Dossier Normativo Sobre Ciberseguridad

Dossier
Dossier normativo sobre

CIBERSEGURIDAD
Sumario
COMUNICACIÓN A7266/2021
03
EMISOR: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA (B.C.R.A.)
DECISIÓN ADMINISTRATIVA 641/2021

11
EMISOR: JEFATURA DE GABINETE DE MINISTROS (J.G.M)

22
EMISOR: JEFATURA DE GABINETE DE MINISTROS (J.G.M.)
DECRETO 182/2019 PODER EJECUTIVO NACIONAL

24
EMISOR: PODER EJECUTIVO NACIONAL
DECRETO 996/2018
35
EMISOR: PODER EJECUTIVO NACIONAL (P.E.N.)
DISPOSICIÓN 1/2021
38
EMISOR: DIRECCIÓN NACIONAL DE CIBERSEGURIDAD (D.N.C.)
RESOLUCIÓN 47/2018
41
EMISOR: AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA A.A.I.P.
RESOLUCIÓN 139/2022
53
EMISOR: MINISTERIO DE SEGURIDAD (M.S.)
58
EMISOR: JEFATURA DE GABINETE DE MINISTROS (J.G.M.)
61
EMISOR: SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN S.G.M.
67
EMISOR: MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS (M.J. y D.H.)
LEY 25.326
70
EMISOR: PODER LEGISLATIVO NACIONAL P.L.N.
LEY 25.506 PODER LEGISLATIVO NACIONAL

82
EMISOR: PODER LEGISLATIVO NACIONAL

92

95

114
Volver al índice
COMUNICACIÓN A7266/2021
Norma: COMUNICACIÓN A7266/2021
Emisor: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA (B.C.R.A.)
Jurisdicción: Nacional
Sumario: Lineamientos para la respuesta y recuperación ante ciberincidentes (RRCI).
Fecha de Emisión: 16/04/2021
Publicado en: COPIA OFICIAL
Cita Online: AR/LEGI/AD09
A LAS ENTIDADES FINANCIERAS,

A LOS PROVEEDORES DE SERVICIOS DE PAGO QUE OFRECEN CUENTAS DE PAGO,
A LAS INFRAESTRUCTURAS DEL MERCADO FINANCIERO:
Ref.: Circular
RUNOR 1-1663:
Lineamientos para la respuesta y recuperación ante ciberincidentes (RRCI).
Nos dirigimos a Uds. para comunicarles que esta Institución adoptó

la siguiente resolución:
“- Aprobar los “Lineamientos para la respuesta y recuperación ante ciberincidentes (RRCI)”
que constan en anexo y forma parte de la presente comunicación.”
Saludamos a Uds. atentamente.
BANCO CENTRAL DE LA REPUBLICA ARGENTINA

Mara I. Misto Macias María D. Bossio
Gerenta Principal de Normas de Subgerenta General de
Seguridad de la Información en Entidades Regulacíon Financeira
ANEXO
TEXTO ORDENADO DE LAS NORMAS SOBRE “LINEAMIENTOS PARA LA RESPUESTA

Y RECUPERACIÓN ANTE CIBERINCIDENTES (RRCI)”
ÍNDICE
SECCIÓN 1. INTRODUCCIÓN.
1.1. Objetivo.
1.2. Sujetos alcanzados.
SECCIÓN 2. LINEAMIENTOS.
2.1. Gobierno.
2.2. Planificación y preparación.
2.3. Análisis.
2.4. Mitigación.
2.5. Restauración y recuperación.
2.6. Coordinación y comunicación.
2.7. Mejora continua.
TABLA DE CORRELACIONES.
Lineamientos para la Respuesta y Recuperación Ante Ciberincidentes (Rrci)
Volver al índice
SECCIÓN 1.
INTRODUCCIÓN.
1.1. OBJETIVO.
Estos lineamientos están destinados a los sujetos contemplados en el punto 1.2., y se componen de
una serie de prácticas efectivas de respuesta y recuperación ante ciberincidentes con el fin de limitar
los riesgos en la estabilidad financiera e impulsar la ciberresiliencia del ecosistema en su conjunto.
Por su carácter general, pueden ser también adaptados y adoptados por cualquier institución del
sistema financiero, los proveedores de servicios de tecnología informática y/o comunicación y demás
sectores.
La respuesta se refiere a las actividades que se inician en reacción a un ciberincidente detectado o
reportado, mientras que la recuperación se encarga de las actividades que se ejecutan con el fin de
restaurar los sistemas o servicios u operaciones que fueron perjudicados debido al ciberincidente.
El Banco Central de la República Argentina (BCRA) considera los presentes lineamientos como una
buena práctica en materia de respuesta y recuperación de incidentes.
1.2. SUJETOS ALCANZADOS.
• Entidades financieras.
• Proveedores de servicios de pago que ofrecen cuentas de pago.
• Infraestructuras del mercado financiero.
Los sujetos alcanzados analizarán efectivamente la implementación de los lineamientos pudiendo
elegir implementar las prácticas que sean adecuadas para sus modelos de negocios, teniendo en
cuenta su tamaño, complejidad o riesgos en relación con el ecosistema financiero.
Se dejará constancia escrita de los fundamentos de los criterios de implementación adoptados, los
que deberán ser puestos a disposición de la Superintendencia de Entidades Financieras y Cambiarias
(SEFyC), cuando esta lo solicite.
SECCIÓN 2.
LINEAMIENTOS.
Los lineamientos de respuesta y recuperación ante ciberincidentes son los siguientes:

• Gobierno.
• Planificación y preparación.
• Análisis.
• Mitigación.
• Restauración y recuperación.
• Coordinación y comunicación.
• Mejora continua.
Cada uno de estos lineamientos tendrá una función primordial dependiendo del momento del
ciberincidente: antes, durante y después del mismo.
2.1. GOBIERNO.
El presente lineamiento establece un marco de gobierno en el que se organizan y gestionan las

actividades de respuesta y recuperación ante ciberincidentes, ajusta estas actividades a los objetivos
de la continuidad del negocio, establece la estructura de la entidad y los roles necesarios para la
coordinación de estas actividades entre las distintas funciones o unidades de negocio.
Define un marco para la toma de decisiones, asignando roles y responsabilidades de forma tal que se
involucre a los participantes internos y externos necesarios cuando ocurre un ciberincidente.
Contar con el impulso de la dirección de la entidad, posibilitará la implementación de los mecanismos
para promover las actividades de respuesta y recuperación y crear una cultura positiva, que acepte la
eventual ocurrencia de los ciberincidentes, los enfrente y gestione apropiadamente.
Volver al índice
2.1.1. Cultura.
Se espera que la dirección de la entidad acompañe la creación de un entorno organizacional donde
se promueva reportar o escalar ciberincidentes mediante un canal establecido para tal fin,
considerando:
2.1.1.1. El establecimiento de programas de capacitación para todos los niveles de la entidad, que
fomenten comportamientos proactivos, donde se acepte la posibilidad de ocurrencia de los
ciberincidentes y el aprendizaje en base a los errores.
2.1.1.2. Promover una cultura positiva hacia la gestión de ciberincidentes, logrando que se use esa
información como fuente para mejorar la etapa de preparación.
2.1.1.3. Promover acciones continuas y sostenidas con proveedores y terceras partes en la preparación
de las tareas de respuesta y recuperación ante ciberincidentes, para que puedan ser oportunas y
adaptarse a las distintas situaciones.
2.1.2. Organización, roles, funciones y responsabilidades.
2.1.2.1. El gobierno de las actividades de respuesta y recuperación forma parte del gobierno general
de la organización. Los objetivos y prioridades de estos lineamientos se tendrían que alinear con la
gestión del riesgo general de la organización, de idéntica forma tienen que definirse los roles y
responsabilidades y los procesos necesarios para facilitar la toma de decisiones.
2.1.2.2. La dirección de la organización es responsable de la definición de los objetivos de
ciberresiliencia, como así también de que se implementen las políticas, procedimientos y controles
relacionados.
2.1.2.3. Para las acciones de coordinación y comunicación ante un ciberincidente, es recomendable
definir un rol de “coordinador”, pudiendo ser una persona o grupo. Dependiendo de la criticidad, el
“coordinador” debe tener la capacidad de tomar decisiones durante el ciberincidente, para iniciar
determinadas actividades y contactar a los involucrados.
2.1.2.4. Las actividades de respuesta y recuperación ante ciberincidentes ayudan a garantizar la
seguridad y confiabilidad de los servicios financieros. La dirección de la entidad puede impulsar estas
actividades no solo brindando su apoyo, sino también asignando el presupuesto necesario para la
adquisición de herramientas tecnológicas o la implementación de programas de concientización,
formación y comunicación en todos los niveles de la organización, entre otras.
2.1.3. Informes, métricas y rendición de cuentas de las actividades.
Una gestión eficaz se logra estableciendo métricas para evaluar el impacto de los ciberincidentes,
para medir la eficiencia de las actividades de respuesta y recuperación, y elaborar los informes
correspondientes a las autoridades. En función de la criticidad y/o prioridad del incidente, se definirá
la urgencia de atención y el nivel de escalamiento adecuado, dado que por ejemplo un ciberincidente
de alta criticidad, muy probablemente requerirá ser informado a la dirección de la entidad.
2.2. PLANIFICACIÓN Y PREPARACIÓN.
Este lineamiento trata el establecimiento y mantenimiento de las capacidades de la organización

para responder, recuperarse y restablecer actividades críticas, sistemas y datos comprometidos en un
ciberincidente hasta volver a la operación normal. Prepararse previo a la ocurrencia de un incidente
juega un rol significativo en la efectividad de las actividades de respuesta y recuperación.
2.2.1. Políticas, planes y procedimientos.
2.2.1.1. La organización debería definir en sus políticas el nivel de involucramiento con las actividades
de respuesta y recuperación ante ciberincidentes, de acuerdo con su tamaño, complejidad y riesgo.
Las políticas pueden abarcar, entre otros temas, sobre la clasificación y evaluación de los incidentes,
sobre la estrategia y el plan de comunicación que establezca a quién y cuándo informar, de acuerdo
con escenarios y tiempos preestablecidos.
2.2.1.2. Los planes y procedimientos deberían incluir los criterios necesarios para saber cuándo activar
las medidas y cómo responder ante ciberincidentes, de forma de acelerar las acciones. En su
elaboración deberían participar las distintas áreas de la organización, para incorporar sus
requerimientos.
Volver al índice
2.2.2.1. Se deben establecer listas de contactos de todos los posibles involucrados, tanto internos
como externos, a los que se deberían informar dependiendo de los escenarios y criterios identificados.
2.2.2.2. Resulta aconsejable establecer estrategias de comunicación con los participantes y cada uno
de los públicos identificados. Los planes pueden incluir modelos de posibles contenidos a informar de
acuerdo con el tipo de ciberincidentes teniendo en cuenta el canal de comunicación apropiado o
disponible. Se considera conveniente evaluar la secuencia de información a publicar durante un
incidente teniendo en cuenta la audiencia con la que se comparte y las necesidades de mantener
informado a los involucrados de forma de reducir la incertidumbre y aumentar la confianza.
2.2.3. Escenarios y criterios de evaluación de incidentes.
2.2.3.1. Los planes y procedimientos deben incluir la criticidad de los posibles escenarios basados en
eventos de baja probabilidad y alto impacto respaldados por información de inteligencia en
amenazas. Estos escenarios pueden: i) evaluarse durante las pruebas del Plan de Continuidad del
Negocio o del plan respuesta y recuperación, y ii) probarse de manera interna, con externos, con
autoridades relevantes, proveedores de servicios o terceras partes, cuando corresponda.
2.2.3.2. La eficacia de las actividades de RRCI se pueden evaluar durante una prueba y ante los
incidentes reales. Se recomienda la participación de observadores independientes para mantener una
evaluación objetiva y obtener registros precisos de cada paso, así como la documentación de acciones
y la toma de decisión realizada durante y después de un ciberincidente.
2.2.4. Infraestructuras para la recuperación.
Dependiendo del tamaño, la complejidad y el riesgo de la entidad, podría resultar necesario
monitorear 24x7 o utilizar servicios de seguridad de un tercero para lograr el objetivo de identificar,
detectar, responder e investigar ciberincidentes que pueden afectar a la infraestructura, servicios y/o
clientes.
2.2.5. Recuperación ante desastres e infraestructura de resiliencia.
La resiliencia se construye mediante el uso de infraestructura diversificada y la replicación de sistemas
críticos, sitios de recuperación ante desastres o sitios alternativos con diferentes perfiles de riesgo
geográficos. Para ello es necesario identificar el riesgo en los terceros externos, evaluar y adoptar
técnicas de mitigación cuando estén disponibles.
2.2.6. Capacidades y registros para la investigación.
El desarrollo de una adecuada gestión de “logs”, comprende herramientas para recopilar y almacenar
registros del sistema que serán necesarios para la investigación y el análisis de incidentes. Los tipos
de “logs” o registros que se recopilan y el período de retención deben definirse con anterioridad, en
función a la clasificación de la información, de las normas y regulaciones vigentes. Las capacidades
técnicas y forenses son necesarias para preservar la evidencia y analizar fallas de control, identificar
problemas de seguridad y otras causas relacionadas con un ciberincidente. En caso de no contar con
capacidades propias, se puede contratar un servicio de terceros. Es necesario que el personal que
realiza el trabajo forense esté adecuadamente capacitado y siga procedimientos estandarizados para
preservar la integridad de las pruebas, los datos y los sistemas durante las investigaciones.
2.2.7. Proveedores de servicios.
Para garantizar una respuesta adecuada durante los ciberincidentes, se estima necesario contar con
un detalle de los servicios contratados a terceros, los proveedores de esos servicios, y de los datos
clave de los acuerdos como la información de contacto del proveedor de servicios, el período de
validez y los niveles de servicio acordados. También se tienen que revisar los acuerdos de servicio de
los subcontratistas. En relación con la complejidad y tamaño del servicio, cabe evaluar los
ciberincidentes de los proveedores, especialmente los riesgos de sus prácticas de ciberseguridad en
almacenamiento de datos en terceros y/o vulnerabilidades de seguridad del “software” en la gestión
de la cadena de suministro o sistemas de proveedores.
Volver al índice
2.3. ANÁLISIS.
Este lineamiento hace referencia al análisis forense, la determinación de criticidad e impacto del
ciberincidente y la investigación de la causa que lo originó o causa raíz.
2.3.1. Taxonomía de ciberincidentes.
2.3.1.1. Se requiere una taxonomía predefinida para clasificar ciberincidentes de acuerdo con
parámetros tales como: tipo de incidente, actores de amenazas, vectores de amenazas y sus impactos,
y un marco preestablecido de evaluación para priorizar la atención de los incidentes en función a la
criticidad de los sistemas o servicios.
2.3.1.2. Contar con análisis preestablecidos de los ciberincidentes ayuda a priorizar la atención
oportuna y asignar recursos para mitigar el impacto, restablecer servicios y recuperarse, al mismo
tiempo, permite que se comunique la información con un lenguaje simple. Los niveles de criticidad se
establecen para dar una respuesta inmediata, ya que las primeras horas después de un incidente
suelen ser las más críticas para su contención. Asimismo, este enfoque permite una primera atención
sin conocer de manera completa el incidente.
2.3.2. Investigación forense y análisis.
2.3.2.1. Para la investigación forense del incidente se requiere contar con “logs” o registros de
auditoría de los sistemas y de los dispositivos. Analizar las alertas, indicadores (de seguridad y
sistemas), investigar y correlacionar eventos posibilitará al equipo de respuesta determinar el impacto
de un incidente y posiblemente identificar el origen. Para la respuesta, también se recuperan datos
de los dispositivos informáticos involucrados en la interacción como los conectados a la red, procesos
en ejecución, sesiones de usuarios, archivos abiertos, de los equipos relevantes sus configuraciones y
contenidos de memoria, entre otros. La integridad de dichos datos debe asegurarse para un adecuado
análisis.
2.3.2.2. Al momento de una investigación forense será importante que los sistemas de donde se
obtengan los registros de sistemas se encuentren sincronizados.
2.3.2.3. Se recomienda contar con diversas fuentes de información tanto internas como externas para
una evaluación rápida de las amenazas y de las causas de un ciberincidente.
2.4. MITIGACIÓN.
Este lineamiento se refiere a las medidas de mitigación que tienen como finalidad prevenir el
agravamiento de la situación y erradicar o eliminar las consecuencias de los incidentes de manera
oportuna para minimizar su impacto en las operaciones y servicios.
2.4.1. Contención, aislamiento y erradicación.
2.4.1.1. Las medidas de contención se despliegan de acuerdo con el tipo de ciberincidente para evitar
que cause más daños tanto dentro de un sujeto alcanzado como a las demás con las que se conecta
o relaciona. Contar con información sobre las ciberamenazas actuales, en forma de indicadores de
compromiso y analizar los posibles impactos también contribuye en la definición de medidas de
contención, en el monitoreo de la actividad de las redes y para la toma de decisiones. Ocurrido un
incidente, la cobertura de los seguros podría ser de ayuda en la recuperación.
2.4.1.2. En caso de incidentes graves, para tomar la decisión de apagar, desconectar o aislar parte de
los sistemas o redes como medida de mitigación o seguir brindando servicio, se deberán considerar
los costos, el impacto en el “Negocio” y los riesgos operativos entre otros.
2.4.1.3. Luego de la obtención de evidencia y su preservación, todos los elementos que hubieran sido
introducidos por los atacantes deben ser eliminados, tal como código malicioso y datos, entre otros.
Asimismo, se tendrá que corregir las configuraciones o alteraciones a los sistemas que se hayan visto
afectados. Entre las actividades para la erradicación del incidente se podría incluir tareas como, el
parcheo de vulnerabilidades y su comprobación, entre otras.
2.4.2. Medidas para la “continuidad del negocio”.
Dependiendo de la criticidad del ciberincidente y de acuerdo con sus consecuencias o impacto, se
podría activar el Plan de Continuidad del Negocio.
Volver al índice
2.5. RESTAURACIÓN Y RECUPERACIÓN.
Este lineamiento hace referencia a la restauración de los sistemas y activos afectados por un
ciberincidente, las actividades que se realizan para recuperar las operaciones y los servicios afectados,
a su estado habitual, de manera segura.
2.5.1. Priorización.
La priorización de las actividades de recuperación tiene que realizarse en función de la criticidad de
los procesos de negocio, para recuperar los datos y los sistemas que les brindan soporte. Se resalta
la importancia de contar con un listado actualizado de contactos internos y externos.
2.5.2. Recuperación de datos.
2.5.2.1. Para cumplir con los requisitos del negocio en la recuperación de datos, se requiere contar con
la información necesaria tanto en locaciones propias como de terceros y, en este sentido, ocurrido un
ciberincidente, se tiene que garantizar la integridad de los datos, es decir, que no se hayan
manipulado ni corrompido antes de la restauración. Para garantizar la integridad, disponibilidad y
legibilidad de los datos, también es necesario realizar pruebas de restauración periódicamente.
2.5.2.2. Es conveniente que las actividades de restauración cuenten con procedimientos
automatizados, documentados y probados, así se reduce el riesgo de error humano que puede surgir
en una restauración manual. Para restaurar los sistemas afectados, se suele utilizar imágenes e
instantáneas del sistema que no se hayan comprometido, éstas se tienen que revisar, probar y
almacenar de forma segura con regularidad para mitigar daños o destrucción.
2.5.2.3. Cuando no sea posible lograr la restauración de todos los sistemas, se pueden considerar las
restauraciones parciales, tener previsto como se operará a un nivel de capacidad inferior; asimismo se
definen hitos clave en la reinstalación y reconfiguración de los sistemas para asegurar recuperaciones
efectivas.
2.5.3. Monitoreo.
Monitorear la red, los sistemas y los proveedores de servicios durante el proceso de restauración de
los activos de la infraestructura tecnológica es primordial para detectar actividades anormales.
Cuando corresponda y de acuerdo con su tamaño, complejidad y riesgos, es conveniente incluir en los
acuerdos de servicio con el proveedor las capacidades de monitoreo durante la restauración de datos.
2.5.4. Validación.
Antes que los sistemas y los servicios vuelvan a la operación normal, se tiene que validar la integridad
de los activos informáticos restaurados y asegurar que no se encuentren comprometidos, que sean
funcionales y que cumplen con los requisitos de seguridad.
2.5.5. Registro de actividades.
Se deben documentar y registrar, en la medida de lo posible, todas las acciones encaradas desde el
momento en que se detectó el incidente, hasta su resolución final, para posibilitar su seguimiento.
Recuperadas las operaciones, los registros facilitarán poder revertir las acciones tomadas hasta
restablecer las condiciones previas al incidente o solucionar problemas en caso de que las acciones
de recuperación no tengan éxito. Será necesario registrar las herramientas y los artefactos, tales como
“scripts”, cambios de configuración entre otros, utilizados en la restauración y recuperación para un
futuro uso o para la mejora de procesos y/o sistemas actuales.
2.6. COORDINACIÓN Y COMUNICACIÓN.
Durante el ciclo de vida de un ciberincidente, los sujetos alcanzados coordinan las partes interesadas
de confianza para mantenerlos al tanto de la situación, para brindar una respuesta y atención común
sobre las amenazas y mejorar la ciberresiliencia del sistema. Es necesario definir un lenguaje, una
frecuencia y la granularidad necesaria para la comunicación de acuerdo con el tipo de público
destinatario. La coordinación adecuada con los distintos actores involucrados tanto internos como
externos, y con las autoridades permitirá que la comunicación sea oportuna y se alcancen los objetivos
deseados.
2.6.1. Escalamiento oportuno.
Para un tratamiento oportuno hay que informar el incidente a cada grupo de interés sin demoras, de
acuerdo con el marco de evaluación de la criticidad y los niveles de escalamiento previstos.
Volver al índice
También es importante que la comunicación a los proveedores de servicios se encuentre definida en
los acuerdos de servicios. Es importante brindar las garantías razonables para asegurar que se brinda
información completa y exacta en las comunicaciones tanto para las áreas internas como para las
organizaciones externas.
2.6.2. Notificación de ciberincidentes.
2.6.2.1. Se debe reportar la información relevante de ciberincidentes a las autoridades según lo
requieran y de acuerdo con los plazos establecidos por los marcos normativos correspondientes. Para
respaldar la notificación efectiva y oportuna de ciberincidentes, tienen que desarrollar pautas internas
sobre cuándo y a quién se debe informar los diferentes tipos de incidentes. Para mejorar la
comprensión, se puede contar con ejemplos de diferentes tipos de incidentes y de informes.
2.6.2.2. Adicionalmente, los participantes que puedan verse afectados por posibles disrupciones
originadas en un ciberincidente deberían ser informados para que puedan activar sus propios planes
de respuesta y recuperación. La información compartida debe ser precisa, oportuna, clara y relevante;
también deben mantenerse informadas con una frecuencia adecuada tanto las partes interesadas
internas como externas, sin embargo, habrá que comunicar sin demora cuando sea urgente.
Asimismo, deberán informarse las condiciones o restricciones al momento de la reanudación de los
servicios críticos. En cada mensaje deben estar indicadas las acciones que se espera del destinatario,
estableciendo de antemano la frecuencia.
2.6.3. Comunicación del ciberincidente al público.
Es necesario que la estrategia de comunicación esté predefinida y se recomienda un equipo de
comunicación multidisciplinario conformado, entre otros, por representantes de las líneas de
negocios afectadas, recursos humanos, prensa y comunicación, legales, tecnología y ciberseguridad,
así como el coordinador de incidentes. Según el tipo de incidente, se puede solicitar la ayuda de otros
especialistas. Para evitar la confusión en la comunicación, el vocero tendrá que consolidar la
información y los distintos aspectos relevantes tanto de los expertos como de la gestión, para
actualizar a los medios con información y mensajes consistentes. Se tiene que promover un uso
estratégico de canales de comunicación como los medios convencionales y las redes sociales.
2.6.4. Intercambio de información.
2.6.4.1. Se recomienda que las organizaciones compartan información sobre ciberamenazas y
ciberincidentes, estrategias efectivas de ciberseguridad y prácticas de gestión de riesgos, a través de
plataformas o por los medios que crean conveniente implementar. Sera muy útil compartir
información técnica, como indicadores de compromiso y vulnerabilidades que están siendo
aprovechadas, tan pronto como esté disponible, asegurando el anonimato necesario para cumplir con
sus acuerdos de confidencialidad.
2.6.4.2. Los canales de comunicación tienen que estar formalizados y garantizar la disponibilidad,
integridad y confidencialidad de la información que se comparta. También es necesario que los
participantes validen periódicamente la disponibilidad de los canales de comunicación y la lista de
contactos.
2.7. MEJORA CONTINUA.
Este lineamiento hace referencia a los procesos que se deben considerar para mejorar las actividades
y capacidades de RRCI a través de las lecciones aprendidas en la resolución de los ciberincidentes y
del uso de herramientas proactivas, en particular la realización de ejercicios, pruebas y simulacros.
Las lecciones aprendidas se utilizan para mejorar o seleccionar e implementar controles como
medidas de mitigación, incluidos cambios en las políticas, planes y guías.
2.7.1. Iniciativas.
Es sustancial compartir conocimientos y habilidades con los demás participantes, generar espacios o
foros para debatir sobre incidentes y estrategias de mitigación contra vulnerabilidades de
ciberseguridad y amenazas. Es importante que las autoridades colaboren para promover el
intercambio de información y buenas prácticas. El intercambio permite que los participantes se
beneficien de la información contribuyendo a una comprensión mutua y a mejorar las capacidades de
respuesta y recuperación.
Volver al índice
2.7.2. Análisis posterior al incidente.
Una vez cerrado el ciberincidente, se debería revisar si se siguieron los procedimientos establecidos y
si las acciones realizadas fueron efectivas, así como: i) la rapidez en la respuesta a las alertas de
seguridad, ii) la oportunidad para determinar el impacto de los incidentes y su gravedad, iii) la calidad
en la realización del análisis forense, iv) la eficacia en el escalamiento dentro de la entidad, y v) la
eficacia de la comunicación, tanto interna como externa.
2.7.3. Ejercicios.
Los ejercicios pueden ser tanto internos como con terceros, probar los planes de contingencia y la
gestión de crisis, la relación con proveedores o pares, para preparar y mejorar la coordinación entre
los diversos actores involucrados. Estos ejercicios incluyen diferentes escenarios para validar la
efectividad de la coordinación de las actividades de respuesta y recuperación. Para mejorar la
ciberresiliencia es recomendable la participación de las autoridades nacionales en la materia en estos
ejercicios.
2.7.4. Información confiable.
Identificar fuentes confiables de información para mejorar las actividades de respuesta y
recuperación, como informes reconocidos sobre ciberincidentes; análisis de amenazas y tendencias;
publicaciones de reguladores y supervisores; los cambios del entorno por diversos escenarios como
desarrollos tecnológicos; o mejores prácticas de gestión de riesgos cibernéticos.
2.7.5. Lecciones aprendidas.
Es necesario que las lecciones aprendidas sean validadas con los actores involucrados, tanto internos
como externos; las unidades de negocio afectadas por el ciberincidente, las personas con
responsabilidades en la respuesta y recuperación y la dirección de la entidad son los que tienen que
estar más comprometidos con esta actividad. Las lecciones aprendidas tienen que transformarse en
acciones correctivas para la mejora o incorporación de controles y procedimientos, y a estas acciones
se le debe dar seguimiento; incluir también, a la revisión de métricas, planes, normas guías y
programas de capacitación.
ORIGEN DE LAS DISPOSICIONES CONTENIDAS EN LAS NORMAS SOBRE “LINEAMIENTOS

PARA LA RESPUESTA Y RECUPERACIÓN ANTE CIBERINCIDENTES (RRCI)”
TEXTO ORDENADO NORMA DE ORIGEN OBSERVACIONES
Secc. Punto Párr. Com. Anexo Punto Párr.
1. 1.1 ‘’A’’ 7266
1.2 ‘’A’’ 7266
2. 2.1 ‘’A’’ 7266
2.2 ‘’A’’ 7266
2.3 ‘’A’’ 7266
2.4 ‘’A’’ 7266
2.5 ‘’A’’ 7266
2.6 ‘’A’’ 7266
2.7 ‘’A’’ 7266
Volver al índice
Norma: DECISIÓN ADMINISTRATIVA 641/2021
Emisor: JEFATURA DE GABINETE DE MINISTROS (J.G.M.)
Sumario:
Aprobación de los Requisitos Mínimos de Seguridad de la Información para los Organismos del Sector Público Nacional
Derogación de la decis. adm. 669/2004 (J.G.M.) y de la disp. 1/2015 (O.N.T.I.)
Fecha de Emsión: 25/06/2021
Publicado en: BOLETIN OFICIAL 28/06/2021
Cita Online: AR/LEGI/ABU9
VISTO:
El Expediente No EX-2021-00877103-APN-SIP#JGM, la Ley de Ministerios (texto ordenado por
Decreto N° 438 del 12 de marzo de 1992 y sus modificatorias), la Ley N° 24.156 y sus modificatorias,
los Decretos Nros. 577 del 28 de julio de 2017 y su modificatorio, 50 del 19 de diciembre de 2019 y sus
modificatorios, las Decisiones Administrativas Nros. 669 del 20 de diciembre de 2004 y su
modificatoria y 1865 del 14 de octubre de 2020, las Resoluciones de la ex-SECRETARÍA DE
GOBIERNO DE MODERNIZACIÓN Nros. 829 del 24 de mayo de 2019 y 1523 del 12 de septiembre de
2019 y la Disposición de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN N° 1 del 19 de
febrero de 2015, y
CONSIDERANDO:
Que por la Decisión Administrativa N° 669/04 se estableció que los organismos del Sector Público
Nacional comprendidos en los incisos a) y c) del artículo 8° de la Ley N° 24.156 y sus modificatorias
debían dictar o bien adecuar sus políticas de seguridad de la información conforme a la Política de
Seguridad Modelo a dictarse dentro del plazo de CIENTO OCHENTA (180) días de aprobada dicha
Política de Seguridad Modelo.
Que por el Decreto N° 577/17 modificado por su similar N° 480 del 11 de julio de 2019 se creó el
COMITÉ DE CIBERSEGURIDAD en la órbita de la ex-SECRETARÍA DE GOBIERNO DE
MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS, el cual tiene por objetivo la
elaboración de la Estrategia Nacional de Ciberseguridad.
Que, asimismo, por el citado decreto se encomendó a la ex-SECRETARÍA DE GOBIERNO DE
MODERNIZACIÓN o a quien esta designara, impulsar los actos administrativos y demás acciones
necesarias para la implementación de la Estrategia Nacional de Ciberseguridad que apruebe el
COMITÉ DE CIBERSEGURIDAD, así como de los objetivos en ella contenidos.
Que dentro de este marco normativo, por la Resolución N° 829/19 de la ex-SECRETARÍA DE
GOBIERNO DE MODERNIZACIÓN se aprobó la ESTRATEGIA NACIONAL DE CIBERSEGURIDAD y se
creó, en el marco del referido COMITÉ DE CIBERSEGURIDAD y en la órbita de la ex-SECRETARÍA DE
GOBIERNO DE MODERNIZACIÓN, la Unidad Ejecutiva, cuyas funciones se consignan en el ANEXO II
de esa medida.
Que por la Resolución N° 1523/19 de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN se
aprobó la definición de Infraestructuras Críticas y de Infraestructuras Críticas de Información, la
enumeración de los criterios de identificación y la determinación de los sectores alcanzados.
Que la resolución citada en el considerando anterior define a las Infraestructuras Críticas como
aquellas que resultan indispensables para el adecuado funcionamiento de los servicios esenciales de
la sociedad, la salud, la seguridad, la defensa, el bienestar social, la economía y el funcionamiento
efectivo del Estado, cuya destrucción o perturbación, total o parcial, los afecte y/o impacte
significativamente.
Que, de igual modo, la mencionada resolución determina como Infraestructuras Críticas de
Información a aquellas tecnologías de información, operación y comunicación, así como la
información asociada, que resultan vitales para el funcionamiento o la seguridad de las
Infraestructuras Críticas.
Volver al índice
Que se ha producido en los últimos años un incremento sustancial en el uso de las Tecnologías de la
Información y las Comunicaciones en el ámbito del Sector Público Nacional, al punto de que se han
tornado indispensables para el desenvolvimiento de toda la actividad de las entidades y jurisdicciones
que lo componen, tanto en lo que se refiere a la gestión interna como a los servicios que prestan a la
sociedad.
Que el intenso uso de las Tecnologías de la Información y las Comunicaciones conlleva asimismo un
notable aumento de los riesgos y amenazas a los activos de información y a los sistemas esenciales
utilizados para brindar de manera eficiente y constante los múltiples servicios que desde el Sector
Público Nacional se prestan.
Que las nuevas formas de ataques informáticos y la actividad maliciosa en general avanzan y se
modifican en forma vertiginosa, obligando a mantener actualizadas las herramientas, protocolos y
marcos normativos, con el fin de proteger adecuadamente la infraestructura, los activos de
información y principalmente los datos personales, que son en definitiva un patrimonio de los
ciudadanos en su conjunto.
Que resulta necesario avanzar en el proceso de fortalecimiento de la seguridad de la información que
reciben, producen y administran las entidades y jurisdicciones del Sector Público Nacional
comprendidas en el inciso a) del artículo 8° de la Ley N° 24.156 de Administración Financiera y de los
Sistemas de Control del Sector Público Nacional y sus modificatorias, con el fin de dotarlas de las
características de confidencialidad, integridad y disponibilidad.
Que por lo expuesto, y atento al incremento, cantidad y variedad de amenazas y vulnerabilidades que
rodean a los activos de información, corresponde derogar la Decisión Administrativa N° 669/04 y la
Disposición de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN N° 1/15 -por la que
oportunamente se aprobara la “Política de Seguridad de la Información Modelo”-, puesto que las
mismas han perdido virtualidad y no reflejan en forma apropiada la situación actual en la materia ni
sientan las bases normativas que permitan mantener adecuadamente actualizados los niveles de
seguridad de la información que ingresa, y la que generan y producen las entidades y jurisdicciones
del Sector Público Nacional comprendidas en el inciso a) del artículo 8° de la Ley N° 24.156 de
Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus
modificatorias.
Que si bien la referida Decisión Administrativa N° 669/04 consideraba en el alcance de la norma a las
entidades comprendidas en los incisos a) y c) del artículo 8° de la ley citada precedentemente, debido
a las características que revisten los requisitos mínimos exigidos se ha considerado más apropiado
acotar el alcance de la presente medida a los organismos pertenecientes a la Administración Central
y a aquellos descentralizados.
Que, asimismo, la información puede ser objeto de una amplia gama de usos indebidos, debiéndose
preservar su confidencialidad, integridad y disponibilidad, con el fin de garantizar la prestación
continua e ininterrumpida de los diversos servicios prestados por el Sector Público Nacional.
Que, en este marco, se torna necesario que cada entidad y jurisdicción del Sector Público Nacional
comprendida en el inciso a) del artículo 8° de la Ley N° 24.156 de Administración Financiera y de los
Sistemas de Control del Sector Público Nacional y sus modificatorias sea capaz de prevenir que sus
sistemas de información se vean afectados, implementando, a tal fin, un Plan de Seguridad.
Que a tales fines es indispensable determinar una serie de requisitos mínimos de seguridad para el
tratamiento de los datos y los activos de información que gestionan las entidades y jurisdicciones del
Sector Público Nacional comprendidas en el inciso a) del artículo 8° de la Ley N° 24.156 de
modificatorias, con el fin de adecuarlos a las buenas prácticas y estándares nacionales e
internacionales, que contemple tanto la ampliación y profundización en el uso del espacio digital
como la emergencia de las nuevas amenazas y riesgos para la confidencialidad, integridad y
disponibilidad de la información.
Que la Ley de Ministerios (texto ordenado por Decreto N° 438 del 12 de marzo de 1992 y sus
modificatorias) establece entre las atribuciones del Jefe de Gabinete de Ministros la de “Entender en
el diseño y ejecución de políticas relativas al empleo público, a la innovación de gestión, a la
modernización de la Administración Pública Nacional, al régimen de compras y contrataciones, a las
tecnologías de la información, las telecomunicaciones, los servicios de comunicación audiovisual y los
servicios postales”.
Volver al índice
Que por el Decreto N° 139 del 4 de marzo de 2021 se incorporó a las funciones que el Decreto N° 50/19
le asignaba a la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE
MINISTROS, el objetivo de “Entender en la ciberseguridad y protección de infraestructuras críticas de
información y comunicaciones asociadas del Sector Público Nacional y de los servicios de información
y comunicaciones definidos en el artículo primero de la Ley N° 27.078”.
Que, asimismo, por el Decreto N° 139/21 antes mencionado se establece además como función de la
SUBSECRETARÍA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES de la
SECRETARÍA DE INNOVACIÓN PÚBLICA, la de “Proponer a la Secretaría estrategias, estándares y
regulaciones para la ciberseguridad y protección de infraestructuras críticas de la información y las
comunicaciones asociadas del Sector Público Nacional y de los servicios de información y
comunicaciones definidos en el artículo primero de la Ley N° 27.078”.
Que a través de la Decisión Administrativa N° 1865/20 se aprobó la estructura organizativa del primer
y segundo nivel operativo de la JEFATURA DE GABINETE DE MINISTROS, estableciendo como
Responsabilidad Primaria de la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE
INNOVACIÓN PÚBLICA la de “Entender en todos los aspectos relativos a la ciberseguridad y a la
protección de las infraestructuras críticas de información, así como también a la generación de
capacidades de prevención, detección, defensa, respuesta y recupero ante incidentes de seguridad
informática del Sector Público Nacional”.
Que, asimismo, la mencionada decisión administrativa definió, entre las acciones de la citada
DIRECCIÓN NACIONAL DE CIBERSEGURIDAD, las de: diseñar políticas de ciberseguridad, en
coordinación con los organismos del ESTADO NACIONAL con competencia en la materia; elaborar
planes, programas y proyectos con perspectiva federal en materia de ciberseguridad, en el ámbito de
competencia de la Secretaría; participar en las acciones destinadas a implementar los objetivos
fijados en la Estrategia Nacional de Ciberseguridad, articulando proyectos con las diferentes áreas del
ESTADO NACIONAL involucradas y proponer proyectos de normas relacionados con la ciberseguridad
en la REPÚBLICA ARGENTINA, en coordinación con las áreas con competencia en la materia.
Que en este marco resulta pertinente el dictado de un acto administrativo que contribuya a que
paulatinamente se incorporen controles que permitan una gestión más responsable, segura y
transparente de la información que es tratada por ciertas áreas del Sector Público Nacional.
Que han tomado la intervención de su competencia los servicios jurídicos pertinentes.
Que la presente medida se dicta en ejercicio de las facultades conferidas por el artículo 100, inciso 1
de la CONSTITUCIÓN NACIONAL.
Por ello,
El Jefe de Gabinete de Ministros decide:
Art. 1° - Apruébanse los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS

ORGANISMOS DEL SECTOR PÚBLICO NACIONAL” que como ANEXO I (IF-2021-50348419-APN-
SSTIYC#JGM) forman parte integrante de la presente medida.
Art. 2° - La presente decisión administrativa será de aplicación a las entidades y jurisdicciones del
Sector Público Nacional comprendidas en el inciso a) del artículo 8° de la Ley N° 24.156 de
modificatorias y a los proveedores que contraten con esas entidades y jurisdicciones, en todo aquello
que se encuentre relacionado con las tareas que realicen y en los términos que establezca cada una
de ellas, normativa o contractualmente.
Art. 3° - Las entidades y jurisdicciones del Sector Público Nacional comprendidas en el artículo 2° de
esta medida deberán aprobar sus Planes de Seguridad en el plazo máximo de NOVENTA (90) días
desde la entrada en vigencia de la presente. Dichos Planes de Seguridad deberán establecer los
plazos en que se dará cumplimiento a cada uno de los “REQUISITOS MÍNIMOS DE SEGURIDAD DE
LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL” establecidos en el
ANEXO I de la presente; plazo que no podrá ser posterior al 31 de diciembre de 2022.
Art. 4° - Los Planes de Seguridad mencionados en el artículo 3° deberán ser remitidos a la DIRECCIÓN
NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA, dependiente de la
JEFATURA DE GABINETE DE MINISTROS y/o a la que en el futuro la reemplace, dentro de un plazo
máximo de NOVENTA (90) días desde la entrada en vigencia de la presente.
Volver al índice
Art. 5° - Las máximas autoridades de las entidades y jurisdicciones comprendidas en el artículo 2° de
la presente deberán asignar las funciones relativas a la seguridad de sus sistemas de información al
área con competencia en la materia e informar, mediante Comunicación Oficial a través del Sistema
de Gestión Documental Electrónica (GDE) a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la
SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS el nombre,
apellido y datos de contacto del responsable del área designada, dentro del plazo de SESENTA (60)
días corridos desde la entrada en vigencia de la presente medida.
Art. 6° - Las entidades y jurisdicciones comprendidas en el artículo 2° de esta medida deberán adoptar
las medidas preventivas, detectivas y correctivas destinadas a proteger la información que reciban,
generen o gestionen como asimismo sus recursos.
Art. 7° - Las entidades y jurisdicciones establecidas en el artículo 2° de la presente medida deberán
reportar a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN
PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS los incidentes de seguridad que se
produzcan dentro de sus ámbitos, dentro de las CUARENTA Y OCHO (48) horas de tomado
conocimiento de su ocurrencia o de su potencial ocurrencia.
Art. 8° - Encomiéndase a la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE
DE MINISTROS o a quien esta designe, la revisión y actualización periódica de los “REQUISITOS
MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO
NACIONAL”, como asimismo el dictado de las normas complementarias y aclaratorias de la presente
medida.
Art. 9° - Deróganse la Decisión Administrativa N° 669 del 20 de diciembre de 2004 y la Disposición
de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN N° 1 del 19 de febrero de 2015.
Art. 10 - Invítase a las entidades y jurisdicciones enumeradas en los incisos b), c) y d) del artículo 8°
de la Ley N° 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público
Nacional y sus modificatorias, a los Gobiernos Provinciales, de la Ciudad Autónoma de Buenos Aires
y Municipales, y a los Poderes Legislativo y Judicial de la Nación a adherir a la presente.
Art. 11° - La DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN
PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS verificará el cumplimiento de las
disposiciones de la presente medida, sin perjuicio de las competencias asignadas a la SINDICATURA
GENERAL DE LA NACIÓN.
Art. 12° - Comuníquese, etc.
Santiago Andrés Cafiero - Eduardo Enrique de Pedro
ANEXO
REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN [1] PARA LOS
ORGANISMOS DEL SECTOR PÚBLICO NACIONAL
I. INTRODUCCIÓN
Los organismos del Sector Público Nacional comprendidos en el artículo 8° de la Ley No 24.156 y sus
modificatorias son de los principales receptores y productores de información de nuestro país. Esa
información pertenece mayormente a sus habitantes y a las diversas entidades públicas y privadas
que desarrollan sus actividades en su territorio. Todos ellos confían sus datos a los organismos que lo
componen para distintos fines. La información puede ser hoy en día objeto de una amplia gama de
peligros, amenazas y usos indebidos e ilícitos, debiéndose, por lo tanto, extremar las medidas
tendientes a la preservación de su confidencialidad, integridad y disponibilidad. Con esto se busca
proteger los derechos y libertades individuales de las personas al tiempo de contribuir a la efectiva
prestación continua e ininterrumpida de los diversos servicios prestados por las diferentes entidades
y jurisdicciones y, al mismo tiempo, propender a su correcta y mejor gestión interna.
En un contexto de transversalidad en el uso de las tecnologías para la vida social, económica, política
y cultural de las personas, la seguridad de la información cumple un rol fundamental.
Volver al índice
Por consiguiente, los agentes públicos, cualquiera sea el nivel jerárquico y la modalidad de
contratación, tienen la obligación de dar tratamiento y hacer un uso responsable, seguro y cuidado
de los datos que utilizan en sus labores habituales, adoptando todas las medidas a su alcance para
protegerlos.
Los responsables de los activos de la información deben atender y diligenciar los recursos necesarios
para asegurar el cumplimiento de los objetivos de la presente en el ámbito de su jurisdicción. En tal
sentido, los datos gestionados en los organismos deben ser protegidos tanto dentro como fuera del
ámbito institucional, con independencia del formato y del soporte en el que estén contenidos y si los
mismos están siendo objeto de tratamiento electrónico, se encuentran almacenados o están siendo
transmitidos.
Los organismos determinarán sus políticas, normas específicas, procedimientos y guías que, sobre la
base de los siguientes requisitos mínimos, sean aplicables a los procesos específicos que desarrollen.
Este conjunto de normas debe surgir a partir de un análisis de los riesgos para los procesos que lleven
adelante. Se entenderán como principios de seguridad de la información a la preservación de
confidencialidad, integridad y disponibilidad de la información y de los activos de información del
Sector Público Nacional.
II. OBJETIVOS
Establecer los lineamientos generales y mínimos para los organismos del Sector Público Nacional
comprendidos en el inciso a) del artículo 8° de la Ley No 24.156, con el fin de proteger los activos de
información, frente a riesgos internos o externos, que pudieran afectarlos, para así preservar su
confidencialidad, integridad y disponibilidad.
Objetivos específicos:
● Proteger los derechos de los titulares de datos personales o propietarios de información que es
tratada por el Sector Público Nacional.
● Proteger la información, los datos personales y activos de información propios del conjunto de
organismos que componen el Sector Público Nacional.
● Promover una política pública que enmarque una conducta responsable en materia de seguridad
de la información de los organismos que conforman el Sector Público Nacional, sus agentes y
funcionarios.
● Evidenciar el compromiso e interés de quienes componen el Sector Público Nacional en pos del
desarrollo de una cultura de ciberseguridad.
III. ALCANCE
Las directrices que surgen de los presentes requisitos mínimos de seguridad serán de aplicación
obligatoria para todos los agentes y funcionarios que se desempeñan en los organismos que
componen el Sector Público Nacional según el inciso a) del artículo 8° de la Ley No 24.156 y sus
modificatorias, en la medida que les corresponda según su función. Las autoridades máximas de los
organismos públicos serán las responsables de proveer los medios necesarios para su efectivo
cumplimiento y de promover su utilización.
En el caso de los entes reguladores que estén comprendidos dentro del artículo 8° de la Ley No 24.156
y sus modificatorias, se recomienda el análisis de una eventual incorporación de los principios de la
Seguridad de la Información. Asimismo, se sugiere la evaluación de la oportunidad y pertinencia de
establecer requisitos mínimos de seguridad de la información que más adelante se detallan en la
sección V. Directrices, para el sector regulado.
El cumplimiento de los presentes requisitos mínimos de seguridad será también exigible a los
terceros que contraten con el Sector Público Nacional, en las secciones que sean aplicables a las
tareas que realizan y en los términos que establezca cada organismo en sus disposiciones normativas
y contractuales.
IV. REVISIÓN Y ACTUALIZACIÓN
Los requisitos mínimos de Seguridad serán revisados por la Dirección Nacional de Ciberseguridad de
la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS, o el área
que la reemplace en el futuro, cuando lo estime conveniente, con una periodicidad no superior a
DOCE (12) meses, a partir de su publicación o última actualización. Serán publicados también en el
sitio de Internet que, a tal fin, establezca la Dirección Nacional antes citada.
Volver al índice
V. DIRECTRICES
1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL ORGANISMO
Los organismos deben desarrollar una Política de Seguridad de la Información compatible con la
responsabilidad primaria y las acciones de su competencia, sobre la base de una evaluación de los
riesgos que pudieran afectarlos.
Los términos de dicha política deben ser consistentes con las directrices del presente documento.
Dicha política debe ser:
● aprobada por las máximas autoridades del organismo o por el funcionario a quien se le ha
delegado la función.
● notificada y difundida a todo el personal y a aquellos terceros involucrados cuando resulte
pertinente y en los aspectos que corresponda.
● cumplida por todos los agentes y funcionarios del organismo.
● revisada y eventualmente actualizada, con una periodicidad no superior a DOCE (12) meses.
● utilizada como base para establecer un conjunto de normas, procedimientos, lineamientos y
guías acordes a los procesos que se llevan adelante en el organismo, su plataforma tecnológica y
demás recursos de los que disponga.
● informada a la Dirección Nacional de Ciberseguridad una vez aprobada.
2. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD
Se debe desarrollar e implementar un marco organizativo que habilite una efectiva gestión y
operación de la seguridad de la información en el organismo.
Esto implica que se debe:
● asignar a un área del organismo con competencia en la materia las responsabilidades relativas a
la seguridad de la información, incluyendo el cumplimiento de las directrices del presente
documento. Se deberá informar a la Dirección Nacional de Ciberseguridad el nombre y datos de
contacto del responsable del área a la que se le han asignado las funciones y mantener dichos datos
actualizados.
● segregar las funciones y áreas de responsabilidad en conflicto para incrementar los niveles de
seguridad de la información. En la medida de lo posible, se recomienda que las funciones de
seguridad de la información no dependan del área de Sistemas o Tecnología de la Información.
● impulsar desde el mayor nivel jerárquico las iniciativas que se propongan con el objeto de
preservar la confidencialidad, integridad y disponibilidad de la información que se gestiona.
● abordar los aspectos referidos a la seguridad de la información en el diseño y la gestión de todos
los proyectos que lleve adelante el organismo, dejando evidencia de tal intervención.
● establecer como falta, sobre la base del régimen sancionatorio establecido en la Ley Marco de
Regulación de Empleo Público Nacional N° 25.164, su Decreto Reglamentario N° 1421/02 y sus
normas modificatorias y complementarias, el incumplimiento de la Política de Seguridad del
organismo y de los requisitos mínimos contenidos en el presente documento, por parte de los agentes
y funcionarios, incluyendo una graduación en las responsabilidades y sanciones administrativas que
se aplicarán de acuerdo a la gravedad de la infracción cometida, sin perjuicio de las acciones legales
que pudieran corresponder.
● incluir en los contratos, Términos de Referencia o en el instrumento mediante el cual se
materialice la contratación del personal que se emplee bajo las modalidades que correspondan,
cláusulas que contemplen el incumplimiento de la Política de Seguridad del organismo y de los
requisitos mínimos contenidos en el presente documento, incluyendo una graduación en las
responsabilidades y sanciones que se aplicarán de acuerdo a la gravedad de la infracción cometida,
sin perjuicio de las acciones legales que pudieran corresponder.
● establecer mecanismos adecuados de seguridad para el trabajo remoto y para el uso de
dispositivos móviles, sean estos provistos por el organismo o propiedad de agentes y funcionarios,
según la criticidad de la información involucrada y del nivel jerárquico del funcionario.
Volver al índice
3. SEGURIDAD INFORMÁTICA DE LOS RECURSOS HUMANOS
Los organismos deben adoptar una perspectiva sistémica para proteger sus activos de información,
dentro de la cual el personal debe ser considerado un recurso central. Asimismo, deben establecer
una política de respeto de los derechos individuales de los empleados y resguardar su privacidad. Los
agentes y funcionarios deben ser concientizados y capacitados para desarrollar habilidades y
conocimientos en seguridad de la información, y hacer un uso responsable de la información y de los
recursos utilizados en su gestión con el fin de prevenir riesgos.
Para ello será necesario:
● realizar e implementar planes de concientización en el uso seguro y responsable de los activos
de información, que incluyan capacitaciones periódicas destinadas a todos los agentes y funcionarios
del organismo, diseñándolos para cada tipo de público y con distintas temáticas.
● promover el entrenamiento permanente de quienes desarrollan funciones en áreas de seguridad,
tecnologías de la información, desarrollo de software e infraestructura.
● establecer la obligatoriedad de la suscripción de actas o compromisos respecto a la seguridad
de la información para todos los empleados del organismo, cualquiera sea su modalidad de
contratación, teniendo en cuenta que las responsabilidades correspondientes pueden exceder la
vigencia de la relación laboral.
● establecer claramente los requerimientos de seguridad de la información, que incluya niveles de
acceso a la información para cada perfil de trabajo.
● incluir los aspectos de seguridad en las etapas de inducción de los agentes, y evaluarlos durante
toda la relación laboral.
● requerir a los agentes y funcionarios, cuando el organismo lo considere necesario, de acuerdo a
sus competencias, la firma de un acuerdo de confidencialidad.
● incorporar dentro de los procesos disciplinarios cualquier violación a las políticas de seguridad
del organismo.
4. GESTIÓN DE ACTIVOS
Los activos de información del organismo deben ser gestionados y protegidos en forma efectiva. En el
mismo sentido, deben ser clasificados según su criticidad para el organismo desde la perspectiva de
su confidencialidad, integridad y disponibilidad, teniendo en cuenta sus funciones, la normativa que
les sea aplicable y cualquier otro activo que pudieran contener de otros organismos públicos o
entidades privadas, lo que permitirá adoptar las medidas de protección adecuadas.
Para ello se requiere:
● clasificar los activos de información, en línea con el tipo y la importancia de la información que
gestionan para el organismo.
● llevar un inventario actualizado en el que se detallen los datos necesarios para conocer la
ubicación, el propietario y las responsabilidades correspondientes de cada activo.
● exigir a todos los agentes y empleados la devolución de los activos de información en su poder al
finalizar la relación laboral o cuando un cambio en las funciones lo requiera.
● efectuar una destrucción segura de cualquier medio que pueda contener información o datos
personales, en función de su nivel de criticidad, sobre la base de un procedimiento documentado, una
vez que se haya catalogado como defectuoso o rezago.
5. AUTENTICACIÓN, AUTORIZACIÓN Y CONTROL DE ACCESOS
El acceso a los activos de información del organismo debe realizarse a partir de procesos y
mecanismos de seguridad definidos e implementados según su nivel de criticidad, con el fin de
proveer un nivel apropiado de protección. Los privilegios de acceso deben ser otorgados en forma
expresa y formalmente autorizada a quienes los requieran para sus funciones.
En consiguiente se debe:
● utilizar en todos los casos el principio de “necesidad de saber”, es decir que solo se otorguen
privilegios de acceso en la medida en que sean requeridos para las actividades y tareas que cada
empleado o funcionario debe llevar adelante.
Volver al índice
hacer una adecuada y oportuna gestión de las altas y bajas de cuentas de usuario y privilegios,
coordinando con las áreas de Recursos Humanos y aquellas en las que el empleado se desempeña
toda novedad que pudiera impactar en ellos.
● realizar un seguimiento detallado sobre las cuentas con privilegios especiales.
● revisar periódicamente todos los permisos de acceso a los sistemas y a la infraestructura de
procesamiento.
● requerir a los agentes, funcionarios y demás usuarios un uso responsable de sus dispositivos y
datos de autenticación, dejando sentado que se encuentra estrictamente prohibido compartirlos y
que deben ser mantenidos seguros en forma permanente.
● restringir y controlar la asignación y uso de derechos de accesos privilegiados.
● limitar y monitorear el acceso al código fuente de los programas.
6. USO DE HERRAMIENTAS CRIPTOGRÁFICAS
La confidencialidad, integridad, autenticidad y/o no repudio de la información del organismo debe ser
protegida mediante técnicas de cifrado, tanto si los datos se encuentran almacenados como cuando
son transmitidos.
En este marco se debe:
● requerir el cifrado de cualquier dispositivo del organismo que contenga información considerada
crítica y cuando involucre datos personales, especialmente cuando este se lleve fuera de la institución.
proteger adecuadamente los dispositivos y las claves criptográficas durante todo su ciclo de vida.
● utilizar certificados digitales en todos los sitios de Internet del organismo.
7. SEGURIDAD FÍSICA Y AMBIENTAL
Los activos de información del organismo deben ser protegidos mediante medidas que impidan
accesos no autorizados, daños e interferencia, adoptando suficientes recaudos físicos y ambientales
para minimizar los riesgos asociados.
Esto implica:
● la identificación y protección de áreas seguras contra desastres naturales, ataques maliciosos o
accidentales.
● la incorporación de controles físicos de ingreso/egreso, con los respectivos controles de
identificación, cronológicos y de funcionamiento asociados, en aquellas áreas donde se encuentren
resguardados los activos de información.
● el registro de los activos físicos que procesan información, indicando su identificación,
localización física y asignación organizacional y personal para su uso.
● la adopción de medidas de seguridad para que el equipamiento sea ingresado o retirado del
organismo con una autorización previa y habiéndose adoptado todos los recaudos del caso.
● el cuidado de los puestos de trabajo, mediante mecanismos de bloqueo de sesión y escritorio
despejado.
● la adopción de medidas para evitar la pérdida, daño, robo o el compromiso de los activos de
información del organismo y la interrupción de sus operaciones.
● la protección frente a interrupciones, interferencia o daños de los cables eléctricos y de red que
transporten datos o apoyen los servicios de información.
● el mantenimiento del equipamiento para contribuir a su disponibilidad e integridad continuas.
● la adopción de medidas de seguridad para los activos informáticos que deben llevarse fuera del
organismo, considerando los distintos riesgos de trabajar fuera de sus dependencias, en lo que hace
al resguardo de la información y a la seguridad física de los dispositivos.
8. SEGURIDAD OPERATIVA
Las operaciones del organismo deben desarrollarse en forma segura, en todas las instalaciones de
procesamiento de información, minimizando la pérdida o alteración de datos.
Volver al índice
Para ello se debe:
● establecer las responsabilidades y los procedimientos para la gestión y la operación para todas
las instalaciones de procesamiento de información.
● revisar, monitorear y ajustar los requerimientos de capacidad desde la perspectiva de la
seguridad de la información.
● minimizar los riesgos de acceso o de cambios no autorizados en entornos productivos, separando
los entornos de desarrollo, prueba y producción, en los casos que corresponda.
● implementar un monitoreo continuo sobre la seguridad de los sistemas e infraestructuras que
soportan las operaciones críticas del organismo.
● proteger las instalaciones contra infecciones de código malicioso.
● realizar copias de resguardo del software y la información con una periodicidad y modalidad
acordes con su criticidad de los datos y con los procesos que se lleven a cabo, probándolas
periódicamente y estableciendo un registro de las pruebas de restauración que permitan conocer
quién participó del proceso, cuándo y cómo lo hizo y dónde se encuentra la copia.
● llevar registro de todos los eventos de seguridad y revisarlo periódicamente con el fin de detectar
posibles incidentes.
● mantener un control estricto sobre el software y su integridad, en entornos productivos.
● identificar y gestionar adecuadamente las vulnerabilidades, así como el proceso de gestión de
actualizaciones de todo el software utilizado. En los casos que el mismo sea provisto por terceros,
contar con una política de actualización para evitar que se afecte la operación.
● gestionar de manera apropiada los reportes de vulnerabilidades y recomendaciones de
actualización.
● registrar y revisar periódicamente las actividades de los administradores y operadores.
9. SEGURIDAD EN LAS COMUNICACIONES
La información de las redes del organismo debe ser protegida y controlada adecuadamente, tanto
dentro de la organización como aquella que es transferida fuera de las instalaciones del organismo.
Se debe:
Segregar, en la medida de las posibilidades, los grupos de servicios de información, usuarios y
sistemas en las redes.
● proteger adecuadamente la información que se transfiera dentro del organismo y hacia cualquier
entidad externa, incluyendo aquella que se transmita a través de servicios de correo electrónico.
● exigir el uso de la cuenta de correo electrónico institucional a todos los agentes y funcionarios del
organismo para toda comunicación vinculada con sus funciones, informando los riesgos de este
incumplimiento.
● incluir mecanismos que garanticen las transferencias seguras en los acuerdos de servicio
celebrados, tanto para servicios internos como tercerizados.
● incorporar acuerdos y cláusulas de confidencialidad y no divulgación según las necesidades del
organismo en todos los acuerdos que se suscriban.
● incorporar acuerdos y cláusulas de confidencialidad y no divulgación cuando el organismo
entienda que resulta conveniente para el tipo de información que trate.
10. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
La seguridad de la información debe contemplarse como una parte integral de los sistemas de
información en todas las fases de su ciclo de vida, incluyendo aquellos que brinden servicios o
permitan la realización de trámites a través de Internet.
Para ello se debe:
● especificar lineamientos de seguridad desde la fase inicial del proceso de adquisición o desarrollo
de un sistema (seguridad desde el diseño), cuando el proceso de contratación sea gestionado por el
propio organismo.
● utilizar una metodología de desarrollo seguro, capacitando a los desarrolladores e incorporando
cláusulas en las especificaciones técnicas de los pliegos de bases y condiciones particulares.
Volver al índice
controlar los cambios que se realicen a las aplicaciones, implementando controles adecuados en
las instancias de desarrollo, prueba y producción e incorporando efectivos controles cruzados o por
oposición.
● proteger los datos utilizados en las pruebas, evitando la utilización de bases de datos reales.
● utilizar protocolos que garanticen la transmisión o enrutamiento adecuados que eviten la
divulgación, alteración o duplicación no autorizadas de transacciones.
● evaluar la seguridad de las aplicaciones antes de ponerlas productivas, especialmente aquellas
que se gestionen a través de Internet.
● proteger la información gestionada por aplicaciones web contra la actividad fraudulenta y los
incumplimientos contractuales y de las normas legales vigentes.
● controlar y supervisar el efectivo cumplimiento y las actividades realizadas por el cocontratante
en aquellas contrataciones de bienes y servicios efectuadas por el organismo.
11. RELACIÓN CON PROVEEDORES
La contratación, cualquiera sea la modalidad, realizada por el organismo para la provisión de un bien
o servicio debe incluir en el pliego de bases y condiciones particulares cláusulas de cumplimiento
efectivo por parte del cocontratante, relacionadas con la seguridad de la información, desde el inicio
del procedimiento contractual y hasta la efectiva finalización del contrato.
Esto comprende:
● la consideración de aspectos vinculados con la identificación, análisis y gestión de riesgo desde
el estudio de factibilidad de cualquier decisión de contratación de bienes y servicios bajo cualquier
modalidad contractual.
● el establecimiento e inclusión en el pliego de bases y condiciones particulares de todos los
requisitos de seguridad de la información pertinentes, en los acuerdos que se suscriban con cada
proveedor que pueda acceder, procesar, almacenar, comunicar o proporcionar componentes de
infraestructura tecnológica al organismo.
● la supervisión y revisión por parte de los responsables asignados al proyecto de todos los niveles
de seguridad acordados.
● la inclusión de cláusulas para mantenimiento del nivel de servicio, especialmente en servicios de
provisión crítica, que permitan mantener su disponibilidad.
● la inclusión en el pliego de bases y condiciones de estipulaciones tendientes al cumplimiento de
todas las normas legales y contractuales que sean aplicables.
12. GESTIÓN DE INCIDENTES DE SEGURIDAD
El organismo debe adoptar las medidas necesarias para prevenir, detectar, gestionar, resolver y
reportar los incidentes de seguridad que puedan afectar sus activos de información.
Para ello debe:
● identificar las debilidades en los procesos de gestión de información del organismo, de manera
de adoptar las medidas que prevengan la ocurrencia de incidentes de seguridad.
● contar con procedimientos de gestión de incidentes de seguridad documentados, aprobados y
adecuadamente comunicados, de acuerdo a las áreas funcionales que considere necesarias.
● adoptar una estrategia clara de priorización y escalamiento, que incluya la comunicación a las
áreas involucradas, autoridades y a las áreas técnicas.
● instruir a los agentes para la prevención, detección y reporte de incidentes de seguridad, según
las responsabilidades correspondientes.
● notificar a la Dirección Nacional de Ciberseguridad de la ocurrencia de incidentes de seguridad,
en un plazo no superior a CUARENTA Y OCHO (48) horas de su detección.
● recopilar la evidencia necesaria para adoptar medidas administrativas o judiciales posteriores, de
corresponder, resguardando la cadena de custodia.
● en el caso en que el incidente de seguridad hubiere afectado activos de información y hubiere
comprometido información y/o datos personales de terceros, se deberá informar públicamente tal
ocurrencia.
Volver al índice
13. ASPECTOS DE SEGURIDAD PARA LA CONTINUIDAD DE LA GESTIÓN
Los procedimientos de continuidad de la gestión del organismo ante la ocurrencia de eventos de crisis
o aquellos no planificados que impidan seguir operando en las instalaciones habituales deben
contemplar todos los aspectos de seguridad de la información involucrada.
Para ello se debe:
● identificar los requisitos necesarios para cumplir todos los requerimientos de seguridad de la
información ante un evento inesperado que impida seguir operando, con foco en los servicios
esenciales que preste el organismo.
● establecer, documentar, implementar y mantener los procesos, procedimientos y controles
tendientes al mantenimiento de un nivel de continuidad de la seguridad de la información durante
situaciones adversas.
● verificar, revisar y evaluar a intervalos regulares los controles de continuidad de la seguridad de
la información.
● implementar mecanismos para proteger la disponibilidad de la información crítica y de las
instalaciones utilizadas para su procesamiento durante situaciones adversas.
14. CUMPLIMIENTO
En todos los casos el organismo debe cumplir con las disposiciones legales, normativas y
contractuales que le sean aplicables, con el fin de evitar sanciones administrativas y/o legales y que
los empleados incurran en responsabilidades civiles o penales como resultado de su incumplimiento.
Esto implica:
● la identificación, documentación y actualización periódica de los requisitos legales y
contractuales para cada sistema de información que utilice.
● el cumplimiento de la Ley No 25.326 de Protección de los Datos Personales y sus normas
reglamentarias y complementarias.
● la revisión periódica de los sistemas de información para verificar el cumplimiento de las políticas
y normas de seguridad de la información del organismo.
● la supervisión del cumplimiento de todos los requisitos de seguridad contenidos en la legislación
aplicable, incluyendo las directrices del presente documento, y en las políticas y procedimientos del
organismo, por parte de los responsables de cada área del organismo, respecto a su personal y a la
información que gestiona.
● considerar la adopción de las medidas correctivas que surjan de auditorías y revisiones periódicas
de cumplimiento de los presentes requisitos, sean estas realizadas por personal del área, de
organismos competentes o de terceros habilitados a tal fin.
VI. GLOSARIO
Los términos utilizados en este documento se encuentran incluidos en el Glosario aprobado por la Resolución N° 1523/19 de la ex-
SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN y en la Ley No 25.326 de Protección de los Datos Personales.
[1] Para la elaboración del presente documento se han tomado como referencia estándares nacionales e internacionales reconocidos, tales
como las Normas IRAM-ISO/IEC 27001, 27002 y 20000-1.
Información Relacionadas
Voces:
Administracion Publica Nacional • Ciencia y Tecnologia • Comunicacion Electronica de Datos • Medidas de Seguridad • Pirateria Informatica • Tecnologia de la Informacion
Alcance:
General
Volver al índice
Norma: DECISIÓN ADMINISTRATIVA 1865/2020
Sumario:
Jefatura de Gabinete de Ministros
Estructura organizativa
Cita Online: AR/LEGI/A6LV
VISTO:
El Expediente N° EX-2020-46482674-APN-DNDO#JGM, los Decretos Nros. 2098 del 3 de diciembre
de 2008, sus modificatorios y complementarios, 262 del 28 de marzo de 2018 y su modificatorio, 7 del
10 de diciembre de 2019 y su modificatorio, 50 del 19 de diciembre de 2019 y sus modificatorios, las
Decisiones Administrativas Nros. 295 y 297 ambas del 9 de marzo de 2018 y sus respectivas
modificatorias, y
CONSIDERANDO:
Que en virtud del Decreto N° 7/19, modificatorio de la Ley de Ministerios, se transfirió la SECRETARÍA
DE POLÍTICAS INTEGRALES SOBRE DROGAS DE LA NACIÓN ARGENTINA de la PRESIDENCIA DE
LA NACIÓN a la JEFATURA DE GABINETE DE MINISTROS, con los créditos presupuestarios, bienes,
personal con sus cargos y dotaciones vigentes a la fecha.
Que por el Decreto N° 50/19 se aprobaron el Organigrama de Aplicación y los Objetivos de la
Administración Nacional centralizada hasta nivel de Subsecretaría.
Que por el Decreto N° 262/18 se aprobó la estructura organizativa de primer y segundo nivel
operativo, entre otras, de la SECRETARÍA DE POLÍTICAS INTEGRALES SOBRE DROGAS DE LA
NACIÓN ARGENTINA, entonces dependiente de la PRESIDENCIA DE LA NACIÓN.
Que por la Decisión Administrativa N° 295/18 se aprobó la estructura organizativa de primer y
segundo nivel operativo de la JEFATURA DE GABINETE DE MINISTROS.
Que por la Decisión Administrativa N° 297/18 se aprobó la estructura organizativa de primer y
segundo nivel operativo del ex-MINISTERIO DE MODERNIZACIÓN.
Que, en función de las competencias asignadas a las distintas jurisdicciones ministeriales por el
Decreto N° 7/19, los Objetivos aprobados para las Secretarías y Subsecretarías en el Decreto N° 50/19
y lo establecido en su artículo 5°, resulta necesario efectuar modificaciones en la estructura
organizativa de la JEFATURA DE GABINETE DE MINISTROS, e incorporar, homologar, reasignar y
derogar diversos cargos en el Nomenclador de Funciones Ejecutivas del Convenio Colectivo de Trabajo
Sectorial del Personal del SISTEMA NACIONAL DE EMPLEO PÚBLICO (SINEP), homologado por el
Decreto N° 2098/08.
Que la DIRECCIÓN NACIONAL DE DISEÑO ORGANIZACIONAL de la JEFATURA DE GABINETE DE
MINISTROS y la OFICINA NACIONAL DE PRESUPUESTO de la SUBSECRETARÍA DE PRESUPUESTO
de la SECRETARÍA DE HACIENDA del MINISTERIO DE ECONOMÍA han tomado la intervención de su
competencia.
Que ha tomado intervención el servicio jurídico permanente de la JEFATURA DE GABINETE DE
MINISTROS.
Que la presente medida se dicta en ejercicio de las facultades conferidas por los artículos 100, inciso
1 de la CONSTITUCIÓN NACIONAL y 16, inciso 31 de la Ley de Ministerios (Ley N° 22.520, texto
ordenado por Decreto N° 438/92 y sus modificatorios).
Volver al índice
Por ello:
El Jefe de Gabinete de Ministros decide:
Art. 1° - Apruébase la estructura organizativa de primer nivel operativo de la JEFATURA DE GABINETE

DE MINISTROS, de conformidad con el Organigrama y las Responsabilidades Primarias y Acciones
que, como ANEXOS Ia, Ib, Ic, Id, Ie, If, Ig, Ih (IF-2020-67175706-APN-DNDO#JGM) y II (IF-2020-
67177591-APN-DNDO#JGM), forman parte integrante de la presente decisión administrativa.
Art. 2° - Apruébase la estructura organizativa de segundo nivel operativo de la JEFATURA DE
GABINETE DE MINISTROS, de conformidad con el Organigrama y las Acciones que, como ANEXOS
IIIa, IIIb, IIIc, IIId, IIIe, IIIf, IIIg, IIIh, IIIi, IIIj (IF-2020-67179272-APN-DNDO#JGM) y IV (IF-2020-
67187552-APN-DNDO#JGM), forman parte integrante de la presente decisión administrativa.
Art. 3° - Incorpóranse, homológanse, reasígnanse y deróganse en el Nomenclador de Funciones
Ejecutivas del Convenio Colectivo de Trabajo Sectorial del Personal del SISTEMA NACIONAL DE
EMPLEO PÚBLICO (SINEP), homologado por el Decreto N° 2098/08, los cargos pertenecientes a la
JEFATURA DE GABINETE DE MINISTROS, de conformidad con el detalle obrante en la PLANILLA
ANEXA (IF-2020-67188701-APN-DNDO#JGM) al presente artículo, que forma parte integrante de la
presente decisión administrativa.
Art. 4° - Hasta tanto se concluya con la reestructuración de las áreas afectadas por la presente
medida, se mantendrán vigentes las aperturas estructurales existentes con nivel inferior a las
aprobadas por la presente decisión administrativa, las que transitoriamente mantendrán las acciones
y las dotaciones vigentes con sus respectivos niveles, grados de revista y suplementos vigentes a la
fecha.
Art. 5° - Deróganse los artículos 1° a 4° de la Decisión Administrativa N° 295 del 9 de marzo de 2018.
Art. 6° - El gasto que demande el cumplimiento de la presente medida será atendido con los créditos
asignados a la Jurisdicción 25 – JEFATURA DE GABINETE DE MINISTROS.
Art. 7° - Comuníquese, etc.
Santiago Andrés Cafiero - Eduardo Enrique de Pedro
Los Anexos I, II, III, IV y V, pueden ser consultados en LA LEY NEXT.
Voces:
Administracion Publica Nacional • Estructura Organica
Alcance:
General
Volver al índice
DECRETO 182/2019 PODER EJECUTIVO NACIONAL
Número de norma: 182/2019
Tipo de norma: DECRETO
Emisor: PODER EJECUTIVO NACIONAL
Sumario:
Firma Digital
Reglamentación de la Ley 25.506
Modificación de los dec. 561/2016 y 1063/2016
Derogación de los dec. 2628/2002, 283/2003 y 724/2006
Fecha de Inicio: 28/11/2019
Fecha de Publicación: 12/03/2019
Citas: TR LALEY AR/LCON/001M1L
Art. 1° - Apruébase la reglamentación de la Ley N° 25.506 de Firma Digital, que como Anexo IF-2019-
13755383-APN-SECMA#JGM, forma parte integrante del presente decreto.
Art. 2° - Interoperabilidad documental.
La interoperabilidad documental prevista en el artículo 7° de la Ley N° 27.446 se instrumentará
mediante el módulo Interoperabilidad (IOP) del sistema de Gestión Documental Electrónica - GDE
administrado por la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA de la SECRETARÍA DE
GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS.
Art. 3° - Poderes.
Cuando una norma requiera la formalidad de escritura pública para otorgar poderes generales o
particulares, para diligenciar actuaciones, interponer recursos administrativos, realizar trámites,
formular peticiones o solicitar inscripciones, dicho requisito se considera satisfecho mediante el
apoderamiento realizado por el interesado en la plataforma de Trámites a Distancia (TAD) del sistema
de Gestión Documental Electrónica - GDE, salvo disposición legal en contrario.
Art. 4° - Sustitúyese el artículo 13 del Decreto N° 1063 del 4 de octubre de 2016, por el siguiente:
"ARTÍCULO 13.- Firmas digitales del Sistema de Gestión Documental Electrónica (GDE).
a) El Sistema de Gestión Documental Electrónica (GDE) permite la firma digital de los documentos
electrónicos con las siguientes modalidades: a) Firma digital remota: se utiliza para para firmar
digitalmente todo tipo de documento electrónico incluyendo actos administrativos.
b) Firma digital con dispositivo criptográfico externo: se utiliza para firmar digitalmente todo tipo de
documento electrónico incluyendo actos administrativos.
c) Firma digital con certificado del sistema: se utiliza para firmar documentos electrónicos, excepto
actos administrativos, como dictámenes, informes, comunicaciones oficiales, etc.
Estas firmas digitales gozan de plena validez en virtud de lo dispuesto en el artículo 9° de la Ley N°
25.506 y su modificatoria, asegurando indubitablemente la autoría e integridad del documento
electrónico firmado digitalmente."
Art. 5° - Derogaciones. Deróganse los Decretos Nros. 2628/02, 283/03 y 724/06 y los artículos 8°, 9°
y 10 del Decreto N° 561/2016.
Art. 6° - Comuníquese, etc. Macri.- Peña
Volver al índice
ANEXO
CAPÍTULO I
CONSIDERACIONES GENERALES
Artículo 1° - Objeto. La presente reglamentación regula el empleo del documento electrónico, de la
firma electrónica y de la firma digital y su eficacia jurídica en el marco de la Infraestructura de Firma
Digital establecida por la Ley N° 25.506 y su modificatoria.
Artículo 2° - Certificación de firmas. La firma digital de un documento electrónico satisface el
requisito de certificación de firma establecido para la firma ológrafa en todo trámite efectuado por el
interesado ante la Administración Pública Nacional, centralizada y descentralizada.
Artículo 3 ° - Conservación. La exigencia legal de conservar documentos, registros o datos, conforme
a la legislación vigente en la materia, queda satisfecha con la conservación de los correspondientes
documentos digitales firmados digitalmente. Los documentos, registros o datos electrónicos,
deberán ser almacenados por los intervinientes o por prestadores de servicios de confianza aceptados
por los intervinientes, durante los plazos establecidos en las normas específicas.
La conservación de documentos, registros o datos en formato electrónico deberá garantizar su
integridad, accesibilidad y disponibilidad.
CAPÍTULO II
DE LA INFRAESTRUCTURA DE FIRMA DIGITAL
Artículo 4°- Componen la Infraestructura de Firma Digital:
1. La Autoridad Certificante Raíz de la REPÚBLICA ARGENTINA.
2. El Ente Licenciante conformado por la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la
JEFATURA DE GABINETE DE MINISTROS y la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA
dependiente de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE
DE MINISTROS.
3. Los certificadores licenciados, incluyendo sus autoridades certificantes y sus autoridades de
registro, según los servicios que presten.
4. Las autoridades de sello de tiempo.
5. Los suscriptores de los certificados.
6. Los terceros usuarios.
7. Los certificadores reconocidos por la Autoridad de Aplicación.
8. El Organismo Auditante establecido en el artículo 34 de la Ley N° 25.506 y su modificatoria.
9. Los prestadores de servicios de confianza.
Artículo 5° - Autoridad Certificante Raíz. La Autoridad Certificante Raíz es la Autoridad Certificante
administrada por la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA de la SECRETARÍA DE
Constituye la única instalación de su tipo y reviste la mayor jerarquía de la Infraestructura de Firma
Digital establecida por la Ley N° 25.506 y su modificatoria. Emite certificados digitales a las
Autoridades Certificantes de los certificadores licenciados, una vez aprobados los requisitos de
licenciamiento.
Artículo 6° - Sistema de Auditoría. El Organismo Auditante realizará las siguientes auditorías:
1. Auditoría de inicio: como requisito para el otorgamiento de la licencia.
2. Auditoría de renovación: como requisito para la renovación de la licencia.
3. Auditorías periódicas anuales: a solicitud del Ente Licenciante.
4. Auditorías extraordinarias: a solicitud del Ente Licenciante.
Volver al índice
Las auditorías podrán recaer en los certificadores que solicitan licencia, en los certificadores
licenciados y en las autoridades de registro. El Ente Licenciante determinará la periodicidad de las
auditorías.
Artículo 7° - Informe de auditoría. El informe de auditoría evaluará los sistemas utilizados por el
certificador de acuerdo con los requerimientos de la Ley N° 25.506 y su modificatoria, el presente
Decreto y las normas complementarias. El Organismo Auditante, previa consulta con el Ente
Licenciante, determinará los objetivos de control.
Artículo 8° - Deber de confidencialidad. Las personas que integran las entidades que componen la
Infraestructura de Firma Digital establecida por la Ley N° 25.506 y su modificatoria, están obligadas
a mantener la confidencialidad sobre la información que no sea pública. Dicha obligación subsistirá
aun cuando se hayan desvinculado de la entidad o la entidad deje de ser parte de la Infraestructura
de Firma Digital establecida por la Ley N° 25.506 y su modificatoria.
Artículo 9° - Certificados Digitales. Los Certificados Digitales contemplados en el artículo 13 de la Ley
N° 25.506 y su modificatoria son aquellos emitidos por un certificador licenciado y cuya utilización
permite disponer de una firma digital amparada por las presunciones de autoría e integridad
establecidas en los artículos 7° y 8° de la Ley N° 25.506 y su modificatoria. Son personales e
interoperables.
Artículo 10° - Validez de los certificados digitales emitidos por certificadores no licenciados. Los
certificados digitales emitidos por certificadores no licenciados serán válidos para producir los efectos
jurídicos que la Ley otorga a la firma electrónica.
Artículo 11° - Revocación de certificados. Se deberán revocar los certificados digitales emitidos en los
siguientes casos:
1. A solicitud del titular del certificado digital.
2. Si se determina que un certificado digital fue emitido en base a una información falsa que en el
momento de la emisión hubiera sido objeto de verificación.
3. Si se determina que los procedimientos de emisión y/o verificación han dejado de ser seguros.
4. Por condiciones especiales definidas en las Políticas de Certificación.
5. Por Resolución Judicial o de la Autoridad de Aplicación debidamente fundada.
6. Por fallecimiento del titular.
7. Por declaración judicial de ausencia con presunción de fallecimiento del titular.
8. Por declaración judicial de incapacidad del titular.
9. Si se determina que la información contenida en el certificado ha dejado de ser válida.
Artículo 12° - Obtención de la licencia. Para obtener una licencia, los proveedores de servicios de
certificación deberán particularizar las actividades para las cuales requieren la licencia y acreditar por
los medios que determine el Ente Licenciante:
1. Documentación que demuestre:
1.1. En el caso de personas jurídicas, su personería.
1.2. En el caso de registro público de contratos, tal condición.
1.3. En el caso de organización pública, la autorización de su máxima autoridad para iniciar el proceso
de licenciamiento.
2. El cumplimiento de las condiciones establecidas en la Ley, este decreto y las normas
complementarias.
3. La política única de certificación que respalda la emisión de sus certificados, el Manual de
Procedimientos, el Plan de Seguridad, el Plan de Cese de Actividades y el Plan de Contingencia
satisfactorios, de acuerdo con las normas reglamentarias.
Volver al índice
4. Los seguros de caución en caso de corresponder.
5. Toda aquella información o requerimiento que demande el Ente Licenciante.
Artículo 13° - Efectos del licenciamiento. El otorgamiento de la licencia no implica que el Ente
Licenciante, el Organismo Auditante o cualquier organismo del Estado garanticen la provisión de los
servicios de certificación o los productos provistos por el Certificador Licenciado.
Artículo 14° - Duración de la licencia. Las licencias tendrán un plazo de duración de CINCO (5) años y
podrán ser renovadas, previa auditoría que acredite el cumplimiento de la normativa vigente y de las
condiciones técnicas y de procedimientos comprometidas al momento del licenciamiento.
Los certificadores licenciados deberán efectuar anualmente una declaración jurada en la cual conste
el cumplimiento de las normas establecidas en la Ley N° 25.506 y su modificatoria, en el presente
Decreto y en las normas complementarias, así como los procedimientos detallados en los
documentos de licenciamiento.
Los certificadores licenciados serán sometidos a auditorías periódicas anuales de acuerdo a las
pautas que determine el Ente Licenciante.
Artículo 15° - Causales de caducidad de la licencia. El Ente Licenciante podrá disponer de oficio, y en
forma preventiva, la caducidad de la licencia en los siguientes casos:
1. Falta de presentación de la declaración jurada anual.
2. Falsedad de los datos contenidos en la declaración jurada anual.
3. Dictamen desfavorable de auditoría basado en causales graves.
4. Informe de la inspección dispuesta por el Ente Licenciante desfavorable basado en causales graves.
5. Cuando el certificador licenciado no permita la realización de auditorías o inspecciones dispuestas
por el Ente Licenciante.
Artículo 16° - Reconocimiento de certificados extranjeros. Facúltase a la SECRETARÍA DE GOBIERNO
DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS a elaborar y firmar acuerdos de
reciprocidad con gobiernos de países extranjeros, a fin de otorgar validez, en sus respectivos
territorios, a los certificados digitales emitidos por certificadores de ambos países, en tanto se
verifique el cumplimiento de las condiciones establecidas por la Ley N° 25.506, su modificatoria y su
reglamentación para los certificados emitidos por certificadores nacionales.
El Ente Licenciante establecerá los procedimientos y demás condiciones para el reconocimiento de
certificados emitidos por certificadores de otros países.
Artículo 17° - Política Única de Certificación. La SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN
de la JEFATURA DE GABINETE DE MINISTROS establecerá la Política Única de Certificación de
acuerdo con los estándares nacionales e internacionales vigentes, la que será de cumplimiento
obligatorio para todos los certificadores licenciados que integran la Infraestructura de Firma Digital
establecida por la Ley N° 25.506 y su modificatoria.
La Política Única de Certificación deberá contener al menos la siguiente información:
1. Identificación del certificador licenciado.
2. Política de administración de los certificados y detalles de los servicios arancelados.
3. Obligaciones de la entidad y de los suscriptores de los certificados.
4. Tratamiento de la información suministrada por los suscriptores, y resguardo de la confidencialidad
en su caso.
5. Garantías que ofrece para el cumplimiento de las obligaciones que se deriven de sus actividades.
Volver al índice
Artículo 18° - Responsabilidad de los certificadores licenciados. En ningún caso, la responsabilidad
que pueda emanar de una certificación efectuada por un certificador licenciado, público o privado,
comprometerá la responsabilidad pecuniaria del Estado en su calidad de Ente Licenciante de la
Infraestructura de Firma Digital establecida por la Ley N° 25.506 y su modificatoria.
Artículo 19° - Recursos de los certificadores licenciados. Para el desarrollo adecuado de las
actividades de certificación, el certificador deberá acreditar que cuenta con un equipo de
profesionales, infraestructura física, tecnológica y recursos financieros, como así también
procedimientos y sistemas de seguridad que permitan:
1. Generar en un ambiente seguro las firmas digitales propias y todos los servicios para los cuales
solicite licencia.
2. Cumplir con lo previsto en sus políticas y procedimientos de certificación.
3. Garantizar la confiabilidad de los sistemas de acuerdo con los estándares aprobados por el Ente
Licenciante.
4. Expedir certificados que cumplan con:
4.1. Lo previsto en los artículos 13 y 14 de la Ley N° 25.506 y su modificatoria.
4.1. Los estándares tecnológicos aprobados por el Ente Licenciante.
5. Garantizar la existencia de sistemas de seguridad física y lógica que cumplan con las normativas
vigentes.
6. Proteger el manejo de la clave privada de la entidad mediante un procedimiento de seguridad que
impida el acceso a la misma a personal no autorizado.
7. Registrar las transacciones realizadas, a fin de identificar el autor y el momento de cada una de las
operaciones.
8. Utilizar con exclusividad los sistemas que cumplan las funciones de certificación con ese propósito,
sin que se les asigne ninguna otra función.
9. Proteger a todos los sistemas utilizados directa o indirectamente en la función de certificación con
procedimientos de autenticación y seguridad de alto nivel de protección, que deban ser actualizados
de acuerdo a los avances tecnológicos para garantizar la correcta prestación de los servicios de
certificación.
10. Garantizar la continuidad de las operaciones mediante un Plan de Contingencia actualizado y
aprobado.
11. Disponer de los recursos financieros adecuados al tipo de actividad de certificación que desarrolla,
acorde con los niveles de responsabilidad derivados de la misma.
Artículo 20° - Servicios de Terceros. En los casos en que el certificador licenciado requiera o utilice los
servicios de infraestructura tecnológicos prestados por un tercero, deberá prever dentro de su Plan de
Contingencia los procedimientos a seguir en caso de interrupción de estos servicios, de modo tal que
permita continuar prestando sus servicios de certificación sin ningún perjuicio para los suscriptores.
Los contratos entre el certificador licenciado y los proveedores de servicios o infraestructura deberán
garantizar la ejecución de los procedimientos contemplados en el Plan de Cese de Actividades
aprobado por el Ente Licenciante. El certificador licenciado o en proceso de licenciamiento deberá
facilitar al Ente Licenciante toda aquella información obrante en los contratos vinculada a la
prestación de servicios de certificación y a la implementación del Plan de Cese de Actividades y el
Plan de Contingencia.
Serán objeto de auditoría e inspección también aquellos servicios o infraestructura contratados a
terceros, incluyendo los sistemas y medidas de seguridad del prestador contratado.
Artículo 21° - Obligaciones del certificador licenciado. Además de lo previsto en el artículo 21 de la Ley
N° 25.506 y su modificatoria, los certificadores licenciados deberán:
1. Estar domiciliados en la REPÚBLICA ARGENTINA, considerándose que cumplen con este requisito,
cuando el establecimiento en el cual desempeñan su actividad en forma permanente, habitual o
continuada y sus infraestructuras se encuentren situados en el territorio argentino.
Volver al índice
2. Comprobar, por sí o por medio de una Autoridad de Registro que actúe en nombre y por cuenta
suya, la identidad y cualquier otro dato de los solicitantes considerado relevante para los
procedimientos de verificación de identidad previos a la emisión del certificado digital, según la
Política Única de Certificación. La verificación de los datos de identidad debe hacerse de manera
presencial, mediante los datos biométricos que determine la SECRETARÍA DE MODERNIZACIÓN
ADMINISTRATIVA dependiente de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la
JEFATURA DE GABINETE DE MINISTROS.
3. Abstenerse de generar, exigir, tomar conocimiento o acceder bajo ninguna circunstancia a la clave
privada del suscriptor.
4. Mantener a disposición permanente del público su Política Única de Certificación y el Manual de
Procedimientos correspondiente.
5. Cumplir cabalmente con la Política Única de Certificación acordada con el titular y con su Manual
de Procedimientos.
6. Garantizar la prestación establecida según los niveles definidos en el acuerdo de servicios pactados
con sus usuarios, relativo a los servicios para los cuales solicitó el licenciamiento.
7. Informar al solicitante de un certificado digital, en un lenguaje claro y accesible, en idioma nacional,
respecto de las características del certificado solicitado, las limitaciones a la responsabilidad, si las
hubiere, los precios de los servicios de certificación, uso, administración y otros asociados, incluyendo
cargos adicionales y formas de pago, los niveles de servicio a proveer, las obligaciones que el
suscriptor asume como usuario del servicio de certificación, su domicilio en la REPÚBLICA
ARGENTINA y los medios a los que el suscriptor puede acudir para solicitar aclaraciones, dar cuenta
del mal funcionamiento del sistema o presentar sus reclamos.
8. Disponer de un servicio de atención a titulares y terceros, que permita evacuar las consultas y la
pronta solicitud de revocación de certificados.
9. Garantizar el acceso permanente, eficiente y gratuito de los titulares y terceros al repositorio de
certificados revocados.
10. Mantener actualizados los repositorios de certificados revocados por el período establecido por el
Ente Licenciante.
11. Informar al Ente Licenciante de modo inmediato la ocurrencia de cualquier evento que
comprometa la correcta prestación del servicio.
12. Respetar el derecho del titular del certificado digital a no recibir publicidad de ningún tipo por su
intermedio, salvo consentimiento expreso de éste.
13. Publicar en el Boletín Oficial durante UN (1) día, su certificado de clave pública emitido por la
Autoridad Certificante Raíz de la REPÚBLICA ARGENTINA, correspondiente a la Política Única de
Certificación para la cual obtuvo licenciamiento.
14. Cumplir las normas y recaudos establecidos para la protección de datos personales.
15. En los casos de revocación de certificados contemplados en el apartado 3 del inciso e) del artículo
19 de la Ley N° 25.506 y su modificatoria, deberá sustituir en forma gratuita aquel certificado digital
que ha dejado de ser seguro por otro que sí cumpla con estos requisitos.
El Ente Licenciante deberá establecer el proceso de reemplazo de certificados en estos casos. En los
casos en los que un certificado digital haya dejado de ser seguro por razones atribuibles a su titular,
el certificador licenciado no estará obligado a sustituir el certificado digital.
16. Enviar periódicamente al Ente Licenciante informes de estado de operaciones con carácter de
declaración jurada.
17. Contar con personal idóneo y confiable, con antecedentes profesionales acordes a la función
desempeñada.
18. Responder a los pedidos de informes por parte de un tercero respecto de la validez y alcance de
un certificado digital emitido por él.
Volver al índice
CAPÍTULO III
DE LA AUTORIDAD DE APLICACIÓN Y DEL ENTE LICENCIANTE
Artículo 21° - Funciones. La SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE
GABINETE DE MINISTROS tendrá las siguientes funciones:
1. Establecer las condiciones y procedimientos para el otorgamiento y revocación de las licencias.
2. Fijar el procedimiento de instrucción sumarial y la gradación de sanciones previstas en la Ley N°
25.506 y su modificatoria, en virtud de reincidencia y/u oportunidad.
3. Otorgar las licencias habilitantes para acreditar a los certificadores en las condiciones que fijen el
presente Decreto y las normas reglamentarias, modificatorias o de aplicación que se dicten en el
futuro.
4. Revocar las licencias otorgadas a los Certificadores Licenciados que dejen de cumplir con los
requisitos establecidos para su licenciamiento.
5. Disponer la instrucción sumarial, la aplicación de sanciones e inhabilitar en forma temporal o
permanente a todo Certificador Licenciado que no respetare o incumpliere los requerimientos y
disposiciones de la Ley N° 25.506 y su modificatoria, el presente Decreto y las normas
complementarias.
Artículo 21° - Regulaciones técnicas. La SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA de la
SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS
tendrá las siguientes funciones:
1. Establecer los estándares tecnológicos y de seguridad aplicables en consonancia con estándares
internacionales.
2. Determinar los procedimientos de firma y verificación en consonancia con los estándares
tecnológicos definidos conforme el inciso precedente.
3. Fijar las condiciones mínimas de emisión de certificados digitales.
4. Establecer los casos en los cuales deben revocarse los certificados digitales.
5. Determinar los datos considerados públicos contenidos en los certificados digitales.
6. Establecer los mecanismos que garantizarán la validez y autoría de las listas de certificados
revocados.
7. Indicar la información que los certificadores licenciados deberán publicar por internet.
8. Indicar la información que los certificadores licenciados deberán publicar en el Boletín Oficial.
9. Determinar los procedimientos mínimos de revocación de certificados digitales, cualquiera que sea
la fuente de emisión, y los procedimientos mínimos de conservación de la documentación de respaldo
de la operatoria de los certificadores licenciados, en el caso que éstos cesen su actividad.
10. Fijar las modalidades de difusión de los informes de auditoría.
11. Establecer las normas y procedimientos para la homologación de los dispositivos de creación y
verificación de firmas digitales.
13. Estipular los procedimientos aplicables para el reconocimiento de certificados extranjeros.
14. Determinar las condiciones de aplicación de la Ley N° 25.506 y su modificatoria en el Sector
Público Nacional.
15. Fijar los niveles de licenciamiento.
16. Exigir las garantías y seguros necesarios para prestar el servicio previsto.
17. Determinar las condiciones de prestación de otros servicios de confianza en relación con la firma
digital y otros temas cubiertos en la Ley N° 25.506 y su modificatoria.
18. Establecer la regulación exclusiva y excluyente del uso de la firma digital en sistemas y
aplicaciones, así como su homologación.
Volver al índice
19. Estipular la regulación de la hora oficial en entornos electrónicos.
20. Determinar las normas y los procedimientos técnicos para la generación, comunicación, archivo y
conservación del documento digital o electrónico, según lo previsto en los artículos 11 y 12 de la Ley
N° 25.506 y su modificatoria.
21. Administrar la Autoridad Certificante Raíz de la REPÚBLICA ARGENTINA.
22. Fiscalizar el cumplimiento de las normas legales y reglamentarias en lo referente a la actividad
de los Certificadores Licenciados.
23. Denegar las solicitudes de licencia a los prestadores de servicios de certificación que no cumplan
con los requisitos establecidos para su licenciamiento.
24. Aprobar las políticas de certificación, el manual de procedimiento, el plan de seguridad, el plan
de cese de actividades y el plan de contingencia, presentados por los certificadores solicitantes de la
licencia o licenciados.
25. Solicitar los informes de auditoría en los casos que correspondiere.
26. Realizar inspecciones a los Certificadores Licenciados por sí o por terceros.
27. Homologar los dispositivos de creación y verificación de firmas digitales así como las aplicaciones
o sistemas informáticos que utilicen firmas digitales.
28. Publicar en Internet o en la red de acceso público de transmisión o difusión de datos que la
sustituya en el futuro, en forma permanente e ininterrumpida los datos de contacto y certificados
digitales de:
28.1. los Certificadores Licenciados.
28.2. los Certificadores cuyas licencias han sido revocadas.
28.3. la Autoridad Certificante Raíz de la REPÚBLICA ARGENTINA.
28.4. el Ente Licenciante.
29. Fijar el concepto y los importes de todo tipo de aranceles, multas y montos de los seguros de
caución previstos en la Ley N° 25.506 y su modificatoria y en la presente reglamentación.
30. Solicitar la ampliación o aclaración sobre la documentación presentada por el certificador.
31. Dictar las normas tendientes a asegurar el régimen de libre competencia, equilibrio de
participación en el mercado de los prestadores y protección de los usuarios.
32. Recibir, evaluar y resolver los reclamos de los usuarios de certificados digitales relativos a la
prestación del servicio por parte de certificadores licenciados.
33. Supervisar la ejecución del plan de cese de actividades de los Certificadores Licenciados que
discontinúan sus funciones.
34. Registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de
ellas.
35. Supervisar la ejecución de planes de contingencia de los Certificadores Licenciados.
36. Efectuar las tareas de control del cumplimiento de las recomendaciones formuladas por la
SINDICATURA GENERAL DE LA NACIÓN para determinar si se han tomado las acciones correctivas
correspondientes.
37. Renovar las licencias a los Certificadores Licenciados, en el marco de la Infraestructura de Firma
Digital de la REPÚBLICA ARGENTINA.
38. Determinar los recursos tecnológicos que deberán disponer las Autoridades de Registro.
Volver al índice
Artículo 24° - Obligaciones de la Autoridad Certificante Raíz de la REPÚBLICA ARGENTINA. En su
calidad de titular de certificado digital, la Autoridad Certificante Raíz de la REPÚBLICA ARGENTINA
tiene las mismas obligaciones que los titulares de certificados y que los Certificadores Licenciados.
Debe permitir el acceso público permanente a la nómina actualizada de Certificadores Licenciados
con los datos correspondientes.
Artículo 25° - Aranceles y multas. La SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA de la
fijará los montos de:
1. Aranceles de licenciamiento, renovación de la licencia, presentación de nuevas versiones de las
políticas, certificaciones y otros trámites de certificadores y prestadores de servicios de confianza.
2. Aranceles de auditorías, inspecciones y gastos conexos.
3. Aranceles que se abonen por la provisión de los siguientes servicios de certificadores del sector
público:
3.1. Servicios de certificación digital.
3.2. Servicios de certificación digital de fecha y hora.
3.3. Servicios de almacenamiento seguro de documentos electrónicos.
3.4. Servicios prestados por autoridades de registro.
3.5. Servicios prestados por terceras partes confiables.
3.6. Servicios de certificación de documentos electrónicos firmados digitalmente.
3.7. Otros servicios o actividades relacionados a la firma digital.
4. Aranceles de homologación de dispositivos de creación y verificación de firmas digitales.
5. Aranceles de homologación de aplicaciones o sistemas informáticos que utilizan firma digital.
6. Aranceles de uso de la Plataforma de Firma Digital Remota.
7. Aranceles aplicables a prestadores de servicios de confianza.
8. Montos mínimos de los seguros de caución.
9. Montos de multas.
Artículo 26° - Aranceles. Las entidades y jurisdicciones que integran el Sector Público están exentas
del pago de aranceles de licenciamiento.
CAPÍTULO IV
DE LAS AUTORIDADES DE REGISTRO
Artículo 27° - Autoridades de Registro. Los certificadores licenciados podrán delegar en Autoridades
de Registro las funciones de validación de identidad y otros datos de los suscriptores de certificados
y de registro de las presentaciones y trámites que les sean formuladas, bajo la responsabilidad del
Certificador Licenciado, cumpliendo las normas y procedimientos establecidos por la presente
reglamentación.
La presencia física del solicitante ante el Certificador Licenciado o sus autoridades de registro será
condición ineludible para el cumplimiento de los trámites necesarios para la emisión del
correspondiente certificado digital.
Artículo 28° - Funciones de las Autoridades de Registro. Las Autoridades de Registro son
responsables de las siguientes funciones:
1. La recepción de las solicitudes de emisión de certificados.
2. La validación de la identidad y autenticación de los datos de los titulares de certificados.
3. La validación de otros datos de los titulares de certificados que se presenten ante ella cuya
verificación delegue el Certificador Licenciado.
Volver al índice
4. La remisión de las solicitudes aprobadas al Certificador Licenciado con la que se encuentre
operativamente vinculada.
5. La recepción y validación de las solicitudes de revocación de certificados; y su direccionamiento al
Certificador Licenciado con el que se vinculen.
6. La identificación y autenticación de los solicitantes de revocación de certificados.
7. El archivo y la conservación de toda la documentación respaldatoria del proceso de validación de
identidad, de acuerdo con los procedimientos establecidos por el certificador licenciado.
8. El cumplimiento de las normas y recaudos establecidos para la protección de datos personales.
9. El cumplimiento de las disposiciones que establezca la Política Única de Certificación y el Manual
de Procedimientos del Certificador Licenciado con el que se encuentre vinculada, en la parte que
resulte aplicable.
Artículo 29° - Roles en las Autoridades de Registro. Las Autoridades de Registro deberán contar con
personal idóneo para el cumplimiento de los siguientes roles:
1. Responsable de la Autoridad de Registro: ejercerá el nexo formal de comunicación entre el
Responsable de la Autoridad Certificante y la Autoridad de Registro.
2. Oficial de Registro: será el responsable de ejecutar la operatoria principal de la Autoridad de
Registro y de cumplir con las obligaciones, funciones y recaudos de seguridad que el Certificador
Licenciado le delega.
3. Responsable de Soporte Técnico de Firma Digital: brindará soporte técnico y capacitación sobre las
disposiciones de la Política Única de Certificación del Certificador Licenciado.
Artículo 30° - Cooperación entre Autoridades de Registro. Las Autoridades de registro vinculadas a
un mismo Certificador Licenciado deben operar cooperativamente, de acuerdo con las pautas que
determine la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA de la SECRETARÍA DE
La SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA podrá autorizar una excepción a solicitud
fundada del Certificador Licenciado. Los titulares de certificados podrán solicitar la revocación de su
certificado en cualquiera de las Autoridades de Registro del Certificador Licenciado emisor.
Artículo 31° - Modalidades de las Autoridades de Registro. Las Autoridades de Registro podrán operar
en modalidad fija o móvil. Deberán constituir un domicilio y podrán establecer tantas sedes como sea
necesario, en la medida que cumplan con los procedimientos y requisitos que fije la SECRETARÍA DE
MODERNIZACIÓN ADMINISTRATIVA de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la
JEFATURA DE GABINETE DE MINISTROS para su autorización.
Artículo 32° - Responsabilidad del Certificador Licenciado respecto de la Autoridad de Registro. El
Certificador Licenciado es responsable con los alcances establecidos en la Ley N° 25.506 y su
modificatoria, aún en el caso de que delegue parte de su operatoria en Autoridades de Registro, sin
perjuicio del derecho del certificador de reclamar a la Autoridad de Registro las indemnizaciones por
los daños y perjuicios que aquél sufriera como consecuencia de los actos y/u omisiones de ésta.
Artículo 33° - Autoridades de Registro de Certificadores Licenciados del sector público. Los
Certificadores Licenciados pertenecientes al sector público podrán constituir Autoridades de Registro
en organizaciones del sector privado o entes públicos no estatales, previa autorización de la
SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA de la SECRETARÍA DE GOBIERNO DE
MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS.
A los fines del presente artículo, las Autoridades de Registro del sector privado o de entes públicos
no estatales, dependientes de certificadores licenciados del sector público, deberán constituir una
garantía mediante un seguro de caución a fin de garantizar el cumplimiento de las obligaciones
establecidas en la normativa vigente.
Volver al índice
Artículo 34° - Obligados a constituir seguros de caución. Deberán constituir un seguro de caución a
fin de garantizar el cumplimiento de sus obligaciones:
1. Los Certificadores Licenciados pertenecientes al sector privado.
2. Las Autoridades de Registro del sector privado que dependan de Certificadores Licenciados del
sector público.
3. Las Autoridades de Registro de entes públicos no estatales que dependan de Certificadores
Licenciados del sector público.
Artículo 35° - Seguros de caución. Las pólizas de seguro de caución deberán reunir los siguientes
requisitos básicos:
1. Estar aprobadas por la SUPERINTENDENCIA DE SEGUROS DE LA NACIÓN, organismo
descentralizado en el ámbito del MINISTERIO DE HACIENDA.
2. Ser extendidas a favor de:
2.1. La JEFATURA DE GABINETE DE MINISTROS en los casos de Certificadores Licenciados.
2.2. De la jurisdicción o entidad de la cual depende el Certificador Licenciado público en el caso de
Autoridades de Registro del sector privado o de entes públicos no estatales.
3. Ser sustituidas, a solicitud del Ente Licenciante o del Certificador Licenciado, cuando la
aseguradora originaria deje de cumplir los requisitos que se hubieren requerido.
4. Mantener la vigencia y actualización del seguro de caución mientras no se extingan las
obligaciones cuyo cumplimiento se pretende cubrir.
5. La garantía exigida deberá ser acreditada por la Autoridad de Registro del sector privado o de entes
públicos no estatales ante el Certificador Licenciado público correspondiente, como requisito previo
al otorgamiento de la autorización de la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA de la
para operar como tal, en cualquier modalidad.
6. Los montos mínimos a integrarse en concepto de garantía o seguro de caución, serán fijados por la
SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA de la SECRETARÍA DE GOBIERNO DE
MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS.
CAPÍTULO V
DE LOS PRESTADORES DE SERVICIOS DE CONFIANZA
Artículo 36° - Servicios de Confianza. Se entiende por Servicio de Confianza al servicio electrónico
prestado por un tercero de confianza relativo a:
1. La conservación de archivos digitales.
2. La custodia de declaraciones de voluntad realizadas en formato electrónico, contratos electrónicos,
y toda otra transacción que las partes decidan confiar a un tercero depositario.
3. La notificación fehaciente de documentos electrónicos.
4. El depósito de declaraciones de voluntad realizadas en formato electrónico.
5. La operación de cadenas de bloques para la conservación de documentos electrónicos, gestión de
contratos inteligentes y otros servicios digitales.
6. Los servicios de autenticación electrónica.
7. Los servicios de identificación digital.
8. Otras prestaciones que determine el Ente Licenciante.
Artículo 37° - Prestadores de Servicios de Confianza. Podrán brindar servicios de confianza las
personas humanas, jurídicas, consorcios, entes públicos, entes públicos no estatales, de acuerdo a los
procedimientos, estándares y condiciones que determine la SECRETARÍA DE MODERNIZACIÓN
ADMINISTRATIVA de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE
GABINETE DE MINISTROS.
Volver al índice
DECRETO 996/2018
Norma: DECRETO 996/2018
Emisor: PODER EJECUTIVO NACIONAL (P.E.N.)
Sumario:
Agenda Digital Argentina
Aprobación de bases y creación del Consejo de Planificación y Seguimiento
Derogación del dec. 512/2009
Cita Online: AR/LEGI/9NJ0
VISTO:
El Expediente N° EX-2018-39603903-APN-SGDEIT#MM, los Decretos Nros. 554 de fecha 18 de junio
de 1997, 512 de fecha 7 de mayo de 2009, 13 de fecha 10 de diciembre de 2015, 434 del 1° de marzo
de 2016, 801 del 5 de septiembre de 2018 y 802 del 5 de septiembre de 2018; y
CONSIDERANDO:
Que el Decreto N° 554/97 declaró de Interés Nacional el acceso de los habitantes de la REPÚBLICA
ARGENTINA a la red mundial Internet, en condiciones sociales y geográficas equitativas.
Que, a su turno, el Decreto Nº 512/09, creó el GRUPO DE TRABAJO MULTISECTORIAL con el objeto
de impulsar la “ESTRATEGIA DE AGENDA DIGITAL DE LA REPÚBLICA ARGENTINA”.
Que con el dictado del Decreto N° 13/15, se modificó la Ley de Ministerios Nº 22.520 (texto ordenado
por Decreto N° 438 del 12 de marzo de 1992) y sus modificatorias, creándose, entre otros, a través del
artículo 23 octies, el entonces MINISTERIO DE MODERNIZACIÓN, estableciendo entre sus
competencias, las de diseñar, proponer y coordinar las políticas de transformación y modernización
del Estado en las distintas áreas del Gobierno Nacional, su Administración central y descentralizada,
y determinar los lineamientos estratégicos y la propuesta de las normas reglamentarias en la materia.
Que, en ese sentido, por el Decreto N° 434/16 se aprobó el Plan de Modernización del Estado, que
tiene como ejes el Plan de Tecnología y Gobierno Digital, el Gobierno Abierto e Innovación Pública y
la Estrategia País Digital, entre otros.
Que por el Decreto N° 801/18 se fusionaron diversos Ministerios a fin de centralizar las competencias
en un número menor de Jurisdicciones y en consecuencia se sustituyó el artículo 8º del Título II de la
Ley de Ministerios (texto ordenado por Decreto N° 438/92) y sus modificatorias.
Que mediante el Decreto N° 802/18 se creó, entre otros, el cargo de Secretario de Gobierno de
Modernización, el cual contiene las competencias del entonces MINISTERIO DE MODERNIZACIÓN
antes detalladas.
Que bajo la presidencia de la REPÚBLICA ARGENTINA del G20, el GRUPO DE TRABAJO DE
ECONOMIA DIGITAL, liderado por el entonces MINISTERIO DE MODERNIZACIÓN, actualmente bajo
la SECRETARIA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE
MINISTROS, tiene como objetivo hacer recomendaciones para alcanzar el desarrollo inclusivo a través
de la transformación digital, y con un enfoque de género, incluyendo como temas centrales de su
trabajo la inclusión digital, las habilidades para los trabajos del futuro, el Gobierno digital, las PyMEs
y emprendedurismo, y la Industria 4.0; y en virtud de que los miembros del G20 reconocen el
potencial de crecimiento económico y bienestar social que aporta la transformación digital,
recomiendan a los países el desarrollo de estrategias digitales.
Que la REPÚBLICA ARGENTINA ha manifestado su intención de ingreso a la Organización para la
Cooperación y el Desarrollo Económicos (OCDE), con el objetivo de mejorar las políticas públicas y
para una mayor inserción del país en la escena global.
Que, en virtud de ello, se están cumplimentando los requerimientos necesarios para profundizar su
participación en dicha Organización mediante un plan de acción concreto cuyo objetivo es alcanzar
estándares propios de países OCDE.
Volver al índice
Que, en ese sentido la REPÚBLICA ARGENTINA, ha adherido a la Declaración de la Reunión
Ministerial de Economía Digital de la OCDE, suscripta en la ciudad de Cancún de los Estados Unidos
Mexicanos en el año 2016, en la cual los ministros y representantes de 41 países y la Unión Europea
se comprometieron a trabajar en conjunto para preservar la apertura de Internet, disminuir las
brechas digitales, promover las habilidades digitales y profundizar el potencial de la economía
digital.
Que, a nivel regional, desde el año 2017 los países del MERCOSUR se encuentran negociando la
Agenda Digital para ese bloque, y, en abril de 2018, en ocasión de la Sexta Conferencia Ministerial
sobre la Sociedad de la Información de América Latina y el Caribe, la República Argentina junto a los
representantes de los países de América Latina y el Caribe, firmaron la Declaración de Cartagena de
Indias y establecieron los objetivos para la Agenda Digital para América Latina y el Caribe
(eLAC2020).
Que mediante la Resolución A/RES/70/1 del 25 de septiembre de 2015, la Asamblea General de
Naciones Unidas, aprobó la Agenda 2030 para el desarrollo Sostenible, y en concordancia con dicha
normativa se reconoce que la expansión de las tecnologías de la información y las comunicaciones y
la interconexión mundial brinda grandes posibilidades para acelerar el progreso humano, superar la
brecha digital y desarrollar las sociedades del conocimiento.
Que de acuerdo al contexto internacional planteado y con el objetivo de definir una estrategia de
desarrollo digital de la REPÚBLICA ARGENTINA, que nos permita acelerar el desarrollo de la
economía, la sociedad y maximizar los beneficios de la digitalización, es necesario redefinir el marco
institucional actual y aprobar las bases para la AGENDA DIGITAL ARGENTINA.
Que para la identificación de prioridades nacionales en materia de digitalización el entonces
MINISTERIO DE MODERNIZACIÓN organizó mesas de trabajo interministeriales y con agencias de
Gobierno, donde se mantuvieron reuniones con funcionarios de distintas reparticiones, y se ha
identificado que las iniciativas en la materia que requieren atención primaria en esta instancia
importan el involucramiento del MINISTERIO DE PRODUCCIÓN Y TRABAJO, del MINISTERIO DE
EDUCACIÓN, CULTURA, CIENCIA Y TECNOLOGÍA, del MINISTERIO DE RELACIONES EXTERIORES Y
CULTO, de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN, de la SECRETARÍA DE GOBIERNO
DE TRABAJO Y EMPLEO, de la SECRETARÍA DE GOBIERNO DE AGROINDUSTRIA y de la
SECRETARÍA DE GOBIERNO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN PRODUCTIVA.
Que en el marco de las reuniones de trabajo mantenidas se concluyó que la estrategia adecuada para
ordenar prioridades es elaborar una Agenda Digital, proyectando un marco institucional y una
estructura de gobernanza, para que los esfuerzos se realicen de manera coordinada, contemplando
la ejecución y el seguimiento de las iniciativas propuestas.
Que, a tales efectos, resulta necesario aprobar las bases para la AGENDA DIGITAL ARGENTINA con
el objeto de coordinar las iniciativas de gobierno en la temática entendiendo que una planificación
conjunta y la coordinación de acciones de implementación coadyuvarán a generar sinergias en las
políticas implementadas en el marco de cada jurisdicción, logrando así alcanzar más veloz y
eficientemente los objetivos de gobierno.
Que, con dichos fines, se entiende pertinente constituir un CONSEJO DE PLANIFICACIÓN Y
SEGUIMIENTO responsable de definir los lineamientos estratégicos y acordar los objetivos y las
prioridades de gestión y coordinación de los diferentes organismos del Gobierno Nacional, compuesto
por aquellos Ministerios y Secretarías de Gobierno que tienen atribuciones y responsabilidades
vinculadas al objeto de la presente medida.
Que, asimismo, se propicia crear la Mesa Ejecutiva a los fines lograr un ámbito de mayor capacidad
de resolución para las definiciones necesarias de corto plazo.
Que, en virtud de lo expuesto, y atento a los objetivos y lineamientos propiciados por la presente
medida, corresponde dejar sin efecto el Decreto N° 512 de fecha 7 de mayo de 2009.
Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS del entonces MINISTERIO DE
MODERNIZACIÓN ha tomado la intervención de su competencia.
Que la presente medida se dicta en uso de las facultades conferidas por el artículo 99, inciso 1 de la
CONSTITUCIÓN NACIONAL.
Volver al índice
Por Ello:
El Presidente de la Nación Argentina decreta:
Art. 1º - Apruébanse las bases para la “AGENDA DIGITAL ARGENTINA” que como ANEXO I
(IF-2018-55052681-APN-SGDEIT#JGM) forma parte integrante de la presente medida.
Art. 2º - La “AGENDA DIGITAL ARGENTINA” tendrá como objetivos:
I. Promover que los marcos jurídicos permitan aprovechar las oportunidades digitales, contemplando
tratamiento adecuado de la información pública y privada.
II. Facilitar el desarrollo de la infraestructura y accesibilidad que conecte a todos de manera
inteligente.
III. Fomentar la alfabetización digital como motor para la inclusión.
IV. Desarrollar un Gobierno eficiente y eficaz, orientado al ciudadano, con valores de apertura y
transparencia.
V. Fomentar la educación digital para favorecer la empleabilidad de los ciudadanos en el futuro.
VI. Potenciar el crecimiento económico del país mediante el desarrollo digital, a través de un salto
cuantitativo y cualitativo en la productividad y competitividad.
VII. Desarrollar capacidades en ciberseguridad para generar confianza en los entornos digitales.
VIII. Fomentar el protagonismo internacional de la REPÚBLICA ARGENTINA en el proceso de
transformación digital.
Art. 3º - Créase el CONSEJO DE PLANIFICACIÓN Y SEGUIMIENTO de las acciones que se realicen en
el marco de la AGENDA DIGITAL ARGENTINA, integrado por los titulares del MINISTERIO DE
PRODUCCIÓN Y TRABAJO, del MINISTERIO DE EDUCACIÓN, CULTURA, CIENCIA Y TECNOLOGÍA,
del MINISTERIO DE RELACIONES EXTERIORES Y CULTO, de la SECRETARÍA DE GOBIERNO DE
MODERNIZACIÓN, de la SECRETARÍA DE GOBIERNO DE TRABAJO Y EMPLEO, de la SECRETARÍA
DE GOBIERNO DE AGROINDUSTRIA y de la SECRETARÍA DE GOBIERNO DE CIENCIA, TECNOLOGÍA
E INNOVACIÓN PRODUCTIVA. El Consejo será responsable de definir la AGENDA DIGITAL
ARGENTINA, estableciendo los lineamientos estratégicos y acordando los objetivos y las prioridades
de gestión y coordinación de los diferentes organismos del Gobierno Nacional para su desarrollo, en
el marco de las bases que como ANEXO I integran la presente medida.
Art. 4° - Constitúyese la Mesa Ejecutiva que será coordinada por la SECRETARÍA DE GOBIERNO
DIGITAL E INNOVACIÓN TECNOLÓGICA de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de
la JEFATURA DE GABINETE DE MINISTROS, compuesta por un representante de cada repartición
identificada en el artículo 3° del presente decreto con rango no inferior a DIRECTOR NACIONAL, la
cual será responsable de la elaboración y ejecución del plan de acción anual de la AGENDA DIGITAL
ARGENTINA, incluyendo los planes y proyectos concretos de trabajo, las metas e indicadores de
gestión, y de informar al CONSEJO DE PLANIFICACIÓN Y SEGUIMIENTO sobre el avance en el
cumplimiento de los objetivos propuestos. Asimismo, será responsable de organizar las reuniones de
planificación y monitoreo del citado Consejo y de la mencionada Mesa.
Art. 5° - La Mesa Ejecutiva revisará anualmente las bases para la AGENDA DIGITAL ARGENTINA y
podrá proponer actualizaciones a ser presentadas al Consejo para su consideración y aprobación.
Art. 6° - El Secretario de Gobierno de Modernización o quien éste designe dictará las normas
ampliatorias, aclaratorias y complementarias del presente decreto.
Art. 7° - Derógase el Decreto N° 512 de fecha 7 de mayo de 2009.
Art. 8° - Invítase a las Provincias y a la CIUDAD AUTÓNOMA DE BUENOS AIRES a adherir a la
AGENDA DIGITAL ARGENTINA.
Art. 9° - Comuníquese, etc. Macri - Peña
El Anexo I puede ser consultado en LA LEY NEXT.
Volver al índice
DISPOSICIÓN 1/2021
Norma: DISPOSICIÓN 1/2021
Emisor: DIRECCIÓN NACIONAL DE CIBERSEGURIDAD (D.N.C.)
Sumario:
Dirección Nacional de Ciberseguridad
Centro del Centro Nacional de Respuesta a Incidentes Informáticos
Derogación de la disp. 2/2013 (O.N.T.I.)
Cita Online: AR/LEGI/A9L3
VISTO:
El Expediente EX-2021-00473060- APN-SIP#JGM, el Decreto N° 260 de fecha 12 de marzo de 2020,
la Decisión Administrativa N° 1865 de fecha 14 de octubre de 2020, la Resolución de la JEFATURA DE
GABINETE DE MINISTROS N° 580 de fecha 28 de julio de 2011, la Resolución de la ex SECRETARÍA
DE GOBIERNO DE MODERNIZACIÓN N° 1523 de fecha 12 de septiembre de 2019, la Disposición de la
OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN N° 2 de fecha 8 de agosto de 2013, y
CONSIDERANDO:
Que mediante la Resolución de la JEFATURA DE GABINETE DE MINISTROS N° 580 de fecha 28 de
julio de 2011, se creó el “Programa Nacional de Infraestructuras Críticas de Información y
Ciberseguridad” (ICIC) en el ámbito de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN,
con el objetivo de elaborar un marco regulatorio específico que propicie la identificación y protección
de las infraestructuras estratégicas y críticas de las entidades y jurisdicciones definidas en el artículo
8° de la Ley N° 24.156 y sus modificatorios, los organismos interjurisdiccionales, y las organizaciones
civiles y del sector privado que así lo requieran, así como al fomento de la cooperación y colaboración
de los mencionados sectores con miras al desarrollo de estrategias y estructuras adecuadas para un
accionar coordinado hacia la implementación de las pertinentes tecnologías.
Que la mencionada medida, estableció, de igual manera, que la OFICINA NACIONAL DE
TECNOLOGIAS DE INFORMACION tendría entre otras, la atribución de dictar las normas que resulten
necesarias para la implementación del Programa creado.
Que, dentro de ese marco normativo, mediante la Disposición de la OFICINA NACIONAL DE
TECNOLOGÍAS DE INFORMACIÓN N° 2 de fecha 8 de agosto de 2013, se crearon, en el marco del
“Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad”, y bajo la órbita de
la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION, entre otros, los Grupos de Trabajo:
ICIC-GAP (Grupo de Acción Preventiva), ICIC-GICI (Grupo de Infraestructuras Críticas de Información)
e ICIC-INTERNET SANO, los cuales se encuentran actualmente inactivos.
Que, asimismo, la Disposición ya citada creó, también, el grupo de trabajo “ICIC - CERT” (Computer
Emergency Response Team) en el marco del referido Programa y también bajo la órbita de la OFICINA
NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN.
Que, desde la creación del mencionado Grupo de Trabajo, han surgido en nuestro país otros equipos
especializados de similar naturaleza, que atienden la gestión de incidentes de seguridad de distintos
sectores y organizaciones, y cuyo accionar es necesario articular a nivel nacional.
Que mediante Decisión Administrativa N° 1865 de fecha 14 de octubre de 2020 se aprobó la
estructura organizativa de primer y segundo nivel operativo de la JEFATURA DE GABINETE DE
MINISTROS creándose, entre otras, la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD en el ámbito de
la SECRETARÍA DE INNOVACIÓN PÚBLICA dependiente la JEFATURA DE GABINETE DE MINISTROS,
estableciendo como responsabilidad primaria la de “Entender en los aspectos relativos a la
ciberseguridad y la protección de las infraestructuras críticas de información, así como también a la
generación de capacidades de prevención, detección, defensa, respuesta y recupero ante incidentes
de seguridad informática del Sector Público Nacional”.
Que, la citada medida, determinó, asimismo, entre las acciones de la DIRECCIÓN NACIONAL DE
CIBERSEGURIDAD las de “Diseñar políticas de ciberseguridad, en coordinación con los organismos
del ESTADO NACIONAL con competencia en la materia, elaborar planes, programas y proyectos con
perspectiva federal en materia de ciberseguridad, en el ámbito de competencia de la Secretaría,
Volver al índice
participar en las acciones destinadas a implementar los objetivos fijados en la Estrategia Nacional de
Ciberseguridad, articulando proyectos con las diferentes áreas del ESTADO NACIONAL involucradas,
asistir a la Secretaría en su participación ante el Comité de Ciberseguridad creado por Decreto N°
577/17 y sus modificatorios, y colaborar en la ejecución de las decisiones que se adopten, proponer
proyectos de normas relacionados con la ciberseguridad en la REPÚBLICA ARGENTINA, en
coordinación con las áreas con competencia en la materia” y “entender en los procesos relativos al
accionar del equipo de respuesta a emergencias informáticas a nivel nacional (CERT NACIONAL)”.
Que, de la normativa antes citada, surge que tanto la actividad del Programa de Infraestructuras
Críticas de Información como de los diferentes grupos de trabajo creados por la Disposición de la
OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN N° 2/2013, se encuentran actualmente
bajo la órbita de competencia de la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD.
Que, por la Resolución N° 1523 de la ex SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de fecha
12 de septiembre de 2019 se aprueba la definición de Infraestructuras Críticas y de Infraestructuras
Críticas de Información, la enumeración de los criterios de identificación y la determinación de los
sectores alcanzados.
Que, la Resolución citada en el Considerando anterior define a las Infraestructuras Críticas como
aquellas que resultan indispensables para el adecuado funcionamiento de los servicios esenciales de
la sociedad, la salud, la seguridad, la defensa, el bienestar social, la economía y el funcionamiento
efectivo del Estado, cuya destrucción o perturbación, total o parcial, los afecte y/o impacte
significativamente.
Que, de igual modo, la mencionada Resolución determina como Infraestructuras Críticas de
Información a aquellas tecnologías de información, operación y comunicación, así como la
información asociada, que resultan vitales para el funcionamiento o la seguridad de las
Infraestructuras Críticas.
Que durante el transcurso de vigencia de la Disposición de la OFICINA NACIONAL DE TECNOLOGÍAS
DE INFORMACIÓN N° 2/2013, se ha producido un incremento exponencial en el uso de las
Tecnologías de la Información y las Comunicaciones, por parte de las personas humanas y jurídicas,
tanto públicas como privadas.
Que, particularmente en el curso del presente año, la ampliación de la emergencia pública en materia
sanitaria establecida por Ley N° 27.541, mediante el dictado por el Decreto N° 260 de fecha 12 de
marzo de 2020 y sus complementarias, a raíz de la pandemia declarada por la ORGANIZACIÓN
MUNDIAL DE LA SALUD (OMS) en relación con el coronavirus COVID-19, ha obligado a una más
intensa utilización de las plataformas tecnológicas, especialmente en el ámbito de las entidades y
jurisdicciones del Sector Público Nacional definidas en el inciso a) del artículo 8° de la Ley N° 24.156
y sus modificatorios, al punto que se han tornado indispensables para el desenvolvimiento de toda su
actividad, tanto en lo que se refiere a la gestión interna como a los servicios que prestan a la sociedad.
Que esta notable expansión en el uso de las herramientas digitales, tanto en el campo del trabajo,
como en las actividades económica y educativa, entre otros aspectos de la vida social ha producido
también un aumento considerable de los riesgos y amenazas a la seguridad de la información,
particularmente, en aquellos sistemas informáticos mediante los cuales son brindados por el Sector
Público Nacional de manera eficiente y constante los servicios esenciales a la sociedad.
Que, la celeridad del cambio tecnológico antes referenciado, así como la complejidad creciente de los
sistemas informáticos, obliga a mantener actualizados los medios para su protección a fin de la
efectiva gestión de los incidentes de seguridad y de la prestación de la asistencia necesaria, en
aquellas situaciones que afecten a las entidades y jurisdicciones del Sector Público Nacional
definidas en el inciso a)del artículo 8° de la Ley N° 24.156 y sus modificatorios, en especial en aquellos
vinculados a las Infraestructuras Críticas de Información. Que, todo ello hace indispensable la
derogación de la Disposición de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN N°
2/2013 puesto que la misma ha perdido virtualidad.
Que, en el ámbito internacional, el Informe UNGGE 2015 aprobado por Resolución AG 70/237 de las
Naciones Unidas, ha recomendado a los países miembros: “Establecer a nivel nacional un equipo de
respuesta ante emergencias informáticas o u equipo de respuesta a incidentes de seguridad
informática”.
Volver al índice
Que, consecuentemente, de todo lo expuesto surge que resulta necesaria la creación de un CENTRO
NACIONAL DE RESPUESTA A INCIDENTES INFORMATICOS, como punto de referencia nacional
confiable, especializado y de consulta para la respuesta a incidentes de seguridad informática que
puedan afectar a los sistemas informáticos de las entidades y jurisdicciones antes citadas y que tenga
por objetivo coordinar la gestión de incidentes de seguridad a nivel nacional y prestar asistencia en
aquellos que las afecten y, en particular, a las Infraestructuras Críticas de Información, declaradas
como tales.
Que ha tomado la intervención de su competencia la DIRECCIÓN DE ASUNTOS LEGALES DE
INNOVACIÓN PÚBLICA de la SECRETARIA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE
DE MINISTROS.
Que la presente medida se dicta en virtud de las facultades conferidas por el artículo 4° inciso a) de
la Resolución de la Jefatura de Gabinete de Ministros N° 580/2011 y la Decisión Administrativa N°
1865/2020.
Por ello:
El Director Nacional de Ciberseguridad dispone:
Art. 1° - Crease en el ámbito de la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD el CENTRO

NACIONAL DE RESPUESTA A INCIDENTES INFORMÁTICOS (CERT.ar.), con el objetivo de coordinar
la gestión de incidentes de seguridad a nivel nacional y prestar asistencia en aquellos que afecten a
las entidades y jurisdicciones del Sector Público Nacional definidas en el inciso a) del artículo 8° de
la Ley N° 24.156 y sus modificatorios y a las Infraestructuras Críticas de Información, declaradas como
tales.
Art. 2° - El CERT.ar, tendrá las siguientes funciones específicas:
a. Administrar y gestionar toda la información sobre reportes de incidentes de seguridad en las
entidades y jurisdicciones del Sector Público Nacional definidas en el inciso a) del artículo 8° de la Ley
N° 24.156 y sus modificatorios.
b. Asesorar técnicamente ante incidentes de seguridad en sistemas informáticos que reporten las
entidades y jurisdicciones enumeradas en el artículo 1° de la presente medida.
c. Coordinar las acciones a seguir, ante incidentes de seguridad, con otros Programas y equipos de
respuesta a incidentes de la REPÚBLICA ARGENTINA.
d. Contribuir a incrementar la capacidad de prevención, alerta, detección y recuperación ante
incidentes de seguridad informática que puedan afectar activos de información críticos del país.
e. Interactuar y cooperar con equipos de similar naturaleza de otros países.
f. Llevar un registro de estadísticas y establecer métricas a nivel nacional.
g. Coordinar la gestión de incidentes de seguridad informáticos que afecten recursos críticos a nivel
nacional.
h. Impulsar la formación de capacidades de prevención, detección, alerta y recuperación para la
respuesta ante incidentes de seguridad informática.
i. Cooperar con los gobiernos provinciales y de la Ciudad Autónoma de Buenos Aires en la gestión de
incidentes de seguridad informática.
Art. 3° - Deróguese la Disposición de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN
N° 2 del 8 de agosto de 2013.
Art. 4° - La presente medida entrará en vigencia a partir del día siguiente a su publicación en el
BOLETÍN OFICIAL DE LA REPÚBLICA ARGENTINA.
Art. 5° - Comuníquese, etc. - Sain.
Voces:
Administracion Publica Nacional • Estructura Organica
Alcance:
General
Volver al índice
RESOLUCIÓN 47/2018
RESOLUCIÓN 47/2018
Emisor: AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA A.A.I.P.
Sumario:
Protección de datos personales
Aprobación de las ‘’Medidas de Seguridad Recomendadas para el Tratamiento y Conservación de los Datos Personales en Medios
Informatizados y no Informatizados’’
Derogación de las disp. 11/2006 y 9/2008 (D.N.P.D.P.)
Vigencia inicial: 03/08/2018
Cita: TR LALEY AR/LCON/84ZX
Art. 1º - Deróguense las Disposiciones de la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE

DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS N° 11 del 22 de
setiembre de 2006 y N° 09 del 3 de septiembre de 2008.
Art. 2° - Apruébese el documento denominado "MEDIDAS DE SEGURIDAD RECOMENDADAS PARA
EL TRATAMIENTO Y CONSERVACION DE LOS DATOS PERSONALES EN M E D I O S
INFORMATIZADOS", cuyo texto forma parte integrante de la presente como Anexo I
(IF-2018-34800234-APN-AAIP).
Art. 3° - Apruébese el documento denominado "MEDIDAS DE SEGURIDAD RECOMENDADAS PARA
EL TRATAMIENTO Y CONSERVACION DE LOS DATOS PERSONALES EN MEDIOS NO
INFORMATIZADOS" cuyo texto forma parte integrante de la presente como Anexo II
(IF-2018-34800290-APN-AAIP).
Art. 4º - Comuníquese, etc. - Bertoni.
ANEXO I
"MEDIDAS DE SEGURIDAD RECOMENDADAS PARA EL TRATAMIENTO Y CONSERVACIÓN

DE LOS DATOS PERSONALES EN MEDIOS INFORMATIZADOS".
De modo referencial y con el objetivo de facilitar el cumplimiento de la Ley N° 25.326 de Protección
de los Datos Personales, se establecen las medidas de seguridad recomendadas para la
administración, planificación, control y mejora continua de la seguridad de la información.
Los procesos aquí señalados reúnen el conjunto de tareas y especialidades que las entidades pueden
poseer, con estas u otras denominaciones y en la composición orgánica que mejor satisfaga sus
intereses y funcionamiento.
La Ley N° 25.326 en su artículo 2° define: Datos Personales (en adelante DP) a "Información de
cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables". Datos
Sensibles (en adelante DS) a "Datos personales que revelan origen racial y étnico, opiniones políticas,
convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a
la vida sexual".
Volver al índice
A. RECOLECCIÓN DE DATOS
Relacionado con los procesos necesarios para asegurar la completitud e integridad de los datos,
minimizar los errores e implementar las medidas técnicas con el objeto de asegurar la
confidencialidad y limitar el acceso durante la recolección.
DP
A RECOLECCIÓN DE DATOS
A.1 Integridad
Verificar que los campos que componen el formulario de

A.1.1 Asegurar la completitud recolección de datos permitan el ingreso completo de los
datos requeridos.
Indicar en forma clara y concreta el tipo de información a

A.1.2 Minimizar los errores de ingreso
ingresar y el formato de la misma.
Verificar la exactitud del dato ingresado en caso de que el

A.1.3 Asegurar la integridad tipo de registro lo permita (ej. Fecha formato: DD/MM/
AAAA).
A.2 Confidencialidad
Asegurar la confidencialidad durante el proceso de Cifrar la comunicación cliente-servidor durante la

A.2.1
recolección recolección.
Limitar cache del formulario en el cliente únicamente al

momento de carga de datos.
A.2.2 Limitar el acceso a la recolección de los datos
Limitar la carga de datos en el cliente a una sola sesión de
usuario.
Utilizar certificados digitales seguros y validados por

A.2.3 Limitar el acceso no autorizado durante la recopilación
entidades autorizadas (CA).
DS
Cifrar la comunicación durante el traslado desde el servidor de

A.2.3 Limitar el acceso no autorizado durante la recopilación
aplicación hacia la base de datos.
Volver al índice
B. CONTROL DE ACCESO
Relacionado con la implementación de medidas de seguridad, mecanismos de autenticación,
segregación de roles y funciones, y demás características del acceso a los sistemas para la protección
de la identidad y la privacidad.
DP
B CONTROL DE ACCESO
B.1 Identificación de activos
B.1.1 Identificar los activos Elaborar un inventario de activos informáticos que almacenen o
gestionen datos personales.
Definir propietarios de activos informáticos que almacenen o
gestionen datos personales.
Notificar a los propietarios de activos informáticos que almacenen
B.1.2 Definir responsables y responsabilidades o gestionen datos personales.
Especificar a los propietarios de activos informáticos autorizaciones
de acceso (tipo de acceso y validez).
Elaborar un procedimiento de actualización periódica del inventario.
B.1.3 Verificar la aplicación de controles Elaborar un procedimiento de verificación de autorizaciones.
Elaborar un procedimiento para nuevos activos informáticos,

definiendo responsable asignado y autorizaciones.
B.2 Acceso a los datos
Elaborar un documento interno que defina los controles de acceso

a cada sistema.
B.2.1 Definir e identificar aquellos usuarios que por su rol de

Gestionar los accesos a los sistemas superusuarios (administradores) puedan evadir los controles de
acceso definidos para el propietario.
Controlar y monitorear a los superusuarios (registrando accesos y

actividad).
Disponer de una notificación concreta y formal de las

B.2.2 Asignar los permisos responsabilidades asumidas por cada usuario que acceda
internamente a los sistemas (notificación fehaciente).
Disponer de un sistema que identifique inequívocamente a
cada usuario.
Establecer una política de contraseñas seguras.
Disponer de un registro de acceso a los sistemas.
Disponer de un registro de uso de los sistemas.

B.2.3 Verificar la identificación y autorización
Disponer de un procedimiento de Alta, Baja, Modificación de
usuarios.
Limitar el acceso de los superusuarios a los datos personales o
establecer un seguimiento de su actividad.
Asegurar la implementación de la política de contraseñas seguras
en todos los sistemas.
Evitar el uso de usuarios genéricos.
Disponer de un control de acceso físico al centro de datos.
Elaborar un procedimiento de control de acceso físico.

B.2.4 Controlar el acceso físico al centro de datos
Disponer de un registro de los accesos físicos (identificando día,
hora, ingresantes y motivo).
Asegurar el sistema de registro del control de acceso.
Definir un procedimiento de limpieza de cuentas inactivas con

B.2.5 Monitorear la actividad privilegios de acceso.
Volver al índice
DS
Limitar el acceso interno a los sistemas con un mismo

usuario a una sola sesión concurrente.
Monitorear y controlar las cuentas de usuario que

B.2.5 Monitorear la actividad dispongan de privilegios especiales, identificarlas en
forma diferencial.
Identificar y analizar intentos de autenticación fallidos.
C. CONTROL DE CAMBIOS
Relacionado con la implementación de los procesos para identificar fehacientemente a toda persona
que acceda a realizar cambios en los entornos productivos que contengan datos personales,
garantizando su identificación, autenticación y autorización correspondiente.
DP
C CONTROL DE CAMBIOS
C.1 Control de cambios

recolección de datos permitan el ingreso completo de los
datos requeridos.
Asegurar durante los procesos de cambio las medidas de

C.1.1 Asegurar los cambios Recolección de datos (punto A) y Control de acceso (punto
B).
Disponer de un registro de las verificaciones y/o pruebas

realizadas para asegurar la integridad, disponibilidad y
confidencialidad de los datos.
DS
Definir un responsable de control de entornos productivos.
C.1.1 Asegurar los cambios

Disponer de un procedimiento de control de cambios en
entornos productivos.
Volver al índice
D. RESPALDO Y RECUPERACIÓN
Destinado a la implementación de los procesos de respaldo que permitan una correcta recuperación
ante un incidente que impida el acceso a la información originalmente almacenada, definiendo
prácticas de seguridad, difusión, entrenamiento y capacitación, para el desarrollo de tareas
preventivas y correctivas de los incidentes de seguridad.
DP
D RESPALDO Y RECUPERACIÓN
D.1 Copias de respaldo y proceso de recuperación
Disponer de un procedimiento de resguardo de información donde se

identifique:
qué tipo de información se resguardará
qué medio físico se utilizará
cantidad de copias de resguardo que se realizaran
periodicidad de las ejecuciones de copias de resguardo
descripción del proceso de la realización de copias de resguardo
tiempo de almacenamiento de copias de resguardo
responsable de la realización de copias de resguardo
Asegurar un proceso formal de respaldo y

D.1.1 Definir y verificar procedimiento de pruebas de recuperación.
recuperación
Disponer de un registro de pruebas de recuperación realizadas

identificando:
tipo de información recuperada
lugar y fecha donde se realizaron las pruebas de recuperación
resultado de las pruebas de recuperación
responsable de la realización de las pruebas de recuperación
personal interviniente en las pruebas de recuperación
notificación al responsable de datos
Disponer de un inventario que identifique las copias de seguridad, su

ubicación real y el medio físico en donde se encuentran.
Aplicar las medidas de Control de acceso (B) a las copias de resguardo.
Cifrar las copias de resguardo utilizando herramientas seguras.

D.1.2 Asegurar control de acceso en los medios
Asegurar los entornos de prueba de recuperación utilizando las
mismas medidas de seguridad que un entorno productivo.
Eliminar en forma segura la información recuperada durante las

pruebas una vez verificada su exactitud.
Volver al índice
DS
Disponer medidas de protección contra incendios o inundaciones en

el sitio de almacenamiento de los medios físicos que contienen las
copias de resguardo.
Almacenar las copias de resguardo en una locación física diferente a

la del sistema productivo.
D.1.2 Asegurar control de acceso en los medios
En caso de traslado de copias de resguardo, disponer de un
procedimiento de registro y control del tránsito.
Asegurar los entornos de prueba de recuperación utilizando las

mismas medidas de seguridad que un entorno productivo.
E. GESTIÓN DE VULNERABILIDADES
Destinado a la implementación de procesos continuos de revisión que permitan identificar, analizar,
evaluar y corregir todas las vulnerabilidades posibles de los sistemas informatizados que traten
información, aplicando técnicas de control de la integridad, registro, trazabilidad y verificación.
DP
E GESTIÓN DE VULNERABILIDADES
E.1 Gestión de vulnerabilidades
Considerar y analizar las posibles amenazas a las que estarán
expuestos los sistemas informatizados.
Disponer de un mapa conceptual que permita conocer el flujo de la
E.1.1 Prevenir incidentes de seguridad desde el diseño información entre los distintos sistemas informatizados.
Establecer un documento de seguridad que indique las medidas de
seguridad adoptadas para los sistemas de información.
Establecer controles de seguridad para las aplicaciones que procesen
datos personales, entre ellas:
Segmentación de roles y perfiles
Autenticación segura
Gestión de sesiones [cumpliendo apartado de Control de acceso (B)]
Gestión de mensajes de error en aplicaciones

Implementar reglas y controles de seguridad en los servidores que
estén conectados a una red externa y almacenen o gestionen datos
personales, programando alertas ante posibles ataques.
Segmentar en forma física o lógica la red de la entidad, separando las
E.1.2 Asegurar una protección adecuada áreas públicas de las privadas.
Separar los ambientes de Producción, QA, Prueba y Desarrollo.
Implementar controles para la prevención de virus informáticos en los

servidores que almacenen o gestionen datos personales.
Implementar controles para la prevención de ataques en las estaciones
de trabajo que gestionen datos personales.
Implementar controles para la prevención de virus informáticos en las
estaciones de trabajo que gestionen datos personales.
Establecer y ejecutar un procedimiento de actualización periódica de
software/hardware de todo el equipamiento.
Definir a una persona responsable del cumplimiento de las medidas de
seguridad.
Disponer de un sistema de auditoría de incidentes implementando un
sistema de registro que permita realizar un seguimiento ante eventos o
acciones de un posible incidente (sistema de logs).
Sincronizar todos los servidores/equipamiento con un servidor de
horario público para asegurar una correcta trazabilidad en caso de
E.1.3 Detectar posibles incidentes de seguridad realizar una auditoría.
Implementar un proceso de denuncia que permita que los usuarios
alerten eventos de seguridad.
Disponer de un sistema de gestión de incidentes capaz de mostrar
fecha de registro, documentación relevante, personas involucradas,
activos afectados.
Volver al índice
DS
Establecer controles de seguridad para las aplicaciones que

procesen datos personales, entre ellas:
Filtros de inyección de código en bases de datos
E.1.2 Asegurar una protección adecuada Filtros de inyección de código en aplicaciones
Implementar controles para la detección de intrusiones en la red.
Implementar controles para la detección de intrusos y/o fuga de

información en las estaciones de trabajo que tengan acceso al
tratamiento de datos personales.
Implementar periódicamente procesos de auditoría interna para
verificar el cumplimiento de lo mencionado con anterioridad,
exportando informes y resguardándolos.
E.1.4 Garantizar medidas eficaces y perdurables
Realizar auditorías externas a fin de evaluar la seguridad de los
sistemas internos.
F. DESTRUCCIÓN DE LA INFORMACIÓN
Relacionado con la implementación de los procesos de eliminación de datos, asegurando que el
contenido confidencial sea debidamente destruido, utilizando métodos de borrado seguro y
aplicando un control eficaz del proceso.
DP
F DESTRUCCIÓN DE LA INFORMACIÓN
F.1 Asegurar la destrucción de la información
Establecer un procedimiento de destrucción de datos en donde se
identifique:
tipo de información a destruir
F.1.1 Establecer modelo/formato de destrucción medio que contiene la información
responsable de la destrucción
descripción del proceso y método de destrucción utilizado
Implementar un proceso de destrucción físico o lógico de la

información que asegure el borrado total de la información sin
posibilidad de recuperación de la misma cumpliendo tres premisas:
irreversibilidad
F.1.2 Establecer mecanismos seguros de eliminación
seguridad
confidencialidad
Establecer una persona autorizada para la destrucción y documentar

F.1.3 Designar responsable de destrucción su autorización.
F.1.4 Monitorear el proceso Disponer de un inventario que identifique los medios destruidos.
Volver al índice
DS
Implementar un proceso de destrucción lógico de reescritura

continua, de modo que los datos originales no puedan ser
recuperados, pudiendo reutilizar el medio magnético.
F.1.2 Descarte de medios magnéticos
En caso de no poder realizar el proceso de destrucción lógica,
implementar un proceso de destrucción física utilizando técnicas de
desmagnetización, desintegración, incineración, pulverización,
trituración o fundición.
G. INCIDENTES DE SEGURIDAD
Relativo al tratamiento de los eventos y consecuentes incidentes de seguridad que puedan afectar los
datos personales, su detección, evaluación, contención y respuesta, como así también las actividades
de escalamiento y corrección del entorno técnico y operativo.
DP
G INCIDENTES DE SEGURIDAD
G.1 Notificación ante incidentes de seguridad
Elaborar un procedimiento de gestión ante incidentes de seguridad.

G.1.1 Establecer responsabilidades y procedimientos
Establecer una persona responsable de la comunicación.
Elaborar un informe del incidente de seguridad que tenga de

contenido mínimo:
la naturaleza de la violación
categoría de datos personales afectados

G.1.2 Elaborar informe
Identificación de usuarios afectados
medidas adoptadas por el responsable para mitigar el incidente
medidas aplicadas para evitar futuros incidentes
Enviar notificación de incidente anexando el informe a:

Av. Pte. Gral. Julio A. Roca 710 - CABA - C1067ABP
G.1.3 Enviar notificación
Correo electrónico:
incidente.seguridad@aaip.gob.ar
Volver al índice
H. ENTORNOS DE DESARROLLO
Relativo a la definición de los entornos de desarrollo de los sistemas de información, sean propios o
de terceros.
DP
H ENTORNOS DE DESARROLLO
H.1 Seguridad en los entornos de desarrollo
H.1.1 Implementar política de desarrollo seguro Utilizar técnicas de enmascaramiento o disociación de la

información en entornos de desarrollo, prueba y QA.
En caso de no cumplir el punto H.1.1 y utilizar datos personales en entornos de desarrollo, prueba y QA, deberán considerarse y aplicar
todas las medidas recomendadas anteriormente en los puntos A, B, C, D, E, F, G.
ANEXO II
"MEDIDAS DE SEGURIDAD RECOMENDADAS PARA EL TRATAMIENTO Y CONSERVACIÓN
DE LOS DATOS PERSONALES EN MEDIOS NO INFORMATIZADOS".
De modo referencial y con el objetivo de facilitar el cumplimiento de la Ley N° 25.326 de Protección
de los Datos Personales, se establecen las medidas de seguridad recomendadas para la
administración, planificación, control y mejora continua de la seguridad de la información.
Los procesos aquí señalados reúnen el conjunto de tareas y especialidades que las entidades pueden
poseer, con estas u otras denominaciones y en la composición orgánica que mejor satisfaga sus
intereses y funcionamiento.
La Ley N° 25.326 en su artículo 2° define: Datos Personales (en adelante DP) a "Información de
cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables". Datos
Sensibles (en adelante DS) a "Datos personales que revelan origen racial y étnico, opiniones políticas,
la vida sexual".
A. RECOLECCIÓN DE DATOS
Relacionado con los procesos necesarios para asegurar la completitud e integridad de los datos
minimizando los errores.
DP
A RECOLECCIÓN DE DATOS
A.1 Integridad

A.1.1 Asegurar la completitud recolección de datos permitan el ingreso completo de los
datos requeridos.
Indicar en forma clara y concreta el tipo de información a
A.1.2 Minimizar los errores de ingreso ingresar y el formato de la misma.
Volver al índice
B. CONTROL DE ACCESO
Relacionado con la implementación de medidas de seguridad para la protección de la identidad y la
privacidad.
DP
B CONTROL DE ACCESO
B.1 Identificación de activos
Elaborar un inventario de los archivos de documentos que contengan
B.1.1 Identificar los activos datos personales.
Definir responsables de los archivos de documentos que contengan
datos personales.
Notificar a los responsables de los archivos de documentos que
B.1.2 Definir responsables y responsabilidades contengan datos personales.
Especificar a los responsables de los archivos autorizaciones de acceso
(tipo de acceso y validez).
Elaborar un procedimiento de actualización periódica del inventario.
B.1.3 Definir procedimientos Elaborar un procedimiento de verificación de autorizaciones de acceso.
Elaborar un procedimiento para nuevos archivos, definiendo

responsable asignado y autorizaciones.
B.2 Acceso a los datos
Elaborar un documento interno que defina los controles de acceso a
B.2.1 Gestionar los accesos cada archivo.
Disponer de una notificación concreta y formal de las
B.2.2 Asignar los permisos responsabilidades asumidas por cada responsable que acceda
internamente a los archivos (notificación fehaciente).
B.2.3 Verificar la identificación y autorización Disponer de un registro de acceso a los archivos.
Disponer de un control de acceso físico a los armarios u otros

elementos en los que se almacenen los archivos.
Elaborar un procedimiento de control de acceso físico.

B.2.4 Controlar el acceso físico
Disponer de un registro de los accesos físicos (identificando día, hora,
ingresantes y motivo).
Asegurar el sistema de registro del control de acceso.
B.3 Copia o reproducción

Asegurar un control del responsable autorizado en la generación de
B.3.1 Controlar la copia o reproducción copias o la reproducción de los documentos.
B.4 Traslado de documentación
Adoptar medidas de seguridad a fin de asegurar la confidencialidad e
B.4.1 Controlar el traslado impedir la sustracción, pérdida, manipulación o acceso indebido de la
información objeto de traslado.
DS
Asegurar las medidas de Destrucción de la información (punto D) en

la eliminación de las copias o reproducciones desechadas para evitar
B.3.2 Asegurar la eliminación el acceso a la información contenida en las mismas o su recuperación
posterior.
Volver al índice
C. CONSERVACIÓN DE LA INFORMACIÓN
Relacionado con la implementación de las medidas de control de ventilación, iluminación y demás
condiciones que garanticen la integridad física y funcional de la información.
DS
C CONSERVACIÓN DE LA INFORMACIÓN
C.1 Control de condiciones ambientales
Implementar medidas para evitar la incidencia de luz directa sobre
documentación y archivos.
Asegurar el control de las instalaciones eléctricas en el local de
C.1.1 Condiciones ambientales depósito.
Implementar medidas para controlar las condiciones de temperatura y
humedad en el local de depósito.
C.2 Control de incendios e inundaciones
Disponer de medidas de protección contra incendios o inundaciones en
C.2.1 Incendios e inundaciones el local de depósito.
D. DESTRUCCIÓN DE LA INFORMACIÓN
Relacionado con la implementación de los procesos de eliminación de datos, asegurando que el
contenido confidencial sea debidamente destruido, utilizando métodos de destrucción seguros y
aplicando un control eficaz.
DP
D DESTRUCCIÓN DE LA INFORMACIÓN
D.1 Asegurar la destrucción de la información
Establecer un procedimiento de destrucción de datos en donde
se identifique:
tipo de información a destruir
D.1.1 Establecer modelo/formato de destrucción archivo que contiene la información
responsable de la destrucción
descripción del proceso y método de destrucción utilizado
Implementar un proceso de destrucción físico de la información que

asegure la destrucción total de la información sin posibilidad de
recuperación de la misma cumpliendo tres premisas:
irreversibilidad
D.1.2 Establecer mecanismos seguros de eliminación
seguridad
confidencialidad
Establecer una persona autorizada para la destrucción y documentar

D.1.3 Designar responsable de destrucción su autorización.
D.1.4 Monitorear el proceso Disponer de un inventario que identifique los archivos destruidos.
DS
Implementar un proceso de destrucción física utilizando técnicas de

D.1.5 Descarte de archivos desintegración, incineración, pulverización, trituración o fundición.
Volver al índice
E. INCIDENTES DE SEGURIDAD
Relativo al tratamiento de los eventos y consecuentes incidentes de seguridad, que puedan afectar
los datos personales, su detección, evaluación, contención y tratamiento.
DP
E INCIDENTES DE SEGURIDAD
E.1 Notificación ante incidentes de seguridad
Elaborar un procedimiento de gestión ante incidentes de seguridad.
E.1.1 Establecer responsabilidades y procedimientos
Establecer una persona responsable de la comunicación.
Elaborar un informe del incidente de seguridad que tenga de

contenido mínimo:
la naturaleza de la violación
categoría de datos personales afectados

E.1.2 Elaborar informe
identificación de usuarios afectados
medidas adoptadas por el responsable para mitigar el incidente
medidas aplicadas para evitar futuros incidentes
Enviar notificación de incidente anexando el informe a:

Av. Pte. Gral. Julio A. Roca 710 - CABA - C1067ABP
E.1.3 Enviar notificación
Correo electrónico:
incidente.seguridad@aaip.gob.ar
Volver al índice
Norma: RESOLUCIÓN 139/2022
Emisor: MINISTERIO DE SEGURIDAD (M.S.)
Sumario:
Programa de Fortalecimento en Ciberseguridad y en Investigación del Cibercrimen
Creación del Centro de Investigaciones del Ciberdelito de Alta Tecnología (CICAT)
Fecha de Emisíon: 15/03/2022
Cita Online: AR/LEGI/AGT5
VISTO:
El expediente EX-2022-12081924- -APN-DIC#MSG del registro del MINISTERIO DE SEGURIDAD, la
Ley de Ministerios (t.o. Decreto N° 483 del 12 de marzo de 1992) y sus modificatorias, la Ley de
Seguridad Interior N° 24.059, la Decisión Administrativa N° 335 del 6 de marzo de 2020, la
Resolución del Ministerio de Seguridad N° 75 del 10 de febrero de 2022 , la Resolución del Ministerio
de Seguridad N° 86 del 11 de febrero del 2022 y
CONSIDERANDO:
Que la Ley N° 22.520 de Ministerios (T.O Decreto N° 438/92) y sus modificatorias asignan al
MINISTERIO DE SEGURIDAD la facultad de entender en la determinación de la política criminal y en
la elaboración de planes y programas para su aplicación, así como para la prevención del delito;
procurando garantizar el derecho a la seguridad de los habitantes del país a través de la prevención
del delito, la investigación del crimen organizado, la respuesta efectiva ante el delito complejo y el
cuidado de todas las personas que habitan la República Argentina;
Que la Ley N° 24.059 establece las bases jurídicas, orgánicas y funcionales del sistema de
planificación, coordinación, control y apoyo del esfuerzo nacional de policía tendiente a garantizar la
seguridad interior.
Que el artículo 2° de la ley precitada define a la seguridad interior como “la situación de hecho basada
en el derecho en la cual se encuentran resguardadas la libertad, la vida y el patrimonio de los
habitantes, sus derechos y garantías y la plena vigencia de las instituciones del sistema
representativo, republicano y federal que establece la Constitución Nacional” y el artículo 8° asigna
el ejercicio de la conducción política del esfuerzo nacional de policía al MINISTERIO DE SEGURIDAD.
Que en virtud del artículo 8° de la Ley N° 24.059 de Seguridad Interior se establece en cabeza del
MINISTRO DE SEGURIDAD por delegación del PRESIDENTE DE LA NACIÓN, además de las
competencias que le son otorgadas en la Ley de Ministerios N° 22.520, la facultad de ejercer la
conducción política del esfuerzo nacional de policía; la coordinación del accionar de los referidos
cuerpos y fuerzas entre sí y con los cuerpos policiales provinciales y la dirección superior de los
cuerpos policiales y fuerzas de seguridad del Estado nacional a los fines derivados de la seguridad
interior.
Que en lo que a la presente medida concierne, resulta fundamental señalar que la Ley N° 24.059 en
el artículo 8° ya citado, facultó al MINISTERIO DE SEGURIDAD a entender en la determinación, entre
otros aspectos allí citados, de organización, despliegue, doctrina, capacitación y equipamiento de la
Policía Federal Argentina y Policía de Seguridad Aeroportuaria; e intervenir en dichos aspectos con
relación a Gendarmería Nacional y Prefectura Naval Argentina, en estos últimos casos
exclusivamente a los fines establecidos en la mencionada Ley.
Que la Policía Federal Argentina tiene por función prevenir los delitos de competencia de la justicia
federal, así como practicar las diligencias para asegurar su prueba, descubrir a los autores y
partícipes, y ponerlo a disposición de la Justicia, con los deberes y atribuciones que a la policía
confiere el Código de Procedimientos en lo Criminal (art. 3°, Dto. Ley N° 333/1958).
Por su parte, la Ley de Seguridad Aeroportuaria N° 26.102 y sus modificatorias, establece que
corresponde a la Policía de Seguridad Aeroportuaria prevenir delitos e infracciones en el ámbito
aeroportuario, llevando a cabo las acciones tendientes a impedirlos, evitarlos, obstaculizarlos o
limitarlos (arts. 12° y 13°).
Volver al índice
Que Ley de Gendarmería Nacional Argentina N° 19.349 y sus modificatorias determina que dicha
fuerza de seguridad tiene la función de prevenir delitos e infracciones, poseyendo, para ello, funciones
de policía de prevención en su respectiva jurisdicción (arts. 2° y 3°).
Que la Ley General de la Prefectura Naval Argentina N° 18.398 y sus modificatorias, prescribe que
tiene por función prevenir la comisión de delitos y contravenciones (art. 5°, inc. c], ap. 3°).
Que producto del desarrollo de nuevas tecnologías (TICs), de la digitalización y del ciberespacio,
desde mediados del siglo pasado se viene desarrollando una nueva forma de interacción social a nivel
mundial, que abarca distintos órdenes de la vida, como ser la forma de producción, de financiación,
de relación entre el capital y el trabajo, la forma en que las personas se comunican, entre otras
cuestiones.
Que en esta línea, la Organización para la Cooperación y el Desarrollo Económico (OCDE) en su
documento “Perspectiva de la OCDE sobre la economía digital” del año 2017 dio cuenta de que en la
Reunión Ministerial de 2016 de dicha organización , llevada a cabo en Cancún, México, se reconoció
“...que la transformación digital que ha estado en marcha durante varias décadas se extiende a toda
la economía y sociedad en muchos países, con las infraestructuras digitales casi desplegadas por
completo en la zona de la OCDE, el acceso a Internet creció del 4% al 40% de la población mundial
en tan solo 20 años, y las economías emergentes y en desarrollo utilizan cada vez más las tecnologías
digitales en áreas que van desde el comercio electrónico hasta la agricultura y la banca”.
Que por su parte la Comisión Económica para América Latina y el Caribe (CEPAL) en su documento
“Datos y hechos sobre la transformación digital”, ha indicado que alrededor del 70% e la población
de América Latina y el Caribe es usuaria de Internet, teniendo un crecimiento de la cantidad de
suscripción a banda ancha fija de alrededor del 9% anual de 2010 a 2019, en tanto que en 2019 cerca
del 95% se encuentra cubierta por una red móvil de 3G y el 88% por una red de 4G.
Que el Instituto Nacional de Estadísticas y Censos (INDEC) dio muestra de este desarrollo en nuestro
país en su informe “Acceso y uso de tecnologías de la información y la comunicación. EPH. 4 trimestre
de 2020” en el que se señala en el cuarto trimestre del año 2020 se registró que el 90% de los
hogares tiene acceso a internet, mientras que el 63,8% tiene acceso a una computadora. Si se observa
por población, 86 personas de cada 100 personas utilizan internet, y 88 de cada 100 personas utilizan
un teléfono celular, lo que según este informe implica un incremento con respecto al año anterior.
Que le desarrollo de las TICs, la digitalización y el ciberespacio sin duda ofrece innumerables
posibilidades en vista al desarrollo humano, pero a su vez traen aparejados riesgos y amenazas que
intentan ser aprovechados por aquellas personas que buscan cometer actos delictivos.
Que esta situación se ha magnificado durante los años 2020 y 2021 producto de los cambios sociales
y culturales que fueron ocurriendo en la sociedad a partir del brote infeccioso por Coronavirus
(COVID-19) y las distintas medidas que los gobiernos, empresas y ciudadanos debieron adoptar para
prevenir y dar una respuesta a la pandemia.
Que, en el sentido mencionado INTERPOL sostuvo en el año 2020 que “...la ciberdelincuencia ha
puesto de manifiesto un cambio sustancial en los objetivos de los ataques, que antes eran
particulares y pequeñas empresas y ahora tienden a ser grandes multinacionales, administraciones
estatales e infraestructuras esenciales.”, y agregó que “En solo un cuatrimestre (entre enero y abril),
uno de los socios de INTERPOL del sector privado detectó 907.000 correos basura, 737 incidentes de
tipo malware, y 48.000 URL maliciosas, todos ellos relacionados con la COVID-19.”
Que, en esta línea, se pueden identificar distintos tipos de ciberdelincuentes, entre los cuales se
pueden reconocer a personas que no forman parte de ninguna estructura asociada a la criminalidad
organizada y cometen ilícitos con beneficios solo para sí mismo mientras que, por otra parte,
encontramos ciberdelincuentes que forman parte de organizaciones criminales complejas asociadas
con el fin de obtener un rédito económico, político o geopolítico, siendo un caso de estos los grupos
que utilizan amenazas persistentes avanzadas (Advanced Persistent Threads – APT) con el objeto y
la capacidad de atacar de forma avanzada, a través de múltiples vectores de actuación y de forma
constante en el tiempo, un objetivo estratégico determinado, sea éste una empresa, una
infraestructura crítica o dependencias de gubernamentales.
Volver al índice
Que por Resolución del Ministerio de Seguridad N° 75 de fecha 10 de febrero de 2022 se aprobó el
“PLAN FEDERAL DE PREVENCIÓN DE DELITOS TECNOLÓGICOS Y CIBERDELITOS (2021 - 2024)”, el
cual tiene por objetivo general “Garantizar, en la medida de lo técnico y jurídicamente posible, el uso
seguro del ciberespacio, protegiendo los derechos y garantías reconocidos en la normativa vigente,
para los habitantes de la República Argentina.”, y en lo atinente a la presente medida como línea de
acción la de “Crear un centro de investigación en la materia compuesto por las fuerzas federales para
la investigación de delitos de alta tecnología”
Que por Resolución del Ministerio de Seguridad N° 86 de fecha 11 de febrero de 2022 se creó el
“PROGRAMA DE FORTALECIMIENTO EN CIBERSEGURIDAD Y EN INVESTIGACION DEL
CIBERCRIMEN (ForCIC), que tiene por misión “coordinar, asistir y brindar asesoramiento en técnicas
de seguridad de las infraestructuras digitales y en técnicas de investigación en materia de
ciberdelitos.”
Que, en lo que a la presente medida concierne, el mencionado Programa tiene como uno de sus
objetivos incrementar las capacidades de prevención, detección e investigación del ciberdelito y como
acción específica la creación del “CENTRO DE INVESTIGACIÓN DE CIBERDELITOS DE ALTA
TECNOLOGÍA (CICAT)”, lo que permitirá aprovechar la experiencia de trabajo de cada fuerza policial
y de seguridad federal, optimizar los recursos humanos y materiales y generar buenas prácticas para
la prevención de las modalidades delictivas de su competencia.
Que por su parte, en lo que refiere a capacitaciones las acciones serán articuladas con la
Subsecretaría de Formación y Carrera de la SECRETARÍA DE SEGURIDAD Y POLÍTICA CRIMINAL.
Que la SECRETARÍA DE SEGURIDAD Y POLÍTICA CRIMINAL y la UNIDAD DE GABINETE DE
ASESORES de este Ministerio han tomado intervención.
Que la Dirección de Asuntos Jurídicos del Ministerio de Seguridad ha emitido dictamen conforme sus
competencias.
Que la presente medida se dicta en uso de las atribuciones conferidas por los artículos 4°, inciso b,
apartado 9° y 22° bis de la Ley N° 22.520 de Ministerios (t.o 1992) y sus modificatorias.
Por ello:
El Ministro de Seguridad resuelve:
Art. 1° - Créase en el marco del “Programa de Fortalecimiento en Ciberseguridad y en Investigación

del Cibercrimen” el CENTRO DE INVESTIGACIONES DEL CIBERDELITO DE ALTA TECNOLOGÍA
(CICAT) que tendrá por misión el análisis, investigación y prevención de ciberdelitos de Alta
Tecnología.
Art. 2° - El CENTRO DE INVESTIGACIONES DEL CIBERDELITO DE ALTA TECNOLOGÍA (CICAT)
funcionará en el ámbito de la UNIDAD DE GABINETE DE ASESORES del MINISTERIO DE
SEGURIDAD.
Art. 3° - Los lineamientos, normas aclaratorias y la evaluación estratégica del CICAT estará a cargo
del responsable del “PROGRAMA DE FORTALECIMIENTO EN CIBERSEGURIDAD Y EN
INVESTIGACION DEL CIBERCRIMEN (ForCIC)”.
Art. 4° - Apruébense los, objetivos, acciones e integración del CICAT establecidas en el Anexo Único
(IF-2022-15535866-APN-DIC#MSG) que forma parte integrante a la presente Resolución.
Art. 5° - El CENTRO DE INVESTIGACIONES DEL CIBERDELITO DE ALTA TECNOLOGÍA (CICAT) estará
integrado por personal con estado policial de la POLICIA FEDERAL ARGENTINA, la GENDARMERIA
NACIONAL ARGENTINA, la POLICIA DE SEGURIDAD AEROPORTUARIA y la PREFECTURA NAVAL
ARGENTINA, acorde a lo establecido en el Anexo I precitado.
Art. 6° - El personal con estado policial del CICAT dependerán funcionalmente de un coordinador que
será oficial superior en actividad de la POLICÍA FEDERAL ARGENTINA (PFA).
Art. 7°- Instrúyase al Jefe de la POLICIA FEDERAL ARGENTINA, al Director Nacional de
GENDARMERIA NACIONAL ARGENTINA, al Director Nacional de POLICÍA DE SEGURIDAD
AEROPORTUARIA y al Prefecto Nacional Naval de PREFECTURA NAVAL ARGENTINA a designar en
un plazo de SESENTA (60) días corridos al personal que participará en el CICAT, notificando de ello a
la UNIDAD DE GABINETE DE ASESORES del MINISTERIO DE SEGURIDAD.
Volver al índice
Art. 8° - Las policías provinciales y de la Ciudad Autónoma de Buenos Aires podrán realizar pasantías
en el CICAT, previa adhesión al “Plan Federal de Prevención de Delitos Tecnológicos y Ciberdelitos”.
Art. 9° - Facúltase al Titular de la UNIDAD DE GABINETE DE ASESORES del MINISTERIO DE
SEGURIDAD para dictar todas las normas reglamentarias tendientes a la implementación de la
presente medida.
Art. 10° - La presente medida entrará en vigor a partir de su publicación en el Boletín Oficial de la
República Argentina.
Art. 11° - Comuníquese, etc. - Fernández.
ANEXO
Anexo Único Objetivos del CICAT
Artículo 1° - El CENTRO DE INVESTIGACIONES DEL CIBERDELITO DE ALTA TECNOLOGÍA (CICAT)

tendrá por objetivo realizar las investigaciones que le fueran requeridas en los siguientes casos:
a. Cuando se presuma la existencia actividades posiblemente delictivas contra computadoras,
sistemas de información y/o redes informáticas que por su especificidad y/o complejidad y/o urgencia
deba ser asignada al CICAT.
b. Cuando se presuma la existencia de una organización criminal compleja que realice actividades
presuntamente delictivas, tipificadas como delitos federales que, por su especificidad, complejidad
y/o urgencia deba ser asignada al CICAT.
prestará colaboración en las investigaciones que le fueran requeridas, en el caso de delitos
presuntamente cometidos a través de medios digitales, contra la integridad sexual de niños, niñas y
adolescentes.
tendrá a su cargo las siguientes acciones:
a. Entender en las investigaciones que le sean encomendadas.
b. Articular acciones dentro de sus lineamientos estratégicos a nivel federal, en casos de
investigaciones de ciberdelitos en las que sea requerida su asistencia por parte de las fuerzas
policiales de las provincias y la Ciudad Autónoma de Buenos Aires.
c. Analizar y proponer métodos, técnicas, herramientas, procesos y protocolos para lograr la mejora
continua del accionar policial, en materia de investigación de ciberdelitos y análisis forense digital.
d. Proponer capacitaciones a miembros policiales de las diferentes jurisdicciones adherentes, que se
encuentren desempeñando en pasantía en el CICAT.
e. Recopilar y proponer actualizaciones de los protocolos, procedimientos, manuales y toda aquella
reglamentación que sean llevados adelante por cada área competente en la materia de cada una de
las fuerzas policiales y de seguridad federales.
f. Asistir técnicamente, a requerimiento de autoridad competente, como punto focal en las
investigaciones que se produzcan en el marco de instrumentos internacionales suscriptos por la
REPÚBLICA ARGENTINA, en particular el “CONVENIO SOBRE CIBERDELITO” de la Unión Europea,
aprobado por Ley N° 27.411.
g. Entender en las acciones en materia de forensia digital en las investigaciones a su cargo.
estará compuesto por una Unidad Central, ubicado en la Ciudad de Buenos Aires, y Unidades
Regionales.
Las Unidades Regionales dependerán orgánica y funcionalmente de la Unidad Central.
La Unidad Central del CICAT funcionará en dependencias de la SUPERINTENDENCIA DE
INVESTIGACIONES FEDERALES de la POLICÍA FEDERAL ARGENTINA.
Volver al índice
Artículo 5° - Facúltase al Titular de UNIDAD DE GABINETE DE ASESORES del MINISTERIO DE
SEGURIDAD para comunicar dentro de los TREINTA (30) días desde la vigencia de la presente, los
requisitos en particular que deberán reunir los efectivos que sean designados por los titulares de las
Fuerzas Policiales y de Seguridad para integrar el CENTRO DE INVESTIGACIONES DEL CIBERDELITO
DE ALTA TECNOLOGÍA (CICAT).
Artículo 6° - Los agentes que sean seleccionados para el CENTRO DE INVESTIGACIONES DEL
CIBERDELITO DE ALTA TECNOLOGÍA (CICAT) prestarán servicios con dedicación exclusiva por el
término de DOS (2) años, con la posibilidad de prórroga a solicitud del Titular de la Fuerza a la que
pertenezcan o a requerimiento del Titular de la UNIDAD DE GABINETE DE ASESORES del
MINISTERIO DE SEGURIDAD.
Artículo 7° - Una vez concluida su participación en El CENTRO DE INVESTIGACIONES DEL
CIBERDELITO DE ALTA TECNOLOGÍA (CICAT), los agentes deberán ser afectados por un mínimo de
DOS (2) años al área de investigación en ciberdelitos de la fuerza que corresponda según su situación
de revista, realizando tareas de investigación y transferencia de conocimiento.
El máximo Titular de cada Fuerza Policial o de Seguridad por razones de servicio y/o carrera podrá
disponer excepciones a la obligación antes mencionada de de prestar servicio en la dependencia de
ciberdelito de cada fuerza.
Artículo 8° - Los agentes afectados al CENTRO DE INVESTIGACIONES DEL CIBERDELITO DE ALTA
TECNOLOGÍA (CICAT) partiparán en la elaboración de procedimientos, buenas prácticas, desarrollo
e implementación de herramientas en software libre y/o código abierto, documentación y
capacitaciones.
Artículo 9° - Los efectivos de las fuerzas federales policiales y de seguridad que forman parte del
CENTRO DE INVESTIGACIONES DEL CIBERDELITO DE ALTA TECNOLOGÍA (CICAT) recibirán por
parte del MINISTERIO DE SEGURIDAD formación y capacitación.
La Subsecretaría de Formación y Carrera de la SECRETARÍA DE SEGURIDAD Y POLÍTICA CRIMINAL
en coordinación con la UNIDAD DE GABINETE DE ASESORES del MINISTERIO DE SEGURIDAD
intervendrán en la planificación y gestión de las actividades de formación y capacitación estipuladas
en el párrafo anterior.
Voces:
Ciencia y Tecnologia • Comunicación Eletronica de Datos • Delito Informatico • Medidas de Seguridad • Pirateria Informatica
Alcance:
General
Volver al índice
Sumario:
Administración Pública
Programa Naciona de Infraestructuras Críticas de Información y Ciberseguridad
Creación
Objetivo
Cita Online: AR/LEGI/6NUH
VISTO:
El Expediente CUDAP: EXP-JGM: 0005475/2011 del Registro de la JEFATURA DE GABINETE DE
MINISTROS, la Ley de Ministerios (t.o. Decreto Nº 438/92) y la Resolución ex SFP Nº81 del 14 de julio
de 1999 y,
CONSIDERANDO:
Que el mundo contemporáneo se caracteriza por los profundos cambios originados en el desarrollo y
difusión de las tecnologías de la información y la comunicación en la sociedad, las cuales se
encuentran sustentadas en gran medida en el ciberespacio.
Que la utilización de las comunicaciones virtuales es un recurso que depende de la infraestructura
digital, la cual es considerada como infraestructura crítica, entendiéndose ésta como imprescindible
para el funcionamiento de los sistemas de información y comunicaciones, de los que a su vez
dependen de modo inexorable, tanto el Sector Público Nacional como el sector privado, para cumplir
sus funciones y alcanzar sus objetivos.
Que la seguridad de la infraestructura digital se encuentra expuesta a constantes amenazas, que en
caso de materializarse pueden ocasionar graves incidentes en los sistemas de información y
comunicaciones, por lo que resulta imprescindible adoptar las medidas necesarias para garantizar el
adecuado funcionamiento de las infraestructuras críticas.
Que oportunamente, mediante Resolución ex SFP Nº81/99 se creó la Coordinación de Emergencia en
Redes Teleinformáticas de la Administración Pública Argentina (ARCERT), en el ámbito de la ex
SUBSECRETARIA DE TECNOLOGIAS INFORMATICAS de la ex SECRETARIA DE LA FUNCION
PUBLICA de la JEFATURA DE GABINETE DE MINISTROS.
Que por ello resulta conveniente la creación del “PROGRAMA NACIONAL DE INFRAESTRUCTURAS
CRITICAS DE INFORMACION Y CIBERSEGURIDAD”, en el ámbito de la OFICINA NACIONAL DE
TECNOLOGIAS DE INFORMACION” de la SUBSECRETARIA DE TECNOLOGIAS DE GESTION de la
SECRETARIA DE GABINETE de la JEFATURA DE GABINETE DE MINISTROS, a fin de impulsar la
creación y adopción de un marco regulatorio específico que propicie la identificación y protección de
las infraestructuras estratégicas y críticas del Sector Público Nacional, los organismos
interjurisdiccionales y las organizaciones civiles y del sector privado que así lo requieran, y la
colaboración de los mencionados sectores con miras al desarrollo de estrategias y estructuras
adecuadas para un accionar coordinado hacia la implementación de las pertinentes tecnologías,
entre otras acciones.
Que deviene menester la derogación de la Resolución ex SFP Nº81/99.
Que han tomado la intervención de su competencia la DIRECCION GENERAL DE ASUNTOS
JURIDICOS de la SECRETARIA DE GABINETE de la JEFATURA DE GABINETE DE MINISTROS.
Que el presente acto se dicta en ejercicio de las facultades conferidas por el Artículo 103 de la
CONSTITUCION NACIONAL.
Volver al índice
Por ello,
El Jefe De Gabinete De Ministros Resuelve:
Artículo 1° - Créase, en el ámbito de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION de
la SUBSECRETARIA DE TECNOLOGIAS DE GESTION de la SECRETARIA DE GABINETE de la
JEFATURA DE GABINETE DE MINISTROS, el “PROGRAMA NACIONAL DE INFRAESTRUCTURAS
CRITICAS DE INFORMACION Y CIBERSEGURIDAD”.
Artículo 2° - El “PROGRAMA NACIONAL DE INFRAESTRUCTURAS CRITICAS DE INFORMACION Y
CIBERSEGURIDAD” tiene como objetivo la elaboración de un marco regulatorio específico que
propicie la identificación y protección de las infraestructuras estratégicas y críticas de las entidades y
jurisdicciones definidas en el artículo 8º de la Ley Nº24.156 y sus modificatorios, los organismos
interjurisdiccionales, y las organizaciones civiles y del sector privado que así lo requieran, así como al
fomento de la cooperación y colaboración de los mencionados sectores con miras al desarrollo de
estrategias y estructuras adecuadas para un accionar coordinado hacia la implementación de las
pertinentes tecnologías.
CIBERSEGURIDAD” tendrá a su cargo los siguientes objetivos:
a. Elaborar y proponer normas destinadas a incrementar los esfuerzos orientados a elevar los
umbrales de seguridad en los recursos y sistemas relacionados con las tecnologías informáticas en el
ámbito del Sector Publico Nacional.
b. Colaborar con el sector privado para elaborar en conjunto políticas de resguardo de la seguridad
digital con actualización constante, fortaleciendo lazos entre los sectores público y privado; haciendo
especial hincapié en las infraestructuras críticas.
c. Administrar toda la información sobre reportes de incidentes de seguridad en el Sector Público
Nacional que hubieren adherido al Programa y encausar sus posibles soluciones de forma organizada
y unificada.
d. Establecer prioridades y planes estratégicos para liderar el abordaje de la ciberseguridad,
asegurando la implementación de los últimos avances en tecnología para la protección de las
infraestructuras críticas.
e. Investigar nuevas tecnologías y herramientas en materia de seguridad informática.
f. Incorporar tecnología de última generación para minimizar todas las posibles vulnerabilidades de
la infraestructura digital del Sector Público Nacional.
g. Asesorar a los organismos sobre herramientas y técnicas de protección y defensa de sus sistemas
de información.
h. Alertar a los organismos que se adhieran al presente Programa sobre casos de detección de
intentos de vulneración de infraestructuras críticas, sean estos reales o no.
i. Coordinar la implementación de ejercicios de respuesta ante la eventualidad de un intento de
vulneración de las infraestructuras críticas del Sector Público Nacional.
j. Asesorar técnicamente ante incidentes de seguridad en sistemas informáticos que reporten los
organismos del Sector Público Nacional que hubieren adherido.
k. Centralizar los reportes sobre incidentes de seguridad ocurridos en redes teleinformáticas del
Sector Público Nacional que hubieren adherido al Programa y facilitar el intercambio de información
para afrontarlos.
l. Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas,
técnicas de protección y defensa.
m. Promover la coordinación entre las unidades de administración de redes informáticas del Sector
Público Nacional, para la prevención, detección, manejo y recopilación de información sobre
incidentes de seguridad.
n. Elaborar un informe anual de la situación en materia de ciberseguridad, a efectos de su publicación
abierta y transparente.
ñ. Monitorear los servicios que el Sector Público Nacional brinda a través de la red de Internet y
aquellos que se identifiquen como Infraestructura Crítica para la prevención de posibles fallas de
Seguridad.
Volver al índice
o. Promover la concientización en relación a los riesgos que acarrea el uso de medios digitales en el
Sector Público Nacional, las Organizaciones de Gobierno, al público en general, como así también del
rol compartido entre el Sector Público y Privado para el resguardo de la Infraestructura Crítica.
p. Difundir información útil para incrementar los niveles de seguridad de las redes teleinformáticas
del Sector Público Nacional.
q. Interactuar con equipos de similar naturaleza.
CIBERSEGURIDAD” estará a cargo de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION
quien tendrá las siguientes atribuciones:
a. Dictar las normas que resulten necesarias para su implementación.
b. Crear una página web para ejecutar las acciones tendientes a cumplir con los objetivos
establecidos.
c. Coordinar las actividades con las entidades y jurisdicciones del Sector Público Nacional, los entes
interjurisdiccionales y las organizaciones civiles y del sector privado que adhieran al “PROGRAMA
NACIONAL DE INFRAESTRUCTURAS CRITICAS DE INFORMACION Y CIBERSEGURIDAD”.
Artículo 5° - Invítase a las entidades y jurisdicciones definidas en el artículo 8º de la Ley Nº24.156 y
sus modificatorias, los organismos interjurisdiccionales, y las organizaciones civiles y del sector
privado a adherir al “PROGRAMA NACIONAL DE INFRAESTRUCTURAS CRITICAS DE INFORMACION
Y CIBERSEGURIDAD”.
CIBERSEGURIDAD” no interceptará ni intervendrá en conexiones o redes de acceso privado de
acuerdo a lo estatuido por la Ley Nº25.326 de Protección de los Datos Personales y su Decreto
Reglamentario Nº1558 del 29 de noviembre de 2001.
Artículo 7° - La OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION, en su carácter de
autoridad de aplicación, brindará el apoyo técnico y administrativo necesario para la implementación
del “PROGRAMA NACIONAL DE INFRAESTRUCTURAS CRITICAS DE INFORMACION Y
CIBERSEGURIDAD”.
CIBERSEGURIDAD” deberá elevar al Jefe de Gabinete de Ministros las propuestas normativas
elaboradas en los términos del artículo 2º de la presente.
Artículo 9° - Derógase la Resolución de la ex SECRETARIA DE LA FUNCION PUBLICA Nº81 del 14 de
julio de 1999, sus modificatorias y complementarias.
Artículo 10° - Comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y
archívese. — Aníbal D. Fernández.
Voces:
Administracion Publica Nacional • Empleo Publico • Informatica • Jefatura de Gabinete • Tecnologia de La Información
Citas Legales:
Citas Legales: Ley 22.520 (ley de ministerios - t. o. 1992): LII-B, 1623.
Alcance:
Particular
Volver al índice
Emisor: SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN S.G.M.
Sumario:
Secretaría de Gobierno de Modernización
Aprobación de la Estrategia Naciona de Ciberseguridad
Cita: TR LALEY AR/LCON/8HZC
Artículo 1° - Aprúebase la ESTRATEGIA NACIONAL DE CIBERSEGURIDAD, que como ANEXO I

(IF-2019-49036224-APN-SGM#JGM), forma parte integrante de la presente medida.
Artículo 2° - Créase en el marco del COMITÉ DE CIBERSEGURIDAD, y en la órbita de la SECRETARÍA
DE GOBIERNO DE MODERNIZACIÓN, la Unidad Ejecutiva, cuyas funciones se consignan en el
ANEXO II (IF-2019-49036696-APN-SGM#JGM) del presente decreto.
Artículo 3° - Invítase a las Provincias y a la CIUDAD AUTÓNOMA DE BUENOS AIRES a adherir a la
ESTRATEGIA NACIONAL DE CIBERSEGURIDAD, aprobada por el artículo 1º del presente.
Artículo 4° - Comuníquese, etc.- Ibarra
ANEXO I
ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DE LA REPÚBLICA ARGENTINA
INTRODUCCIÓN.
La Estrategia Nacional de Ciberseguridad, establecida por el Poder Ejecutivo Nacional con el
consenso del conjunto de la sociedad en forma multidisciplinaria y multisectorial, sienta los principios
básicos y desarrolla los objetivos fundamentales que permitirán fijar las previsiones nacionales en
materia de protección del Ciberespacio. Su finalidad es brindar un contexto seguro para su
aprovechamiento por parte de las personas y organizaciones públicas y privadas, desarrollando de
forma coherente y estructurada, acciones de prevención, detección, respuesta y recuperación frente a
las ciberamenazas, juntamente con el desarrollo de un marco normativo acorde.
A partir del desarrollo de la Estrategia Nacional de Ciberseguridad, a cargo del COMITÉ DE
CIBERSEGURIDAD creado por el Decreto N° 577 del 28 de julio de 2017, se desplegarán las acciones
para el uso seguro del Ciberespacio en nuestro país, impulsando una visión integradora cuya
aplicación ayude a garantizar la seguridad y el progreso de nuestra Nación.
Estas acciones se llevarán a cabo sobre la base de la coordinación y cooperación entre la
Administración Pública Nacional, otros poderes nacionales, las administraciones y poderes de las
jurisdicciones provinciales y de la CIUDAD AUTÓNOMA DE BUENOS AIRES, y municipales, el sector
privado, las organizaciones no gubernamentales y las entidades académicas. Todo ello se hará
efectivo en el marco del respeto a los principios recogidos en la CONSTITUCIÓN NACIONAL y a las
disposiciones de los tratados y acuerdos internacionales a los que la REPÚBLICA ARGENTINA ha
adherido.
La irrupción de las nuevas Tecnologías de la Información y las Comunicaciones ha significado un
punto de inflexión en la historia. Todos los aspectos de la vida humana están atravesados por este
fenómeno. Hoy las personas se comunican, se expresan, se educan, crean, comercian, investigan y
desarrollan gran parte de su vida social y laboral en el Ciberespacio.
Asimismo, las organizaciones se han redefinido en torno a estos avances, con independencia de su
tamaño, el sector al que pertenecen, su ubicación geográfica o su objeto. Estas tecnologías han
incrementado notablemente la eficiencia de las estructuras económicas, al punto tal que ya no es
posible prescindir de ellas, ni concebir el futuro sin su creciente presencia.
Este fenómeno tiene enormes implicancias en cuanto a las posibilidades que brinda para el desarrollo
humano, el progreso económico y los avances científicos. El horizonte que se abre hacia el futuro, es
el de una promesa extraordinaria de progreso y bienestar. A manera de ejemplo, los últimos
desarrollos en materia de "Internet de las cosas" permitirán alcanzar niveles de bienestar
impensables hasta hace pocos años.
Volver al índice
Por ello es necesario trabajar para que los beneficios de estas innovaciones se distribuyan con justicia
y equilibrio. Sin embargo, este horizonte también nos muestra graves amenazas y efectivos daños a
los derechos de las personas y las organizaciones, en especial en lo referido a la privacidad de sus
datos personales, así como también, riesgos potencialmente devastadores para la paz y la seguridad
internacionales.
El Ciberespacio, nombre por el que se designa al dominio global y dinámico compuesto por las
infraestructuras de tecnología de la información, incluida Internet, las redes y los sistemas de
información y de telecomunicaciones, tiene entre otras, como características esenciales, su dimensión
global y transfronteriza, su naturaleza dual, su masividad y su vertiginosa y constante evolución.
Como toda construcción humana, esta revolución tecnológica no es perfecta, contiene errores y
debilidades y conlleva vulnerabilidades que es necesario reconocer. Uno de los prerrequisitos
esenciales para que el Ciberespacio se despliegue en toda su potencialidad en beneficio de la
humanidad, es alcanzar niveles razonables de seguridad y confiabilidad.
Nos encontramos frente a un cambio de paradigma, a partir del cual se han trasladado al entorno
virtual una gran cantidad de actividades. La realidad exhibe que servicios esenciales para la vida de
las personas y para la economía, como la energía, el agua, el transporte, las comunicaciones y los
servicios financieros, entre otros, tienen en la actualidad una fuerte dependencia de las redes
informáticas. Su protección es extremadamente compleja, entre otras razones, porque implica la
coordinación de esfuerzos de múltiples actores públicos y privados.
Por otra parte, el uso de las Tecnologías de la Información y las Comunicaciones para el
relacionamiento entre las personas, la interacción del Estado con el ciudadano o el surgimiento de la
economía digital, entre otras actividades, ha contribuido al crecimiento exponencial del uso del
Ciberespacio, aumentando consecuentemente los riesgos a los que se encuentran expuestas las
personas y las organizaciones. Es necesario reconocer esta realidad y asumir su complejidad, como
primer paso indispensable para enfrentar las dificultades y problemas y hallar las soluciones
adecuadas.
La realidad nos muestra que en el Ciberespacio existen, entre otras, dificultades originadas en
aspectos relacionados con la atribución de responsabilidad, las vulnerabilidades de las
infraestructuras críticas, las grandes asimetrías que se manifiestan entre los países a partir de la
globalización y las cuestiones vinculadas con el ejercicio de la soberanía. Este último concepto en
particular, entendido como el ejercicio supremo del poder del Estado, está necesariamente vinculado
a lo territorial. Sin embargo, Internet representa un dominio global e intangible y un flujo infinito de
datos sobre el cual no se ejerce dominio ni soberanía, poniendo a prueba el concepto antes
mencionado e instaurando un nuevo paradigma que es necesario entender.
El escenario internacional presenta fuertes antagonismos y tensiones. Un número importante de
países está haciendo un uso militar creciente del Ciberespacio, generando inestabilidad y
desconfianza entre las naciones y temores en las sociedades. En este marco, la REPÚBLICA
ARGENTINA promoverá en todos los foros en los que participe, el uso pacífico del Ciberespacio y
apoyará toda iniciativa que tenga por fin la instauración de valores como la Justicia, el respeto al
Derecho Internacional, el equilibrio y la disminución de la brecha digital entre las naciones,
impulsando el diálogo y la cooperación. El Ciberespacio debe constituirse en un dominio en el que
impere la paz, sustrayéndolo de posibles conflictos armados.
Otra característica esencial de este proceso revolucionario, es su naturaleza global. Si bien la "brecha
digital" entre países desarrollados y países en desarrollo es, en algunos casos, abismal, podemos
afirmar que no hay región de la tierra que no esté, en alguna medida, alcanzada por estas
transformaciones.
Atento el fuerte crecimiento de las empresas multinacionales que basan su negocio en la colección y
el procesamiento de datos personales y que muchas veces tienen su sede y/o el despliegue de sus
actividades en otras jurisdicciones, encontrándose por lo tanto sometidas a legislaciones foráneas, es
necesario que la REPÚBLICA ARGENTINA tome debida nota de este fenómeno, a los fines de adoptar
las medidas idóneas para proteger la privacidad de los datos de las personas y organizaciones de
nuestro país.
Volver al índice
Una paradoja que acompaña la masividad del uso del Ciberespacio es que, a mayor desarrollo, mayor
es la vulnerabilidad. En efecto, a medida que una sociedad avanza y mayor es la cantidad de personas
y organizaciones públicas y privadas que se conectan a las redes, mayores son los riesgos y desafíos.
Sin perjuicio de ello, hoy el progreso y el bienestar en todos los campos, están indisolublemente
ligados al desarrollo digital, cuya expansión es imposible de detener.
La naturaleza dual del Ciberespacio, cuyos componentes pueden ser utilizados tanto en beneficio
como en perjuicio de las personas y las organizaciones, implica que puede caracterizarse lisa y
llanamente a algunos de estos componentes como armas disponibles para la comisión de todo tipo
de daños, e inclusive para la agresión contra Estados.
Enfrentar los desafíos que se presentan requiere articular adecuadas capacidades de prevención,
detección, análisis, investigación, recuperación, defensa y respuesta, que constituyen elementos
esenciales para alcanzar todos los beneficios que el uso seguro del Ciberespacio ofrece a nuestra
Nación. Este fenómeno adquiere particular importancia en lo referido a las infraestructuras críticas
de información.
Ante esta realidad que, con luces y sombras, muestra los enormes beneficios actuales y futuros que
el Ciberespacio brinda a la sociedad y las graves amenazas y riesgos para las personas y
organizaciones de nuestro país, la presente Estrategia Nacional de Ciberseguridad promueve una
serie de objetivos centrales, sustentados por principios rectores, que conducirán al desarrollo de
planes, políticas y acciones concretas para beneficio de la Nación.
PRINCIPIOS RECTORES DE LA CIBERSEGURIDAD.
La Estrategia Nacional de Ciberseguridad se sustenta e inspira en los siguientes Principios Rectores:
● RESPETO POR LOS DERECHOS Y LIBERTADES INDIVIDUALES: La protección de las personas en
materia de ciberseguridad debe contemplar el respeto por los derechos y libertades individuales
consagrados en la CONSTITUCIÓN NACIONAL y en los Tratados Internacionales en los cuales la
REPÚBLICA ARGENTINA sea parte.
● LIDERAZGO, CONSTRUCCIÓN DE CAPACIDADES Y FORTALECIMIENTO FEDERAL: En materia
de ciberseguridad el Estado Nacional debe asumir el liderazgo y construir capacidades de detección,
prevención y respuesta a incidentes cibernéticos, en coordinación con los estados provinciales, la
CIUDAD AUTÓNOMA DE BUENOS AIRES, los municipios, el sector privado, el sector académico y la
sociedad civil, con una adecuada articulación de las competencias y recursos involucrados.
● INTEGRACIÓN INTERNACIONAL: El carácter transfronterizo de las amenazas requiere de la
cooperación global y regional. El Estado Nacional debe unir sus fuerzas con otros actores
internacionales generando todas las posibles sinergias, con el fin de resolver esta problemática.
● CULTURA DE CIBERSEGURIDAD Y RESPONSABILIDAD COMPARTIDA: La masividad y
capilaridad del fenómeno digital conlleva a la necesidad de que las organizaciones públicas y
privadas, académicas, la sociedad civil y la ciudadanía, deban asumir las correspondientes
responsabilidades para garantizar un Ciberespacio seguro. El Estado Nacional debe promover la
generación de una cultura de ciberseguridad.
● FORTALECIMIENTO DEL DESARROLLO SOCIOECONÓMICO: Atento que la ciberseguridad es
indispensable para potenciar las posibilidades que brinda el Ciberespacio para el progreso
económico y social de la Nación, el Estado Nacional debe establecer los instrumentos necesarios para
alcanzar un entorno ciberseguro.
OBJETIVOS DE LA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD.
OBJETIVO 01. CONCIENTIZACIÓN DEL USO SEGURO DEL CIBERESPACIO.
En el marco del presente documento, es el proceso de formación del discernimiento en cuanto a los
riesgos que conlleva el uso de las tecnologías, entender la cultura del Ciberespacio y junto a ello la
adopción de hábitos basados en las mejores prácticas.
● Crear un plan programático de concientización de alcance nacional sobre la seguridad en el
Ciberespacio, abarcativo de la sociedad en su conjunto.
● Fortalecer y articular con los sectores privados y las organizaciones civiles la promoción de
contenidos de concientización.
Volver al índice
Incrementar las actividades de concientización en el ámbito educativo.
OBJETIVO 2. CAPACITACIÓN Y EDUCACIÓN EN EL USO SEGURO DEL CIBERESPACIO.
En el marco del presente documento, es entendido como el proceso de formación y adquisición de

conocimientos, aptitudes y habilidades necesarias para un uso seguro del Ciberespacio.
● Promover la formación de profesionales, técnicos e investigadores.
● Desarrollar talleres y ejercicios, tanto gubernamentales como con los sectores privados y el
sector civil.
● Fortalecer la capacitación en técnicas de prevención, detección, respuesta y resiliencia ante
incidentes.
● Incrementar las actividades transversales de formación en el sector académico.
OBJETIVO 3. DESARROLLO DEL MARCO NORMATIVO.
Adecuar y generar las normas jurídicas, marcos regulatorios, estándares y protocolos, para hacer
frente a los desafíos que plantean los riesgos del ciberespacio, asegurando el respeto de los derechos
fundamentales.
● Actualizar el marco jurídico tomando en cuenta la necesidad de principios comunes mínimos con
la comunidad internacional.
● Actualizar el marco normativo técnico en línea con las normas técnicas y las buenas prácticas
reconocidas internacionalmente.
OBJETIVO 4. FORTALECIMIENTO DE CAPACIDADES DE PREVENCIÓN, DETECCIÓN Y RESPUESTA.
Fortalecer las capacidades de prevención, detección y respuesta frente al uso del Ciberespacio con
fines ilegales.
● Ampliar y mejorar las capacidades de detección y análisis de ciberamenazas para una defensa y
protección más eficaz de los activos digitales.
● Ampliar y mejorar las capacidades de detección y respuesta ante ciberataques dirigidos contra
objetivos de carácter nacional.
● Optimizar y promover las capacidades de los organismos y fuerzas de seguridad con
competencia en la investigación y persecución de la delincuencia, el crimen organizado y el terrorismo
en el ciberespacio.
● Garantizar la coordinación, cooperación y el intercambio de información entre el Estado Nacional
y los estados provinciales, la CIUDAD AUTÓNOMA DE BUENOS AIRES, los municipios, el sector
privado, el sector académico y la sociedad civil, con una adecuada articulación de las competencias y
recursos involucrados.
OBJETIVO 5. PROTECCIÓN Y RECUPERACIÓN DE LOS SISTEMAS DE INFORMACIÓN DEL SECTOR PÚBLICO.
● Garantizar que los sistemas de información que utiliza el Sector Público, incluyendo sus
organismos descentralizados, posean un adecuado nivel de seguridad y recuperación.
● Trabajar coordinadamente con los responsables de seguridad informática de los Entes
Reguladores y otros organismos de la Administración Pública Nacional y descentralizados, las
administraciones provinciales, de la CIUDAD AUTÓNOMA DE BUENOS AIRES, de los municipios y el
sector privado, en los cuales se hayan identificado sistemas de información críticos.
● Impulsar la realización de auditorías y la generación de métricas, que permitan evaluar la mejora
constante de los niveles de seguridad de los sistemas y la capacidad de resiliencia de los mismos.
Volver al índice
Continuar el proceso de jerarquización y fortalecimiento de los recursos humanos encargados de la
seguridad de los sistemas informáticos del Estado Nacional.
OBJETIVO 6. FOMENTO DE LA INDUSTRIA DE LA CIBERSEGURIDAD.
Promover el desarrollo de la industria nacional en los sectores vinculados a la ciberseguridad. Para

ello será necesario:
● Impulsar el desarrollo de la industria de ciberseguridad nacional.
● Fomentar y potenciar las capacidades tecnológicas precisas para disponer de soluciones
confiables que permitan proteger adecuadamente los sistemas frente a las diferentes amenazas,
fomentando las actividades de investigación, desarrollo e innovación (I+D+i) tanto a nivel público
como privado.
OBJETIVO 7. COOPERACIÓN INTERNACIONAL.
Contribuir a la mejora de la ciberseguridad en el ámbito internacional.

● Promover el desarrollo de acuerdos a nivel regional e internacional que contribuyan a la
generación de un Ciberespacio pacífico y seguro.
● Fortalecer la presencia de la REPÚBLICA ARGENTINA en todos los organismos internacionales,
en materia de ciberseguridad.
● Mantener una participación activa en todos los ámbitos académicos y técnicos internacionales en
lo que se trabaje la temática.
OBJETIVO 8. PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS NACIONALES DE INFORMACIÓN.
Fortalecimiento de la cooperación público-privada en resguardo de las infraestructuras críticas de la

información del país.
● Promover la definición, identificación y protección de las infraestructuras críticas nacionales de
la información.
● Articular los esfuerzos públicos-privados para la construcción de capacidades de detección,
resguardo y respuesta ante amenazas y ataques, a partir de los recursos y responsabilidades de cada
organización.
● Fortalecer la cooperación en el intercambio de información ante vulnerabilidades y amenazas.
● Promover esfuerzos coordinados dentro de las redes industriales con el objetivo de fortalecer y
resguardar los servicios críticos y productivos.
ANEXO II
FUNCIONES DE LA UNIDAD EJECUTIVA DEL COMITÉ DE CIBERSEGURIDAD:

1. Convocar, organizar y realizar el seguimiento de las reuniones del COMITÉ DE CIBERSEGURIDAD.
2. Coordinar la labor de los Grupos de Trabajo que se creen, interactuando con los Entes Reguladores,
de corresponder.
3. Elaborar los proyectos de actos administrativos y formular las propuestas de acciones, cuando así
lo disponga el SECRETARIO DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE
MINISTROS, en virtud de lo dispuesto por el artículo 5° del Decreto N° 577/17.
4. Convocar a otros organismos cuya presencia resulte conveniente, en base a las decisiones que
adopte el COMITÉ DE CIBERSEGURIDAD.
5. Documentar y comunicar a través de actas, las decisiones y cursos de acción que adopte el COMITÉ
DE CIBERSEGURIDAD.
Volver al índice
6. Poner a disposición de los integrantes del COMITÉ DE CIBERSEGURIDAD los documentos que sean
necesarios para el desarrollo de su actividad.
7. Mantener un registro actualizado de todos los documentos que se elaboren.
8. Brindar asistencia administrativa al COMITÉ DE CIBERSEGURIDAD y llevar adelante todas las
labores encomendadas por este.
La siguiente información puede ser consultada en LA LEY NEXT.

Actualizaciones:
NACI - SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN (S.G.M), RESOLUCIÓN 829/2019.
Volver al índice
Emisor: MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS (M.J. y D.H.)
Sumario:
Ministerio de Justicia y Derechos Humanos
Creación de la Unidad 24/7 de Delitos Informáticos y Evidencia Digital
Cita Online: AR/LEGI/9X7T
VISTO:
El Expediente Nº EX-2018-50942023- -APN-DGDYD#MJ, la Ley N° 27.411, y
CONSIDERANDO:
Que con fecha 23 de noviembre de 2001, durante la celebración de la Conferencia Internacional sobre
la Ciberdelincuencia celebrada en la Ciudad de Budapest, Hungría, se abrió a la firma el Convenio
sobre Ciberdelito, el cual fue aprobado por el Comité de Ministros del Consejo de Europa en su 109ª
reunión el 8 de noviembre de 2001.
Que por la Ley N° 27.411, la REPÚBLICA ARGENTINA adhirió al CONVENIO SOBRE CIBERDELITO del
CONSEJO DE EUROPA (ETS N0 185), adoptado en Ciudad de BUDAPEST, REPÚBLICA DE HUNGRÍA,
el 23 de noviembre de 2001, que contiene CUARENTA Y OCHO (48) artículos.
Que por la Decisión Administrativa N° 308 del 13 de marzo de 2018 el MINISTERIO DE RELACIONES
EXTERIORES Y CULTO ha sido designado como autoridad central de aplicación del Convenio sobre
Ciberdelito de Budapest, siendo dicha función desempeñada por la DIRECCIÓN DE ASISTENCIA
JURÍDICA INTERNACIONAL de la DIRECCIÓN GENERAL DE CONSEJERÍA LEGAL.
Que la adhesión al Convenio sobre Ciberdelito de Budapest por parte de la REPÚBLICA ARGENTINA
constituye un hito fundamental para la mejora del sistema penal, tanto en la persecución de los
delitos informáticos como en la investigación de cualquier delito para el que se requiera de obtención
de pruebas en formato digital. Asimismo, resulta un avance importante en cooperación internacional
en materia penal ya que ubica a la REPÚBLICA ARGENTINA en un sistema de cooperación
especializado junto a los países más importantes de nuestro entorno cultural, con los que la
REPÚBLICA ARGENTINA tiene tradicionales vínculos de cooperación.
Que el artículo 35 del CONVENIO SOBRE CIBERDELITO del CONSEJO DE EUROPA prevé que las
Partes designarán un punto de contacto localizable, las VEINTICUATRO (24) horas del día, SIETE (7)
días a la semana, denominado Red 24/7, con el fin de asegurar la asistencia inmediata en la
investigación de infracciones penales llevadas a cabo a través de sistemas y datos informáticos o en
la recolección de pruebas electrónicas de una infracción penal. Esta asistencia, de acuerdo con el
Convenio comprenderá, si lo permite el derecho y la práctica interna, facilitar la aplicación directa de
las siguientes medidas: a. aportación de consejos técnicos; b. conservación de datos según lo
dispuesto en los artículos 29 y 30 del Convenio; y, c. recolección de pruebas, aportación de
información de carácter jurídico y localización de sospechosos. Ambos aspectos exigen una rápida
respuesta para, de esta forma, asegurar la asistencia inmediata en las investigaciones y en la
recolección de pruebas electrónicas; máxime si se consideran los efectos transfronterizos de los
delitos relacionados con la tecnología y la volatilidad e intangibilidad de la evidencia digital.
Que entre las funciones a desarrollar, la Red 24/7 deberá prestar asesoramiento técnico en las
investigaciones penales en las que un Estado Parte del Convenio requiera asistencia, especialmente
colaborar en los pedidos de conservación de datos informáticos y facilitar los mecanismos necesarios
para la obtención de pruebas informáticas respetando el marco normativo vigente, así como facilitar
los mecanismos de comunicación con la autoridad central encargada de la tramitación de solicitudes
de cooperación internacional cuando se solicite asesoramiento respecto de cualquier requisito legal
necesario para prestar la cooperación, ya sea de manera formal o informal, y asistir en la localización
de sospechosos. Asimismo, el punto de contacto deberá asistir a los funcionarios del sistema penal
de nuestro país, tanto a nivel federal como provincial, en todo lo atinente a la investigación de delitos
informáticos o la obtención de evidencia digital cuando se requiera de cooperación internacional de
Estados Partes del Convenio.
Volver al índice
Que debido a la volatilidad de los elementos que conforman la evidencia digital, dicha unidad tiene
además como función proveer y requerir a las contrapartes extranjeras asistencia internacional
idónea durante el proceso de investigación inicial, en donde se busca preservar la evidencia digital
relevante, de modo que ésta, se encuentre disponible en un momento posterior de tiempo cuando sea
requerida mediante los canales de cooperación internacional vigentes.
Que otro de los propósitos del establecimiento de dicha Red 24/7 es que, además de la intervención
de autoridades locales, los delitos relacionados con la tecnología requieren en muchos supuestos
asistencia urgente de autoridades extranjeras, para de esta forma agilizar los contactos entre los
Estados, ya que muchas veces es importante que los investigadores trabajen a velocidades sin
precedentes para preservar los datos electrónicos y localizar a los sospechosos, solicitando incluso a
los Proveedores de Servicios de Internet ubicados en diferentes jurisdicciones su colaboración para la
preservación de los datos.
Que es de extrema importancia para la eficiencia del sistema penal de nuestro país integrar la Red
24/7 no sólo para la implementación del CONVENIO SOBRE CIBERDELITO del CONSEJO DE
EUROPA, sino también para lograr la máxima efectividad de las investigaciones penales de todo tipo
(mucho más en casos de delincuencia transnacional o compleja) en las que la necesidad de estas
novedosas herramientas de cooperación internacional resulta cada vez más evidente. Especialmente
en un mundo en el que la ubicación física de la información en formato digital resulta cada vez más
transnacional y en muchos casos, incierta.
Que, según el citado Convenio, cada Parte tiene la libertad de determinar la ubicación institucional
del punto de contacto de la Red 24/7 conforme a su marco normativo. En este sentido, y a fin de
mejorar la eficiencia de la Red e impulsar una mayor utilización de ésta por parte de las autoridades
de persecución penal de todo el país, resulta propicio que el punto de contacto de la Red 24/7
funcione en el ámbito de la DIRECCIÓN NACIONAL DE ASUNTOS INTERNACIONALES dependiente
de la UNIDAD DE COORDINACIÓN GENERAL de este Ministerio a través de la creación de la UNIDAD
24/7 DE DELITOS INFORMÁTICOS Y EVIDENCIA DIGITAL, lo que contribuirá a aumentar la eficacia
operativa y funcional de la Red, así como a facilitar los mecanismos de comunicación entre la
autoridad central encargada de la tramitación de las solicitudes de cooperación internacional, los
operadores del sistema penal federal y provinciales y la Red 24/7, así como la cooperación entre la
Red 24/7 y los miembros de las redes de otros países. Dichos contactos permanentes son
fundamentales para profundizar los efectos beneficiosos para nuestro país de formar parte de la
Convención.
Que es indispensable, a los fines de la correcta aplicación del Convenio, y conforme exige el artículo
35 inciso 2.b. de éste, que el punto de contacto de la Red 24/7 funcione coordinadamente con la
autoridad central designada por la REPÚBLICA ARGENTINA en el marco del Convenio para la
tramitación de solicitudes de asistencia mutua, que es la DIRECCIÓN DE ASISTENCIA JURÍDICA
INTERNACIONAL del MINISTERIO DE RELACIONES EXTERIORES Y CULTO.
Que corresponde que, una vez creada, la UNIDAD 24/7 DE DELITOS INFORMÁTICOS Y EVIDENCIA
DIGITAL, dicte su reglamento interno de funcionamiento, teniendo en consideración los recursos
humanos y materiales actualmente a su disposición, a los efectos de asegurar una respuesta
adecuada a los requerimientos que se le formulen.
Que, por último, resulta propicio otorgarle a la UNIDAD 24/7 DE DELITOS INFORMÁTICOS Y
EVIDENCIA DIGITAL que se crea en el presente acto, la facultad de invitar a representantes del
MINISTERIO DE SEGURIDAD, por ser dicho Ministerio quien congloba a las Fuerzas de Seguridad de
la Nación que han creado unidades especiales sobre la materia y mantiene los vínculos y coordinación
con las fuerzas policiales provinciales, así como también a los Ministerios Públicos Fiscales de todo el
país para articular el funcionamiento de ésta a nivel nacional, así como derivar con mayor rapidez los
casos a cada jurisdicción y atender las necesidades de cooperación que requieran de países
extranjeros.
Que ha tomado la intervención de su competencia la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS
de este Ministerio.
Que la presente medida se dicta en virtud de las facultades conferidas por el artículo 4°, inciso b),
apartado 9 de la Ley de Ministerios (T.O.1992) y sus modificaciones.
Volver al índice
Por ello:
El Ministro de Justicia y Derechos Humanos resuelve:
Art. 1° - Créase la UNIDAD 24/7 DE DELITOS INFORMÁTICOS Y EVIDENCIA DIGITAL que asumirá
las funciones como punto de contacto de la Red 24/7 previstas en el artículo 35 del CONVENIO
SOBRE CIBERDELITO del CONSEJO DE EUROPA.
Art. 2° - La UNIDAD 24/7 DE DELITOS INFORMÁTICOS Y EVIDENCIA DIGITAL funcionará en la órbita
de la DIRECCIÓN NACIONAL DE ASUNTOS INTERNACIONALES dependiente de la UNIDAD DE
COORDINACIÓN GENERAL de este Ministerio y actuará en forma coordinada con el MINISTERIO DE
RELACIONES EXTERIORES Y CULTO como órgano central de cooperación internacional en materia
penal y autoridad central designada en el marco del Convenio para la tramitación de solicitudes de
asistencia mutua.
Art.3° - La UNIDAD 24/7 DE DELITOS INFORMÁTICOS Y EVIDENCIA DIGITAL estará integrada por los
funcionarios y el personal de este Ministerio que oportunamente se asignen.
Art. 4° - La UNIDAD 24/7 DE DELITOS INFORMÁTICOS Y EVIDENCIA DIGITAL tendrá como funciones
asegurar la asistencia inmediata en la investigación de infracciones penales llevadas a cabo a través
de sistemas y datos informáticos y en la recolección de pruebas electrónicas de una infracción penal.
Esta asistencia comprende, en la medida permitida por la normativa aplicable, facilitar la aplicación
directa de las siguientes medidas: a. aportación de consejos técnicos; b. conservación de datos según
lo dispuesto en los artículos 29 y 30 del Convenio de Budapest; y, c. recolección de pruebas,
aportación de información de carácter jurídico y localización de sospechosos.
Art. 5° - La UNIDAD 24/7 DE DELITOS INFORMÁTICOS Y EVIDENCIA DIGITAL podrá convocar a los
representantes, del MINISTERIO DE SEGURIDAD y de los Ministerios Públicos Fiscales de todo el
país, a los fines de articular el funcionamiento de la Unidad a nivel nacional.
Art. 6° - Facúltase a la DIRECCIÓN NACIONAL DE ASUNTOS INTERNACIONALES dependiente de la
UNIDAD DE COORDINACIÓN de este Ministerio, para cursar las invitaciones al MINISTERIO DE
SEGURIDAD DE LA NACIÓN y a los Ministerios Públicos Fiscales de todo el país para que designen
los puntos de contacto necesarios para lograr el funcionamiento adecuado de la UNIDAD 24/7 DE
DELITOS INFORMÁTICOS Y EVIDENCIA DIGITAL, así como otras comunicaciones que sean necesarias
y emitir los actos de implementación que resulten necesarios para el cumplimiento de la presente
Resolución.
Art. 7° - Comuníquese, etc. - Garavano.
Volver al índice
LEY 25.326
LEY 25.326
Emisor: PODER LEGISLATIVO NACIONAL P.L.N.
Sumario:
Hábeas data
Ley de protección de los datos personales
Reglamentación del art. 43, párrafo tercero de la Constitución Nacional
Objeto y definiciones
Principios generales
Derechos de los titulares de datos --
Usuarios y responsables de archivos, registros y bancos de datos --
Organo de control --Sanciones administrativas y penales --
Acción de protección de los datos personales --Incorporación de los arts. 117 bis y 157 bis al Código Penal
Cita: TR LALEY AR/LCON/46YK
Artículo 1° - (Objeto).
La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos,
registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o
privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las
personas, así como también el acceso a la información que sobre las mismas se registre, de
conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional.
Las disposiciones de la presente ley también serán aplicables, en cuanto resulte pertinente, a los
datos relativos a personas de existencia ideal.
En ningún caso se podrán afectar la base de datos ni las fuentes de información periodísticas.
Artículo 2° - (Definiciones).
A los fines de la presente ley se entiende por:
● Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal
determinadas o determinables.
● Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas,
la vida sexual.
● Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado de
datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que
fuere la modalidad de su formación, almacenamiento, organización o acceso.
● Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que
permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento,
evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como
también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.
● Responsable de archivo, registro, base o banco de datos: Persona física o de existencia ideal
pública o privada, que es titular de un archivo, registro, base o banco de datos.
● Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento
electrónico o automatizado.
● Titular de los datos: Toda persona física o persona de existencia ideal con domicilio legal o
delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere la
presente ley.
Volver al índice
● Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el tratamiento de
datos, ya sea en archivos, registros o bancos de datos propios o a través de conexión con los mismos.
● Disociación de datos: Todo tratamiento de datos personales de manera que la información
obtenida no pueda asociarse a persona determinada o determinable.
CAPÍTULO II
PRINCIPIOS GENERALES RELATIVOS A LA PROTECCIÓN DE DATOS
Artículo 3° - (Archivos de datos - Licitud).
La formación de archivos de datos será lícita cuando se encuentren debidamente inscriptos,
observando en su operación los principios que establece la presente ley y las reglamentaciones que
se dicten en su consecuencia.
Los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral pública.
Artículo 4° - (Calidad de los datos).
1. Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados,
pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.
2. La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria
a las disposiciones de la presente ley.
3. Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles
con aquellas que motivaron su obtención.
4. Los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario.
5. Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y
sustituidos, o en su caso completados, por el responsable del archivo o base de datos cuando se tenga
conocimiento de la inexactitud o carácter incompleto de la información de que se trate, sin perjuicio
de los derechos del titular establecidos en el artículo 16 de la presente ley.
6. Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su
titular.
7. Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines
para los cuales hubiesen sido recolectados.
Artículo 5° - (Consentimiento).
1. El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su
consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que
permita se le equipare, de acuerdo a las circunstancias.
El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y
destacada, previa notificación al requerido de datos, de la información descrita en el artículo 6° de la
presente ley.
2. No será necesario el consentimiento cuando:
a. Los datos se obtengan de fuentes de acceso público irrestricto;
b. Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una
obligación legal;
c. Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad,
identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio;
d. Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten
necesarios para su desarrollo o cumplimiento;
e. Se trate de las operaciones que realicen las entidades financieras y de las informaciones que
reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526.
Volver al índice
Artículo 6° - (Información).
Cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa
y clara:
a. La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de
destinatarios;
b. La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se
trate y la identidad y domicilio de su responsable;
c. El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en
especial en cuanto a los datos referidos en el artículo siguiente;
d. Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los
mismos;
e. La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los
datos.
Artículo 7° - (Categoría de datos).
1. Ninguna persona puede ser obligada a proporcionar datos sensibles.
2. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones
de interés general autorizadas por ley. También podrán ser tratados con finalidades estadísticas o
científicas cuando no puedan ser identificados sus titulares.
3. Queda prohibida la formación de archivos, bancos o registros que almacenen información que
directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las
asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un registro de sus
miembros.
4. Los datos relativos a antecedentes penales o contravencionales sólo pueden ser objeto de
tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y
reglamentaciones respectivas.
Artículo 8° - (Datos relativos a la salud).
Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la
salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los
pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos,
respetando los principios del secreto profesional.
Artículo 9° - (Seguridad De Los Datos).
1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas
que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de
modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan
detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la
acción humana o del medio técnico utilizado.
2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan
condiciones técnicas de integridad y seguridad.
Artículo 10° - (Deber De Confidencialidad).
1. El responsable y las personas que intervengan en cualquier fase del tratamiento de datos
personales están obligados al secreto profesional respecto de los mismos. Tal obligación subsistirá
aun después de finalizada su relación con el titular del archivo de datos.
2. El obligado podrá ser relevado del deber de secreto por resolución judicial y cuando medien
razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública.
Volver al índice
Artículo 11° - (Cesión).
1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los
fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo
consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e
identificar al cesionario o los elementos que permitan hacerlo.
2. El consentimiento para la cesión es revocable.
3. El consentimiento no es exigido cuando:
a. Así lo disponga una ley;
b. En los supuestos previstos en el artículo 5° inciso 2;
c. Se realice entre dependencias de los órganos del Estado en forma directa, en la medida del
cumplimiento de sus respectivas competencias;
d. Se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública,
de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de
los titulares de los datos mediante mecanismos de disociación adecuados;
e. Se hubiera aplicado un procedimiento de disociación de la información, de modo que los
titulares de los datos sean inidentificables.
4. El cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste
responderá solidaria y conjuntamente por laobservancia de las mismas ante el organismo de control
y el titular de los datos de que se trate.
Artículo 12° - (Transferencia internacional).
1. Es prohibida la transferencia de datos personales de cualquier tipo con países u organismos
internacionales o supranacionales, que no proporcionen niveles de protección adecuados.
2. La prohibición no regirá en los siguientes supuestos:
a. Colaboración judicial internacional;
b. Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una
investigación epidemiológica, en tanto se realice en los términos del inciso e) del artículo anterior;
c. Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme
la legislación que les resulte aplicable;
d. Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los
cuales la República Argentina sea parte;
e. Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de
inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.
CAPÍTULO III
DERECHOS DE LOS TITULARES DE DATOS
Artículo 13° - (Derecho de Información).
Toda persona puede solicitar información al organismo de control relativa a la existencia de archivos,
registros, bases o bancos de datos personales, sus finalidades y la identidad de sus responsables. El
registro que se lleve al efecto será de consulta pública y gratuita.
Artículo 14° - (Derecho de acceso).
1. El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener
información de sus datos personales incluidos en los bancos de datos públicos, o privados destinados
a proveer informes.
Volver al índice
2. El responsable o usuario debe proporcionar la información solicitada dentro de los diez días
corridosde haber sido intimado fehacientemente. Vencido el plazo sin que se satisfaga el pedido, o si
evacuado el informe, éste se estimara insuficiente, quedará expedita la acción de protección de los
datos personales o de hábeas data prevista en esta ley.
3. El derecho de acceso a que se refiere este artículo sólo puede ser ejercido en forma gratuita a
intervalos no inferiores a seis meses, salvo que se acredite un interés legítimo al efecto.
4. El ejercicio del derecho al cual se refiere este artículo en el caso de datos de personas fallecidas le
corresponderá a sus sucesores universales.
Artículo 15° - (Contenido de la información).
1. La información debe ser suministrada en forma clara, exenta de codificaciones y en su caso
acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los
términos que se utilicen.
2. La información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aun
cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el
informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado.
3. La información, a opción del titular, podrá suministrarse por escrito, por medios electrónicos,
telefónicos, de imagen, u otro idóneo a tal fin.
Artículo 16° - (Derecho de rectificación, actualización o supresión).
1. Toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda,
suprimidos o sometidos a confidencialidad los datos personales de los que sea titular, que estén
incluidos en unbanco de datos.
2. El responsable o usuario del banco de datos, debe proceder a la rectificación, supresión o
actualización de los datos personales del afectado, realizando las operaciones necesarias a tal fin en
el plazo máximo de cinco días hábiles de recibido el reclamo del titular de los datos o advertido el
error o falsedad.
3. El incumplimiento de esta obligación dentro del término acordado en el inciso precedente,
habilitará al interesado a promover sin más la acción de protección delos datos personales o de
hábeas data prevista en la presente ley.
4. En el supuesto de cesión, o transferencia de datos, el responsable o usuario del banco de datos
debe notificar la rectificación o supresión al cesionario dentro del quinto día hábil de efectuado el
tratamiento del dato.
5. La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de
terceros, o cuando existiera una obligación legal de conservar los datos.
6. Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate,
el responsable o usuario del banco de datos deberá o bien bloquear el archivo, o consignar al proveer
información relativa al mismo la circunstancia de que se encuentra sometida a revisión.
7. Los datos personales deben ser conservados durante los plazos previstos en las disposiciones
aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el
titular de los datos.
Artículo 17° - (Excepciones).
1. Los responsables o usuarios de bancos de datos públicos pueden, mediante decisión fundada,
denegar el acceso, rectificación o la supresión en función de la protección de la defensa de la Nación,
del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros.
2. La información sobre datos personales también puede ser denegada por los responsables o
usuarios de bancos de datos públicos, cuando de tal modo se pudieran obstaculizar actuaciones
judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de
obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio
ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. La
resolución que así lo disponga debe ser fundada y notificada al afectado.
Volver al índice
3. Sin perjuicio de lo establecido en los incisos anteriores, se deberá brindar acceso a los registros en
cuestión en la oportunidad en que el afectado tenga que ejercer su derecho de defensa.
Artículo 18° - (Comisiones legislativas).
Las Comisiones de Defensa Nacional y la Comisión Bicameral de Fiscalización de los Organos y
Actividades de Seguridad Interior e Inteligencia del Congreso de la Nación y la Comisión de Seguridad
Interior de la Cámara de Diputados de la Nación, o las que las sustituyan, tendrán acceso a los
archivos o bancos de datos referidos en el artículo 23 inciso 2 por razones fundadas y en aquellos
aspectos que constituyan materia de competencia de tales Comisiones.
Artículo 19° - (Gratuidad).
La rectificación, actualización o supresión de datos personales inexactos o incompletos que obren en
registros públicos o privados se efectuará sin cargo alguno para el interesado.
Artículo 20° - (Impugnación de valoraciones personales).
1. Las decisiones judiciales o los actos administrativos que impliquen apreciación o valoración de
conductas humanas, no podrán tener como único fundamento el resultado del tratamiento
informatizado de datos personales que suministren una definición del perfil o personalidad del
interesado.
2. Los actos que resulten contrarios a la disposición precedente serán insanablemente nulos.
CAPÍTULO IV
USUARIOS Y RESPONSABLES DE ARCHIVOS, REGISTROS Y BANCOS DE DATOS
Artículo 21° - (Registro de archivos de datos. Inscripción).
1. Todo archivo, registro, base o banco de datos público, y privado destinado a proporcionar informes
debe inscribirse en el Registro que al efecto habilite el organismo de control.
2. El registro de archivos de datos debe comprender como mínimo la siguiente información:
a. Nombre y domicilio del responsable;
b. Características y finalidad del archivo;
c. Naturaleza de los datos personales contenidos en cada archivo;
d. Forma de recolección y actualización de datos;
e. Destino de los datos y personas físicas o de existencia ideal a las que pueden ser transmitidos;
f. Modo de interrelacionar la información registrada;
g. Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de
personas con acceso al tratamiento de la información;
h. Tiempo de conservación de los datos;
i. Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los
procedimientos a realizar para la rectificación o actualización de los datos.
3. Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en
el registro.
El incumplimiento de estos requisitos dará lugar a las sanciones administrativas previstas en el
capítulo VI de la presente ley.
Artículo 22° - (Archivos, registros o bancos de datos públicos).
1. Las normas sobre creación, modificación o supresión de archivos, registros o bancos de datos
pertenecientes a organismos públicos deben hacerse por medio de disposición general publicada en
el Boletín Oficial de la Nación o diario oficial.
Volver al índice
2. Las disposiciones respectivas, deben indicar:
a. Características y finalidad del archivo;
b. Personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio
de su suministro por parte de aquéllas;
c. Procedimiento de obtención y actualización de los datos;
d. Estructura básica del archivo, informatizado o no, y la descripción de la naturaleza de los datos
personales que contendrán;
e. Las cesiones, transferencias o interconexiones previstas;
f. Organos responsables del archivo, precisando dependencia jerárquica en su caso;
g. Las oficinas ante las que se pudiesen efectuar las reclamaciones en ejercicio de los derechos de
acceso, rectificación o supresión.
3. En las disposiciones que se dicten para la supresión de los registros informatizados se establecerá
el destino de los mismos o las medidas que se adopten para su destrucción.
Artículo 23° - (Supuestos especiales).
1. Quedarán sujetos al régimen de la presente ley, los datos personales que por haberse almacenado
para fines administrativos, deban ser objeto de registro permanente en los bancos de datos de las
fuerzas armadas, fuerzas de seguridad, organismos policiales o de inteligencia; y aquéllos sobre
antecedentes personales que proporcionen dichos bancos de datos a las autoridades administrativas
o judiciales que los requieran en virtud de disposiciones legales.
2. El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de
las fuerzas armadas, fuerzas de seguridad, organismos policiales o inteligencia, sin consentimiento
de los afectados, queda limitado a aquellos supuestos y categoría de datos que resulten necesarios
para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa
nacional, la seguridad pública o para la represión de los delitos. Los archivos, en tales casos, deberán
ser específicos y establecidos al efecto, debiendo clasificarse por categorías, en función de su grado
de fiabilidad.
3. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para
las averiguaciones que motivaron su almacenamiento.
Artículo 24° - (Archivos, registros o bancos de datos privados).
Los particulares que formen archivos, registros o bancos de datos que no sean para un uso
exclusivamente personal deberán registrarse conforme lo previsto en el artículo 21.
Artículo 25° - (Prestación de servicios informatizados de datos personales).
1. Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no
podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a
otras personas, ni aun para su conservación.
2. Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos,
salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando
razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar
con las debidas condiciones de seguridad por un período de hasta dos años.
Artículo 26° - (Prestación de servicios de información crediticia).
1. En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de
carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles
al público o procedentes de informaciones facilitadas por el interesado o con su consentimiento.
2. Pueden tratarse igualmente datos personales relativos al cumplimiento o incumplimiento de
obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o
interés.
Volver al índice
3. A solicitud del titular de los datos, el responsable o usuario del banco de datos, le comunicará las
informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los
últimos seis meses y el nombre y domicilio del cesionario en el supuesto de tratarse de datos
obtenidos por cesión.
4. Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar
la solvencia económico-financiera de los afectados durante los últimos cinco años. Dicho plazo se
reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación, debiéndose hace
constar dicho hecho.
5. La prestación de servicios de información crediticia no requerirá el previo consentimiento del titular
de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén relacionados
con el giro de las actividades comerciales o crediticias de los cesionarios.
Artículo 27° - (Archivos, registros o bancos de datos con fines de publicidad).
1. En la recopilación de domicilios, reparto de documentos, publicidad o venta directa y otras
actividades análogas, se podrán tratar datos que sean aptos para establecer perfiles determinados
con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo,
cuando éstos figuren en documentos accesibles al público o hayan sido facilitados por los propios
titulares u obtenidos con su consentimiento.
2. En los supuestos contemplados en el presente artículo, el titular de los datos podrá ejercer el
derecho de acceso sin cargo alguno.
3. El titular podrá en cualquier momento solicitar el retiro o bloqueo de su nombre de los bancos de
datos a los que se refiere el presente artículo.
Artículo 28° - (Archivos, registros o bancos de datos relativos a encuestas).
1. Las normas de la presente ley no se aplicarán a las encuestas de opinión, mediciones y estadísticas
relevadas conforme a Ley 17.622, trabajos de prospección de mercados, investigaciones científicas o
médicas y actividades análogas, en la medida que los datos recogidos no puedan atribuirse a una
persona determinada o determinable.
2. Si en el proceso de recolección de datos no resultara posible mantener el anonimato, se deberá
utilizar una técnica de disociación, de modo que no permita identificar a persona alguna.
CAPÍTULO V
CONTROL
Artículo 29° - (Organo de Control).
1. El órgano de control deberá realizar todas las acciones necesarias para el cumplimiento de los
objetivos y demás disposiciones de la presente ley. A tales efectos tendrá las siguientes funciones y
atribuciones:
a. Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente y de los
medios legales de que disponen para la defensa de los derechos que ésta garantiza;
b. Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades
comprendidas por esta ley;
c. Realizar un censo de archivos, registros o bancos de datos alcanzados por la ley y mantener el
registro permanente de los mismos;
d. Controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los
archivos, registros o bancos de datos. A tal efecto podrá solicitar autorización judicial para acceder a
locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento
de la presente ley;
e. Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los
antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos
personales que se le requieran. En estos casos, la autoridad deberá garantizar la seguridad y
confidencialidad de la información y elementos suministrados.
Volver al índice
2. El órgano de control gozará de autonomía funcional y actuará como órgano descentralizado en el
ámbito del Ministerio de Justicia y Derechos Humanos de la Nación.
3. El órgano de control será dirigido y administrado por un Director designado por el término de
cuatro (4) años, por el Poder Ejecutivo con acuerdo del Senado de la Nación, debiendo ser
seleccionado entre personas con antecedentes en la materia.
El Director tendrá dedicación exclusiva en su función, encontrándose alcanzado por las
incompatibilidades fijadas por ley para los funcionarios públicos y podrá ser removido por el Poder
Ejecutivo por mal desempeño de sus funciones.
Artículo 30° - (Códigos de conducta).
1. Lasasociaciones o entidades representativas de responsables o usuarios de bancos de datos de
titularidad privada podrán elaborar códigos de conducta de práctica profesional, que establezcan
normas para el tratamiento de datos personales que tiendan a asegurar y mejorar las condiciones de
operación de los sistemas de información en función de los principios establecidos en la presente ley.
2. Dichos códigos deberán ser inscriptos en el registro que al efecto lleve el organismo de control,
quien podrá denegar la inscripción cuando considere que no se ajustan a las disposiciones legales y
reglamentarias sobre la materia.
CAPÍTULO VI
SANCIONES
Artículo 31° - (Sanciones administrativas).
1. Sin perjuicio de las responsabilidades administrativas que correspondan en los casos de
responsables o usuarios de bancos de datos públicos; de la responsabilidad por daños y perjuicios
derivados de la inobservancia de la presente ley, y de las sanciones penales que correspondan, el
organismo de control podrá aplicar las sanciones de apercibimiento, suspensión, multa de mil pesos
($ 1.000.-) a cien mil pesos ($ 100.000.-), clausura o cancelación del archivo, registro o banco de
datos.
2. La reglamentación determinará las condiciones y procedimientos para la aplicación de las
sanciones previstas, las que deberán graduarse en relación a la gravedad y extensión de la violación
y de los perjuicios derivados de la infracción, garantizando el principio del debido proceso.
Artículo 32° - (Sanciones penales).
1. Incorpórase como artículo 117 bis del Código Penal, el siguiente:
"1°. Será reprimido con la pena de prisión de un mes a dos años el que insertara o hiciera insertar
a sabiendas datos falsos en un archivo de datos personales.
2°. La pena será de seis meses a tres años, al que proporcionara a un tercero a sabiendas
información falsa contenida en un archivo de datos personales.
3°. La escala penal se aumentará en la mitad del mínimo y del máximo, cuando del hecho se derive
perjuicio a alguna persona.
4°. Cuando el autor o responsable del ilícito sea funcionario público en ejercicio de sus funciones,
se le aplicará la accesoria de inhabilitación para el desempeño de cargos públicos por el doble del
tiempo que el de la condena".
2. Incorpórase como artículo 157 bis del Código Penal el siguiente:
"Será reprimido con la pena de prisión de un mes a dos años el que:
1°. A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos,
accediere, de cualquier forma, a un banco de datos personales;
2°. Revelare a otro información registrada en un banco de datos personales cuyo secreto estuviere
obligado a preservar por disposición de una ley;
Cuando el autor sea funcionario público sufrirá, además, pena de inhabilitación especial de uno a
cuatro años".
Volver al índice
CAPÍTULO VII
ACCIÓN DE PROTECCIÓN DE LOS DATOS PERSONALES
Artículo 33° - (Procedencia).
1. La acción de protección de los datos personales o de hábeas data procederá:
a. para tomar conocimiento de los datos personales almacenados en archivos, registros o bancos
de datos públicos o privados destinados a proporcionar informes, y de la finalidad de aquéllos;
b. en los casos en que se presuma la falsedad, inexactitud, desactualización de la información de
que se trata, o el tratamiento de datos cuyo registro se encuentra prohibido en la presente ley, para
exigir su rectificación, supresión, confidencialidad o actualización.
Artículo 34° - (Legitimación activa).
La acción de protección de los datos personales o de hábeas data podrá ser ejercida por el afectado,
sus tutores o curadores y los sucesores de las personas físicas, sean en línea directa o colateral hasta
el segundo grado, por sí o por intermedio de apoderado.
Cuando la acción sea ejercida por personas de existencia ideal, deberá ser interpuesta por sus
representantes legales, o apoderados que éstas designen al efecto.
En el proceso podrá intervenir en forma coadyuvante el Defensor del Pueblo.
Artículo 35° - (Legitimación pasiva).
La acción procederá respecto de los responsables y usuarios de bancos de datos públicos, y de los
privados destinados a proveer informes.
Artículo 36° - (Competencia).
Será competente para entender en esta acción el juez del domicilio del actor; el del domicilio del
demandado; el del lugar en el que el hecho o acto se exteriorice o pudiera tener efecto, a elección del
actor.
Procederá la competencia federal:
a. cuando se interponga en contra de archivos de datos públicos de organismos nacionales, y
b. cuando los archivos de datos se encuentren interconectados en redes interjurisdicciones,
nacionales o internacionales.
Artículo 37° - (Procedimiento aplicable).
La acción de hábeas data tramitará según las disposiciones de la presente ley y por el procedimiento
que corresponde a la acción de amparo común y supletoriamente por las normas del Código Procesal
Civil y Comercial de la Nación, en lo atinente al juicio sumarísimo.
Artículo 38° - (Requisitos de la demanda).
1. La demanda deberá interponerse por escrito, individualizando con la mayor precisión posible el
nombre y domicilio del archivo, registro o banco de datos y, en su caso, el nombre del responsable o
usuario del mismo.
En el caso de los archivos, registros o bancos públicos, se procurará establecer el organismo estatal
del cual dependen.
2. El accionante deberá alegar las razones por las cuales entiende que en el archivo, registro o banco
de datos individualizado obra información referida a su persona; los motivos por los cuales considera
que la información que le atañe resulta discriminatoria, falsa o inexacta y justificar que se han
cumplido los recaudos que hacen al ejercicio de los derechos que le reconoce la presente ley.
3. El afectado podrá solicitar que mientras dure el procedimiento, el registro o banco de datos asiente
que la información cuestionada está sometida a un proceso judicial.
4. El Juez podrá disponer el bloqueo provisional del archivo en lo referente al dato personal motivo
del juicio cuando sea manifiesto el carácter discriminatorio, falso o inexacto de la información de que
se trate.
Volver al índice
5. A los efectos de requerir información al archivo, registro o banco de datos involucrado, el criterio
judicial de apreciación de las circunstancias requeridas en los puntos 1 y 2 debe ser amplio.
Artículo 39° - (Trámite).
1. Admitida la acción el juez requerirá al archivo, registro o banco de datos la remisión de la
información concerniente al accionante. Podrá asimismo solicitar informes sobre el soporte técnico
de datos, documentación de base relativa a la recolección y cualquier otro aspecto que resulte
conducente a la resolución de la causa que estime procedente.
2. El plazo para contestar el informe no podrá ser mayor de cinco días hábiles, el que podrá ser
ampliado prudencialmente por el juez.
Artículo 40° - (Confidencialidad de la información).
1. Los registros, archivos o bancos de datos privados no podrán alegar la confidencialidad de la
información que se les requiere salvo el caso en que se afecten las fuentes de información
periodística.
2. Cuando un archivo, registro o banco de datos público se oponga a la remisión del informe solicitado
con invocación de las excepciones al derecho de acceso, rectificación o supresión, autorizadas por la
presente ley o por una ley específica; deberá acreditar los extremos que hacen aplicable la excepción
legal. En tales casos, el juez podrá tomar conocimiento personal y directo de los datos solicitados
asegurando el mantenimiento de su confidencialidad.
Artículo 41° - (Contestación del informe).
Al contestar el informe, el archivo, registro o banco de datos deberá expresar las razones por las
cuales incluyó la información cuestionada y aquellas por las que no evacuó el pedido efectuado por
el interesado, de conformidad a lo establecido en los artículos 13 a 15 de la ley.
Artículo 42° - (Ampliación de la demanda).
Contestado el informe, el actor podrá, en el término de tres días, ampliar el objeto de la demanda
solicitando la supresión, rectificación, confidencialidad o actualización de sus datos personales, en
los casos que resulte procedente a tenor de la presente ley, ofreciendo en el mismo acto la prueba
pertinente. De esta presentación se dará traslado al demandado por el término de tres días.
Artículo 43° - (Sentencia).
1. Vencido el plazo para la contestación del informe o contestado el mismo, y en el supuesto del
artículo 42, luego de contestada la ampliación, y habiendo sido producida en su caso la prueba, el
juez dictarásentencia.
2. En el caso de estimarse procedente la acción, se especificará si la información debe ser suprimida,
rectificada, actualizada o declarada confidencial, estableciendo un plazo para su cumplimiento.
3. El rechazo de la acción no constituye presunción respecto de la responsabilidad en que hubiera
podido incurrir el demandante.
4. En cualquier caso, la sentencia deberá ser comunicada al organismo de control, que deberá llevar
un registro al efecto.
Artículo 44° - (Ambito de aplicación).
Las normas de la presente ley contenidas en los Capítulos I, II, III y IV, y artículo 32 son de orden
público y de aplicación en lo pertinente en todo el territorio nacional.
Se invita a las provincias a adherir a las normas de esta ley que fueren de aplicación exclusiva en
jurisdicción nacional.
La jurisdicción federal regirá respecto de los registros, archivos, bases o bancos de datos
interconectados en redes de alcance interjurisdiccional, nacional o internacional.
Artículo 45° - El Poder Ejecutivo Nacional deberá reglamentar la presente ley y establecer el
organismo de control dentro de los ciento ochenta días de su promulgación.
Volver al índice
Artículo 46° - (Disposiciones transitorias).
Los archivos, registros, bases o bancos de datos destinados a proporcionar informes, existentes al
momento de la sanción de la presente ley, deberán inscribirse en el registro que se habilite conforme
a lo dispuesto en el artículo 21 y adecuarse a lo que dispone el presente régimen dentro del plazo que
al efecto establezca la reglamentación.
Artículo 47°- Los bancos de datos destinados a prestar servicios de información crediticia deberán
eliminar y omitir el asiento en el futuro de todo dato referido a obligaciones y calificaciones asociadas
de las personas físicas y jurídicas cuyas obligaciones comerciales se hubieran constituido en mora, o
cuyas obligaciones financieras hubieran sido clasificadas con categoría 2, 3, 4 ó 5, según normativas
del Banco Central de la República Argentina, en ambos casos durante el período comprendido entre
el 1º de enero del año 2000 y el 10 de diciembre de 2003, siempre y cuando esas deudas hubieran
sido canceladas o regularizadas al momento de entrada en vigencia de la presente ley o lo sean
dentro de los 180 días posteriores a la misma. La suscripción de un plan de pagos por parte del
deudor, o la homologación del acuerdo preventivo o del acuerdo preventivo extrajudicial importará la
regularización de la deuda, a los fines de esta ley.
El Banco Central de la República Argentina establecerá los mecanismos que deben cumplir las
Entidades Financieras para informar a dicho organismo los datos necesarios para la determinación
de los casos encuadrados. Una vez obtenida dicha información, el Banco Central de la República
Argentina implementará las medidas necesarias para asegurar que todos aquellos que consultan los
datos de su Central de Deudores sean informados de la procedencia e implicancias de lo aquí
dispuesto.
Toda persona que considerase que sus obligaciones canceladas o regularizadas están incluidas en lo
prescripto en el presente artículo puede hacer uso de los derechos de acceso, rectificación y
actualización en relación con lo establecido.
Sin perjuicio de lo expuesto en los párrafos precedentes, el acreedor debe comunicar a todo archivo,
registro o banco de datos al que hubiera cedido datos referentes al incumplimiento de la obligación
original, su cancelación o regularización.
Artículo 48° - Comuníquese al Poder Ejecutivo.
DADA EN LA SALA DE SESIONES DEL CONGRESO ARGENTINO, EN BUENOS AIRES, A LOS CUATRO DIAS DEL MES DE
OCTUBRE DEL AÑO DOS MIL.
REGISTRADO BAJO EL N° 25.326 - RAFAEL PASCUAL. - JOSE GENOUD. - Guillermo Aramburu. - Mario L. Pontaquarto.
Volver al índice
Número de norma: 25.506
Tipo de norma: LEY
Emisor: PODER LEGISLATIVO NACIONAL
Sumario: Ley de firma digital
Fecha de inicio: 27/06/2018
Cita: TR LALEY AR/LCON/000SCE
CAPÍTULO I
CONSIDERACIONES GENERALES
Art. 1º - Objeto. Se reconoce el empleo de la firma electrónica y de la firma digital y su eficacia jurídica
en las condiciones que establece la presente ley.
Art. 2º - Firma Digital. Se entiende por firma digital al resultado de aplicar a un documento digital un
procedimiento matemático que requiere información de exclusivo conocimiento del firmante,
encontrándose ésta bajo su absoluto control. La firma digital debe ser susceptible de verificación por
terceras partes, tal que dicha verificación simultáneamente permita identificar al firmante y detectar
cualquier alteración del documento digital posterior a su firma.
Los procedimientos de firma y verificación a ser utilizados para tales fines serán los determinados por
la Autoridad de Aplicación en consonancia con estándares tecnológicos internacionales vigentes.
Art. 3º - Del requerimiento de firma. Cuando la ley requiera una firma manuscrita, esa exigencia
también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley
establece la obligación de firmar o prescribe consecuencias para su ausencia.
Art. 4º - Derogado por Ley 27.446 (B.O. 18/06/2018).
Art. 5º - Firma electrónica. Se entiende por firma electrónica al conjunto de datos electrónicos
integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el
signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser
considerada firma digital. En caso de ser desconocida la firma electrónica corresponde a quien la
invoca acreditar su validez.
Art. 6º - Documento digital. Se entiende por documento digital a la representación digital de actos o
hechos, con independencia del soporte utilizado para su fijación, almacenamiento o archivo. Un
documento digital también satisface el requerimiento de escritura.
Art. 7º - Presunción de autoría. Se presume, salvo prueba en contrario, que toda firma digital
pertenece al titular del certificado digital que permite la verificación de dicha firma.
Art. 8º - Presunción de integridad. Si el resultado de un procedimiento de verificación de una firma
digital aplicado a un documento digital es verdadero, se presume, salvo prueba en contrario, que este
documento digital no ha sido modificado desde el momento de su firma.
Art. 9º - Validez. Una firma digital es válida si cumple con los siguientes requisitos:
a. Haber sido creada durante el período de vigencia del certificado digital válido del firmante;
b. Ser debidamente verificada por la referencia a los datos de verificación de firma digital indicados
en dicho certificado según el procedimiento de verificación correspondiente;
c. Que dicho certificado haya sido emitido o reconocido, según el artículo 16 de la presente, por un
certificador licenciado.
Volver al índice
Art. 10º - Remitente. Presunción. Cuando un documento electrónico sea firmado por un certificado de
aplicación, se presumirá, salvo prueba en contrario, que el documento firmado proviene de la persona
titular del certificado.
Art. 11º - Original. Los documentos electrónicos firmados digitalmente y los reproducidos en formato
digital firmados digitalmente a partir de originales de primera generación en cualquier otro soporte,
también serán considerados originales y poseen, como consecuencia de ello, valor probatorio como
tales, según los procedimientos que determine la reglamentación.
Art. 12º - Conservación. La exigencia legal de conservar documentos, registros o datos, también
queda satisfecha con la conservación de los correspondientes documentos digitales firmados
digitalmente, según los procedimientos que determine la reglamentación, siempre que sean
accesibles para su posterior consulta y permitan determinar fehacientemente el origen, destino, fecha
y hora de su generación, envío y/o recepción.
CAPÍTULO II
DE LOS CERTIFICADOS DIGITALES
Art. 13º - Certificado digital. Se entiende por certificado digital al documento digital firmado
digitalmente por un certificador, que vincula los datos de verificación de firma a su titular.
Art. 14º - Requisitos de validez de los certificados digitales. Los certificados digitales para ser válidos
deben:
a. Ser emitidos por un certificador licenciado por el ente licenciante;
b. Responder a formatos estándares reconocidos internacionalmente, fijados por la autoridad de
aplicación, y contener, como mínimo, los datos que permitan:
1. Identificar indubitablemente a su titular y al certificador licenciado que lo emitió, indicando su
período de vigencia y los datos que permitan su identificación única;
2. Ser susceptible de verificación respecto de su estado de revocación;
3. Diferenciar claramente la información verificada de la no verificada incluidas en el certificado;
4. Contemplar la información necesaria para la verificación de la firma;
5. Identificar la política de certificación bajo la cual fue emitido.
Art. 15º - Período de vigencia del certificado digital. A los efectos de esta ley, el certificado digital es
válido únicamente dentro del período de vigencia, que comienza en la fecha de inicio y finaliza en su
fecha de vencimiento, debiendo ambas ser indicadas en el certificado digital, o su revocación si fuere
revocado.
La fecha de vencimiento del certificado digital referido en el párrafo anterior en ningún caso puede
ser posterior a la del vencimiento del certificado digital del certificador licenciado que lo emitió.
La Autoridad de Aplicación podrá establecer mayores exigencias respecto de la determinación exacta
del momento de emisión, revocación y vencimiento de los certificados digitales.
Art. 16º - Reconocimiento de certificados extranjeros. Los certificados digitales emitidos por
certificadores extranjeros podrán ser reconocidos en los mismos términos y condiciones exigidos en
la ley y sus normas reglamentarias cuando:
a. Reúnan las condiciones que establece la presente ley y la reglamentación correspondiente para los
certificados emitidos por certificadores nacionales y se encuentre vigente un acuerdo de reciprocidad
firmado por la República Argentina y el país de origen del certificador extranjero, o
b. Tales certificados sean reconocidos por un certificador licenciado en el país, que garantice su
validez y vigencia conforme a la presente ley. A fin de tener efectos, este reconocimiento deberá ser
validado por la autoridad de aplicación.
Volver al índice
CAPÍTULO III
DEL CERTIFICADOR LICENCIADO
Art. 17º - Del certificador licenciado. Se entiende por certificador licenciado a toda persona de
existencia ideal, registro público de contratos u organismo público que expide certificados, presta
otros servicios en relación con la firma digital y cuenta con una licencia para ello, otorgada por el ente
licenciante.
La actividad de los certificadores licenciados no pertenecientes al sector público se prestará en
régimen de competencia. El arancel de los servicios prestados por los certificadores licenciados será
establecido libremente por éstos.
Art. 19º - Funciones. El certificador licenciado tiene las siguientes funciones:
a. Recibir una solicitud de emisión de certificado digital, firmada digitalmente con los
correspondientes datos de verificación de firma digital del solicitante;
b. Emitir certificados digitales de acuerdo a lo establecido en sus políticas de certificación, y a las
condiciones que la autoridad de aplicación indique en la reglamentación de la presente ley;
c. Identificar inequívocamente los certificados digitales emitidos;
d. Mantener copia de todos los certificados digitales emitidos, consignando su fecha de emisión y de
vencimiento si correspondiere, y de sus correspondientes solicitudes de emisión;
e. Revocar los certificados digitales por él emitidos en los siguientes casos, entre otros que serán
determinados por la reglamentación:
1. A solicitud del titular del certificado digital.
2. Si determinara que un certificado digital fue emitido en base a una información falsa, que en el
momento de la emisión hubiera sido objeto de verificación.
3. Si determinara que los procedimientos de emisión y/o verificación han dejado de ser seguros.
4. Por condiciones especiales definidas en su política de certificación.
5. Por resolución judicial o de la autoridad de aplicación.
f. Informar públicamente el estado de los certificados digitales por él emitidos. Los certificados
digitales revocados deben ser incluidos en una lista de certificados revocados indicando fecha y hora
de la revocación. La validez y autoría de dicha lista de certificados revocados deben ser garantizadas.
Art. 20º - Licencia. Para obtener una licencia el certificador debe cumplir con los requisitos
establecidos por la ley y tramitar la solicitud respectiva ante el ente licenciante, el que otorgará la
licencia previo dictamen legal y técnico que acredite la aptitud para cumplir con sus funciones y
obligaciones. Estas licencias son intransferibles.
Art. 21º - Obligaciones. Son obligaciones del certificador licenciado:
a. Informar a quien solicita un certificado con carácter previo a su emisión y utilizando un medio de
comunicación las condiciones precisas de utilización del certificado digital, sus características y
efectos, la existencia de un sistema de licenciamiento y los procedimientos, forma que garantiza su
posible responsabilidad patrimonial y los efectos de la revocación de su propio certificado digital y de
la licencia que le otorga el ente licenciante. Esa información deberá estar libremente accesible en
lenguaje fácilmente comprensible. La parte pertinente de dicha información estará también
disponible para terceros;
b. Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo
ninguna circunstancia, a los datos de creación de firma digital de los titulares de certificados digitales
por él emitidos;
c. Mantener el control exclusivo de sus propios datos de creación de firma digital e impedir su
divulgación;
Volver al índice
d. Operar utilizando un sistema técnicamente confiable de acuerdo con lo que determine la autoridad
de aplicación;
e. Notificar al solicitante las medidas que está obligado a adoptar para crear firmas digitales seguras
y para su verificación confiable, y las obligaciones que asume por el solo hecho de ser titular de un
certificado digital;
f. Recabar únicamente aquellos datos personales del titular del certificado digital que sean
necesarios para su emisión, quedando el solicitante en libertad de proveer información adicional;
g. Mantener la confidencialidad de toda información que no figure en el certificado digital;
h. Poner a disposición del solicitante de un certificado digital toda la información relativa a su
tramitación;
i. Mantener la documentación respaldatoria de los certificados digitales emitidos, por diez (10) años
a partir de su fecha de vencimiento o revocación;
j. Incorporar en su política de certificación los efectos de la revocación de su propio certificado digital
y/o de la licencia que le otorgara la autoridad de aplicación;
k. Publicar en Internet o en la red de acceso público de transmisión o difusión de datos que la
sustituya en el futuro, en forma permanente e ininterrumpida, la lista de certificados digitales
revocados, las políticas de certificación, la información relevante de los informes de la última
auditoría de que hubiera sido objeto, su manual de procedimientos y toda información que determine
la autoridad de aplicación;
l. Publicar en el Boletín Oficial aquellos datos que la autoridad de aplicación determine;
m. Registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de
ellas;
n. Informar en las políticas de certificación si los certificados digitales por él emitidos requieren la
verificación de la identidad del titular;
o. Verificar, de acuerdo con lo dispuesto en su manual de procedimientos, toda otra información que
deba ser objeto de verificación, la que debe figurar en las políticas de certificación y en los certificados
digitales;
p. Solicitar inmediatamente al ente licenciante la revocación de su certificado, o informarle la
revocación del mismo, cuando existieren indicios de que los datos de creación de firma digital que
utiliza hubiesen sido comprometidos o cuando el uso de los procedimientos de aplicación de los datos
de verificación de firma digital en él contenidos hayan dejado de ser seguros;
q. Informar inmediatamente al ente licenciante sobre cualquier cambio en los datos relativos a su
licencia;
r. Permitir el ingreso de los funcionarios autorizados de la autoridad de aplicación, del ente
licenciante o de los auditores a su local operativo, poner a su disposición toda la información
necesaria y proveer la asistencia del caso;
s. Emplear personal idóneo que tenga los conocimientos específicos, la experiencia necesaria para
proveer los servicios ofrecidos y en particular, competencia en materia de gestión, conocimientos
técnicos en el ámbito de la firma digital y experiencia adecuada en los procedimientos de seguridad
pertinentes;
t. Someter a aprobación del ente licenciante el manual de procedimientos, el plan de seguridad y el
de cese de actividades, así como el detalle de los componentes técnicos a utilizar;
u. Constituir domicilio legal en la República Argentina;
v. Disponer de recursos humanos y tecnológicos suficientes para operar de acuerdo a las exigencias
establecidas en la presente ley y su reglamentación;
w. Cumplir con toda otra obligación emergente de su calidad de titular de la licencia adjudicada por
el ente licenciante.
Volver al índice
Art. 22º - Cese del certificador. El certificador licenciado cesa en tal calidad:
a. Por decisión unilateral comunicada al ente licenciante;
b. Por cancelación de su personería jurídica;
c. Por cancelación de su licencia dispuesta por el ente licenciante.
La autoridad de aplicación determinará los procedimientos de revocación aplicables en estos casos.
Art. 23º - Desconocimiento de la validez de un certificado digital. Un certificado digital no es válido
si es utilizado:
a. Para alguna finalidad diferente a los fines para los cuales fue extendido;
b. Para operaciones que superen el valor máximo autorizado cuando corresponda;
c. Una vez revocado.
CAPÍTULO IV
DEL TITULAR DE UN CERTIFICADO DIGITAL
Art. 24º - Derechos del titular de un certificado digital. El titular de un certificado digital tiene los
siguientes derechos:
a. A ser informado por el certificador licenciado, con carácter previo a la emisión del certificado
digital, y utilizando un medio de comunicación sobre las condiciones precisas de utilización del
certificado digital, sus características y efectos, la existencia de este sistema de licenciamiento y los
procedimientos asociados. Esa información deberá darse por escrito en un lenguaje fácilmente
comprensible. La parte pertinente de dicha información estará también disponible para terceros;
b. A que el certificador licenciado emplee los elementos técnicos disponibles para brindar seguridad
y confidencialidad a la información proporcionada por él, y a ser informado sobre ello;
c. A ser informado, previamente a la emisión del certificado, del precio de los servicios de certificación,
incluyendo cargos adicionales y formas de pago;
d. A que el certificador licenciado le informe sobre su domicilio en la República Argentina, y sobre los
medios a los que puede acudir para solicitar aclaraciones, dar cuenta del mal funcionamiento del
sistema, o presentar sus reclamos;
e. A que el certificador licenciado proporcione los servicios pactados, y a no recibir publicidad
comercial de ningún tipo por intermedio del certificador licenciado.
Art. 25º - Obligaciones del titular del certificado digital. Son obligaciones del titular de un certificado
digital:
a. Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir
su divulgación;
b. Utilizar un dispositivo de creación de firma digital técnicamente confiable;
c. Solicitar la revocación de su certificado al certificador licenciado ante cualquier circunstancia que
pueda haber comprometido la privacidad de sus datos de creación de firma;
d. Informar sin demora al certificador licenciado el cambio de alguno de los datos contenidos en el
certificado digital que hubiera sido objeto de verificación.
Volver al índice
CAPÍTULO V
DEL CERTIFICADOR LICENCIADO
Art. 26º - Infraestructura de Firma Digital. Los certificados digitales regulados por esta ley deben ser
emitidos o reconocidos, según lo establecido por el artículo 16, por un certificador licenciado.
Art. 27º - Sistema de auditoría. La autoridad de aplicación diseñará un sistema de auditoría para
evaluar la confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad,
confiabilidad y disponibilidad de los datos, así como también el cumplimiento de las especificaciones
del manual de procedimientos y los planes de seguridad y de contingencia aprobados por el ente
licenciante.
CAPÍTULO VI
DE LA AUTORIDAD DE APLICACIÓN
Art. 29º - Autoridad de aplicación. La autoridad de aplicación de la presente ley será el Ministerio de
Modernización.
Art. 30º - Funciones. La autoridad de aplicación tiene las siguientes funciones:
a. Dictar las normas reglamentarias y de aplicación de la presente;
b. Establecer los estándares tecnológicos y operativos de la infraestructura de firma digital.
c. Determinar los efectos de la revocación de los certificados de los certificadores licenciados o del
ente licenciante;
d. Instrumentar acuerdos nacionales e internacionales a fin de otorgar validez jurídica a las firmas
digitales creadas sobre la base de certificados emitidos por certificadores de otros países;
e. Determinar las pautas de auditoría, incluyendo los dictámenes tipo que deban emitirse como
conclusión de las revisiones;
f. Actualizar los valores monetarios previstos en el régimen de sanciones de la presente ley;
j. Determinar los niveles de licenciamiento;
h. Otorgar o revocar las licencias a los certificadores licenciados y supervisar su actividad, según las
exigencias instituidas por la reglamentación;
i. Fiscalizar el cumplimiento de las normas legales y reglamentarias en lo referente a la actividad de
los certificadores licenciados;
j. Homologar los dispositivos de creación y verificación de firmas digitales, con ajuste a las normas y
procedimientos establecidos por la reglamentación;
k. Aplicar las sanciones previstas en la presente ley.
Art. 31º - Obligaciones. En su calidad de titular de certificado digital, la autoridad de aplicación tiene
las mismas obligaciones que los titulares de certificados y que los certificadores licenciados. En
especial y en particular debe:
a. Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder, bajo
ninguna circunstancia, a los datos utilizados para generar la firma digital de los certificadores
licenciados;
b. Mantener el control exclusivo de los datos utilizados para generar su propia firma digital e impedir
su divulgación;
c. Revocar su propio certificado frente al compromiso de la privacidad de los datos de creación de
firma digital;
Volver al índice
d. Publicar en Internet o en la red de acceso público de transmisión o difusión de datos que la
sustituya en el futuro, en forma permanente e ininterrumpida, los domicilios, números telefónicos y
direcciones de Internet tanto de los certificadores licenciados como los propios y su certificado digital;
e. Supervisar la ejecución del plan de cese de actividades de los certificadores licenciados que
discontinúan sus funciones.
Art. 32º - Arancelamiento. La autoridad de aplicación podrá cobrar un arancel de licenciamiento para
cubrir su costo operativo y el de las auditorías realizadas por sí o por terceros contratados a tal efecto.
CAPÍTULO VII
DEL SISTEMA DE AUDITORÍA
Art. 33º - Sujetos a auditar. El ente licenciante y los certificadores licenciados, deben ser auditados
periódicamente, de acuerdo al sistema de auditoría que diseñe y apruebe la autoridad de aplicación.
La autoridad de aplicación podrá implementar el sistema de auditoría por sí o por terceros habilitados
a tal efecto. Las auditorías deben como mínimo evaluar la confiabilidad y calidad de los sistemas
utilizados, la integridad, confidencialidad y, disponibilidad de los datos, así como también el
cumplimiento de las especificaciones del manual de procedimientos y los planes de seguridad y, de
contingencia aprobados por el ente licenciante.
Art. 34º - Organismo auditante. La Sindicatura General de la Nación realizará las auditorías previstas
en la presente ley.
CAPÍTULO VIII
DE LA COMISIÓN ASESORA PARA LA INFRAESTRUCTURA DE FIRMA DIGITAL
CAPÍTULO IX
RESPONSABILIDAD
Art. 37º - Convenio de partes. La relación entre el certificador licenciado que emita un certificado
digital y el titular de ese certificado se rige por el contrato que celebren entre ellos, sin perjuicio de
las previsiones de la presente ley, y demás legislación vigente.
Art. 38º - Responsabilidad de los certificadores licenciados ante terceros.
El certificador que emita un certificado digital o lo reconozca en los términos del artículo 16 de la
presente ley, es responsable por los daños y perjuicios que provoque, por los incumplimientos a las
previsiones de ésta, por los errores u omisiones que presenten los certificados digitales que expida,
por no revocarlos, en legal tiempo y forma cuando así correspondiere y por las consecuencias
imputables a la inobservancia de procedimientos de certificación exigibles. Corresponderá al
prestador del servicio demostrar que actuó con la debida diligencia.
Art. 39º - Limitaciones de responsabilidad. Los certificadores licenciados no son responsables en los
siguientes casos:
a. Por los casos que se excluyan taxativamente en las condiciones de emisión y utilización de sus
certificados y que no estén expresamente previstos en la ley;
b. Por los daños y perjuicios que resulten del uso no autorizado de un certificado digital, si en las
correspondientes condiciones de emisión y utilización de sus certificados constan las restricciones de
su utilización;
c. Por eventuales inexactitudes en el certificado que resulten de la información facilitada por el titular
que, según lo dispuesto en las normas y en los manuales de procedimientos respectivos, deba ser
objeto de verificación, siempre que el certificador pueda demostrar que ha tomado todas las medidas
razonables.
Volver al índice
CAPÍTULO X
SANCIONES
Art. 4º - Sanciones. El incumplimiento de las obligaciones establecidas en la presente ley para los
certificadores licenciados dará lugar a la aplicación de las siguientes sanciones:
a. Apercibimiento;
b. Multa de pesos diez mil ($ 10.000) a pesos quinientos mil ($ 500.000);
c. Caducidad de la licencia.
Su gradación según reincidencia y/u oportunidad serán establecidas por la reglamentación.
El pago de la sanción que aplique el ente licenciante no relevará al certificador licenciado de
eventuales reclamos por daños y perjuicios causados a terceros y/o bienes de propiedad de éstos,
como consecuencia de la ejecución del contrato que celebren y/o por el incumplimiento de las
obligaciones asumidas conforme al mismo y/o la prestación del servicio.
Art. 42º - Apercibimiento. Podrá aplicarse sanción de apercibimiento en los siguientes casos:
a. Emisión de certificados sin contar con la totalidad de los datos requeridos, cuando su omisión no
invalidare el certificado;
b. No facilitar los datos requeridos por el ente licenciante en ejercicio de sus funciones;
c. Cualquier otra infracción a la presente ley que no tenga una sanción mayor.
Art. 43º - Multa. Podrá aplicarse sanción de multa en los siguientes casos:
a. Incumplimiento de las obligaciones previstas en el artículo 21;
b. Si la emisión de certificados se realizare sin cumplimentar las políticas de certificación
comprometida y causare perjuicios a los usuarios, signatarios o terceros, o se afectare gravemente la
seguridad de los servicios de certificación;
c. Omisión de llevar el registro de los certificados expedidos;
d. Omisión de revocar en forma o tiempo oportuno un certificado cuando así correspondiere;
e. Cualquier impedimento u obstrucción a la realización de inspecciones o auditorías por parte de la
autoridad de aplicación y del ente licenciante;
f. Incumplimiento de las normas dictadas por la autoridad de aplicación;
g. Reincidencia en la comisión de infracciones que dieran lugar a la sanción de apercibimiento.
Art. 44º - Caducidad. Podrá aplicarse la sanción de caducidad de la licencia en caso de:
a. No tomar los debidos recaudos de seguridad en los servicios de certificación;
b. Expedición de certificados falsos;
c. Transferencia no autorizada o fraude en la titularidad de la licencia;
d. Reincidencia en la comisión de infracciones que dieran lugar a la sanción de multa;
e. Quiebra del titular.
La sanción de caducidad inhabilita a la titular sancionada y a los integrantes de órganos directivos
por el término de 10 años para ser titular de licencias.
Art. 45º - Recurribilidad. Las sanciones aplicadas podrán ser recurridas ante los Tribunales Federales
con competencia en lo Contencioso Administrativo correspondientes al domicilio de la entidad, una
vez agotada la vía administrativa pertinente.
La interposición de los recursos previstos en este capítulo tendrá efecto devolutivo.
Art. 46º - Jurisdicción. En los conflictos entre particulares y certificadores licenciados es competente
la Justicia en lo Civil y Comercial Federal. En los conflictos en que sea parte un organismo público
certificador licenciado, es competente la Justicia en lo Contencioso- administrativo Federal.
Volver al índice
CAPÍTULO XI
DISPOSICIONES COMPLEMENTARIAS
Art. 47º - Utilización por el Estado Nacional. El Estado nacional utilizará las tecnologías y previsiones
de la presente ley en su ámbito interno y en relación con los administrados de acuerdo con las
condiciones que se fijen reglamentariamente en cada uno de sus poderes.
Art. 48º - Implementación. El Estado nacional, dentro de las jurisdicciones y entidades comprendidas
en el artículo 8º de la Ley 24.156, promoverá el uso masivo de la firma digital de tal forma que
posibilite el trámite de los expedientes por vías simultáneas, búsquedas automáticas de la
información y seguimiento y control por parte del interesado, propendiendo a la progresiva
despapelización.
En un plazo máximo de 5 (cinco) años contados a partir de la entrada en vigencia de la presente ley,
se aplicará la tecnología de firma digital a la totalidad de las leyes, decretos, decisiones
administrativas, resoluciones y sentencias emanados de las jurisdicciones y entidades comprendidas
en el artículo 8º de la Ley 24.156.
Art. 49º - Reglamentación. El Poder Ejecutivo deberá reglamentar esta ley en un plazo no mayor a los
180 (ciento ochenta) días de su publicación en el Boletín Oficial de la Nación.
Art. 50º - Invitación. Invítase a las jurisdicciones provinciales a dictar los instrumentos legales
pertinentes para adherir a la presente ley.
Art. 51º - Equiparación a los efectos del derecho penal. Incorpórase el siguiente texto como artículo
78 (bis) del Código Penal:
Los términos firma y suscripción comprenden la firma digital, la creación de una firma digital o firmar
digitalmente. Los términos documento, instrumento privado y certificado comprenden el documento
digital firmado digitalmente.
Art. 52º - Autorización al Poder Ejecutivo. Autorízase al Poder Ejecutivo para que por la vía del
artículo 99, inciso 2, de la Constitución Nacional actualice los contenidos del Anexo de la presente ley
a fin de evitar su obsolescencia.
ANEXO
Información: conocimiento adquirido acerca de algo o alguien.
Procedimiento de verificación: proceso utilizado para determinar la validez de una firma digital. Dicho
proceso debe considerar al menos:
a. que dicha firma digital ha sido creada durante el período de validez del certificado digital del
firmante;
b. que dicha firma digital ha sido creada utilizando los datos de creación de firma digital
correspondientes a los datos de verificación de firma digital indicados en el certificado del firmante;
c. la verificación de la autenticidad y la validez de los certificados involucrados.
Datos de creación de firma digital: datos únicos, tales como códigos o claves criptográficas privadas,
que el firmante utiliza para crear su firma digital.
Datos de verificación de firma digital: datos únicos, tales como códigos o claves criptográficas
públicas, que se utilizan para verificar la firma digital, la integridad del documento digital y la
identidad del firmante.
Dispositivo de creación de firma digital: dispositivo de hardware o software técnicamente confiable
que permite firmar digitalmente.
Dispositivo de verificación de firma digital: dispositivo de hardware o software técnicamente confiable
que permite verificar la integridad del documento digital y la identidad del firmante.
Políticas de certificación: reglas en las que se establecen los criterios de emisión y utilización de los
certificados digitales.
Volver al índice
Técnicamente confiable: cualidad del conjunto de equipos de computación, software, protocolos de
comunicación y de seguridad y procedimientos administrativos relacionados que cumplan los
siguientes requisitos:
1. Resguardar contra la posibilidad de intrusión y/o uso no autorizado;
2. Asegurar la disponibilidad, confiabilidad, confidencialidad y correcto funcionamiento;
3. Ser apto para el desempeño de sus funciones específicas;
4. Cumplir las normas de seguridad apropiadas, acordes a estándares internacionales en la materia;
5. Cumplir con los estándares técnicos y de auditoría que establezca la Autoridad de Aplicación.
Clave criptográfica privada: En un criptosistema asimétrico es aquella que se utiliza para firmar
digitalmente.
Clave criptográfica pública: En un criptosistema asimétrico es aquella que se utiliza para verificar una
firma digital.
Integridad: Condición que permite verificar que una información no ha sido alterada por medios
desconocidos o no autorizados.
Criptosistema asimétrico: Algoritmo que utiliza un par de claves, una clave privada para firmar
digitalmente y su correspondiente clave pública para verificar dicha firma digital.
Volver al índice
Tipo de norma: LEY
Sumario:
Códico Penal
Violación de secretos y de la privacidad
Daños
Interrupción de comunicaciones
Violación de sellos y documentos
Acesso a un sistema o dato informático de acceso restringido-
Modificación de la ley 11.179
Citas: TR LALEY AR/LCON/000BG
EL SENADO Y CÁMARA DE DIPUTADOS DE LA NACIÓN ARGENTINA

REUNIDOS EN CONGRESO, ETC. SANCIONAN CON FUERZA DE LEY:
Artículo 1º - Incorpóranse como últimos párrafos del artículo 77 del Código Penal, los siguientes:
El término "documento" comprende toda representación de actos o hechos, con independencia del
soporte utilizado para su fijación, almacenamiento, archivo o transmisión.
Los términos "firma" y "suscripción" comprenden la firma digital, la creación de una firma digital o
firmar digitalmente.
Los términos "instrumento privado" y "certificado" comprenden el documento digital firmado
digitalmente.
Artículo 2º - Sustitúyese el artículo 128 del Código Penal, por el siguiente:
Artículo 128: Será reprimido con prisión de seis (6) meses a cuatro (4) años el que produjere,
financiare, ofreciere, comerciare, publicare, facilitare, divulgare o distribuyere, por cualquier medio,
toda representación de un menor de dieciocho (18) años dedicado a actividades sexuales explícitas o
toda representación de sus partes genitales con fines predominantemente sexuales, al igual que el
que organizare espectáculos en vivo de representaciones sexuales explícitas en que participaren
dichos menores.
Será reprimido con prisión de cuatro (4) meses a dos (2) años el que tuviere en su poder
representaciones de las descriptas en el párrafo anterior con fines inequívocos de distribución o
comercialización.
Será reprimido con prisión de un (1) mes a tres (3) años el que facilitare el acceso a espectáculos
pornográficos o suministrare material pornográfico a menores de catorce (14) años.
Artículo 3º - Sustitúyese el epígrafe del Capítulo III, del Título V, del Libro II del Código Penal, por el
siguiente:
"Violación de Secretos y de la Privacidad"

Artículo 153: Será reprimido con prisión de quince (15) días a seis (6) meses el que abriere o accediere
indebidamente a una comunicación electrónica, una carta, un pliego cerrado, un despacho
telegráfico, telefónico o de otra naturaleza, que no le esté dirigido; o se apoderare indebidamente de
una comunicación electrónica, una carta, un pliego, un despacho u otro papel privado, aunque no esté
cerrado; o indebidamente suprimiere o desviare de su destino una correspondencia o una
comunicación electrónica que no le esté dirigida.
En la misma pena incurrirá el que indebidamente interceptare o captare comunicaciones electrónicas
o telecomunicaciones provenientes de cualquier sistema de carácter privado o de acceso restringido.
Volver al índice
Artículo 5º - Incorpórase como artículo 153 bis del Código Penal, el siguiente:
Artículo 153 bis: Será reprimido con prisión de quince (15) días a seis (6) meses, si no resultare un
delito más severamente penado, el que a sabiendas accediere por cualquier medio, sin la debida
autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido.
La pena será de un (1) mes a un (1) año de prisión cuando el acceso fuese en perjuicio de un sistema
o dato informático de un organismo público estatal o de un proveedor de servicios públicos o de
servicios financieros.
Artículo 155: Será reprimido con multa de pesos un mil quinientos ($1.500) a pesos cien mil
($100.000), el que hallándose en posesión de una correspondencia, una comunicación electrónica,
un pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza, no destinados a la
publicidad, los hiciere publicar indebidamente, si el hecho causare o pudiere causar perjuicios a
terceros.
Está exento de responsabilidad penal el que hubiere obrado con el propósito inequívoco de proteger
un interés público.
Artículo 157: Será reprimido con prisión de un (1) mes a dos (2) años e inhabilitación especial de un (1)
a cuatro (4) años, el funcionario público que revelare hechos, actuaciones, documentos o datos, que
por ley deben ser secretos.
Artículo 8º - Sustitúyese el artículo 157 bis del Código Penal, por el siguiente:
Artículo 157 bis: Será reprimido con la pena de prisión de un (1) mes a dos (2) años el que:
1. A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos,
accediere, de cualquier forma, a un banco de datos personales;
2. Ilegítimamente proporcionare o revelare a otro información registrada en un archivo o en un banco
de datos personales cuyo secreto estuviere obligado a preservar por disposición de la ley;
3. Ilegítimamente insertare o hiciere insertar datos en un archivo de datos personales. Cuando el
autor sea funcionario público sufrirá, además, pena de inhabilitación especial de un (1) a cuatro (4)
años.
Artículo 9º - Incorpórase como inciso 16 del artículo 173 del Código Penal, el siguiente:
Inciso 16. El que defraudare a otro mediante cualquier técnica de manipulación informática que altere
el normal funcionamiento de un sistema informático o la transmisión de datos.
Artículo 10º - Incorpórase como segundo párrafo del artículo 183 del Código Penal, el siguiente:
En la misma pena incurrirá el que alterare, destruyere o inutilizare datos, documentos, programas o
sistemas informáticos; o vendiere, distribuyere, hiciere circular o introdujere en un sistema
informático, cualquier programa destinado a causar daños.
Artículo 184: La pena será de tres (3) meses a cuatro (4) años de prisión, si mediare cualquiera de las
circunstancias siguientes:
1. Ejecutar el hecho con el fin de impedir el libre ejercicio de la autoridad o en venganza de sus
determinaciones;
2. Producir infección o contagio en aves u otros animales domésticos;
3. Emplear substancias venenosas o corrosivas;
4. Cometer el delito en despoblado y en banda;
5. Ejecutarlo en archivos, registros, bibliotecas, museos o en puentes, caminos, paseos u otros bienes
de uso público; o en tumbas, signos conmemorativos, monumentos, estatuas, cuadros u otros objetos
de arte colocados en edificios o lugares públicos; o en datos, documentos, programas o sistemas
informáticos públicos;
Volver al índice
6. Ejecutarlo en sistemas informáticos destinados a la prestación de servicios de salud, de
comunicaciones, de provisión o transporte de energía, de medios de transporte u otro servicio público.
Artículo 12º - Sustitúyese el artículo 197 del Código Penal, por el siguiente: Artículo 197: Será
reprimido con prisión de seis (6) meses a dos (2) años, el que interrumpiere o entorpeciere la
comunicación telegráfica, telefónica o de otra naturaleza o resistiere violentamente el
restablecimiento de la comunicación interrumpida.
Artículo 255: Será reprimido con prisión de un (1) mes a cuatro (4) años, el que sustrajere, alterare,
ocultare, destruyere o inutilizare en todo o en parte objetos destinados a servir de prueba ante la
autoridad competente, registros o documentos confiados a la custodia de un funcionario público o de
otra persona en el interés del servicio público. Si el autor fuere el mismo depositario, sufrirá además
inhabilitación especial por doble tiempo.
Si el hecho se cometiere por imprudencia o negligencia del depositario, éste será reprimido con multa
de pesos setecientos cincuenta ($750) a pesos doce mil quinientos ($12.500).
Artículo 14º - Deróganse el artículo 78 bis y el inciso 1º del artículo 117 bis del Código Penal.
Artículo 15º - Comuníquese al Poder Ejecutivo.
DADA EN LA SALA DE SESIONES DEL CONGRESO ARGENTINO, EN BUENOS AIRES, A LOS CUATRO DIAS DEL MES DE
JUNIO DEL AÑO DOS MIL OCHO.
EDUARDO A. FELLNER. - JULIO C. C. COBOS. - Enrique Hidalgo. - Juan H. Estrada.
Volver al índice
Tipo de norma: LEY
Sumario:
Convenios
Convenio sobre Ciberdelito del Consejo de Europa
Aprobación
Citas: TR LALEY AR/LCON/0007HY
CONVENIO SOBRE CIBERDELITO.

APROBACIÓN.
EL SENADO Y CÁMARA DE DIPUTADOS DE LA NACIÓN ARGENTINA

REUNIDOS EN CONGRESO, ETC. SANCIONAN CON FUERZA DE LEY:
Art. 1° - Apruébase el Convenio sobre Ciberdelito del Consejo de Europa, adoptado en la Ciudad de
Budapest, Hungría, el 23 de noviembre de 2001, que consta de cuarenta y ocho (48) artículos cuya
copia auténtica de su traducción al español así como de su versión en idioma inglés, como anexo I,
forma parte de la presente.
Art. 2° - Al depositarse el instrumento de adhesión deberán efectuarse las siguientes reservas:
La República Argentina hace reserva del artículo 6.1.b. del Convenio sobre Ciberdelito y manifiesta
que no regirá en su jurisdicción por entender que prevé un supuesto de anticipación de la pena
mediante la tipificación de actos preparatorios, ajeno a su tradición legislativa en materia jurídico
penal.
La República Argentina hace reserva de los artículos 9.1.d., 9.2.b. y 9.2.c. del Convenio sobre
Ciberdelito y manifiesta que estos no regirán en su jurisdicción por entender que son supuestos que
resultan incompatibles con el Código Penal vigente, conforme a la reforma introducida por la ley
26.388.
La República Argentina hace reserva parcial del artículo 9.1.e. del Convenio sobre Ciberdelito y
manifiesta que no regirá en su jurisdicción por entender que el mismo sólo es aplicable de acuerdo a
legislación penal vigente hasta la fecha, cuando la posesión allí referida fuera cometida con
inequívocos fines de distribución o comercialización (artículo 128, segundo párrafo, del Código Penal).
La República Argentina hace reserva del artículo 22.1.d. del Convenio sobre Ciberdelito y manifiesta
que no regirá en su jurisdicción por entender que su contenido difiere de las reglas que rigen la
definición de la competencia penal nacional.
La República Argentina hace reserva del artículo 29.4 del Convenio sobre Ciberdelito y manifiesta que
no regirá en su jurisdicción por entender que el requisito de la doble incriminación es una de las bases
fundamentales de la Ley de Cooperación Internacional en Materia Penal N° 24.767 para el tipo de
medidas de cooperación previstas en artículo y numeral citados.
Art. 3° - Comuníquese al Poder Ejecutivo nacional.
ANEXO
TRADUCCIÓN PÚBLICA
Convenio sobre ciberdelito Budapest, 23.XI.2001 Preámbulo
Los Estados miembros del Consejo de Europa y otros Estados firmantes,
Volver al índice
Considerando que el objetivo del Consejo de Europa es lograr una unión más estrecha entre sus
miembros;
Reconociendo el interés de intensificar la cooperación con los otros Estados parte de este Convenio;
Persuadidos de la necesidad de garantizar un equilibrio adecuado entre los intereses de la acción
represiva y el respeto de los derechos fundamentales del hombre, como los garantizados en el
Convenio para la protección de los derechos del hombre y de las libertades fundamentales del
Consejo de Europa (1950), en el Pacto internacional relativo a los derechos civiles y políticos de las
Naciones Unidas (1966), así como en otros convenios internacionales aplicables en materia de
derechos del hombre, que reafirman el derecho de no ser perseguido por la opinión, el derecho a la
libertad de expresión, incluida la libertad de buscar, obtener y comunicar informaciones e ideas de
toda naturaleza, sin consideración de fronteras, así como el derecho al respeto de la vida privada;
Conscientes, igualmente, de la protección de los datos personales, como la que confiere, por ejemplo,
el Convenio de 1981 del Consejo de Europa para la protección de las personas en lo referente al
tratamiento automatizado de los datos de carácter personal;
Considerando el Convenio de Naciones Unidas relativo a los derechos del niño y el Convenio de la
Organización Internacional del Trabajo sobre la prohibición de las peores formas de trabajo infantil
(1999);
Teniendo en cuenta los convenios existentes del Consejo de Europa sobre la cooperación en materia
penal, así como otros tratados similares suscritos entre los Estados miembros del Consejo de Europa
y otros Estados, y subrayando que el presente Convenio tiene por objeto completarlos con el fin de
hacer más eficaces las investigaciones y procedimientos penales relativos a las infracciones penales
vinculadas a sistemas y datos informáticos, así como permitir la recogida de pruebas electrónicas de
una infracción penal;
Adoptando las recientes iniciativas destinadas a mejorar la comprensión y la cooperación
internacional para la lucha contra el ciberdelito y, en particular, las acciones organizadas por las
Naciones Unidas, la OCDE, la Unión europea y el G8;
Recordando la Recomendación N° (85) 10 sobre la aplicación práctica del Convenio europeo de ayuda
mutua judicial en materia penal respecto a las comisiones rogatorias para la vigilancia de las
telecomunicaciones, la Recomendación N° (88) 2 sobre medidas dirigidas a combatir la piratería en
el ámbito de los derechos de autor y de los derechos afines, la Recomendación N° (87) 15 dirigida a
regular la utilización de datos de carácter personal en el sector de la policía, la Recomendación N°
(95) 4 sobre la protección de los datos de carácter personal en el sector de los servicios de
telecomunicación, teniendo en cuenta, en particular, los servicios telefónicos y la Recomendación N°
(89) 9 sobre la delincuencia relacionado con las computadoras, que indica a los legisladores
nacionales los principios rectores para definir ciertos delitos informáticos , así como la
Recomendación N° (95) 13 relativa a los problemas de procedimiento penal vinculados a las
tecnologías de la información;
Vista la Resolución N° 1, adoptada por los Ministros europeos de Justicia, en su 21a Conferencia
(Praga, junio 1997), que recomienda al Comité de Ministros mantener las actividades organizadas por
el Comité europeo para los problemas penales (CDPC) relativas al ciberdelito a fin de acercar las
legislaciones penales nacionales y permitir la utilización de medios de investigación eficaces en
materia de infracciones informáticas, así como la Resolución N° 3, adoptada en la 23a Conferencia de
Ministros europeos de Justicia (Londres, junio 2000), que alienta a las partes negociadoras a persistir
en sus esfuerzos al objeto de encontrar soluciones adecuadas, que permitan al mayor número posible
de Estados ser partes en el Convenio y reconoce la necesidad de disponer de un mecanismo rápido y
eficaz de cooperación internacional, que tenga en cuenta las específicas exigencias de la lucha contra
el ciberdelito;
Tomando igualmente en cuenta el Plan de acción adoptado por los Jefes de Estado y de gobierno del
Consejo de Europa, con ocasión de su Décima Cumbre (Estrasburgo, 10-11 octubre 1997) a fin de
buscar respuestas comunes al desarrollo de las nuevas tecnologías de la información, fundadas sobre
las normas y los valores del Consejo de Europa;
Han convenido lo siguiente:
Volver al índice
CAPÍTULO I
TERMINOLOGÍA
Artículo 1° - Definiciones
A los efectos del presente Convenio, la expresión:
a. "sistema informático" designa todo dispositivo aislado o conjunto de dispositivos interconectados
o unidos, que aseguran, en ejecución de un programa, el tratamiento automatizado de datos;
b. "datos informáticos" designa toda representación de hechos, informaciones o conceptos
expresados bajo una forma que se preste a tratamiento informático, incluido un programa destinado
a hacer que un sistema informático ejecute una función;
c. "prestador de servicio" (1) designa:
i. toda entidad pública o privada que ofrece a los usuarios de sus servicios la posibilidad de
comunicar a través de un sistema informático;
ii. cualquier otra entidad que trate o almacene datos informáticos para ese servicio de
comunicación o sus usuarios;
d. "datos de tráfico" (2) designa todos los datos que tienen relación con una comunicación por medio
de un sistema informático, producidos por este último, en cuanto elemento de la cadena de
comunicación, indicando el origen, el destino, el itinerario, la hora, la fecha, el tamaño y la duración
de la comunicación o el tipo de servicio subyacente.
CAPÍTULO II
MEDIDAS QUE DEBEN SER ADOPTADAS A NIVEL NACIONAL
SECCIÓN 1: DERECHO PENAL MATERIAL

TÍTULO 1: INFRACCIONES CONTRA LA CON FIDENCIALIDAD, LA INTEGRIDAD Y LA DISPONIBILIDAD DE LOS
DATOS Y SISTEMAS INFORMÁTICOS
Artículo 2° - Acceso ilícito

Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever
como infracción penal, conforme a su derecho interno, el acceso doloso (3) y sin autorización a todo
o parte de un sistema informático. Las Partes podrán exigir que la infracción sea cometida con
vulneración de medidas de seguridad, con la intención de obtener los datos informáticos o con otra
intención delictiva, o también podrán requerir que la infracción se perpetre en un sistema informático
conectado a otro sistema informático.
Artículo 3° - Interceptación ilícita
como infracción penal, conforme a su derecho interno, la interceptación, dolosa y sin autorización,
cometida a través de medios técnicos, de datos informáticos - en transmisiones no públicas- en el
destino, origen o en el interior de un sistema informático, incluidas las emisiones electromagnéticas
provenientes de un sistema informático que transporta tales datos informáticos. Las Partes podrán
exigir que la infracción sea cometida con alguna intención delictiva o también podrán requerir que la
infracción se perpetre en un sistema informático conectado a otro sistema informático.
Artículo 4° - Atentados contra la integridad de los datos
1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever
como infracción penal, conforme a su derecho interno, la conducta de dañar, borrar, deteriorar, alterar
o suprimir dolosamente y sin autorización los datos informáticos. 2. Las Partes podrán reservarse el
derecho a exigir que el comportamiento descrito en el párrafo primero ocasione daños que puedan
calificarse de graves.
Volver al índice
Artículo 5° - Atentados contra la integridad del sistema'
como infracción penal, conforme a su derecho interno, la obstaculización grave, cometida de forma
doloss sin autorización, del funcionamiento de un sistema informático mediante la introducción,
transmisión, daño, borrado, deterioro alteración o supresión de datos informáticos.
Artículo 6° - Abuso de equipos e instrumentos técnicos (4)
como infracción penal, conforme a su derecho interno, las siguientes conductas cuando éstas sean
cometidas dolosamente y sin autorización:
a. la producción, venta, obtención para su utilización, importación, difusión u otras formas de
puesta a disposición:
i. de un dispositivo, incluido un programa informático, principalmente concebido o adaptado
para permitir la comisión de una de las infracciones establecidas en los artículos 2 a 5 arriba citados;
ii. de una palabra de paso (contraseña), de un código de acceso o de datos informáticos
similares que permitan acceder a todo o parte de un sistema informático, con la intención de
utilizarlos como medio para cometer alguna de las infracciones previstas en los artículos 2 a 5; y
b. la posesión de alguno de los elementos descritos en los parágrafos (a) (1) o (2) con la intención
de utilizarlos como medio para cometer alguna de las infracciones previstas en los artículos 2-5. Los
Estados podrán exigir en su derecho interno que concurra un determinado número de elementos para
que de origen a una responsabilidad penal (5).
1. Lo dispuesto en el presente artículo no generará responsabilidad penal cuando la producción,
venta, obtención para la utilización, importación, difusión u otras formas de puesta a disposición
mencionadas en el párrafo 1 no persigan la comisión de una infracción prevista en los artículos 2 a 5
del presente Convenio, como en el caso de ensayos o de la protección de un sistema informático.
2. Las Partes podrán reservarse el derecho de no aplicar el párrafo 1, a condición de que dicha reserva
no recaiga sobre la venta, distribución o cualesquiera otras formas de puesta a disposición de los
elementos mencionados en el parágrafo 1 (a)(2).
TÍTULO 2: INFRACCIONES INFORMÁTICAS
Artículo 7° - Falsedad informática

como infracción penal, conforme a su derecho interno, la introducción, alteración, borrado o
supresión dolosa y sin autorización de datos informáticos, generando datos no auténticos, con la
intención de que sean percibidos o utilizados a efectos legales como auténticos, con independencia
de que sean directamente legibles e inteligibles. Las Partes podrán reservarse el derecho a exigir la
concurrencia de un ánimo fraudulento o de cualquier otro ánimo similar para que de origen a una
responsabilidad penal.
Artículo 8° - Estafa informática
como infracción penal, conforme a su derecho interno, la producción de un perjuicio patrimonial a
otro, de forma dolosa y sin autorización, a través de:
a. la introducción, alteración, borrado o supresión de datos informáticos;
b. cualquier forma de atentado al funcionamiento de un sistema informático, con la intención,
fraudulenta o delictiva, de obtener sin autorización un beneficio económico para sí mismo o para un
tercero.
TÍTULO 3: INFRACCIONES RELATIVAS AL CONTENIDO
Artículo 9° - Infracciones relativas a la pornografía infantil

como infracción penal, conforme a su derecho interno, las siguientes conductas cuando éstas sean
cometidas dolosamente y sin autorización:
Volver al índice
a. la producción de pornografía infantil con la intención de difundirla a través de un sistema
informático;
b. el ofrecimiento o la puesta a disposición de pornografía infantil a través de un sistema informático;
c. la difusión o la transmisión de pornografía infantil a través de un sistema informático;
d. el hecho de procurarse o de procurar a otro pornografía infantil a través de un sistema informático;
e. la posesión de pornografía infantil en un sistema informático o en un medio de almacenamiento de
datos informáticos.
2. A los efectos del párrafo 1 arriba descrito, la «pornografía infantil» comprende cualquier material
pornográfico que represente de manera visual:
a. un menor adoptando un comportamiento sexualmente explícito;
b. una persona que aparece como un menor adoptando un comportamiento sexualmente explícito (6);
c. unas imágenes realistas que representen un menor adoptando un comportamiento sexualmente
explícito (7).
3. A los efectos del párrafo 2 arriba descrito, el término «menor» designa cualquier persona menor
de 18 años. Las Partes podrán exigir un límite de edad inferior, que debe ser como mínimo de 16 años.
4. Los Estados podrán reservarse el derecho de no aplicar, en todo o en parte, los párrafos 1 (d) y 1 (e)
y 2 (b) y 2 (c).
TÍTULO 4: INFRACCIONES VINCULADAS A LOS ATENTADOS A LA PROPIEDAD INTELECTUAL Y A LOS DERECHOS
AFINES
Artículo 10° - Infracciones vinculadas a los atentados a la propiedad intelectual y a los derechos afines
como infracción penal, conforme a su derecho interno, los atentados a la propiedad intelectual
definida por la legislación de cada Estado, conforme a las obligaciones que haya asumido por
aplicación de la Convención Universal sobre los Derechos de Autor, revisada en París el 24 de julio de
1971, del Convenio de Berna para la protección de obras literarias y artísticas, del Acuerdo sobre los
aspectos de los derechos de propiedad intelectual relacionados con el comercio y del Tratado de la
OMPI sobre Derecho de Autor, a excepción de cualquier derecho moral conferido por dichas
Convenciones, cuando tales actos sean cometidos deliberadamente, a escala comercial y a través de
un sistema informático.
como infracción penal, conforme a su derecho interno, los atentados a los derechos afines definidos
por la legislación de cada Estado, conforme a las obligaciones que haya asumido por aplicación de la
Convención Internacional sobre la Protección de los Artistas Intérpretes o Ejecutantes, los
Productores de Fonogramas y los Organismos de Radiodifusión, hecha en Roma (Convención de
Roma), del Acuerdo sobre los aspectos de los derechos de propiedad intelectual relacionados con el
comercio y del Tratado de la OMPI sobre interpretación o ejecución y fonogramas, a excepción de
cualquier derecho moral conferido por dichas Convenciones, cuando tales actos sean cometidos
deliberadamente, a escala comercial y a través de un sistema informático.
3. Las Partes podrán, de concurrir determinadas circunstancias, reservarse el derecho de no imponer
responsabilidad penal en aplicación de los párrafos 1 y 2 del presente artículo, siempre que se
disponga de otros recursos eficaces para su represión y que dicha reserva no comporte infracción de
las obligaciones internacionales que incumban al Estado por aplicación de los instrumentos
internacionales mencionados en los párrafos 1 y 2 del presente artículo.
TÍTULO 5: OTRAS FORMAS DE RESPONSABILIDAD Y SANCIÓN
Artículo 11° - Tentativa y complicidad

como infracción penal, conforme a su derecho interno, cualquier acto de complicidad que sea
cometido dolosamente y con la intención de favorecer la perpetración de alguna de las infracciones
establecidas en los artículos 2 a 10 del presente Convenio.
Volver al índice
como infracción penal, conforme a su derecho interno, la tentativa dolosa de cometer una de las
infracciones establecidas en los artículos 3 a 5, 7, 8, 9 (1) a y 9 (1) c del presente Convenio.
3. Las Partes podrán reservarse el derecho de no aplicar, en todo o en parte, el párrafo 2 del presente
artículo.
Artículo 12° - Responsabilidad de las personas jurídicas
1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para permitir
que las personas jurídicas puedan ser tenidas por responsables de las infracciones establecidas en el
presente Convenio, cuando éstas sean cometidas por una persona física, actuando ya sea a título
individual, ya sea como miembro de un órgano de la persona jurídica, que ejerce un poder de dirección
en su seno, cuyo origen se encuentre en:
a. un poder de representación de la persona jurídica;
b. una autorización para tomar decisiones en nombre de la persona jurídica;
c. una autorización para ejercer control en el seno de la persona jurídica.
2. Fuera de los casos previstos en el párrafo 1, las Partes adoptarán las medidas necesarias para
asegurar que una persona jurídica puede ser tenida por responsable cuando la ausencia de vigilancia
o de control por parte de cualquier persona física mencionada en el párrafo 1 haya permitido la
comisión de las infracciones descritas en el párrafo 1 a través de una persona física que actúa bajo
autorización de la persona jurídica.
3. La responsabilidad de la persona jurídica podrá resolverse en sede penal, civil o administrativa,
dependiendo de los principios jurídicos propios del Estado.
4. Esta responsabilidad se establecerá sin perjuicio de la responsabilidad penal de las personas
físicas que hayan cometido la infracción.
Artículo 13° - Sanciones y medidas
que las infracciones penales establecidas en los artículos 2 a 11 sean castigadas con sanciones
efectivas, proporcionadas y disuasorias, incluidas las penas privativas de libertad.
2. Las Partes velarán para que las personas jurídicas que hayan sido declaradas responsables según
lo dispuesto en el artículo 12 sean objeto de sanciones o medidas penales o no penales efectivas,
proporcionadas y disuasorias, incluidas las sanciones pecuniarias.
SECCIÓN 2: DERECHO PROCESAL

TÍTULO 1: DISPOSICIONES COMUNES
Artículo 14° - Ámbito de aplicación de las medidas de derecho procesal

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para
instaurar los poderes y procedimientos previstos en la presente sección a los efectos de investigación
o de procedimientos penales específicos.
2. Salvo disposición en contrario, prevista en el artículo 21, las Partes podrán aplicar los poderes y
procedimientos mencionados en el párrafo 1:
a. a las infracciones penales establecidas en los 11 del presente Convenio;
b. a cualquier otra infracción penal cometida a sistema informático; y a la recopilación de pruebas
electrónicas infracción penal. artículos 2 a través de un de cualquier.
3. A las Partes podrán reservarse el derecho de aplicar la medida mencionada en el artículo 20 a las
infracciones especificadas en sus reservas, siempre que el número de dichas infracciones no supere
el de aquellas a las que se aplica la medida mencionada en el artículo 21. Las Partes tratarán de
limitar tal reserva de modo que se permita la aplicación lo más amplia posible de la medida
mencionada en el artículo 20.
b. Cuando un Estado, en razón de las restricciones impuestas por su legislación vigente en el
momento de la adopción del presente Convenio, no esté en condiciones de aplicar las medidas
descritas en los artículos 20 y 21 a las comunicaciones transmitidas en un sistema informático de un
prestador de servicios que
Volver al índice
i. es utilizado en beneficio de un grupo de usuarios cerrado, y
ii. no emplea las redes públicas de telecomunicación y no está conectado a otro sistema
informático, público o privado, ese Estado podrá reservarse el derecho de no aplicar dichas medidas
a tales comunicaciones. Los Estados tratarán de limitar tal reserva de modo que se permita la
aplicación lo más amplia posible de las medidas mencionadas en los artículos 20 y 21.
Artículo 15° - Condiciones y garantías
1. Las Partes velarán para que la instauración, puesta en funcionamiento y aplicación de los poderes
y procedimientos previstos en la presente sección se sometan a las condiciones y garantías dispuestas
en su derecho interno, que debe asegurar una protección adecuada de los derechos del hombre y de
las libertades y, en particular, de los derechos derivados de las obligaciones que haya asumido en
aplicación del Convenio para la protección de los derechos humanos y libertades fundamentales del
Consejo de Europa (1950) y del Pacto internacional de derechos civiles y políticos. de Naciones Unidas
(1966) o de otros instrumentos internacionales relativos a los derechos del hombre, y que debe
integrar el principio de proporcionalidad.
2. Cuando ello sea posible, en atención a la naturaleza del poder o del procedimiento de que se trate,
dichas condiciones y garantías incluirán, entre otras, la supervisión judicial u otras formas de
supervisión independiente, la motivación justificante de la aplicación, la limitación del ámbito de
aplicación y la duración del poder o del procedimiento en cuestión.
3. Las Partes examinarán la repercusión de los poderes y procedimientos de esta Sección sobre los
derechos, responsabilidades e intereses legítimos de terceros, en la medida que sea consistente con
el interés público (y), en particular (, de) una correcta administración de justicia.
TÍTULO 2: CONSERVACIÓN INMEDIATA DE DATOS INFORMÁTICOS ALMACENADOS
Artículo 16° - Conservación inmediata de dalos informáticos Almacenados

a sus autoridades competentes ordenar o imponer de otro modo la conservación inmediata de datos
electrónicos especificados, incluidos los datos de tráfico, almacenados a través de un sistema
informático, especialmente cuando hayan razones para pensar que son particularmente susceptibles
de pérdida o de modificación.
2. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para obligar
a una persona a conservar y proteger la integridad de los datos - que se encuentran en su poder o
bajo su. control y respecto de los cuales exista un mandato previo de conservación en aplicación del
párrafo precedente - durante el tiempo necesario, hasta un máximo de 90 días, para permitir a las
autoridades competentes obtener su comunicación. Los Estados podrán prever que dicho mandato
sea renovado posteriormente.
al responsable de los datos o a otra persona encargada de conservarlos a mantener en secreto la
puesta en ejecución de dichos procedimientos durante el tiempo previsto por su derecho interno.
4. Los poderes y procedimientos mencionados en el presente artículo deben quedar sometidos a los
artículos 14 y 15.
Artículo 17° - Conservación y divulgación inmediata de los datos de tráfico
1. A fin de asegurar la conservación de los datos de tráfico, en aplicación del artículo 16, las Partes
adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para:
a. procurar la conservación inmediata de los datos de tráfico, cuando uno o más prestadores de
servicio hayan participado en la transmisión de dicha comunicación; y
b. asegurar la comunicación inmediata a la autoridad competente del Estado, o a una persona
designada por dicha autoridad, de datos de tráfico suficientes para permitir la identificación de los
prestadores de servicio y de la vía por la que la comunicación se ha transmitido.
artículos 14 y 15.
Volver al índice
TÍTULO 3: MANDATO DE COMUNICACIÓN
Artículo 18° - Mandato de comunicación

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias a fin de
habilitar a sus autoridades competentes para ordenar:
a. a una persona presente en su territorio que comunique los datos informáticos especificados, en
posesión o bajo el control de dicha persona, y almacenados en un sistema informático o en un soporte
de almacenaje informático; y
b. a un prestador de servicios que ofrezca sus prestaciones en el territorio del Estado firmante, ,que
comunique los datos en su poder o bajo su control relativos a los abonados y que conciernan a tales
servicios;
artículos 14 y 15.
3. A los efectos del presente artículo, la expresión «datos relativos a los abonados» designa cualquier
información, expresada en datos informáticos o de cualquier otro modo, poseída por un prestador de
servicio y que se refiere a los abonados de sus servicios, así como a los datos de tráfico o relativos al
contenido, y que permite establecer:
a. el tipo de servicio de comunicación utilizado, las disposiciones técnicas adoptadas al respecto y
el tiempo del servicio;
b. la identidad, la dirección postal o geográfica y el número de teléfono del abonado o cualquier
otro número de acceso, los datos relativos a la facturación y el pago, disponibles por razón de un
contrato o de un alquiler de servicio;
c. cualquier otra información relativa al lugar donde se ubican los equipos de comunicación,
disponible por razón de un contrato o de un alquiler de servicio.
TÍTULO 4: REGISTRO Y DECOMISO DE DATOS INFORMÁTICOS ALMACENADOS
Artículo 19° - Registro y decomiso de datos informáticos almacenados

habilitar a sus autoridades competentes para registrar o acceder de un modo similar: a un sistema
informático o a una parte del mismo, así como a los datos informáticos que están almacenados; y a
un soporte de almacenamiento que permita contener datos informáticos en su territorio.
procurar que, cuando sus autoridades registren o accedan de un modo similar a un sistema
informático específico o a una parte del mismo, conforme al párrafo 1 (a), y tengan motivos para creer
que los datos buscados se hallan almacenados en otro sistema informático o en una parte del mismo
situado en su territorio, y que dichos datos son igualmente accesibles a partir del sistema inicial o
están disponibles a través de ese primer sistema, dichas autoridades estén en condiciones de ampliar
inmediatamente el registro o el acceso y extenderlo al otro sistema.
habilitar a sus autoridades competentes para decomisar u obtener de un modo similar los datos
informáticos cuyo acceso haya sido realizado en aplicación de los párrafos 1 o 2. Estas medidas
incluyen las prerrogativas siguientes:
a. decomisar u obtener de un modo similar un sistema informático o una parte del mismo o un
soporte de almacenaje informático;
b. realizar y conservar una copia de esos datos informáticos;
c. preservar la integridad de los datos informáticos almacenados pertinentes; y
d. hacer inaccesibles o retirar los datos informáticos del sistema informático consultado.
habilitar a sus autoridades competentes para ordenar a cualquier persona, que conozca el
funcionamiento de un sistema informático o las medidas aplicadas para proteger los datos
informáticos que contiene, que proporcione todas las informaciones razonablemente necesarias, para
permitir la aplicación de las medidas previstas en los párrafos 1 y 2.
Volver al índice
artículos 14 y 15.
TÍTULO 5: RECOPILACIÓN EN TIEMPO REAL DE DATOS INFORMÁTICOS
Artículo 20° - Recopilación en tiempo real de datos informáticos

habilitar a sus autoridades competentes para:
a. recopilar o grabar mediante la aplicación de medios técnicos existentes en su territorio
b. obligar a un prestador de servicios, en el ámbito de sus capacidades técnicas existentes, a
i. recopilar o grabar mediante la aplicación de medios técnicos existentes en su territorio, o
ii. prestar a las autoridades competentes su colaboración y su asistencia para recopilar o grabar,
en tiempo real, los datos de tráfico asociados a comunicaciones específicas transmitidas en su
territorio a través de un sistema informático.
2. Cuando un Estado, en razón de los principios establecidos en su ordenamiento jurídico interno, no
pueda adoptar las medidas enunciadas en el párrafo 1 (a), podrá, en su lugar, adoptar otras medidas
legislativas o de otro tipo que estime necesarias para asegurar la recopilación o la grabación en
tiempo real de los datos de tráfico asociados a comunicaciones específicas transmitidas en su
territorio mediante la aplicación de medios técnicos existentes en ese territorio.
a un prestador de servicios a mantener en secreto la adopción de las medidas previstas en el presente
artículo, así como cualquier información al respecto.
artículos 14 y 15.
Artículo 21° - Interceptación de datos relativos al contenido
habilitar a sus autoridades competentes respecto a infracciones consideradas graves conforme a su
derecho interno para:
b. recopilar o grabar mediante la aplicación de medios técnicos existentes en su territorio; y
c. obligar a un prestador de servicios, en el ámbito de sus capacidades técnicas existentes, a
i. recopilar o grabar mediante la aplicación de medios técnicos existentes en su territorio, o
ii. prestar a las autoridades competentes su colaboración y su asistencia para recopilar o grabar,
en tiempo real, los datos relativos al contenido de concretas comunicaciones en su territorio,
transmitidas a través de un sistema informático.
2. Cuando un Estado, en razón de los principios establecidos en su ordenamiento jurídico interno, no
pueda adoptar las medidas enunciadas en el párrafo 1 (a), podrá, en su lugar, adoptar otras medidas
legislativas o de otro tipo que estime necesarias para asegurar la recopilación o la grabación en
tiempo real de los datos relativos al contenido de concretas comunicaciones transmitidas en su
territorio mediante la aplicación de medios técnicos existentes en ese territorio.
a un prestador de servicios a mantener en secreto la adopción de las medidas previstas en el presente
artículo, así como cualquier información al respecto.
artículos 14 y 15.
SECCIÓN 3: COMPETENCIA
Artículo 22° - Competencia
atribuirse la competencia respecto a cualquier infracción penal establecida en los artículos 2 a 11 del
presente Convenio, cuando la infracción se haya cometido:
Volver al índice
a. en su territorio;
b. a bordo de una nave que enarbole el pabellón de ese Estado;
c. a bordo de una aeronave inmatriculada en ese Estado;
d. por uno de sus súbditos, si la infracción es punible penalmente en el lugar donde se ha cometido
o si la infracción no pertenece a la competencia territorial de ningún Estado.
2. Las Partes podrán reservarse el derecho de no aplicar, o de aplicar sólo en ciertos casos o
condiciones específicas, las reglas de competencia definidas en los párrafos lb a id del presente
artículo o en cualquiera de las partes de esos párrafos.
3. Las Partes adoptarán las medidas que se estimen necesarias para atribuirse la competencia
respecto de cualquier infracción mencionada en el artículo 24, párrafo 1 del presente Convenio,
cuando el presunto autor de la misma se halle en su territorio y no pueda ser extraditado a otro
Estado por razón de la nacionalidad, después de una demanda de extradición.
4. El presente Convenio no excluye ninguna competencia penal ejercida por un Estado conforme a su
derecho interno.
5. Cuando varios Estados reivindiquen una competencia respecto a una infracción descrita en el
presente Convenio, los Estados implicados se reunirán, cuando ello sea oportuno, a fin de decidir cuál
de ellos está en mejores condiciones para ejercer la persecución.
CAPÍTULO III
COOPERACIÓN INTERNACIONAL
SECCIÓN 1: PRINCIPIOS GENERALES

TÍTULO 1: PRINCIPIOS GENERALES RELATIVOS A LA COOPERACIÓN INTERNACIONAL
Artículo 23° - Principios generales relativos a la cooperación internacional

Las Partes cooperarán con arreglo a lo dispuesto en el presente capítulo, aplicando para ello los
instrumentos internacionales relativos a la cooperación internacional en materia penal, acuerdos
basados en la legislación uniforme o recíproca y en su propio derecho nacional, de la forma más
amplia posible, con la finalidad de investigar los procedimientos concernientes a infracciones penales
vinculadas a sistemas y datos informáticos o para recoger pruebas electrónicas de una infracción
penal.
TÍTULO 2: PRINCIPIOS RELATIVOS A LA EXTRADICIÓN
Artículo 24° - Extradición

1. a. El presente artículo se aplicará a la extradición por alguna de las infracciones definidas en los
artículos 2 a 11 del presente Convenio, siempre que éstas resulten punibles por la legislación de los
dos Estados implicados y tengan prevista una pena privativa de libertad de una duración mínima de
un año.
b. Aquellos Estados que tengan prevista una pena mínima distinta, derivada de un tratado de
extradición aplicable a dos o más Estados, comprendido en la Convención Europea de Extradición
(STE no 24), o de un acuerdo basado en la legislación uniforme o recíproca, aplicarán la pena mínima
prevista en esos tratados o acuerdos.
2. Las infracciones penales previstas en el apartado 1 del presente artículo podrán dar lugar a
extradición si entre los dos Estados existe un tratado de extradición. Las Partes se comprometerán a
incluirlas como tales infracciones susceptibles de dar lugar a extradición en todos los tratados de
extradición que puedan suscribir.
3. Si un Estado condiciona la extradición a la existencia de un tratado y recibe una demanda de
extradición de otro Estado con el que no ha suscrito tratado alguno de extradición, podrá considerar
el presente Convenio fundamento jurídico suficiente para conceder la extradición por alguna de las
infracciones penales previstas en el párrafo A del presente artículo.
4. Las Partes que no condicionen la extradición a la existencia de un tratado podrán levar a cabo la
extradición siempre que prevean como infracciones las previstas en el párrafo 1 del presente artículo.
Volver al índice
5. La extradición quedará sometida a las condiciones establecidas en el derecho interno del Estado
requerido o en los tratados de extradición vigentes, quedando asimismo sometidos a estos
instrumentos jurídicos los motivos por los que el país requerido puede denegar la extradición.
6. Si es denegada la extradición por una infracción comprendida en el párrafo 1 del presente artículo,
alegando la nacionalidad de la persona reclamada o la competencia para juzgar la infracción del
Estado requerido, éste deberá someter el asunto - la demanda del Estado requirente —a sus
autoridades competentes a fin de que éstas establezcan la competencia para perseguir el hecho e
informen de la conclusión alcanzada al Estado requirente. Las autoridades en cuestión deberán
adoptar la decisión y sustanciar el procedimiento del mismo modo que para el resto de infracciones
de naturaleza semejante previstas en la legislación de ese Estado.
7. a. Las Partes deberán comunicar al Secretario General del Consejo de Europa, en el momento de
la firma o del depósito del instrumento de ratificación, aceptación, aprobación o adhesión, el nombre
y la dirección de las autoridades responsables del envío y de la recepción de una demanda de
extradición o de arresto provisional, en caso de ausencia de tratado.
b. El Secretario General del Consejo de Europa creará y actualizará un registro de autoridades
designadas por las Partes. Las Partes deberán garantizar la exactitud de los datos obrantes en el
registro.
TÍTULO 3: PRINCIPIOS GENERALES RELATIVOS A LA COLABORACIÓN (8)
Artículo 25° - Principios generales relativos a la colaboración

1. Las Partes acordarán llevar a cabo una colaboración mutua lo más amplia posible al objeto de
investigar los procedimientos concernientes a infracciones penales vinculadas a sistemas y datos
informáticos o al de recoger pruebas electrónicas de una infracción penal.
2. Las Partes adoptarán las medidas legislativas o de otro tipo que estimen necesarias para dar
cumplimiento a las obligaciones establecidas en los artículos 27 a 35.
3. Las Partes podrán, en caso de emergencia, formular una demanda de colaboración, a través de un
medio de comunicación rápido, como el fax o el correo electrónico, procurando que esos medios
ofrezcan las condiciones suficientes de seguridad y de autenticidad (encriptándose si fuera necesario)
y con confirmación posterior de la misma si el Estado requerido lo exigiera. Si el Estado requerido lo
acepta podrá responder por cualquiera de los medios rápidos de comunicación indicados.
4. Salvo disposición en contrario expresamente prevista en el presente capítulo, la colaboración
estará sometida a las condiciones fijadas en el derecho interno del Estado requerido o en los tratados
de colaboración 'aplicables y comprenderá los motivos por los que el Estado requerido puede negarse
a colaborar. El Estado requerido no podrá ejercer su derecho a rehusar la colaboración en relación a
las infracciones previstas en los artículos 2 a 11, alegando que la demanda se solicita respecto a una
infracción que, según su criterio, tiene la consideración de fiscal.
5. Conforme a lo dispuesto en el presente capítulo, el Estado requerido estará autorizado a supeditar
la colaboración a la exigencia de doble incriminación. Esa condición se entenderá cumplida si el
comportamiento constitutivo de la infracción - en relación a la que se solicita la colaboración — se
encuentra previsto en su derecho interno como infracción penal, resultando indiferente que éste no
la encuadre en la misma categoría o que no la designe con la misma terminología.
Artículo 26° - Información espontánea
1. Las Partes podrán, dentro de los límites de su derecho interno y en ausencia de demanda previa,
comunicar a otro Estado las informaciones obtenidas en el marco de investigaciones que puedan
ayudar a la Parte destinataria a iniciar o a concluir satisfactoriamente las investigaciones o
procedimientos relativos a las infracciones dispuestas en el presente Convenio, o a que dicha parte
presente una demanda de las previstas en el presente capítulo.
2. Antes de comunicar dicha información, ese Estado podrá solicitar que la información sea tratada
de forma confidencial o que sea utilizada sólo en ciertas circunstancias. Si el Estado destinatario no
pudiera acatar las condiciones impuestas, deberá informar al otro Estado, quien habrá de decidir si
proporciona o no la información. Una vez aceptadas estas condiciones por el Estado destinatario, éste
quedará obligado a su cumplimiento.
Volver al índice
TÍTULO 4: PROCEDIMIENTOS RELATIVOS A LAS DEMANDAS DE ASISTENCIA EN AUSENCIA DE ACUERDO
INTERNACIONAL APLICABLE
Artículo 27° - Procedimiento relativo a las demandas de colaboración en ausencia de acuerdo

internacional aplicable
1. En ausencia de tratado o acuerdo en vigor de asistencia basado en la legislación uniforme o
recíproca, serán aplicables los apartados 2 al 9 del presente artículo. Éstos no se aplicarán cuando
exista un tratado, acuerdo o legislación sobre el particular, sin perjuicio de que las partes implicadas
puedan decidir someterse, en todo o parte, a lo dispuesto en este artículo.
2. a. Las Partes designarán una o varias autoridades centrales encargadas de tramitar las demandas
de colaboración, de ejecutarlas o de transferirlas a las autoridades competentes para que éstas las
ejecuten.
b. Las autoridades centrales se comunicarán directamente las unas con las otras.
c. Las Partes, en el momento de la firma o del depósito de sus instrumentos de ratificación,
aceptación, de aprobación o de adhesión, comunicarán al Secretario General del Consejo de Europa
los nombres y direcciones de las autoridades designadas en aplicación del presente párrafo.
d. El Secretario General del Consejo de Europa creará y actualizará un registro de autoridades
designadas por las partes. Las Partes deberán garantizar la exactitud de los datos obrantes en el
registro.
3. Las demandas de asistencia basadas en el presente artículo serán ejecutadas conforme al
procedimiento especificado por el Estado requirente, siempre que resulte compatible con la
legislación del Estado requerido.
4. Al margen de los motivos previstos en el artículo 15 •párrafo 4 para denegar la asistencia, ésta
podrá ser rechazada por el Estado requerido:
a. si la demanda se refiere a una infracción que el Estado requerido considera de naturaleza
política o vinculada a una información de naturaleza política o;
b. si el Estado requerido estima que, de acceder a la colaboración, se pondría en peligro su
soberanía, seguridad, orden público o otro interés esencial.
5. El Estado requerido podrá aplazar la ejecución de la demanda cuando ésta pueda perjudicar
investigaciones o procedimientos en curso llevados a cabo por las autoridades nacionales.
6. Antes de denegar o retrasar la asistencia, el Estado requerido deberá examinar, tras consultar al
Estado requirente, si es posible hacer frente a la demanda de forma parcial o si es posible establecer
las reservas que estime necesarias.
7. El Estado requerido informará inmediatamente al Estado requirente del curso que pretende dar a
la demanda de asistencia. De denegar o retrasar la tramitación de la demanda, el Estado requerido
hará constar los motivos. Asimismo, dicho Estado deberá informar al Estado requirente sobre los
motivos que hacen imposible, de ser así, la ejecución de la demanda o que retrasan sustancialmente
su ejecución.
8. El Estado requirente podrá solicitar que el Estado requerido mantenga en secreto la propia
existencia y objeto de la demanda interpuesta al amparo de este capítulo, salvo en aquellos aspectos
necesarios para la ejecución de la misma. Si el Estado requirente no pudiera hacer frente a la petición
de confidencialidad, éste deberá informar inmediatamente al otro Estado, quien decidirá si la
demanda, pese a ello, debe ser ejecutada.
9. a. En caso de urgencia, las autoridades judiciales del Estado requirente podrán dirigir directamente
a las autoridades homólogas del Estado requerido las demandas de asistencia y las comunicaciones.
En tales casos, se remitirá simultáneamente una copia a las autoridades del Estado requerido con el
visado de la autoridad central del Estado requirente.
b. Todas las demandas o comunicaciones formuladas al amparo del presente parágrafo podrán ser
tramitadas a través de la Organización Internacional de Policía Criminal (INTERPOL).
Volver al índice
c. Cuando una demanda haya sido formulada al amparo de la letra (a) del presente artículo, y la
autoridad que le dio curso no sea la competente para ello, deberá transferir la demanda a la
autoridad nacional competente y ésta informará directamente al Estado requerido.
d. Las demandas o comunicaciones realizadas al amparo del presente párrafo que no supongan la
adopción de medidas coercitivas podrán ser tramitadas directamente por las autoridades del Estado
requirente y las del Estado requerido.
e. Las Partes podrán informar al Secretario General del Consejo de Europa, en el momento de la
firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, que, por
motivos de eficacia, las demandas formuladas al amparo del presente párrafo deberán dirigirse
directamente a su autoridad central.
Artículo 28° - Confidencialidad y restricciones de uso
1. En ausencia de tratado o acuerdo en vigor de asistencia basados en la legislación uniforme o
recíproca, será aplicable lo dispuesto en el presente artículo. Éste no se aplicará cuando exista un
tratado, acuerdo o legislación sobre el particular, sin perjuicio de que las partes implicadas puedan
decidir someterse, en todo o parte, a lo dispuesto en este artículo.
2. El Estado requerido podrá supeditar la comunicación de la información o del material requerido en
la demanda al cumplimiento de las siguientes condiciones:
a. que se mantenga la confidencialidad sobre las mismas, siempre que la demanda corra el riesgo
fracasar en ausencia de dicha condición; o
b. que éstas no sean utilizadas en investigaciones o procedimientos diversos a los establecidos en'
la demanda.
3. Si el Estado requirente no pudiera satisfacer alguna de las condiciones establecidas en el apartado
2 del presente artículo, la otra parte informará al Estado requerido, el cual decidirá si la información
debe ser proporcionada. Si el Estado requeriente acepta esta condición, dicho Estado estará obligado
por la misma.
4. Todo Estado parte que aporte información o material supeditado a alguna de la condiciones
previstas en el apartado 2, podrá exigir de la otra parte la concreción de las condiciones de uso de la
información o del material.
SECCIÓN 2: DISPOSICIONES ESPECÍFICAS

TÍTULO 1: COOPERACIÓN EN MATERIA DE MEDIDAS CAUTELARES
Artículo 29° - Conservación inmediata datos informáticos almacenados

1. Las Partes podrán ordenar o imponer de otro modo la conservación inmediata de datos
almacenados en sistemas informáticos que se encuentren en su territorio, en relación a los cuales el
Estado requirente tiene intención de presentar una demanda de asistencia para registrar o acceder
de otro modo, decomisar u obtener por otro medio, o lograr la comunicación de dichos datos.
2. Una demanda de conservación formulada en aplicación del párrafo 1 deberá contener:
a. la identificación de la autoridad que solicita la conservación;
b. la infracción objeto de investigación con una breve exposición de los hechos vinculados a la
misma;
c. los datos informáticos almacenados que deben conservarse y su vinculación con la infracción;
d. todas aquellas informaciones disponibles que permitan identificar al responsable de los datos
informáticos almacenados o el emplazamiento de los sistemas informáticos;
e. justificación de la necesidad de conservación; y
f. la acreditación de que el Estado requirente está dispuesto a formular una demanda de asistencia
para registrar o acceder de otro modo, decomisar u obtener por otro medio, o lograr la comunicación
de dichos datos.
3. Después de recibir la demanda, el Estado requerido deberá adoptar las medidas necesarias para
proceder sin dilaciones a la conservación de los datos solicitados, conforme a su derecho interno. Para
hacer efectiva la demanda de conservación no resultará condición indispersable la doble
incriminación.
Volver al índice
4. Si un Estado exige la doble incriminación como condición para atender a una demanda de
asistencia para registrar o acceder de otro modo, decomisar u obtener por otro medio, o lograr la
comunicación de dichos datos, por infracciones diversas a las establecidas en los artículos 2 a 11 del
presente Convenio, podrá negarse a la demanda de conservación, al amparo del presente artículo, si
tiene fundadas sospechas de que, en el momento de la comunicación de los datos, el otro Estado no
cumplirá la exigencia de la doble incriminación.
5. Al margen de lo anterior, una demanda de conservación únicamente podrá ser denegada:
b. si el Estado requerido estima que de acceder a la demanda se pondría en peligro su soberanía,
su seguridad, orden público o otro interés esencial.
6. Cuando el Estado requerido considere que la simple conservación no será suficiente para
garantizar la disponibilidad futura de los datos informáticos o que ésta podría comprometer la
confidencialidad de la investigación o podría hacerla fracasar de otro modo, deberá informar
inmediatamente al Estado requirente, quien decidirá la conveniencia de dar curso a la demanda.
7. Todas las conservaciones realizadas al amparo de una demanda de las previstas en el párrafo 1
serán válidas por un periodo máximo de 60 días, para permitir, en ese plazo de tiempo, al Estado
requirente formular una demanda de asistencia para registrar o acceder de otro modo, decomisar u
obtener por otro medio, o lograr la comunicación de dichos datos. Después de la recepción de la
demanda, los datos informáticos deberán mantenerse hasta que ésta se resuelva.
Artículo 30° - Comunicación inmediata de los datos informáticos conservados
1. Si, en ejecución de una demanda de conservación de datos de tráfico relativos a una concreta
comunicación al amparo del artículo 29, el Estado requerido descubriera que un prestador de
servicios de otro Estado ha participado en la transmisión de la comunicación, comunicará
inmediatamente al Estado requirente los datos informáticos de tráfico, con el fin de que éste
identifique al prestador de servicios y la vía por la que la comunicación ha sido realizada.
2. La comunicación de datos informáticos de tráfico prevista en el párrafo 1 únicamente podrá ser
denegada:
b. si el Estado requerido estima que de acceder a la demanda se pondría en peligro su soberanía,
su seguridad, orden público o otro interés esencial.
TÍTULO 2: ASISTENCIA EN RELACIÓN A LOS PODERES DE INVESTIGACIÓN
Artículo 31° - Asistencia concerniente al acceso a datos informáticos almacenados

1. Cualquier Estado podrá solicitar a otro el registro o acceso de otro modo, el decomiso u obtención
por otro medio, o la comunicación de datos almacenados en un sistema informático que se encuentre
en su territorio, incluidos los datos conservados conforme a lo dispuesto en el artículo 29.
2. El Estado requerido dará satisfacción a la demanda aplicando los instrumentos internacionales,
convenios y la legislación mencionada en el artículo 23 siempre que no entre en contradicción con lo
dispuesto en el presente capítulo.
3. La demanda deberá ser satisfecha lo más rápidamente posible en los siguientes casos:
a. cuando existan motivos para sospechar que los datos solicitados son particularmente
vulnerables por existir riesgo de pérdida o modificación; o
b. cuando los instrumentos, convenios o legislación referida en el párrafo 2 prevean una
cooperación rápida.
Artículo 32° - Acceso transfronterizo a los datos informáticos almacenados, con consentimiento o de
libre acceso
Cualquier Estado podrá sin autorización de otro:
Volver al índice
b. acceder a los datos informáticos almacenados de libre acceso al público código abierto,
independientemente de la localización geográfica de esos datos; o
c. acceder a, o recibir a través de un sistema informático situado en su territorio, los datos
informáticos almacenados situados en otro Estado, si se obtiene el consentimiento legal y voluntario
de la persona autorizada para divulgarlos a través de ese sistema informático.
Artículo 33° - Asistencia para la recolección en tiempo real de datos de tráfico
1. Las Partes podrán acordar colaborar en la recolección, en tiempo real, de datos de tráfico,
asociados a concretas comunicaciones llevadas a cabo en sus territorios, a través un sistema
informático. Dicha colaboración se someterá a las condiciones y procedimientos previstos en el
derecho interno, salvo que alguna de las partes se acoja a la reserva prevista en el párrafo 2.
2. Las Partes deberán acordar colaborar respecto a aquellas infracciones penales para las cuales la
recolección en tiempo real de datos de tráfico se encuentra prevista en su derecho interno en
situaciones análogas.
Artículo 34° - Asistencia en materia de interceptación de datos relativos al contenido
Las Partes podrán acordar colaborar, en la medida en que se encuentre previsto por tratados o leyes
internas, en la recolección, y registro, en tiempo real, de datos relativos al contenido de concretas
comunicaciones realizadas a través de sistemas informáticos.
TÍTULO 3: RED 24/7
Artículo 35° - Red 24/7

1. Las Partes designarán un punto de contacto localizable las 24 horas del día, y los siete días de la
semana, con el fin de asegurar la asistencia inmediata en la investigación de infracciones penales
llevadas a cabo a través de sistemas y datos informáticos o en la recolección de pruebas electrónicas
de una infracción penal. Esta asistencia comprenderá, si lo permite el derecho y la práctica interna,
facilitar la aplicación directa de las siguientes medidas:
a. aportación de consejos técnicos;
b. conservación de datos según lo dispuesto en los artículos 29 y 30; y
c. recolección de pruebas, aportación de información de carácter jurídico y localización de
sospechosos.
2. a. Un mismo punto de contacto podrá ser coincidente para dos Estados, siguiendo para ello un
procedimiento acelerado.
b. Si el punto de contacto designado por un Estado no depende de su autoridad o autoridades
responsables de la colaboración internacional o de la extradición, deberá velarse para que ambas
autoridades actúen coordinadamente mediante la adopción de un procedimiento acelerado.
3. Las Partes dispondrán de personal formado y dotado de equipamiento a fin de facilitar el
funcionamiento de la red.
CAPÍTULO IV
CLÁUSULAS FINALES
Artículo 36° - Firma y entrada en vigor
1. El presente Convenio está abierto a la firma de los Estados miembros del Consejo de Europa y de
los Estados no miembros que hayan participado en su elaboración.
2. El presente Convenio está sometido a ratificación, aceptación aprobación. Los instrumentos de
ratificación, aceptación o aprobación deberán ser entregados al Secretario General del Consejo de
Europa.
3. El presente Convenio entrará en vigor el primer día del mes transcurridos tres meses desde que
cinco Estados, de los cuales al menos tres deberán ser miembros del Consejo de Europa, presten su
consentimiento a vincularse al Convenio, conforme a lo dispuesto en los párrafos 1 y 2.
Volver al índice
4. Para todos los Estados que hayan prestado su consentimiento a vincularse al Convenio, éste
entrará en vigor el primer día del mes transcurridos tres meses desde que hayan expresado su
consentimiento, conforme a lo dispuesto en los párrafos 1 y 2.
Artículo 37° - Adhesión al Convenio
1. Después de entrar en vigor el presente Convenio, el Comité de Ministros del Consejo de Europa
podrá, tras consultar a las Partes del Convenio y habiendo obtenido el asentimiento unánime de los
mismos, invitar a todos los Estados no miembros del Consejo de Europa que no hayan participado en
la elaboración del mismo a adherirse al Convenio. Esta decisión deberá tomarse mediante la mayoría
prevista en el artículo 20.d del Estatuto del Consejo de Europa y el asentimiento unánime de los
Estados Partes que tengan derecho a formar parte del Comité de Ministros.
2. Para todos aquellos Estados que se adhieran al Convenio conforme a lo previsto en el párrafo
precedente, el Convenio entrará en vigor el primer día del mes transcurridos tres meses después del
depósito del instrumento de adhesión ante el Secretario General del Consejo de Europa.
Artículo 38° - Aplicación territorial
1. Las Partes podrán, en el momento de la firma o del depósito del instrumento de ratificación,
aceptación, aprobación o adhesión, designar el territorio al que resultará aplicable el presente
Convenio.
2. Las Partes podrán, en cualquier momento, a través de una declaración dirigida al Secretario
General del Consejo de Europa, extender la aplicación del presente Convenio a otros territorios
diversos a los designados en la declaración. En tal caso, el Convenio entrará en vigor en dichos
territorios el primer día del mes transcurridos tres meses desde la recepción de la declaración por el
Secretario General.
3. Toda declaración realizada al amparo de los párrafos precedentes podré ser retirada, en lo que
concierne al territorio designado en la citada declaración, a través de una notificación dirigida al
Secretario General del Consejo de Europa. El retracto surtirá efecto el primer día del mes
transcurridos tres meses desde la recepción de la notificación por el Secretario General.
Artículo 39° - Efectos del Convenio
1. El objeto del presente Convenio es completar los tratados o acuerdos multilaterales o bilaterales
existentes entre las partes, y comprende las disposiciones:
● del Convenio Europeo de extradición abierto a la firma el 13 de diciembre de 1957 en París (STE
no 24)
● del Convenio Europeo de Cooperación judicial en materia penal abierto a la firma el 20 de abril
de 1959 en Estrasburgo (STE no 30),
● del Protocolo Adicional del Convenio Europeo de Cooperación judicial en materia penal abierto
a la firma el 17 de marzo de 1978 en Estrasburgo (STE no 99).
2. Si dos o más Estados han concluido un acuerdo o un tratado relativo a la materia objeto de este
Convenio o si han establecido de otro modo la relación entre ellos, o si lo hacen en el futuro,
dispondrán igualmente de la facultad de aplicar el citado acuerdo o de establecer sus relaciones con
base en el mismo, en lugar del presente Convenio. Siempre que los Estados hayan establecido sus
relaciones concernientes a la materia objeto del presente Convenio de forma diversa, éstas deberán
llevarse a cabo de forma compatible con los objetivos y principios del Convenio.
3. Lo dispuesto en el presente Convenio no afectará a otros derechos, restricciones, obligaciones y
responsabilidades de los Estados.
Artículo 40° - Declaraciones
A través de una declaración escrita dirigida al Secretario General del Consejo de Europa, las Partes
podrán, en el momento de la firma o del depósito de su instrumento de ratificación, aceptación,
aprobación o adhesión, declarar que se reservan el derecho a exigir, llegado el caso, uno o varios
elementos suplementarios de los dispuestos en los artículos 2, 3, 6 del párrafo 1 (b), 7, 9 párrafo 3 y
27 del párrafo 9 (e).
Volver al índice
Artículo 41° - Cláusula federal
1. Un Estado federal podrá reservarse el derecho de desempeñar sus obligaciones, en los términos
previstos en el capítulo II del presente Convenio, en la medida en que éstas sean compatibles con los
principios que presiden las relaciones entre el gobierno central y los Estados federados u otros
territorios análogos, siempre que se garantice la cooperación en los términos previstos en el capítulo
III.
2. Un Estado federal no podrá hacer uso de la reserva adoptada según lo dispuesto en el párrafo 1
para excluir o disminuir de forma substancial las obligaciones contraídas en virtud del capítulo II. En
todo caso, el Estado federal deberá dotarse de los medios necesarios para dar cumplimiento a las
medidas previstas en el citado capítulo.
3. En todo lo que concierne a las disposiciones de este Convenio cuya aplicación dimana de la
competencia de cada uno de los Estados federados u otras entidades territoriales análogas, que no
están, en virtud del sistema constitucional de la federación, obligados a adoptar medidas legislativas,
el gobierno central pondrá, con la aprobación de éstos, en conocimiento de las autoridades
competentes de los Estados federados la necesidad de adoptar las citadas medidas animándolos a
que las ejecuten.
Artículo 42° - Reservas
Los Estados podrán, a través de una notificación escrita dirigida al Secretario del Consejo de Europa,
en el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o
de adhesión, declarar que invocan la reserva o reservas previstas en el art. 4, párrafo 2, artículo 6,
párrafo 3, artículo 9, párrafo 4, artículo 10, párrafo 3, artículo 11, párrafo 3, artículo 14, párrafo 3,
artículo 22, párrafo 2, artículo 29, párrafo 4 y en el artículo 41, párrafo 1. No podrá realizarse ninguna
otra reserva diversa a las indicadas.
Artículo 43° - Mantenimiento y retirada de las reservas
1. El Estado que haya formulado una reserva conforme a lo dispuesto en el artículo 42 podrá retirarla
total o parcialmente notificando tal extremo al Secretario General. La retirada se hará efectiva en la
fecha de recepción por el Secretario General de la notificación. Si en la notificación se hiciera constar
que la reserva deberá tener efecto en una determinada fecha, ello se hará efectivo siempre que sea
posterior a la recepción por el Secretario General de la notificación.
2. El Estado que haya formulado una reserva conforme a lo dispuesto en el artículo 42, podrá retirarla
total o parcialmente siempre que lo permitan las circunstancias.
3. El Secretario General del Consejo de Europa podrá solicitar periódicamente a los Estados, que
hayan formulado una o varias reservas conforme a lo dispuesto en el artículo 42, información sobre
la posibilidad de su retirada.
Artículo 44° - Enmiendas
1. Las enmiendas al presente Convenio podrán ser propuestas por las Partes, y deberán ser
comunicadas al Secretario General del Consejo de Europa, a los Estados miembros del Consejo de
Europa, a los Estados no miembros del Consejo de Europa que hayan tomado parte en la elaboración
del Convenio así como a los Estados que se hayan adherido o que hayan sido invitados a adherirse
conforme a lo dispuesto en el artículo 37.
2. Las enmiendas propuestas por uno de los Estados deberán ser comunicadas al Comité europeo
para los problemas criminales (CDPC), quien deberá informar al Comité de Ministros sobre las
mismas.
3. El Comité de Ministros examinará la enmienda propuesta y el informe del Comité europeo para los
problemas criminales (CDPC) y, después de consultar con los Estados no miembros y partes del
Convenio, podrá adoptar la enmienda.
4. El texto de la enmienda adoptado por el Comité de Ministros, conforme a lo dispuesto en el párrafo
3 del presente artículo, deberá comunicarse a los Estados para su aceptación.
5. Las enmiendas adoptadas conforme al párrafo 3 del presente artículo entrarán en vigor el
trigésimo día después del que los Estados hayan informado al Secretario General de su aceptación.
Volver al índice
Artículo 45° - Reglamento de controversia
1. El Comité europeo para los problemas criminales (CDPC) está obligado a informar de la
interpretación y aplicación del presente Convenio.
2. En caso de diferencias entre los Estados sobre la interpretación o aplicación del presente Convenio,
los Estados intentarán adoptar un reglamento de diferencia a través de la negociación o de cualquier
otro medio pacífico, con el compromiso de someter la controversia al Comité europeo para los
problemas criminales, a un tribunal arbitral que tomará las decisiones que los Estados le sometan, o
a la Corte internacional de justicia, a partir de un acuerdo adoptado por los Estados en litigio.
Artículo 46° - Reuniones de los Estados
1. Las Partes deberán reunirse periódicamente a fin de facilitar:
a. el uso y el efectivo cumplimiento del presente Convenio, la identificación de los problemas en
esta materia, así como el efecto de las declaraciones o reservas formuladas conforme al presente
Convenio;
b. el intercambio de información sobre novedades jurídicas, políticas o técnicas referentes al
ciberdelito y recolección de pruebas electrónicas;
c. el examen sobre la posible reforma del Convenio.
2. El Comité europeo para los problemas criminales (CDPC) deberá estar al corriente de las reuniones
llevadas a cabo al amparo del párrafo 1.
3. El Comité europeo para los problemas criminales .(CDPC) deberá facilitar las reuniones previstas
en el párrafo 1 y adoptar las medidas necesarias para ayudar a los Estados a completar o modificar el
Convenio. No más tarde de tres años a contar desde la entrada en vigor del presente Convenio, el
Comité europeo para los problemas criminales (CDPC) procederá, en cooperación con los Estados, a
un examen conjunto de las disposiciones de la Convención y propondrá, en su caso, las
modificaciones pertinentes.
4. Salvo que el Consejo de Europa los asuma, los gastos que ocasione la aplicación de las
disposiciones del párrafo 1 deberán ser soportados por los Estados del modo que ellos mismos
determinen.
5. Las Partes serán asistidas por el Secretariado del Consejo de Europa para llevar a cabo las
funciones relativas a este artículo
Artículo 47° - Denuncia
1. Las Partes podrán, en cualquier momento, denunciar el presente Convenio mediante notificación
dirigida al Secretario General del Consejo de Europa.
2. La denuncia entrará en vigor el primer día del mes transcurridos tres meses desde la recepción de
la notificación por el Secretario General.
Artículo 48° - Notificación
El Secretario General del Consejo de Europa notificará a los Estados miembros del Consejo de
Europa, a los Estados no miembros que hayan tomado parte en la elaboración del presente Convenio,
así como a cualquier Estado que se haya adherido o que haya sido invitado a adherirse:
a. cualquier firma;
b. el depósito de cualquier instrumento de ratificación, aceptación, aprobación o adhesión;
c. la fecha de entrada en vigor del presente Convenio según lo dispuesto en los artículos 36 y 37;
d. cualquier declaración realizada bajo el Artículo 40 y 41 o cualquier reserva formulada en virtud del
artículo 42;
e. cualquier acto, notificación o comunicación referida al presente Convenio.
En vista de lo cual, los abajo firmantes, debidamente autorizados al efecto, han firmado el presente
Convenio.
Volver al índice
Hecho en Budapest, el 23 noviembre 2001, en francés y en inglés, ambos textos con el mismo valor, y
en un solo ejemplar que será depositado en los archivos del Consejo de Europa. El Secretario General
del Consejo de Europa remitirá copia certificada a cada uno de los Estados miembros del Consejo de
Europa, a los Estados no miembros que hayan participado en la elaboración del Convenio y a
cualquier Estado invitado a adherirse.
El Convenio recoge, en la versión francesa, la expresión «fournisseur de services», cuya traducción
literal sería la de «proveedor de servicios». En la presente traducción, se ha optado por emplear el
término «prestador de servicios», en la línea seguida por la Directiva 2000/31 y el Proyecto de LSSI,
como concepto o categoría omnicomprensiva que hace referencia a aquellos sujetos que
desempeñan, profesionalmente, la actividad de prestación y gestión de accesos y servicios en
Internet.
También suele emplearse, para aludir a este tipo de datos, el término «datos de tránsito».
El Convenio emplea el término «intentionnel». Sin embargo, en este caso, se ha preferido utilizar el
vocablo «doloso» por corresponderse mejor con la categoría jurídico-penal propia del derecho
español.
El original en francés rubrica este ciberdelito como «Abus de dispositifs», lo que ha dado lugar a una
traducción literal del mismo como «Abuso de dispositivos», expresión a la que, sin embargo, se ha
preferido renunciar, por estimarse más precisa la empleada en texto.
La interpretación de este último inciso suscita algunos interrogantes. De la literalidad del precepto
podría deducirse que la referencia «elementos» debe circunscribirse a los propios mecanismos o
instrumentos aludidos en el precepto. Sin embargo, también sería posible inferir que el término
«elementos» alude a «ánimos» o «intenciones», de modo similar a lo exigido en relación a otros
delitos. Esta ambigüedad es resuelta a favor de la primera de las interpretaciones indicadas, por el
Rapport explicatif del Convenio, en su parágrafo 75.
Esta descripción se corresponde con la denominada «pornografía técnica».
Esta descripción se corresponde con la denominada«simulada» o «pseudopornografía».
El Convenio emplea el término «entraide», cuya traducción en español resulta multivoca. Entre las
distintas acepciones que puede asumir el vocablo (ayuda mutua, asistencia, colaboración), se han
utilizado, de modo indistinto, «asistencia» y «colaboración».
Es traducción fiel del idioma inglés al idioma español del documento adjunto y al cual me remito, en
la Ciudad Autónoma de Buenos Aires, a los 25 días del mes de octubre de 2012. — Bosch
Volver al índice
Tipo de norma: LEY
Sumario:
Ley ‘’Mica Ortega’’
Creación del Programa Nacional de Prevención y Concientización del Grooming o Ciberacoso contra Niñas, Niños y Adolescentes
Citas: TR LALEY AR/LCON/001OWH
PROGRAMA NACIONAL DE PREVENCIÓN Y CONCIENTIZACIÓN DEL GROOMING

O CIBERACOSO CONTRA NIÑAS, NIÑOS Y ADOLESCENTES
Art. 1° - Créase el Programa Nacional de Prevención y Concientización del Grooming o Ciberacoso
contra Niñas, Niños y Adolescentes.
Art. 2° - El Programa creado en el artículo 1° tendrá como objetivo prevenir, sensibilizar y generar
conciencia en la población sobre la problemática del grooming o ciberacoso a través del uso
responsable de las Tecnologías de la Información y la Comunicación (TICs) y de la capacitación de la
comunidad educativa en su conjunto.
Art. 3° - A los fines de la presente ley se entiende por grooming o ciberacoso a la acción en la que una
persona por medio de comunicaciones electrónicas, telecomunicaciones o cualquier otra tecnología
de transmisión de datos, contacte a una persona menor de edad con el propósito de cometer
cualquier delito contra la integridad sexual de la misma.
Art. 4° - Son objetivos del Programa Nacional de Prevención y Concientización del Grooming o
Ciberacoso contra Niñas, Niños y Adolescentes:
a. Generar conciencia sobre el uso responsable de las Tecnologías de la Información y Comunicación.
b. Garantizar la protección de los derechos de las niñas, niños y adolescentes frente al grooming o
ciberacoso.
c. Capacitar a la comunidad educativa en el nivel inicial, primario y secundario de gestión pública y
privada a los fines de concientizar sobre la problemática del grooming o ciberacoso.
d. Diseñar y desarrollar campañas de difusión a través de los medios masivos de comunicación a los
fines de cumplir con los objetivos del presente Programa.
e. Brindar información acerca de cómo denunciar este tipo de delitos en la justicia.
Art. 5° - A los efectos de la presente ley, procúrese incluir como pantalla de inicio de teléfonos
celulares, teléfonos inteligentes, tablets, y otros dispositivos tecnológicos que disponga la Autoridad
de Aplicación, la siguiente información:
a. Peligrosidad de sobreexposición en las redes de niñas, niños y adolescentes.
b. Información acerca de la existencia de delitos cibernéticos haciendo especial énfasis en los de
carácter sexual que atentan a la integridad de niñas, niños y adolescentes.
c. Aconsejar el rechazo de los mensajes de tipo pornográfico.
d. Advertir sobre la peligrosidad de publicar fotos propias o de amistades en sitios públicos.
e. Recomendar la utilización de perfiles privados en las redes sociales.
f. Sugerir no aceptar en redes sociales a personas que no hayan sido vistas físicamente y/o no sean
conocidas.
Volver al índice
g. Respetar los derechos propios y de terceros haciendo hincapié en que todos tienen derecho a la
privacidad de datos y de imágenes.
h. Aconsejar el mantenimiento seguro del dispositivo electrónico y la utilización de programas para
proteger el ordenador contra el software malintencionado.
i. Brindar información respecto a cómo actuar ante un delito informático.
j. Informar respecto a la importancia de conservar todas las pruebas tales como conversaciones,
mensajes, capturas de pantalla, etc., en caso de haberse producido una situación de acoso.
k. Facilitar información acerca de dónde se deben denunciar este tipo de delitos.
Art. 6° - Créase una página web con información referida al grooming o ciberacoso y al uso
responsable de las Tecnologías de la Información y la Comunicación, destinada a la población en
general y a la comunidad educativa en particular, con el fin de que obtengan material de información,
prevención y capacitación.
Art. 7° - El Poder Ejecutivo nacional determinará la Autoridad de Aplicación de la presente ley, la cual
podrá agregar contenidos si lo presume necesario.
Art. 8° - Serán funciones de la Autoridad de Aplicación:
a. Celebrar convenios con organismos estatales y no estatales que propendan a la implementación
del Programa.
b. Coordinar un equipo interdisciplinario integrado por profesionales especialistas en la materia, que
elabore planes de acción sobre prevención y concientización.
c. Organizar espacios de reflexión y debate en establecimientos educativos de gestión pública y
privada y cualquier otro ámbito que reúna a niñas, niños y adolescentes y a sus padres, madres y/o
tutores/as con el objeto de capacitarlos mediante talleres, seminarios y clases especiales orientadas
a la concientización y conocimiento del uso responsable de las Tecnologías de la Información y la
Comunicación, y de la prevención y cuidado frente al grooming o ciberacoso.
d. Promover y difundir investigaciones relacionadas a la problemática del grooming o ciberacoso.
e. Fiscalizar y verificar el cumplimiento de las disposiciones de la presente ley, disponiendo la
aplicación de las sanciones que correspondan en caso de infracción a la misma.
Art. 9° - Invítase a las provincias, municipios y a la Ciudad Autónoma de Buenos Aires a adherirse a la
presente ley.
Art. 10° - Esta ley deberá ser reglamentada dentro de los sesenta (60) días de su publicación en el
Boletín Oficial.
Art. 11° - Comuníquese al Poder Ejecutivo.
Volver al índice
LA LEY NEXT
La base de información legal más completa del mercado,
100% en la nube y enfocada en las necesidades
de los profesionales de hoy, que miran al futuro.
Conocé todo lo que LA LEY NEXT te ofrece

Dossier Normativo Sobre Ciberseguridad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Dossier Normativo Sobre Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

Dossier

Dossier normativo sobre

DECISIÓN ADMINISTRATIVA 641/2021

DECISIÓN ADMINISTRATIVA 1865/2020

DECRETO 182/2019 PODER EJECUTIVO NACIONAL

LEY 25.506 PODER LEGISLATIVO NACIONAL

LEY 26.388 PODER LEGISLATIVO NACIONAL

LEY 27.411 PODER LEGISLATIVO NACIONAL

LEY 27.590 PODER LEGISLATIVO NACIONAL

A LAS ENTIDADES FINANCIERAS,

Nos dirigimos a Uds. para comunicarles que esta Institución adoptó

BANCO CENTRAL DE LA REPUBLICA ARGENTINA

TEXTO ORDENADO DE LAS NORMAS SOBRE “LINEAMIENTOS PARA LA RESPUESTA

1.2. SUJETOS ALCANZADOS.

Los lineamientos de respuesta y recuperación ante ciberincidentes son los siguientes:

El presente lineamiento establece un marco de gobierno en el que se organizan y gestionan las

2.2. PLANIFICACIÓN Y PREPARACIÓN.

Este lineamiento trata el establecimiento y mantenimiento de las capacidades de la organización

ORIGEN DE LAS DISPOSICIONES CONTENIDAS EN LAS NORMAS SOBRE “LINEAMIENTOS

TEXTO ORDENADO NORMA DE ORIGEN OBSERVACIONES

Secc. Punto Párr. Com. Anexo Punto Párr.

1. 1.1 ‘’A’’ 7266

1.2 ‘’A’’ 7266

2. 2.1 ‘’A’’ 7266

2.2 ‘’A’’ 7266

2.3 ‘’A’’ 7266

2.4 ‘’A’’ 7266

2.5 ‘’A’’ 7266

2.6 ‘’A’’ 7266

2.7 ‘’A’’ 7266

Art. 1° - Apruébanse los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS

Art. 1° - Apruébase la estructura organizativa de primer nivel operativo de la JEFATURA DE GABINETE

Los Anexos I, II, III, IV y V, pueden ser consultados en LA LEY NEXT.

El Anexo I puede ser consultado en LA LEY NEXT.

Art. 1° - Crease en el ámbito de la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD el CENTRO

Art. 1º - Deróguense las Disposiciones de la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE

"MEDIDAS DE SEGURIDAD RECOMENDADAS PARA EL TRATAMIENTO Y CONSERVACIÓN

Verificar que los campos que componen el formulario de

Indicar en forma clara y concreta el tipo de información a

Verificar la exactitud del dato ingresado en caso de que el

Asegurar la confidencialidad durante el proceso de Cifrar la comunicación cliente-servidor durante la

Limitar cache del formulario en el cliente únicamente al

Utilizar certificados digitales seguros y validados por

Cifrar la comunicación durante el traslado desde el servidor de

B.1 Identificación de activos

Elaborar un procedimiento de actualización periódica del inventario.

B.1.3 Verificar la aplicación de controles Elaborar un procedimiento de verificación de autorizaciones.

Elaborar un procedimiento para nuevos activos informáticos,

B.2 Acceso a los datos

Elaborar un documento interno que defina los controles de acceso

B.2.1 Definir e identificar aquellos usuarios que por su rol de

Controlar y monitorear a los superusuarios (registrando accesos y

Disponer de una notificación concreta y formal de las

Establecer una política de contraseñas seguras.

Disponer de un registro de acceso a los sistemas.

Disponer de un registro de uso de los sistemas.

Evitar el uso de usuarios genéricos.

Disponer de un control de acceso físico al centro de datos.

Elaborar un procedimiento de control de acceso físico.

Asegurar el sistema de registro del control de acceso.

Definir un procedimiento de limpieza de cuentas inactivas con

Limitar el acceso interno a los sistemas con un mismo

Monitorear y controlar las cuentas de usuario que