INSTITUTO MIXTO DE AYUDA SOCIAL
SUBGERENCIA DE SOPORTE ADMINISTRATIVO
POLÍTICA PARA LA CLASIFICACIÓN Y USO DE LA
INFORMACIÓN
OCTUBRE,
2016
|
Política
para la Clasificación y uso de la Información
|
PI-GG- 01
|
Aprobado por: Consejo Directivo
|
N° Oficio ACD 0440-09-2016
Ratificado: ACD 0446-09-2016
|
Fecha aprobación: 23-09-2016
Ratificado: 26-09-2016
|
Página 2 de 17
|
|
|
|
|
ÍNDICE
ÍNDICE
..................................................................................................................................................
2
JUSTIFICACIÓN:
...................................................................................................................................
3
DEFINICIONES:
.....................................................................................................................................
8
OBJETIVO GENERAL
...........................................................................................................................
10
OBJETIVOS
ESPECÍFICOS
....................................................................................................................
11
FUNDAMENTO LEGAL
.......................................................................................................................
11
ÁMBITO DE APLICACIÓN
...................................................................................................................
13
VIGENCIA
...........................................................................................................................................
14
DISPOSICIONES
GENERALES
..............................................................................................................
14
RESPONSABLE DE LA
EJECUCIÓN, SEGUIMIENTO Y EVALUACIÓN
.................................................... 16
ENUNCIADO DE LA POLÍTICA
.............................................................................................................
16
JUSTIFICACIÓN:
La legislación vigente en Costa Rica le brinda igual validez a los
documentos electrónicos y a los documentos en soporte de papel, lo que trae
consigo grandes beneficios: desde la posibilidad de firmar acuerdos legales sin
que sea requerida la presencia física de las partes; hasta cuestiones tan
simples, como el ahorro de espacio físico y de recursos para custodiar la
documentación, sin que esto afecte el valor probatorio de la información. No
obstante, los documentos electrónicos y digitales también están supeditados a
un adecuado almacenamiento y manipulación.
En ese sentido, la legislación nacional dispone regulaciones con el propósito
de establecer los mecanismos para asegurar el uso correcto de la información
suministrada por las personas usuarias o clientes de las diferentes instancias
que conforman el Sector Público del país, así como el acceso a la misma.
En ese orden de ideas, la Constitución Política de nuestro país
establece en el artículo 30 lo siguiente: ".ARTÍCULO 30.-.Se garantiza el
libre acceso a los departamentos administrativos con propósitos de información
sobre asuntos de interés público. Quedan a salvo los secretos de Estado.".
De esta manera, se regula el acceso irrestricto a la información que se genere
en cualquier Institución del Sector Público Costarricense, siempre y cuando
esta sea declarada de interés público.
Asimismo, la Ley N° 7202, "Ley del Sistema Nacional de Archivos", en el
artículo N° 10, amplia lo normado en la Constitución Política, al indicar:
".Se garantiza el libre acceso a todos los documentos que produzcan o
custodien las instituciones a las que se refiere el artículo 2. de esta Ley. Cuando
se trate de documentos declarados secreto de Estado, o de acceso restringido,
perderán esa condición después de treinta años de haber sido producidos, y
podrá facilitarse para investigaciones de carácter científico - cultural,
debidamente comprobados, siempre que no irrespeten otros derechos
constitucionales.".
De igual manera la Ley N° 8422, "Ley contra la corrupción y el
enriquecimiento ilícito en la función pública", establece en su contenido una
serie de normas relacionadas con el derecho de acceso a la información pública,
específicamente el artículo N° 7 de dicha norma indica:
".Artículo 7º- Libre acceso a la información.
Es de interés público la información relacionada con el ingreso, la presupuestación, la custodia, la fiscalización, la administración,
la inversión y el gasto de los fondos públicos, así como la información
necesaria para asegurar la efectividad de la presente Ley, en relación con
hechos y conductas de los funcionarios públicos.".
De lo anterior, es clara la intención de las personas legisladoras de
los diferentes periodos por buscar mecanismos apropiados para la clasificación
de la información física y, de este modo, permitir su acceso según sea la
necesidad. Sin embargo, con la aprobación de la Ley N° 8454, "Ley de Certificados,
firmas digitales y documentos electrónicos", se amplía el concepto de
información pública con la inclusión del tema de la información digital en su
artículo N° 1: ".se aplicará a toda clase de transacciones y actos
jurídicos, públicos o privados, salvo disposición legal en contrario, o que la
naturaleza o los requisitos particulares del acto o negocio concretos resulten
incompatibles. El Estado y todas las entidades públicas quedan expresamente
facultados para utilizar los certificados, las firmas digitales y los
documentos electrónicos, dentro de sus respectivos ámbitos de competencia...".
Adicionalmente, el artículo N° 6 de esta normativa refiere a la gestión
y conservación de documentos electrónicos y digitales, e indica textualmente lo
siguiente:
".Cuando legalmente se requiera que un documento sea conservado para
futura referencia, se podrá optar por hacerlo en soporte electrónico, siempre
que se apliquen las medidas de seguridad necesarias para garantizar su
inalterabilidad, se posibilite su acceso oconsulta
posterior y se preserve, además, la información relativa a su origen y otras
características básicas.
La transición o migración a soporte electrónico, cuando se trate de
registros, archivos o respaldos que por ley deban ser conservados, deberá contar,
previamente, con la autorización de la autoridad competente.
En lo relativo al Estado y sus instituciones, se aplicará la Ley del
Sistema Nacional deArchivos, N.° 7202, de 24 de
octubre de 1990. La Dirección General del Archivo Nacional dictará las regulaciones
necesarias para asegurar la gestión debida y conservación de losdocumentos, mensajes o archivos electrónicos.".
Con dicha norma, el Sector Público pretende incorporar los avances
tecnológicos actuales a la generación, custodia y acceso a la información.
Aunado a lo anterior, con la Ley N° 8968, "Ley de Protección de la Persona
Frente al Tratamiento de sus Datos Personales", se establece en el artículo N°
3 una serie de definiciones que logran una clasificación de los diferentes
tipos de información.
De igual manera, el Instituto Mixto de Ayuda Social, ha iniciado
acciones con el fin de establecer la validez de la información generada por
medios electrónicos, siendo ejemplo de ello la promulgación del "Reglamento de
uso de documentos electrónicos y firma digital del Instituto Mixto de Ayuda
Social", el cual establece como objetivo de dicha norma, lo siguiente:
".Este Reglamento tiene por objeto regular
el uso de la firma digital y los documentos electrónicos o digitales que
ingresen o emanen hacia y desde el Instituto Mixto de Ayuda Social por las
personas funcionarias o usuarias del Instituto Mixto de Ayuda Social."
Con respecto a la confidencialidad de la información, como elemento de
importancia en el ámbito del sector público, es importante indicar que, tanto a
nivel internacional como nacional, existen normas que regulan los tipos de
información a tratar bajo esta premisa. De este modo, se evita que las
Administraciones realicen definiciones antojadizas, como el dar estatus
confidencial a aquella información que es de carácter público. A continuación
se citan ejemplos de este tipo de normativa.
A nivel internacional se cuenta con la
"Convención sobre la eliminación de todas las formas de discriminación contra
la mujer" (conocida como CEDAW, por sus siglas en inglés), suscrita por los
Estados miembros de la Organización de las Naciones Unidas, y que entró en
vigor el 03 de setiembre de 1981. En ese sentido, el "Protocolo Facultativo
Discriminación Mujer " establece en su artículo N° 6 inciso 1. lo siguiente:
".1. A menos que el
Comité considere que una comunicación es inadmisible sin remisión al Estado
Parte interesado, y siempre que la persona o personas interesadas consientan en
que se revele su identidad a dicho Estado Parte, el Comité pondrá en
conocimiento del Estado Parte, de forma confidencial, toda comunicación que
reciba con arreglo al presente Protocolo." (El resaltado no corresponde al original).
Asimismo, en el artículo N° 8 inciso 5 del citado Protocolo Facultativo,
solicita la colaboración de los Estados parte para realizar, en un marco de
confidencialidad, las investigaciones necesarias a efectos de determinar
posibles violaciones graves o sistemáticas de alguno de los derechos de las
mujeres enunciados en dicha convención. Al respecto, lo siguiente resulta de
interés:
".5. La investigación será de carácter confidencial
y en todas sus etapas se solicitará la colaboración del Estado Parte..." (El
resaltado no corresponde al original).
Con los artículos reseñados, se pretende establecer la importancia de la
confidencialidad de las denuncias interpuestas y los resultados de las
investigaciones producto de las mismas, evitando represalias que puedan afectar
la vida de personas involucradas.
A nivel país, y en
el ámbito de la protección de la confidencialidad de las denuncias, la Ley N°
7476 "Ley contra el hostigamiento sexual en el empleo y la docencia", establece
en el artículo N° 5 inciso 2 lo siguiente, de interés con respecto al
procedimiento interno de cada una de las Instituciones del Sector Público:
".Artículo 5. Responsabilidades de
prevención. Todo patrono o jerarca tendrá la responsabilidad de mantener, en el
lugar de trabajo, condiciones de respeto para quienes laboran ahí, por medio de
una política interna que prevenga, desaliente, evite y sancione las conductas
de hostigamiento sexual. Con ese fin, deberán tomar medidas expresas en los
reglamentos internos, los convenios colectivos, los arreglos directos o de otro
tipo. Sin limitarse solo a ellas, incluirán las siguientes:
(.)
2)Establecer el procedimiento interno, adecuado y efectivo, que permita
las denuncias de hostigamiento sexual, garantizando la confidencialidad de
las denuncias y el régimen sancionatorio para las personas hostigadoras cuando
exista causa. (El resaltado no corresponde al original).
Se observa, de igual manera, la importancia que tiene el garantizar la
confidencialidad de las partes actoras en la atención de las denuncias
interpuestas en casos de hostigamiento. Posteriormente mediante Ley N° 8805,
"Ley de Modificación de la Ley contra el Hostigamiento Sexual en el Empleo y la
Docencia", se adiciona en el artículo N° 18 lo siguiente de interés:
".Artículo 18. Principios que informan el procedimiento.
Informan el procedimiento de hostigamiento sexual los principios generales del
debido proceso, la proporcionalidad y la libertad probatoria, así como los
específicos, entendidos como la confidencialidad, que implica el deber de
las instancias, las personas representantes, las personas que comparecen como testigas y testigos y las partes que intervienen en la
investigación y en la resolución, de no dar a conocer la identidad de las
personas denunciantes ni la de la persona denunciada y, el principio pro
víctima, el cual implica que, en caso de duda, se interpretará en favor de la
víctima.". (El resaltado no corresponde al original).
De esta normativa se extrae que la confidencialidad no aplica únicamente
a las personas que establecen denuncias de cualquier tipo, sino que incluye a todas
las personas actoras, siendo estos denunciantes, testigos, y denunciados, en
virtud de la posible afectación a sus vidas personales en caso de que se
hicieran públicas este tipo de situaciones. Por ello, la información generada
en este tipo de situaciones, aunque sea originada en el Sector Público, no debe
ser de conocimiento público por las posibles consecuencias que podría acarrear
sobre las personas involucradas.
La confidencialidad no aplica únicamente a la materia de las denuncias,
ya que la normativa establece la posibilidad de proteger la información
relacionada con secretos comerciales e industriales, al respecto la Ley N°
7975, "Ley de información no divulgada", establece en los artículos N° 1 y 2 lo
siguiente de manera textual:
".Artículo 1. Objetivos. Son objetivos de la presente ley: a)
Proteger la información no divulgada relacionada con los secretos comerciales e
industriales.
Artículo 2. Ámbito de
protección. Protégese la información no divulgada
referente a los secretos comerciales e industriales que guarde, con carácter
confidencial, una persona física o jurídica para impedir que información
legítimamente bajo su control sea divulgada a terceros, adquirida o utilizada
sin su consentimiento por terceros, de manera contraria a los usos comerciales
honestos, siempre y cuando dicha información se ajuste a lo siguiente:
a)Sea secreta, en el sentido de que no sea, como cuerpo ni en la configuración
y reunión precisas de sus componentes, generalmente conocida ni fácilmente
accesible para las personas introducidas en los círculos donde normalmente se
utiliza este tipo de información. b) Esté legalmente bajo el control de una
persona que haya adoptado medidas razonables y proporcionales para mantenerla
secreta. c) Tenga un valor comercial por su carácter de secreta.
La información no divulgada se refiere, en especial, a la naturaleza,
las características o finalidades de los productos y los métodos o procesos de
producción. Para los efectos del primer párrafo del presente artículo, se definirán
como formas contrarias a los usos comerciales honestos, entre otras, las
prácticas de incumplimiento de contratos, el abuso de confianza, la instigación
a la infracción y la adquisición de información no divulgada por terceros que
hayan sabido que la adquisición implicaba tales prácticas o que, por
negligencia grave, no lo hayan sabido. La información que se considere como no
divulgada deberá constar en documentos, medios electrónicos o magnéticos,
discos ópticos, microfilmes, películas u otros elementos similares. (El resaltado no
corresponde al original)
De esta manera, la información que pueda ser vinculada con secretos de
carácter comercial, -entiéndase estos como estrategias de mercadeo, métodos de
fijación de costos, entre otros- puede ser catalogada como confidencial. Sin
embargo, esta misma ley establece qué tipo de información no puede considerarse
confidencial, evitando de este modo la fijación antojadiza de la
confidencialidad por parte de las Administraciones. Esto se encuentra
manifestado en el artículo N° 4, donde se establece:
".Artículo 4. Información excluida de protección. Esta ley no
protegerá la información que: a) Sea del dominio público. b) Resulte
evidente para un técnico versado en la materia con base en información
disponible de previo. c) Deba ser divulgada por disposición legal u orden
judicial. No se considerará que entra al dominio público la información
confidencial que cumpla los requisitos del primer párrafo del artículo 2 de esta
ley y haya sido proporcionada a cualquier autoridad por quien la posea, cuando
la haya revelado para obtener licencias, permisos, autorizaciones, registros o
cualquier otro acto de autoridad, por constituir un requisito formal. En todo
caso, las autoridades o entidades correspondientes deberán guardar
confidencialidad." (El resaltado no corresponde al original)
Es importante indicar que esta misma Ley establece las condiciones en
las cuales aplica la confidencialidad de las personas que tienen acceso a la
misma, y el periodo en el cual debe aplicar la confidencialidad de la
información a la cual se tiene acceso, ya que el articulo N° 7 establece
puntualmente:
".Artículo 7. Confidencialidad en las relaciones
laborales o comerciales. Toda persona que con motivo de su trabajo, empleo,
cargo, desempeño de su profesión o relación de negocios, tenga acceso a
información no divulgada en los términos señalados en el primer párrafo del
artículo 2 de esta ley y sobre cuya confidencialidad se le haya prevenido en forma
expresa, deberá abstenerse de usarla o divulgarla sin consentimiento del
titular, aun cuando su relación laboral, el desempeño de su profesión o la
relación de negocios haya cesado. En los contratos por los que se transmiten
conocimientos técnicos especializados, asistencia técnica, provisión de
ingeniería básica o tecnologías, podrán establecerse cláusulas de
confidencialidad para proteger la información no divulgada que reúnan las
condiciones referidas en el primer párrafo del artículo 2 de la presente
ley...". (El
resaltado no corresponde al original)
Es de importancia señalar que la Ley N° 7975, "Ley de información no
divulgada", lleva implícitos aspectos sobre el tratamiento a la información
confidencial y secretos comerciales e industriales, en los cuales se hace
necesario y obligatorio, para las personas que tienen acceso a datos no
divulgados, conservar el secreto de la información y su protección contra todo
uso comercial desleal. Asimismo, incluye normativa relativa a la
responsabilidad de aquellas personas que utilicen, adquieran o divulguen
información confidencial sin la autorización del titular, para ser utilizada
por terceros no autorizados.
Como se observa, las Instituciones Púbicas, a efectos de mantener la
confidencialidad de la información que así haya sido catalogada, deben definir
los instrumentos para garantizar la divulgación no autorizada de la misma,
siendo posible el establecimiento de cláusulas de confidencialidad entre el
patrono y la persona trabajadora. Dichas cláusulas no deben tener fecha de
vencimiento, en virtud de las implicaciones que podría acarrear la exposición o
divulgación de este tipo de información de carácter confidencial, so pena de
ser tipificada su acción como delito, según lo indicado en el Código Penal.
Tomando en consideración la vasta normativa existente en el país sobre
la clasificación y el acceso a la información, tanto en forma física como
digital, es necesario establecer una política institucional que permita la
salvaguarda de la información generada, siendo ejemplo de ello: los Acuerdos de
Consejo Directivo catalogados como de carácter restringido; la información
personal de las funcionarias y los funcionarios de la Institución; entre otra
información relevante.
A la vez, se debe considerar tanto a la población objetivo de la
Institución -pues es uno de los sectores más sensibles- como a la población
general del país, tomando en cuenta aspectos como la rendición de cuentas, la
libertad y los derechos humanos, así como elementos de gestión institucional,
el correcto uso de los recursos públicos, la ética institucional, y la
producción de historia nacional.
Por todo ello, el IMAS debe garantizar la correcta clasificación,
custodia y uso de la información, utilizando los mecanismos establecidos en las
diferentes normas que han sido aprobadas en el marco de la protección de la
información.
DEFINICIONES:
Para la correcta interpretación del presente
documento se utilizarán las siguientes definiciones:
a. Accesibilidad:
Se refiere a los medios, mecanismos y alternativas comunicativas y técnicas
que posibilitan el acceso a la comunicación e información de toda la población.
b. Autenticidad:
La veracidad, técnicamente constatable, de la identidad del autor o a u otra
del documento o comunicación. La autenticidad técnica no excluye el
cumplimiento de los requisitos de autenticación o certificación desde el punto
de vista jurídico.
c. Certificado
Digital: Credencial electrónica que utiliza un mecanismo criptográfico con
el fin de garantizar la autenticación de las personas usuarias para que puedan
firmar electrónicamente, con el efecto de vincular un documento, una persona y
una firma, asegurando la integridad y no alteración del documento y la firma,
así como la identificación personal en transacciones o actos jurídicos
electrónicos.
d. Criticidad: Permite
establecer la jerarquía o prioridades de la información sea en soporte papel,
electrónica o digital, creando una estructura que facilita la toma de
decisiones acertadas y efectivas.
e. Datos
sensibles: Información relativa al fuero íntimo de la persona, como por
ejemplo los que revelen origen racial o étnico, opiniones políticas,
convicciones religiosas o espirituales, condición socioeconómica, información
biomédica o genética, vida y orientación sexual, entre otros, se considera como
información personal de acceso restringido.
f. Documento
digital: Es la representación en medio digital de un documento. Cuando el
documento digital se encuentre suscrito por su autor, y autenticado por notario
público, mediante firma digital, tendrá el mismo valor y eficacia probatoria
que uno firmado en manuscrito, de conformidad con lo que establece la Ley de
Certificados, Firmas Digitales y Documentos Electrónicos y su Reglamento.
g. Encriptación:
Es el proceso para convertir la información a un formato cifrado y más seguro.
En otras palabras, los datos que están en un formato claro -o sea entendible-,
se convierten mediante un proceso matemático a un formato encriptado o
codificado -o sea ininteligible-.
h. Equipo de
Trabajo para la custodia y clasificación de la información en soporte papel,
electrónico y digital: Grupo nombrado por la Gerencia General, el cual
deberá reunirse cuando sea requerido para dar cumplimiento a lo establecido en
el Procedimiento elaborado para el efecto. Este equipo estará compuesto por
representantes de la Subgerencia de Desarrollo Social, Subgerencia de Soporte
Administrativo, Asesoría Jurídica, Área de Desarrollo Humano, Área de
Planificación Institucional, Área de Servicios Generales, Área de Tecnologías
de Información y la persona responsable de Comunicación Institucional de la
Presidencia Ejecutiva.
i. Expediente
electrónico: Constituye una serie de documentos electrónicos o digitales
ordenados cronológicamente y almacenados en un medio electrónico que asegure
que ninguno de esos documentos será alterado o eliminado y que garantice la
integridad del expediente electrónico.
j. Firma digital: Resultado de obtener, mediante mecanismos o dispositivos,
un patrón, que unívocamente se asocie a una persona física y a su voluntad de
firmar manifestada por un medio electrónico que, una vez utilizado, se
considera equivalente a la firma manuscrita del documento electrónico donde se
inserta.
k. Unidad
Productora de Información: Unidades del IMAS que tienen la facultad de
generar información de uso institucional, la cual debe ser clasificada para su
custodia y uso.
l. IMAS:
Instituto Mixto de Ayuda Social.
m. Información
Digital: Esta información puede haber tenido su origen y existencia inicial
en forma electrónica o física, lo cual significa que, si un documento "nace " o
existe en forma física y es digitalizado
de alguna manera electrónica (escaneado, digitado o similares),pasa a ser un
documento o información digital, pero puede mantener su figura o existencia
física válida. Un documento físico que es digitalizado y firmado digitalmente
tiene la misma validez o incluso mayor que el físico, pues está validado por un
medio electrónico encriptado y protegido y protegido a través de la firma
digital que únicamente su creador o creadora le puede asignar a través de su
firma digital.
n. Información
Electrónica: Esta información tiene origen y se mantiene en el ámbito
electrónico, o sea en un medio digital, tales como: un archivo electrónico
(audio, video, archivos multimedia, otros), una base de datos, un sistema de
información o medios de almacenamiento digital. Se puede generar un documento
físico a partir de él (por ejemplo una impresión), pero su fundamento y
existencia válida es el medio electrónico (o sea el medio digital en el que se
almacene).
o. Información
Confidencial: Es toda aquella información que no es pública, o información
no divulgada y guardada con carácter confidencial, lo que implica que no pueda
ser revelada a terceros sin consentimiento de su titular.
p. Información
pública de acceso restringido: La que, aún
formando parte de registros de acceso al público, no es de acceso irrestricto
por ser de interés solo para su titular o para la Administración Pública.
q. Información
pública de acceso irrestricto: Refiere a los contenidos en bases de datos
públicas de acceso general, según dispongan leyes especiales y de conformidad
con la finalidad para la cual estos datos fueron recabados.
r. Información
Pública: Es toda aquella información que ha sido declarada de conocimiento
público por la Institución.
s. Información
Pública de Datos Sensibles: Es la protección de información sensible contra
divulgación no autorizada.
t. Sensibilidad: Grado de interés de la naturaleza de la
información tratada, en relación con la menor o mayor necesidad de garantizar
la confidencialidad y la integridad de la información
OBJETIVO GENERAL
Establecer las principales pautas a seguir
para la clasificación y uso de los documentos que se generen en el Instituto
Mixto de Ayuda Social, con el fin de garantizar el nivel de protección adecuado
según la información contenida en ellos.
OBJETIVOS ESPECÍFICOS
1.Definir las categorías en las cuales la Institución clasificará la
información, tanto en formato físico como digital.
2.Implementar medidas y procedimientos que permitan establecer el uso
correcto de la información según sensibilidad, accesibilidad y criticidad.
FUNDAMENTO LEGAL
El fundamento legal del presente documento tiene como base la siguiente
normativa:
1.Constitución Política: articulo N° 30.- ".S g z p
administrativos con propósitos de información sobre asuntos de interés público.
Quedan a .".
2.Ley N° 7202, Ley del Sistema Nacional de Archivos: artículo N°
10: ".Se garantiza el libre acceso a todos los documentos que produzcan o
custodien las instituciones a las que se refiere el artículo 2o. de esta Ley.
Cuando se trate de documentos declarados secreto de Estado, o de acceso
restringido, perderán esa condición después de treinta años de haber sido
producidos, y podrá facilitarse para investigaciones de carácter científico -
cultural, debidamente comprobados, siempre que no se irrespeten otros derechos
u .".
3.Ley N° 6227, Ley General de la Administración Pública: u 273 1:
".1. No habrá acceso a las piezas del expediente cuyo conocimiento pueda
comprometer secretos de Estado o información confidencial de la contraparte o,
en general, cuando el examen de dichas piezas confiera a la parte un privilegio
indebido o una oportunidad para dañar ilegítimamente a la Administración, a la
contraparte o a terceros, dentro o fuera del expediente."
4.Ley N° 8422, Ley contra la corrupción y el enriquecimiento ilícito
en la función pública: articulo N° 7: ".Libre acceso a la información. Es
de interés público la información relacionada con el ingreso, la presupuestación, la custodia, la fiscalización, la
administración, la inversión y el gasto de los fondos públicos, así como la
información necesaria para asegurar la efectividad de la presente Ley, en
relación con hechos y conductas de los funcionarios públicos."
5.Ley N° 8454, Ley de certificados, firmas digitales y documentos
electrónicos: articulo N° 6: ".Cuando legalmente se requiera que un documento
sea conservado para futura referencia, se podrá optar por hacerlo en soporte
electrónico, siempre que se apliquen las medidas de seguridad necesarias para
garantizar su inalterabilidad, se posibilite su acceso o consulta posterior y
se preserve, además, la información relativa a su origen y otras
características básicas.
La transición o migración a soporte electrónico, cuando se trate de
registros, archivos o respaldos que por ley deban ser conservados, deberá
contar, previamente, con la autorización de la autoridad competente.
En lo relativo al Estado y sus instituciones, se aplicará la Ley del
Sistema Nacional de Archivos, N.° 7202, de 24 de octubre de 1990. La Dirección
General del Archivo Nacional dictará las regulaciones necesarias para asegurar
la gestión debida y conservación de los u , j h .".
6.Ley N° 8968, Ley de Protección de la Persona Frente al Tratamiento
de sus Datos Personales: artículo N° 3 ".Definiciones. Para los efectos de
la presente ley se define lo siguiente: . f) Deber de confidencialidad:
Obligación de los responsables de bases de datos, personal a su cargo y del
personal de la Agencia de Protección de Datos de los Habitantes (Prodhab), de guardar la confidencialidad con ocasión del
ejercicio de las facultades dadas por esta ley, principalmente cuando se acceda
a información sobre datos personales y sensibles. Esta obligación perdurará aun
después de finalizada la relación con la base de datos.
7.Convención sobre la eliminación de todas las formas de
discriminación contra la mujer(CEDAW): articulo N° 6 inciso 1.: ".1. A
menos que el Comité considere que una comunicación es inadmisible sin remisión
al Estado Parte interesado, y siempre que la persona o personas interesadas
consientan en que se revele su identidad a dicho Estado Parte, el Comité pondrá
en conocimiento del Estado Parte, de forma confidencial, toda comunicación que
reciba con arreglo al presente Protocolo."
8.Convención sobre la eliminación de todas las formas de
discriminación contra la mujer(CEDAW): articulo N° 8 inciso 5: ".5. La
investigación será de carácter confidencial y en todas sus etapas se solicitará
la colaboración del Estado Parte...".
9.Ley N° 7476, Ley contra el hostigamiento sexual en el empleo y la
docencia: articulo N° 5inciso 2: ".2) Establecer el procedimiento
interno, adecuado y efectivo, que permita las denuncias de hostigamiento
sexual, garantizando la confidencialidad de las denuncias y el régimen
sancionatorio para las personas hostigadoras cuando exista causa."
10.Ley N° 8805, Ley de Modificación de la Ley contra el Hostigamiento
Sexual en el Empleo y la Docencia: artículo N° 18:".Principios
que informan el procedimiento. Informan el procedimiento de hostigamiento
sexual los principios generales del debido proceso, la proporcionalidad y la libertad
probatoria, así como los específicos, entendidos como la confidencialidad, que
implica el deber de las instancias, las personas representantes, las personas
que comparecen como testigas y testigos y las partes
que intervienen en la investigación y en la resolución, de no dar a conocer la
identidad de las personas denunciantes ni la de la persona denunciada y, el
principio pro víctima, el cual implica que, en caso de duda, se interpretará en
favor de la víctima.".
11.Ley N° 7975, Ley de información no divulgada: artículo N° 1:
".. Objetivos. Son objetivos dela presente ley: a) Proteger la información
no divulgada relacionada con los secretos comerciales e industriales.".
12.Ley N° 7975, Ley de información no divulgada: artículo N° 2 ".Ámbito
de protección. Protégese la información no divulgada
referente a los secretos comerciales e industriales que guarde, con carácter
confidencial, una persona física o jurídica para impedir que información
legítimamente bajo su control sea divulgada a terceros, adquirida o utilizada
sin su consentimiento por terceros, de manera contraria a los usos comerciales
honestos, siempre y cuando dicha información se ajuste a lo siguiente: a) Sea
secreta, en el sentido de que no sea, como cuerpo ni en la configuración y
reunión precisas de sus componentes, generalmente conocida ni fácilmente
accesible para las personas introducidas en los círculos donde normalmente se
utiliza este tipo de información. b) Esté legalmente bajo el control de una
persona que haya adoptado medidas razonables y proporcionales para mantenerla
secreta. c) Tenga un valor comercial por su carácter de secreta..
La información no divulgada se refiere, en especial, a la naturaleza,
las características o finalidades de los productos y los métodos o procesos de
producción. Para los efectos del primer párrafo del presente artículo, se
definirán como formas contrarias a los usos comerciales honestos, entre otras,
las prácticas de incumplimiento de contratos, el abuso de confianza, la
instigación a la infracción y la adquisición de información no divulgada por
terceros que hayan sabido que la adquisición implicaba tales prácticas o que,
por negligencia grave, no lo hayan sabido. La información que se considere como
no divulgada deberá constar en documentos, medios electrónicos o magnéticos,
discos ópticos, microfilmes, películas u otros elementos similares.".
13.Ley N° 7975, Ley de información no divulgada: articulo N° 4: ".Información
excluida de protección. Esta ley no protegerá la información que: a) Sea del
dominio público. b) Resulte evidente para un técnico versado en la materia con
base en información disponible de previo. c) Deba ser divulgada por disposición
legal u orden judicial. No se considerará que entra al dominio público la
información confidencial que cumpla los requisitos del primer párrafo del
artículo 2 de esta ley y haya sido proporcionada a cualquier autoridad por
quien la posea, cuando la haya revelado para obtener licencias, permisos,
autorizaciones, registros o cualquier otro acto de autoridad, por constituir un
requisito formal. En todo caso, las autoridades o entidades correspondientes
deberán guardar confidencialidad
14.Ley N° 7975, Ley de información no divulgada: articulo N° 7 ".Confidencialidad
en las relaciones laborales o comerciales. Toda persona que con motivo de su
trabajo, empleo, cargo, desempeño de su profesión o relación de negocios, tenga
acceso a información no divulgada en los términos señalados en el primer
párrafo del artículo 2 de esta ley y sobre cuya confidencialidad se le haya
prevenido en forma expresa, deberá abstenerse de usarla o divulgarla sin
consentimiento del titular, aun cuando su relación laboral, el desempeño de su
profesión o la relación de negocios haya cesado. En los contratos por los que
se transmiten conocimientos técnicos especializados, asistencia técnica,
provisión de ingeniería básica o tecnologías, podrán establecerse cláusulas de
confidencialidad para proteger la información no divulgada que reúnan las
condiciones referidas en el primer párrafo del artículo 2 de la presente
ley...".
ÁMBITO DE APLICACIÓN
1.Esta política es aplicable a todas las personas funcionarias del IMAS,
terceras y usuarias que requieran tener acceso a la información institucional.
2.Oficinas Productoras de Información: Les corresponde identificar y
clasificar la información, con el fin de asegurar que reciba un apropiado nivel
de protección según su sensibilidad, accesibilidad y criticidad, de acuerdo con
el Procedimiento elaborado para tal propósito.
3.Comité Gerencial de Tecnologías de Información: Le corresponde
accionar sus funciones de acuerdo con lo estipulado en esta política.
VIGENCIA
La vigencia de la presente política será a partir su publicación en el
Diario Oficial La Gaceta, y la misma se integrará al Plan Operativo Institucional
(POI) y como parte del proceso de Formulación del POI- Presupuesto de cada año
será revisada.
Con la entrada en vigencia del presente documento, se deroga lo
establecido en la Política del Área de Tecnologías de Información POL- DI 03
"Política para la Clasificación de Información", aprobada por parte de Consejo
Directivo N° CD N° 376-09 del 14 de
octubre de 2009 y el Procedimiento para la clasificación de la Información -
P-TI-09 aprobado por parte de la Gerencia General mediante oficio GG
1380-05-2010 del 17 de mayo de 2010.
DISPOSICIONES GENERALES
1.Cada Oficina Productora realizará la clasificación de su información
en soporte papel, electrónica y digital en función de la accesibilidad,
sensibilidad y criticidad para el IMAS, según lo siguiente:
a. Información
Pública de Acceso Irrestricto
b. Información
Pública de Acceso Restringido
c. Información
Pública de Datos Sensibles
d. Información Confidencial
2.La clasificación de la información debe permitir establecer
diferencias entre las medidas de seguridad a aplicar que, de forma general,
según sea definido en el procedimiento correspondiente y atenderán a criterios
de disponibilidad, integridad y confidencialidad delos datos.
3.Para la custodia y clasificación de la información en soporte papel,
electrónica y digital, el Equipo de Trabajo debe elaborar el procedimiento
correspondiente, definiendo las categorías a utilizar.
4.El procedimiento para la clasificación de la información deberá tomar
en cuenta únicamente las categorías de clasificación definidas en la presente
política.
5.El método de clasificación de la información debe considerar
información impresa y digital, independientemente del tipo de almacenamiento o
medio de transferencia.
6.Las Oficinas Productoras deberán realizar seguimientos a la
información que tienen bajo su custodia para detectar cambios que se puedan
realizar a nivel de clasificación. Si se detecta algún cambio, deben informar a
la Gerencia General, quien procederá a comunicarlo al Equipo de Trabajo para la
custodia y clasificación de la información, para tomar las medidas respectivas.
7.Se deberán considerar los requerimientos especiales para el acceso a
la información, ya sean acuerdos de confidencialidad o no revelación, entre
otros requerimientos que pudieran existir.
8.El Equipo de Trabajo para la custodia y clasificación de la
información en soporte papel, electrónica y digital, debe definir revisiones
periódicas del procedimiento de clasificación de la información.
9.El Área de Desarrollo Humano deberá capacitar a las personas
trabajadoras del IMAS, con el objetivo de informarlas y sensibilizarlas y
comprometerlas en la protección de la información, de acuerdo con su
clasificación. Los requerimientos de dichas capacitaciones deberán ser
coordinadas con el Equipo de Trabajo para la custodia y clasificación de la
información en soporte papel, electrónico y digital.
10.Las Oficinas Productoras de la información deben identificar y
divulgar las responsabilidades correspondientes a la manipulación de la información,
según sean las actividades en su Unidad de trabajo como Titulares subordinados
(Jefaturas), personas que custodian la información o personas usuarias de la
información, esto mediante el instrumento incorporado en el procedimiento
establecido.
11.El Equipo de Trabajo para la custodia y clasificación de la
información física y digital debe desarrollar el procedimiento establecido para
la clasificación de la información, el cual debe incluir:
a. El compromiso del
personal con la seguridad de la información
b. La seguridad
física y ambiental de la información clasificada, así como los mecanismos para
el control de acceso a la misma.
c. La seguridad en
la implementación y mantenimiento de software e infraestructura tecnológica
necesaria para implementar esta política
d. La continuidad de
los servicios de Tecnologías de Información con propósito de definir el proceso
de recuperación de información en el menor tiempo posible, para garantizar su
disponibilidad y evitar la pérdida de información sensible para la Institución
e. Seguridad en las
operaciones y comunicaciones, para garantizar la disponibilidad de la
información, y que la misma pueda ser accedida sólo por las personas
autorizadas.
f. La medición, verificación,
análisis y evaluación de los resultados de la implementación de la política
para determinar su efectividad, procesos de mejora continua y aseguramiento formal sobre la
clasificación, custodia y acceso de la información.
12.Se debe manejar métodos para tipificar la información en soporte papel,
electrónico y digital.
13.La información que provenga de terceros y sea recibida por el IMAS
deberá ser clasificada de acuerdo con lo establecido en esta política.
14.La Información pública clasificada del IMAS no debe encontrarse en
dispositivos de almacenamiento externo, salvo casos en los que sea
estrictamente necesario y justificado.
15.Toda aquella información que sea transmitida de forma oral se
enmarcara dentro del procedimiento respectivo en la cual se establecerán las
personas voceras autorizadas.
16.Las personas funcionarias que tengan acceso mediante dispositivos
móviles (teléfonos celulares, tablets, llaves USB,
etcétera) a la información catalogada como "Información Pública de Acceso
Restringido", Información Pública de Datos Sensibles" o "Información
Confidencial" deberán suscribir Acuerdos de Confidencialidad para la no
divulgación de la información, so pena de iniciar Procesos Judiciales conforme
a lo indicado en el Código Penal y normas conexas.
RESPONSABLE DE LA EJECUCIÓN, SEGUIMIENTO Y EVALUACIÓN
Tomando en consideración que el Equipo de Trabajo para la custodia y
clasificación de la información física y digital está conformado por
funcionarios de diferentes Unidades y Áreas de la Institución, se define a la
Gerencia General como la instancia responsable de la ejecución, seguimiento y
evaluación de la presente Política.
Será esta instancia quien, mediante acto motivado, delegará las
responsabilidades para la correcta implementación del presente documento.
ENUNCIADO DE LA POLÍTICA
Producto de su quehacer, y en concordancia con el Ordenamiento Jurídico
aplicable y vigente, el IMAS clasificará la información producida por sus
diferentes dependencias, con el fin de ponerla a disposición de las personas
ciudadanas y habitantes del país. Dicha clasificación se hará de acuerdo con
criterios de sensibilidad, accesibilidad y criticidad según lo siguiente:
a. Información
Pública de Acceso Irrestricto.
b. Información
Pública de Acceso Restringido.
c. Información
Pública de Datos Sensibles.
d. Información Confidencial.
Esta política promoverá la proyección institucional, mediante el uso
responsable y transparente de la documentación e información referente a sus
gestiones y a la administración de los recursos públicos bajo su responsabilidad.
Así mismo, respetará los derechos de libertad e información de las personas.
Todo lo anterior en el marco del rol protagónico que le ha correspondido asumir
al IMAS en la historia nacional.
Aprobado mediante Acuerdo de Consejo Directivo N° 440-09-2016 del 23 de
setiembre de 2016 y ratificado mediante Acuerdo de Consejo Directivo N°
446-09-2016 del 26 de setiembre.