratamiento de datos personales (Contratista,
proveedor o entidad externa).
Delgada, Oficina, Dependencia, o entidad externa que crea o
genera la información.
Delgada, Oficina, dependencia, tercero o entidad externa de la
custodia o control de la información para efectos de permitir su
acceso.

4. Responsabilidades

4.1 Titular de la información:

o Actualizar y rectificar sus datos personales frente al Responsable del Tratamiento o

Encargados del Tratamiento, cuando sea necesario.
o Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a
lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen
o complementen.
o Revocar la autorización y/o solicitar la supresión del dato, cuando en el tratamiento no
se respeten los principios, derechos y garantías constitucionales y legales.
o Representante Legal del Niño, Niña o Adolescente otorgará la autorización previo
ejercicio del menor del derecho de ser escuchado, opinión que será valorada teniendo
en cuenta la madurez, autonomía y capacidad para entender el asunto.1

4.2 Responsable del Tratamiento: Los Responsables del Tratamiento deberán cumplir los
siguientes deberes, sin perjuicio de las demás disposiciones previstas en la Ley 1581 de 2012

1 Artículo 12 Requisitos especiales para el tratamiento de datos personales de niños, niñas y adolescentes,
Decreto 1377 de 2013

Página 3 de 26
 PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

y en otras que rijan su actividad2:

 Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas
data.
 Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le
asisten por virtud de la autorización otorgada.
 Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
 Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la
respectiva autorización otorgada por el Titular.
 Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz,
completa, exacta, actualizada, comprobable y comprensible.
 Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del
Tratamiento.
 Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo
Tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley 1581 de
2012.
 Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de
seguridad y privacidad de la información del Titular.
 Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento,
todas las novedades respecto de los datos que previamente le haya suministrado y
adoptar las demás medidas necesarias para que la información suministrada a éste se
mantenga actualizada.
 Designar medios para tramitar las consultas y reclamos formulados en los términos
señalados en la presente ley, haciendo cumplimiento de los derechos de los titulares.
 Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado
cumplimiento de la Ley 1581 de 2012 sus decretos 1377 de 2013 y 886 de 2014 y para la
atención de consultas y reclamos.
 Informar al Encargado del Tratamiento cuando determinada información se encuentra en
discusión por parte del Titular, una vez se haya presentado la reclamación y no haya
finalizado el trámite respectivo.
 Informar a la Autoridad de Protección de Datos cuando se presenten violaciones a los
códigos de seguridad y existan riesgos en la administración de la información de los
Titulares.
 Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.

4.3 Encargado del Tratamiento: Los Encargados del Tratamiento deberán cumplir los siguientes
deberes, sin perjuicio de las demás disposiciones previstas en la Ley 1581 de 2012 y en otras
que rijan su actividad3:

 Garantizar al Titular, en todo tiempo el pleno y efectivo ejercicio del derecho de hábeas
data.

2 Artículo 17, Ley 1581 de 2012.

3 Artículo 18, Ley 1581 de 2012

Página 4 de 26
 PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

 Conservar la información bajo las condiciones de seguridad necesarias para impedir su

adulteración. pérdida, consulta, uso o acceso no autorizado o fraudulento.
 Realizar oportunamente la actualización, rectificación o supresión de los datos en los
términos que determina este manual.
 Actualizar la información reportada por los Responsables del Tratamiento dentro de los
cinco (5) días hábiles contados a partir de su recibo.
 Tramitar las consultas y los reclamos formulados por los Titulares en los términos
señalados en el presente manual.
 Adoptar El manual interno de políticas y procedimientos para garantizar el adecuado
cumplimiento de la presente Ley 1581 de 2012, sus decretos 1377 de 2013 y para la
atención de consultas y reclamos por parte de los Titulares de los datos.
 Registrar en la base de datos la leyenda "reclamo en trámite" en la forma en que se regula
en la Ley 1581 de 2012.
 Insertar en la base de datos la leyenda "información en discusión judicial" una vez
notificado por parte de la autoridad competente sobre procesos judiciales relacionados con
la calidad del dato personal.
 Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo
bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
 Permitir el acceso a la información únicamente a las personas que pueden tener acceso a
ella.
 Informar a la Autoridad de Protección de Datos cuando se presenten violaciones a los
códigos de seguridad y existan riesgos en la administración de la información de los
Titulares.
 Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.

En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del
Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos
para cada uno4.

4.4 Responsable de la Producción de la Información:

 Controlar la generación, calificación, desarrollo, mantenimiento, uso y protección adecuada

de la información.
 Identificar todas las fuentes y promover la importancia de la calificación de la información
para la adecuada operación de la Superintendencia Nacional de Salud.
 Asegurar que se cumplan los controles para preservar la confidencialidad, la integridad y la
disponibilidad de la información.
 Mantener un nivel apropiado de protección física y lógica sobre la información.
 Revisar periódicamente la calificación de la información.
 Revisar periódicamente la efectividad de los controles sobre la información.
 Determinar y solicitar periódicamente el esquema de respaldo y restauración de la
información.

4 Ibíd.

Página 5 de 26
 PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

4.5 Responsable de la Información: La dependencia o unidad encargada de la custodia o

control de la información para efectos de permitir su acceso.

 Brindar los controles adecuados de acuerdo al tipo de información que maneja.

5. Generalidades

Aplicar la calificación de los activos información a fin de darle el adecuado tratamiento, de esta
manera mitiga los riesgos de seguridad de la información que puedan presentarse; ésta guía está
alineada con la Ley 1712 de 2014, la Ley 1581 de 2012 y el Anexo 8 de la Norma ISO 27001:2013.

6. Diligenciamiento del Instrumento de Gestión de la Información

Antes de comenzar el diligenciamiento del instrumento tenga en cuenta:

a. Se debe escribir en minúsculas.

b. Solo utilice las mayúsculas en inicio de parrado, para identificar nombres propios, después de
punto.
c. La información no puede tener casillas nulas o en blanco, siempre complete la información con la
palabra “No aplica”, siempre y cuando haya identificado que el activo de información no requiere la
calificación solicitada.

Diligenciamiento encabezado

TITULO DEL INSTRUMENTO: Éste campo es variable conforme sea la publicación* de la

Información que se va a hacer a partir de la Instrumento en general; puede ser:

 Matriz de Activos de Información - Para uso de las dependencias

 Índice de Información Clasificada y Reservada – Lo usa la Oficina Asesora Jurídica

*Esta publicación la hacen las áreas correspondientes conforme a lo dispuesto en el Procedimiento

de Calificación y Etiquetado de la Información – GGPD01

FECHA DE CREACIÓN

Diligencie la fecha de creación del documento en la dependencia correspondiente, en formato

DD/MM/AAA

Página 6 de 26
 PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

FECHA DE ACTUALIZACIÓN

Diligencie la fecha de actualización del documento en la dependencia correspondiente, en formato

DD/MM/AAA.

INFORMACIÓN BASE

Reúne la información básica acerca de los activos de información o las bases de datos con datos
personales; los campos que contiene son:

Proceso: Escoja de la lista desplegable el proceso al que pertenece la producción del activo de
información descrito.

AD-Actuaciones Disciplinarias
PJ-Administración de Justicia dentro del Sistema General de Seguridad Social en Salud – SGSSS
GD-Administración de la Gestión Documental
IT-Administración de la Infraestructura Tecnológica
AB-Administración de los Bienes de Consumo y Devolutivos
AP-Administración de Personal
AS-Administración del Sistema Integrado de Gestión
ME-Adopción y Seguimiento de Acciones y Medidas Especiales
AI-Auditoría a los Sujetos Vigilados
RI-Evaluación Integral de Riesgos de Sujetos Vigilados
AR-Evaluación y Aprobación de Acuerdos de Reestructuración de Pasivos
EP-Formulación, Implementación y Evaluación de Estudios y Proyectos

Los procesos listados corresponden a los definidos en el Subsistema de Gestión de Calidad.

Tipificación: seleccione si el activo a clarificar corresponde a una base de dados con datos
personales o si por el contrario un activo de información.

Tenga en cuenta que:

Página 7 de 26
 PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

Base datos: se debe tipificar el activo como base de datos cuando esta contenga datos
personales, como mínimo nombre y cedula.
Activo: se tipifica como activo, toda información que gestiona, elabora, administra o
custodia la dependencia a través de sus procesos.

Activo
Base datos

Título: Indique el nombre del activo de información señalado, si es una base de datos que contienen
datos personales, asigne el nombre base de datos + la información contenida.
Ejemplo: Base de datos Funcionarios.

Descripción: Describa brevemente el activo de información, si el activo de información se refiere a

una base de datos con datos personales, indique dentro de este campo el propósito que tiene dicha
base.

Idioma : Señale el idioma en el que está escrito el activo de información.

Español
Ingles
Otros

Medio de conservación y/o soporte: Indique el soporte en el que se encuentra el activo de

información, si se referencia una base de datos que contiene datos personales, identifique si la base
de datos es automatizada, es decir, que la base de datos se encuentra en un sistema de información
o motor de base de datos (no Excel), o si la base de datos es física, es decir, la información se
encuentra en carpetas debidamente archivadas.

Página 8 de 26
 PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

Documento físico
Documento electrónico
Documento Digital
Documento físico y electrónico
Base de Datos Física
Base de Datos Automatizada

Formato: Identifique la forma o modo en que se presenta la información o se permite su visualización

o consulta (puede escoger uno o varios).

Hoja de calculo
Documento de
texto
Audio
Video
Imagen
Hoja de calculo
Expediente
Historia laboral

Fecha de Generación Información: Indique la fecha de creación del activo de información o base de
datos dentro de la dependencia, en formato DD/MM/AAAA, si la fecha no es concreta o no se puede
identificar fácilmente y este activo es parte constante en su gestión, defina la fecha desde el 1 de
enero de la vigencia ó en el caso que el activo de información sea generado, creado o expedido por
una norma establezca la fecha de generación a partir de la fecha de expedición de la norma.

01/01/2016

Frecuencia de actualización: Identifica la periodicidad o el segmento de tiempo en el que se debe

actualizar la información, de acuerdo a su naturaleza y a la normatividad aplicable.

Página 9 de 26
 PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

Cada minuto
Cada hora
Medio Día
Diaria
Semanal
Mensual
Bimestral
Trimestral
Cuatrimestral
Semestral
Anual
Histórica
Por demanda

Lugar de Consulta: Indique el lugar físico, medio, donde se encuentre o repose la información.

Archivo de Gestión
Archivo Central
Cintas y medios de soporte (Backup o contingencia)
Computador Personal
Servidor externo a cargo de un tercero
Servidor externo propio
Servidor Propio

Sistema de Información: Indique el sistema de información donde reposa la información.

Ejemplo:

Cobra
Office 365 Enterprise E4
BI(Análisis de información y toma de decisiones )(MicroStrategy Salud Pública App)
SIGTA - Sistema de Información Corporativa para la gestión de la tasa-Pagos de la tasa
SUPERCOR - Sistema de Gestión Documental
CA - Mesa de Servicio
SIPOST

Nombre del responsable Producción: Indique la Delgada, Oficina, Dependencia, o entidad externa
que crea o genera la información.

Página 10 de 26
 PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

Ejemplo:

Despacho Del Superintendente

Oficina Asesora Jurídica
Oficina Asesora De Planeación
Oficina De Control Interno
Oficina De Tecnologías De La Información
Oficina Asesora De Comunicaciones Estratégicas E Imagen Institucional
De Tesorería
Grupo De Cartera
Subdirección Administrativa
Grupo De Contratación De Bienes Y Servicios
Grupo De Administración De Recursos Físicos
Grupo De Gestión Documental
Grupo De Correspondencia
Entidades Externas

Código Nombre del responsable Producción: Corresponde al código de la Dependencia

anteriormente mencionada (La celda se autocompleta al seleccionar la anterior casilla).

Responsable de la Información o Encargado del tratamiento: Indique la Delgada, Oficina,

dependencia, tercero o entidad externa de la custodia o control de la información para efectos de
permitir su acceso.

Despacho Del Superintendente

Oficina Asesora Jurídica
Oficina Asesora De Planeación
Oficina De Control Interno
Documental
Grupo De Correspondencia
Despacho Del Superintendente Delegado Para Las Medidas Especiales
Despacho Del Superintendente Delegado Para La Función Jurisdiccional Y De Conciliación
Despacho Del Superintendente Delegado Para La Protección Al Usuario
Dirección De Atención Al Usuario
Dirección De Participación Ciudadana
Dirección Para La Supervisión De Riesgos Económicos

Página 11 de 26
 PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

Todas las Dependencias

Entidades Externas

Código Responsable de la Información: Corresponde al código de la Dependencia anteriormente

mencionada (La celda se autocompleta al seleccionar la anterior casilla).

Página 12 de 26
 PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

CALIFICACIÓN DOCUMENTAL

Reúne la información acerca de la clasificación del activo de información de acuerdo a las Tablas de
Retención Documental vigentes para la Entidad, los campos que contiene son:

En los campos de la Clasificación Documental, indique según las Tablas de Retención Documental
los códigos según corresponda, si tiene dudas con el diligenciamiento solicite el apoyo al Grupo de
Gestión Documental (ver cuadro de mensaje en el formato para conocer los datos de contacto).

Página 13 de 26
 PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

CALIFICACIÓN LEGAL

Criterio de Calificación: Indique si la información es:

1. Pública
2. Pública Clasificada
3. Pública Reservada

Recuerde que se deben tener en cuenta los siguientes factores de acuerdo al tipo de información que
contenga el activo o la base de datos:

a. Medidas de protección de acuerdo a la calificación de la información

Una vez sea definida la calificación de la información se procede a establecer los mecanismos de
protección para la información durante su ciclo de vida.
La información se almacena siguiendo las disposiciones de las Tablas de Retención Documental. En
caso de que no exista en las Tablas de Retención Documental se debe proceder con su
incorporación.

Todos los controles de seguridad que se implementen a la información deben estar alineados a las
disposiciones del Decreto 1081 de 2015.

b. Los datos personales de niños, niñas y adolescentes, salvo aquellos que sean de
naturaleza pública, de acuerdo con lo previsto en:

Artículo 7, Ley 1581 de 2012:

Derechos de los niños, niñas y adolescentes: En el Tratamiento se asegurará el respeto a los

derechos prevalentes de los niños, niñas y adolescentes.

Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos
datos que sean de naturaleza pública.

Es tarea del Estado y las entidades educativas de todo tipo proveer información y capacitar a los
representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los niños, niñas y
adolescentes respecto del Tratamiento indebido de sus datos personales, y proveer de conocimiento
acerca del uso responsable y seguro por parte de niños, niñas y adolescentes de sus datos
personales, su derecho a la privacidad y protección de su información personal y la de los demás

Página 14 de 26
 PROCES GOBIERNO Y GESTIÓN DE LA GGGU0
CÓDIGO
O INFORMACIÓN 3
VERSIÓ
GUÍA TRATAMIENTO DE LA INFORMACIÓN 2
N

c. Permitir el acceso de un dato semiprivado, privado o sensible no le quita el carácter de

información clasificada, ni puede implicar su desprotección.

Salvo que medie autorización del titular, a los datos semiprivados, privados y sensibles
contenidos en documentos públicos solo podrá accederse por decisión de autoridad
jurisdiccional o de autoridad pública o administrativa competente en ejercicio de sus funciones.

d. La información deberá tener controles físicos: etiquete la información de tal manera que se
pueda identificar como Información clasificada o reservada.
e. El Responsable de la Información es el encargado de asegurar la confidencialidad de la
información y garantizar su distribución únicamente bajo autorización y siguiendo el principio
de “necesidad de conocer, debido a los fines de su trabajo”.

Tipo de Información:

Se refiere al contenido de información del activo o la base de datos que usted administra, elabora o
gestiona.

Por favor escoja el tipo de información de acuerdo al diagrama de Esquema de calificación de la

Información.

Esquema calificación legal de la información

Página 15 de 26
CALIFICACIÓN LEGAL DE LA INFORMACIÓN

Página 16 de 26
Reúne en los fundamentos legales para otorgar la calificación anteriormente dada.

Objetivo legítimo de la excepción: Seleccione el ID que se ajuste a la excepción de la calificación

anteriormente dada, según la Ley 1712 de 2014, como se describe a continuación.

ID
Objetiv Objetivo legítimo de la excepción
o
legítimo

1 Art. 18 - Clasificada: El derecho de toda persona a la privacidad e intimidad de las

personas, bajo las limitaciones propias que impone la condición de servidor público.
2 Art. 18 - Clasificada: El derecho de toda persona a la vida, la salud o la seguridad, la
protección de los datos genéticos humanos.
3 Art. 18 - Clasificada: Los secretos comerciales, industriales y profesionales, así como los
planes estratégicos de las empresas públicas de servicios públicos.
4 Art. 19 - Reservada: La defensa y seguridad nacional, la salud pública, la seguridad
pública.
5 Art. 19 - Reservada: La prevención, investigación y persecución de los delitos y faltas
disciplinarias, mientras no se haga efectiva la medida de aseguramiento o se formule pliego
de cargos.
6 Art. 19 - Reservada: El debido proceso y la igualdad de las partes en los procesos
judiciales.
7 Art. 19 - Reservada: La estabilidad macroeconómica y financiera del país, los relativos a
las condiciones financieras de las operaciones de crédito publico y tesorería que realice la
nación, asíí́ como a los estudios técnicos de valoración de los activos de la nación.
8 Art. 19 - Reservada: Los derechos de la Infancia y la adolescencia.
9 Art. 19 - Reservada: Las instrucciones en materia diplomática o sobre negociaciones
reservadas. Los documentos que contengan las opiniones o puntos de vista que formen
parte del proceso deliberativo de los servidores públicos.
10 No aplica

Existencia y Divulgación Integral o Parcial de la Información5

Si un mismo acto o documento contiene información que puede ser divulgada e información
clasificada o reservada, el sujeto obligado debe revelar los datos no protegidos y presentar los
fundamentos constitucionales y legales por los que retiene los datos que no puede divulgar.

Los sujetos obligados podrán tachar los apartes clasificados o reservados del documento,
anonimizar, transliterar o editar el documento para suprimir la información que no puede
difundirse; abrir un nuevo expediente con la información pública que puede ser divulgada, o acudir a
las acciones que sean adecuadas para cumplir con su deber de permitir el acceso a toda aquella
información que no esté clasificada o reservada, teniendo en cuenta el formato y medio de
conservación de la información.

5 Artículo 31. Existencia y divulgación integral o parcial de la información, Decreto 103 de 2015

Página 17 de 26
Fundamento constitucional, legal o jurídico de la excepción: Una vez se ha establecido que el
activo de información contiene información que es exceptuada por los artículos mencionados en el
inciso anterior, seguidamente se procede a mencionar el fundamento constitucional o legal de la
excepción, identificando el Tipo de norma, Número y Año de expedición de la misma, artículo, inciso o
parágrafo que la ampara. Si corresponde a una base de datos defina si su elaboración corresponde a
un mandato u orden dispuestos en una norma que así lo exija, si el activo de información es calificado
como público por favor diligenciar el campo con la palabra “No aplica”.

Excepción total o parcial: Si un mismo documento contiene información pública, clasificada y/o
reservada, se debe revelar los datos no protegidos y presentar los fundamentos constitucionales y
legales por los que retiene los datos que no puede divulgar. Para esto se deberá tachar los apartes
clasificados o reservados del documento, anonimizar, transliterar o editar el documento para
suprimir la información que no puede difundirse, si el activo de información es calificado como
público por favor diligenciar el campo con la palabra “No aplica”.

Total
Parcial
No aplica

Descripción Clasificación o Reserva Parcial: Seleccione el ID de la descripción que justifica la

clasificación o reserva parcial del activo de información, si el activo de información es calificado como
público por favor diligenciar el campo con la palabra “No aplica”:

Seleccione el identificador que mejor describa el motivo de la clasificación parcial:

ID Descripción de la Clasificación o Reserva parcial

1 Se define la reserva parcial debido a que la información contiene Datos personales de
niños, niñas y adolescentes, se entregará la información anonimizada.
2 Se define la reserva parcial debido a que la información contiene Datos socioeconómicos,
se entregará la información anonimizada.
3 Se define la reserva parcial debido a que la información contiene Datos de defensa, se
entregará la información anonimizada.
4 Se define la reserva parcial debido a que la información contiene Datos de
investigaciones, se entregará la información anonimizada.
5 Se define la clasificación parcial debido a que la información contiene Datos Patrimoniales,
se entregará la información anonimizada.
6 Se define la clasificación parcial debido a que la información contiene Datos Académicos,

Página 18 de 26
 se entregará la información anonimizada.
7 Se define la clasificación parcial debido a que la información contiene Datos Industriales,
se entregará la información anonimizada.
8 Se define la clasificación parcial debido a que la información contiene Datos Ideológicos,
se entregará la información anonimizada.
9 Se define la clasificación parcial debido a que la información contiene Datos de Salud, se
entregará la información anonimizada.
10 Se define la clasificación parcial debido a que la información contiene Características
Personales y Físicas, se entregará la información anonimizada.
11 Se define la clasificación parcial debido a que la información contiene Vida y Hábitos
Sexuales, se entregará la información anonimizada.
12 Se define la clasificación parcial debido a que la información contiene Datos de
Identificación, se entregará la información anonimizada.
13 Se define la clasificación parcial debido a que la información contiene Datos Laborales, se
entregará la información anonimizada.

Plazo de la calificación o reserva:

Sin perjuicio de lo señalado en el artículo 19 de la Ley 1712 de 2014 y del período máximo de reserva
de la información a que hace referencia el artículo 22 de la Ley 1712 de 2014, la información
respectiva debe divulgarse si desaparecen las condiciones que justificaban su reserva.

El término máximo de quince (15) años a que se refiere el artículo 22 de la Ley 1712 de 2014
empezará a contarse a partir de la fecha en que la información se genera, si el activo de información
es calificado como público por favor diligenciar el campo con la palabra “No aplica”.

Según la Ley 1712 de 2014, el plazo de calificación o reserva es de:

Articulo 18 (Información Pública Clasificada) - Parágrafo. Estas excepciones tienen una duración
ilimitada y no deberán aplicarse cuando la persona natural o jurídica ha consentido en la revelación
de sus datos personales o privados o bien cuando es claro que la información fue entregada como
parte de aquella información que debe estar bajo el régimen de publicidad aplicable.

Artículo 22. Excepciones temporales. La reserva de las informaciones amparadas por el artículo 19
(Información Pública Reservada) no deberá extenderse por un período mayor a quince (15) años.

CALIFICACIÓN PROTECCIÓN DE DATOS

Esta sección solo se emplea cuando el activo de información corresponde a una base de datos con
datos personales.

Cantidad de titulares o registros sin repetir: identifique el número de registros que tiene la base de
datos actualmente. Y marque dentro de los rangos establecidos la cantidad aproximada, si el activo
de información es calificado como público por favor diligenciar el campo con la palabra “No aplica”.

Página 19 de 26
.

0-100
100-1000
1000-10000
10000-100000
100000-1000000
1000000- o más

Forma de obtención de la información: Determine la manera de obtener los datos registrados en la

base de datos. Seleccione la opción que describa la obtención de los datos.

Fuentes de Acceso Público

Por un tercero
Recolectados del titular
No aplica

Nombre del encargado del tratamiento de la base: registre el nombre de la persona o empresa
que realiza el tratamiento de los datos personales, recuerde que este dato solo se diligencia si el
tratamiento esta a cargo de un tercero (contratista, proveedor o entidad externa), de lo contrario
diligencie “no aplica”.

Ejemplo.
El encargado que recoge información personal a nombre de la Superintedencia Nacinal de Salud,
como puede ser la empresa de vigilancia contratada o el proveedor de contact center contratado.

Tipo de documento: registre el documento de identificación de la persona o empresa que registro

como encargado del tratamiento de la base de datos. Seleccione entre los siguientes tipos de
identificación, delo contrario selecciones “no aplica”:

Cedula de Ciudadanía
Número de Identificación tributaria
Cedula Extranjería
Pasaporte
Documento Extranjero

Este dato corresponde al número de documento de identificación del encargado del tratamiento; si se

Página 20 de 26
refiere al nombre de Jefe, Delegado o Secretario, el dato se autocompleta en el campo, si el activo de
información es calificado como público por favor diligenciar el campo con la palabra “No aplica”.

Tipo de canal: corresponde al canal por el cual el dueño o titular de la información podrá contactarse
con el encargado o responsable del tratamiento para la solicitud de alguna acción sobre sus datos
(reclamaciones, eliminado, etc):

Aplicativo Móvil
Sitio Web
Punto de atención Personal
Correo electrónico
Teléfono Fijo

Datos de contacto del encargado del tratamiento de la información: en las siguientes celdas
relacione la información de contacto del encargado del tratamiento, como correo electrónico, sitio web
y dirección, si el activo de información es calificado como público por favor diligenciar el campo con la
palabra “No aplica”.

Envíos a terceros: registre el nombre de la entidad o tercero, si la base de datos que administra es
entregada a estos, como ejercicio de facilitar la eficiencia administrativa del estado, si el activo de
información es calificado como público por favor diligenciar el campo con la palabra “No aplica”.

Transferencias internacionales: registre el nombre de la entidad, tercero y país, si la base de datos

que administra es entregada a estos, como ejercicio de facilitar convenios internacionales, si el activo
de información es calificado como público por favor diligenciar el campo con la palabra “No aplica”.

Nota: Cuando no se trata sólo de activos de información y no de bases de información de datos

personales, no es necesario completar los campos contenidos en: CALIFICACIÓN PROTECCIÓN
DE DATOS.

Tratamiento de Datos de Menores de Edad: De contener información la Base de Datos, diligenciar

de acuerdo con su afirmación: Si o No, si el activo de información es calificado como público por favor
diligenciar el campo con la palabra “No aplica”.

Página 21 de 26
CALIFICACIÓN DE SEGURIDAD

Confidencialidad: Por favor indique el impacto que tendría para la Superintendencia Nacional de
Salud, la pérdida de confidencialidad sobre el activo de información, es decir, que la información allí
contenida sea conocida por personas no autorizadas:

Califique este criterio de 1 a 5 acorde a la siguiente tabla:

Criterio Descripción
Crítico El conocimiento o divulgación no autorizada de la información
Valor = 5 que gestiona el activo, impacta negativamente a la SNS.
El conocimiento o divulgación no autorizada de la información
Alto
que gestiona el activo, impacta negativamente no sólo al
Valor = 3 y < 5
proceso que la gestiona, también otros procesos de la SNS.
El conocimiento o divulgación no autorizada de la información
Medio
que gestiona el activo, impacta negativamente de manera leve
Valor = 1 y < 3
al proceso,
Bajo El conocimiento o divulgación no autorizada de la información
Valor = 0 y < 1 que gestiona el activo, no impacta negativamente al proceso.

Seleccione en esta casilla el número correspondiente a la calificación que más aplique

Integridad: Por favor indique impacto que tendría la pérdida de integridad del activo de información,
es decir, si la exactitud de la información y su contenido fueran alterados:

Califique este criterio de 1 a 5 acorde a la siguiente tabla:

Criterio Descripción
Crítico La pérdida de exactitud y completitud del activo, impacta
Valor = 5 negativamente a la SNS.
La pérdida de exactitud y completitud del activo, impacta
Alto
negativamente no sólo al proceso que la gestiona, también otros
Valor = 3 y < 5
procesos de la SNS.
Medio La pérdida de exactitud y completitud del activo, impacta
Valor = 1 y < 3 negativamente de manera leve al proceso,
Bajo La pérdida de exactitud y completitud del activo, no impacta
Valor = 0 y < 1 negativamente al proceso.

Página 22 de 26
Seleccione en esta casilla el número correspondiente a la calificación que más aplique

Disponibilidad: El impacto que tendría la pérdida de disponibilidad, es decir, si los usuarios

autorizados no pudieran tener acceso a los activos de información en el momento requerido:

Califique este criterio de 1 a 5 acorde a la siguiente tabla:

Criterio Descripción
Crítico
La pérdida de la disponibilidad, impacta negativamente a la SNS.
Valor = 5
Alto La pérdida de la disponibilidad del activo, impacta negativamente no
Valor = 3 y < 5 sólo al proceso que la gestiona, también otros procesos de la SNS.
Medio La pérdida de la disponibilidad del activo, impacta negativamente de
Valor = 1 y < 3 manera leve al proceso,
Bajo La pérdida de la disponibilidad del activo, no impacta negativamente al
Valor = 0 y < 1 proceso.

Criticidad: Este criterio es la evaluación final de las calificaciones otorgas a los componentes de
confidencialidad, disponibilidad e integridad.

Interpretación
Si la criticidad del activo de información está dentro de los rangos

7. Disposición De Documentos

Descrito en el Sistema Integrado de Gestión – Subsistema de Gestión Documental - Programa de

Gestión Documental de la Entidad - DISPOSICIÓN DE DOCUMENTOS.

La Guía De Borrado Seguro de la Información Código GSGU06 establece los lineamientos para la
eliminación segura de la información digital.

8. Transferencia De Información

Descrito en el Sistema Integrado de Gestión – Subsistema de Gestión Documental - Programa de

Gestión Documental de la Entidad – TRANSFERENCIA. – Circular Interna 009 de 2014

Página 23 de 26
Coordinación interinstitucional. Si un sujeto obligado remite o entrega información pública
calificada como clasificada o reservada a otro sujeto obligado, deberá advertir tal circunstancia e
incluir la motivación de la calificación, para que este último excepcione también su divulgación.6

Se debe proteger la información que es transferida a externos, utilizando mecanismo de protección

según sea adecuado.

9. Medidas de Protección en las Fuentes de Información

Se deben aplicar las medidas de protección que se requieran para proteger las fuentes de
información independiente del tipo de fuente.

10. Consolidación de Inventarios

Una vez cada área ha terminado el inventario de la información, se obtienen instrumentos que son
requeridos como cumplimiento de la Ley 1712 de 2014 en el Índice de Información de Información
Calificada y Reservada y la Matriz de Activos de Información.

De igual manera se deben implantar controles que aseguren la adecuada gestión de los activos de
información con calificación Calificada y Reservada.

11. Transferencia de Información a través de Mensajería Electrónica

El servicio de correo electrónico está protegido mediante el sistema de Prevención de Pérdida de

Datos, (en inglés DLP), de igual manera el único canal de comunicación de mensajería electrónica
autorizado para la Entidad es el provisto por la Oficina de Tecnologías de la Información.

12. Documentación de Referencia

 Norma NTC IEC 27001:2013 Anexo A13

 Ley 1266 de 2008
 Ley 1581 de 2012 y sus Decretos reglamentarios aplicables.
 Ley 1712 de 2014 y sus Decretos reglamentarios aplicables.

6 Artículo 32. Coordinación interinstitucional, Decreto 103 de 2015

Página 24 de 26
 CONTROL DE CAMBIOS
FECHA DEL
ASPECTOS QUE DETALLES DE LOS RESPONSABLE DE LA
CAMBIO VERSIÓ
CAMBIARON EN CAMBIOS SOLICITUD DEL
DD/MM/AAA N
EL DOCUMENTO EFECTUADOS CAMBIO
A
Solicitud de creación
mediante memorando
NURC: 3-2016-
015140 Jefe Oficina de
Adopción del
Tecnologías de la 18/08/2016 1
documento
Se realiza aprobación Información
Mediante memorando
NURC: 3-2016-
015375
Modificación de Jefe Oficina de 09/12/2016 2
controles para la Se modificaron las Tecnologías de la
identificación de siguientes actividades: Información

f. Medidas de
protección de
acuerdo a la
calificación de la
información: Se
modificaron los
controles para la
Información Publica
Clasificada e
Información Pública
Reservada.

CALIFICACIÓN
LEGAL: se hizo
aclaración acerca del
tiempo de reserva de
la Información Publica
Clasificada e
Información Pública
Reservada.

11. Medidas de
Protección en las
Fuentes de
Información

12. Consolidación de
Inventarios
Se realiza aprobación
Mediante memorando

Página 25 de 26
 CONTROL DE CAMBIOS
FECHA DEL
ASPECTOS QUE DETALLES DE LOS RESPONSABLE DE LA
CAMBIO VERSIÓ
CAMBIARON EN CAMBIOS SOLICITUD DEL
DD/MM/AAA N
EL DOCUMENTO EFECTUADOS CAMBIO
A
NURC 3-2016-022686

Página 26 de 26