LEGISLACION

RESOLUCIÓN 642/2018

Reglamentos, Principios y Políticas de Seguridad de la Información y Control de Acceso a la Información de la Superintendencia de Servicios de Salud

 

VISTO:

El Expediente N° EX-2018-21521433-APN-SG#SSS, las Resoluciones del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD N° 220 de fecha 10 de mayo de 2006, N° 695 de fecha 13 de agosto de 2008 y N° 1006-E de fecha 16 de noviembre de 2017, la Disposición del Registro de la Oficina Nacional de Tecnologías de Información N° 1 de fecha 19 de febrero de 2015, y

CONSIDERANDO:

Que en el marco de la evolución tecnológica operada en los últimos años y las estrategias de modernización del Estado e informatización de sus procesos administrativos, encaradas por distintos estamentos, resulta de fundamental relevancia adoptar medidas suficientes, adecuadas y necesarias para garantizar la confiabilidad, integridad, disponibilidad y -si aplicare- confidencialidad de la información que gestionan los organismos estatales.

Que se procurará garantizar la prestación continua e ininterrumpida de los diversos servicios prestados por el Estado a través del empleo de Tecnologías de la Información y las Comunicaciones.

Que por la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD N° 220/2006, en el marco de indicaciones brindadas por la entonces Subsecretaría de Gestión Pública de la Jefatura de Gabinete de Ministros de la Nación, esta SUPERINTENDENCIA DE SERVICIOS DE SALUD creó el Comité de Seguridad de la Información, integrado por los Gerentes de todas las áreas sustantivas del Organismo, a los efectos de proyectar y delinear las propuestas para conformar el modelo de política de seguridad de la información a adoptar.

Que la responsabilidad de la implementación de dicha política fue puesta en cabeza de la Gerencia General de la SUPERINTENDENCIA DE SERVICIOS DE SALUD, y la Coordinación del Comité a cargo del Señor Gerente de la Gerencia de Gestión Estratégica del Organismo.

Que mediante la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD N° 695/2008 se aprobaron los lineamientos básicos propuestos por el citado Comité para integrar el Modelo de Política de Seguridad de la Información a adoptar por este Organismo, así como el Reglamento de Funcionamiento del Comité de Seguridad de la Información y la Política de Privacidad para entidades usuarias del sitio web.

Que por Disposición del Registro de la Oficina Nacional de Tecnologías de Información (ONTI) N° 1/2015 se aprobó la Política de Seguridad de la Información Modelo, actualmente vigente.

Que luego de varios años de vigencia de las normas señaladas, se estimó necesario readecuar y actualizar las regulaciones aplicables, así como reimpulsar al efecto el funcionamiento del Comité de Seguridad de la Información de este Organismo.

Que por la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD N° 1006-E/2017 se modificó la conformación del Comité de Seguridad de la Información del Organismo, creado por la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD N° 220/2006, y se instruyó al Comité referido para que analice el Modelo de Política de Seguridad de la Información para Organismos de la ADMINISTRACIÓN PÚBLICA NACIONAL, y se proponga al Señor Gerente General las adecuaciones que estime corresponder.

Que se instruyó al Comité de Seguridad de la Información del Organismo para que revise el Reglamento de Funcionamiento, los Principios Básicos del Modelo de Política de Seguridad de la Información, la Política de Control de Accesos a la Red y la Política de Privacidad para entidades usuarias del Sitio Web institucional, incorporados como ANEXOS I, II, III y IV, respectivamente, de la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD N° 695/2008, y formule al Señor Gerente General las propuestas que estime oportunas (artículo 4°).

Que previo a la primera reunión del Comité de Seguridad de la Información con su nueva conformación, la Gerencia General de la SUPERINTENDENCIA DE SERVICIOS DE SALUD estableció una comisión ad hoc, para que elabore propuestas a efectos de ser presentadas a consideración del Comité.

Que el Comité de Seguridad de la Información se reunió con fecha 26 de abril de 2018.

Que como resultado de la reunión referida precedentemente, el Comité en cuestión aprobó su Reglamento de Funcionamiento, los Principios Básicos del Modelo de Política de Seguridad de la Información, la Política de Control de Acceso a la Información en Formato Papel, la Política de Control de Acceso a la Información Web de la SUPERINTENDENCIA DE SERVICIOS DE SALUD.

Que se resolvió elevar los instrumentos mencionados en el párrafo anterior al Señor Gerente General, sugiriéndose la emisión del correspondiente acto administrativo que los apruebe y derogue las versiones anteriores que existieren.

Que la Gerencia General de la SUPERINTENDENCIA DE SERVICIOS DE SALUD prestó conformidad con la propuesta presentada por el Comité de Seguridad de la Información.

Que la Gerencia General, la Gerencia de Gestión Estratégica y la Gerencia de Asuntos Jurídicos tomaron la intervención de su competencia.

Que la presente se dicta en uso de las facultades y atribuciones conferidas por los Decretos N° 1615 de fecha 23 de diciembre de 1996, N° 2710 de fecha 28 de diciembre de 2012 y N° 717 de fecha 12 de septiembre de 2017.

Por ello,

EL SUPERINTENDENTE DE SERVICIOS DE SALUD

RESUELVE:

Art. 1 - APRUÉBASE el Reglamento de Funcionamiento del Comité de Seguridad de la Información de la SUPERINTENDENCIA DE SERVICIOS DE SALUD, que como ANEXO I (IF-2018-21921953-APN-GG#SSS), forma parte de la presente Resolución.

Art. 2 - APRUÉBANSE los Principios Básicos del Modelo de Política de Seguridad de la Información, que como ANEXO II (IF-2018-22036960-APN-GG#SSS), forman parte de la presente Resolución.

Art. 3 - APRUÉBASE la Política de Control de Acceso a la Información en Formato Papel, que como ANEXO III (IF-2018-22033834-APN-GG#SSS), forma parte de la presente Resolución.

Art. 4 - APRUÉBASE la Política de Control de Acceso a la Información en Formato Electrónico, que como ANEXO IV (IF-2018-22035509-APN-GG#SSS), forma parte de la presente Resolución.

Art. 5 - APRUÉBASE la Política de Control de Acceso a la Información en el Sitio Web de la SUPERINTENDENCIA DE SERVICIOS DE SALUD, que como ANEXO V (IF-2018-22036309-APN-GG#SSS), forma parte de la presente Resolución.

Art. 6 - DERÓGASE la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD N° 695/2008.

Art. 7 - De forma.

 

ANEXOS

 

ANEXO I 

REGLAMENTO DE FUNCIONAMIENTO

DEL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN (CSI)

ANEXO II 

PRINCIPIOS BÁSICOS DEL MODELO DE POLÍTICA

DE SEGURIDAD DE LA INFORMACIÓN

ANEXO III 

POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN

EN FORMATO PAPEL

ANEXO IV 

POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN

EN FORMATO ELECTRÓNICO

ANEXO V 

POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN

EN EL SITIO WEB DE LA SUPERINTENDENCIA DE SERVICIOS DE SALUD

 

  ANEXO I

REGLAMENTO DE FUNCIONAMIENTO

DEL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN (CSI)

Art. 1 - OBJETO. El COMITÉ DE SEGURIDAD DE LA INFORMACIÓN (CSI) tendrá las siguientes funciones primarias, no excluyentes:

a. Revisar, evaluar y hacer el seguimiento de aplicación del Modelo de Política de Seguridad de la Información de la SUPERINTENDENCIA DE SERVICIOS DE SALUD y proponer las actualizaciones que estime pertinentes al Señor Gerente General del Organismo.

b. Revisar, evaluar y hacer el seguimiento de aplicación de las Políticas de Control de Acceso a la Información en formato papel y electrónico, y la Política de Control de Acceso a la Información en el sitio web de la SUPERINTENDENCIA DE SERVICIOS DE SALUD, y proponer las actualizaciones que estime pertinentes al Señor Gerente General del Organismo.

c. Colaborar con el Señor Gerente General para lograr que las Unidades Operativas del Organismo adopten las medidas necesarias para el cumplimiento y control de las políticas concernientes a la seguridad de la información pública, sensible y/o confidencial.

d. Diseñar y ejecutar actividades de capacitación orientadas al fortalecimiento del cumplimiento de la Política de Seguridad de la Información por parte de las áreas del Organismo.

e. Convocar a expertos externos para el tratamiento de aquellos temas que, por su especificidad, requieran de conocimientos calificados en una materia determinada.

Art. 2 - ESTRUCTURA. El CSI será coordinado por el Señor Gerente de la Gerencia de Gestión Estratégica, o quien este designe, y se encontrará conformado por UN (1) funcionario titular y UN (1) suplente, designados por los titulares de las siguientes áreas del Organismo:

a. Coordinación Operativa.

b. Defensoría del Usuario de Servicios de Salud.

c. Gerencia de Administración.

d. Gerencia de Asuntos Jurídicos.

e. Gerencia de Atención y Servicios al Usuario del Sistema de Salud.

f. Gerencia de Control Económico Financiero.

g. Gerencia de Control Prestacional.

h. Gerencia de Delegaciones y de Articulación de los Integrantes del Sistema de Salud.

i. Gerencia de Gestión Estratégica.

j. Gerencia de Sistemas de Información.

k. Gerencia Operativa de Subsidios por Reintegros.

l. Gerencia General.

m. Secretaría General.

n. Subgerencia de Recursos Humanos y Organización.

ñ) Unidad de Auditoría Interna.

Asimismo, se conformará por las Comisiones que se establezcan de acuerdo con lo previsto en el presente reglamento.

Del mismo modo, el CSI podrá decidir la convocatoria de personas y/o profesionales externos para la participación en el CSI o bien en las Comisiones, cuando la temática de los asuntos a tratar necesite la opinión de expertos con el objeto de dar luz en temas específicos. Dichos expertos no adquirirán atribuciones de miembros, teniendo derecho a voz pero no a voto.

Art. 3 - MIEMBROS. Los titulares de las áreas mencionadas en el artículo anterior deberán comunicar al Coordinador del CSI, por conducto del Secretario Técnico, en un plazo de TREINTA (30) días, los funcionarios titulares y suplentes designados para participar en el CSI. Podrán disponer los cambios que deseen en dichas designaciones, comunicando en cada caso las modificaciones a la Coordinación del CSI.

Los miembros suplentes podrán participar de las reuniones conjuntamente a los miembros titulares, pero solo tendrán voz en caso de ausencia de estos, por los motivos que fueran.

Art. 4 - MANDATO. Los miembros del CSI permanecerán en sus cargos de manera indefinida y en tanto no les sea revocada su designación y/o sean reemplazados por las autoridades competentes de cada área. Asimismo en el caso que alguna de las personas designadas deje de desempeñarse en el área a la cual representa, por el motivo que fuere, quedará excluido del CSI en forma inmediata y de pleno derecho desde la fecha de su desvinculación.

Los expertos convocados para temas específicos tendrán la intervención que se determine en su convocatoria.

Art. 5 - FUNCIONES DEL COORDINADOR. El coordinador del CSI tendrá las siguientes responsabilidades:

a. Coordinar las actividades del CSI.

b. Designar al Secretario Técnico, con acuerdo de los miembros del CSI.

c. Convocar, por conducto del Secretario Técnico, a los miembros a las reuniones ordinarias del CSI, así como también a reuniones extraordinarias en los casos en que así resulte necesario.

d. Crear Comisiones para temas específicos y convocar a sus miembros.-

e. Convocar a expertos de diversas ramas profesionales y actividades de atención de la salud a formar parte y/o participar en las reuniones del CSI y/o de las Comisiones, con voz pero sin voto.

f. Actuar como instancia de conciliación cuando no se alcancen acuerdos entre los integrantes del CSI, en cualquiera de los temas de su incumbencia.

g. Atender a las solicitudes y necesidades de los integrantes del CSI, brindando el apoyo y respaldo necesarios.

h. Elevar al Señor Gerente General las propuestas que formule el CSI.

i. Excluir a miembros del CSI, de las Comisiones y a expertos convocados especialmente cuando exhibieren comportamientos inadecuados, indecorosos, reñidos con la ética y las buenas costumbres, o de cualquier modo atenten contra el normal desempeño del CSI en términos respetuosos y transparentes.

Art. 6 - SECRETARÍA TÉCNICA. El Secretario Técnico será designado por el coordinador de entre los restantes miembros del CSI, con el acuerdo de sus pares.

Serán funciones del Secretario Técnico:

a. Recibir las designaciones de representantes, sus modificaciones y rescisiones, y comunicarlas al coordinador.

b. Comunicar las convocatorias a reuniones ordinarias y extraordinarias del CSI, a instancias del coordinador.

c. Llevar el Libro de Actas de las reuniones del CSI y redactar las minutas.

d. Comunicar la creación de Comisiones y las convocatorias para integrarlas, así como requerir la presencia de expertos para temas específicos, a instancias del CSI.

e. Llevar el Registro de las reuniones de las Comisiones y redactar las minutas.

f. Realizar cualquier comunicación institucional que le requiera el CSI.

Art. 7 - REMUNERACIÓN. Los miembros del CSI, de las Comisiones y los expertos invitados desempeñarán sus cargos ad honorem y no recibirán retribución alguna por su ejercicio.

Art. 8 - OPORTUNIDAD DE LAS REUNIONES. El CSI se reunirá en sesión ordinaria UNA (1) vez por año, en la fecha que será definida por el Coordinador y comunicada a los miembros por conducto del Secretario Técnico.

El Coordinador, por decisión propia o a requerimiento de cualquiera de los miembros del CSI, podrá convocar a reuniones extraordinarias en cualquier momento, las que deberán ser comunicadas a los miembros por conducto de la Secretaría Técnica con al menos CINCO (5) días de antelación.

Las Comisiones se reunirán en la forma y oportunidades que se determinen en su respectiva creación.

Art. 9 - SEDE DE LAS REUNIONES. El CSI se reunirá por defecto en el edificio de Avenida Roque Sáenz Peña 530, Ciudad Autónoma de Buenos Aires, de la SUPERINTENDENCIA DE SERVICIOS DE SALUD. No obstante, a propuesta de cualquiera de sus miembros, una o más reuniones podrán realizarse en otra sede, siempre y cuando el cambio de sede se notifique fehacientemente a los miembros con una antelación mínima de CINCO (5) días.

Las Comisiones se reunirán en la/s sede/s que se determine/n en su respectiva creación, pudiendo reunirse en más de una sede.

Art. 10 - QUORUM. Las sesiones del CSI comenzarán en forma puntual y para su inicio se requerirá la asistencia de, por lo menos, la mitad de sus integrantes. Sin perjuicio de ello, en caso de inasistencia de algún miembro, se establece un margen de tolerancia de media hora a los efectos de aguardar su comparecencia.

De no alcanzar el quorum requerido, el coordinador fijará una nueva fecha de reunión que deberá tener lugar dentro de los subsiguientes VEINTE (20) días y se realizará con los miembros que se encuentren presentes.

Las reglas de quorum de las Comisiones se establecerán al momento de su creación. En caso de silencio, resultarán de aplicación el primer y segundo párrafo del presente artículo.

Art. 11 - DECISIONES. Las decisiones del CSI se tomarán por consenso de sus miembros presentes. Podrán establecerse reglas distintas para las Comisiones.

Los dictámenes de las Comisiones no serán vinculantes para el CSI.

 

  ANEXO II

PRINCIPIOS BÁSICOS DEL MODELO DE POLÍTICA

DE SEGURIDAD DE LA INFORMACIÓN

1. Introducción

La presente Política de Seguridad de la Información está diseñada según la Política Modelo de Seguridad de la Información, aprobada por Disposición del Registro de la Oficina Nacional de Tecnologías de Información (ONTI) N° 1/2015.

1.1 Alcance

La política de Seguridad de la Información que dicta esta SUPERINTENDENCIA DE SERVICIOS DE SALUD, en cumplimiento de las disposiciones legales vigentes, tiene como objetivo gestionar adecuadamente la seguridad de la información, la totalidad de los recursos, los sistemas informáticos y el ambiente tecnológico del Organismo, con el fin de asegurar el fiel cumplimiento de la misión y objetivos del mismo.

Debe ser conocida y cumplida por toda la planta de personal del Organismo, sin distinción de nivel jerárquico, calificación técnica o situación de revista.

1.2. Compromiso de los usuarios

Cualquier persona del Organismo que, en razón del desempeño de su cargo o con motivo de la ejecución de sus obligaciones contractuales, tenga acceso a información no publicada o de carácter confidencial, sea en forma temporal o accidental, deberá guardar estricta reserva, no pudiendo comunicarla a otros ni valerse de ella para beneficio propio o de terceros.

Esta obligación personal de reserva y confidencialidad de la información incluye el deber de colaboración, adoptando las medidas necesarias para garantizar su seguridad respecto del acceso por parte de subordinados o terceros, impedir su utilización abusiva o desleal y denunciar de inmediato cualquier situación que pudiera hacer presumir la violación de la seguridad de la misma.

La obligación y el deber personal indicados en los párrafos precedentes subsistirán aún después de la desvinculación laboral de la persona, haciéndose responsable esta por los daños y perjuicios que pudiera causar la difusión de información no publicada o confidencial, sin perjuicio de la responsabilidad penal que pudiera caberle.

1.3. Clasificación de la información

A los efectos de esta Política de Seguridad se clasificará la información del Organismo en: pública, reservada de uso interno, reservada confidencial y reservada secreta. Se aplicará, de corresponder, a los datos sensibles las previsiones de la Ley N° 25.326, de Protección de Datos Personales, sus modificatorias y complementarias, o las normas que en el futuro las reemplacen.

Cada Unidad Organizativa del Organismo definirá la calificación de la información de la cual es propietaria de acuerdo a lo expuesto en el párrafo precedente, y adoptará los recaudos necesarios disponiendo el procedimiento que resulte menester para el cumplimiento de la presente política de seguridad, el que deberá ser puesto en conocimiento del Comité de Seguridad para su aprobación.

1.4. Niveles de seguridad de la información

Las medidas de seguridad, técnicas y organizativas que deberán adoptar las distintas gerencias propietarias de la información serán de nivel básico, nivel medio y nivel crítico, según lo dispuesto por la Disposición del Registro de la Dirección Nacional de Protección de Datos Personales N° 11/2006 o la normativa que en el futuro la reemplace.

Cada Unidad Organizativa del Organismo aplicará las medidas de seguridad que corresponda según la calificación que haya realizado de la información que procese y/o gestione, conforme lo indicado en el punto 1.3.

2. Cumplimiento

2.1. Prevención del uso inadecuado de los Recursos de Procesamiento de Información

Los recursos de procesamiento de información del Organismo se suministran con un propósito determinado según el área respectiva. Debe ser considerada como uso indebido toda utilización de los mencionados recursos con propósitos no autorizados o ajenos al destino por el cual fueron provistos.

2.2. Regulación legal del uso de los Recursos del Organismo

En el uso de los recursos del Organismo se debe dar cumplimiento a lo dispuesto por las siguientes normas, y toda otra norma que en el futuro se dicte, las complemente o reemplace:

a) Ley N° 25.164. Ley Marco de Regulación de Empleo Público Nacional. Prohíbe hacer uso indebido o con fines particulares del patrimonio estatal.

b) Decreto N° 214/2006. Convenio Colectivo de Trabajo General para la ADMINISTRACIÓN PÚBLICA NACIONAL. Obliga a los agentes a no hacer uso indebido o con fines particulares del patrimonio estatal.

c) Ley N° 25.188. Ley de Ética en el Ejercicio de la Función Pública. Obliga a las personas que se desempeñen en la función pública a proteger y conservar la propiedad del Estado y solo emplear sus bienes con los fines autorizados.

d) Código de Ética de la Función Pública. Obliga al funcionario público a proteger y conservar los bienes del Estado y utilizar los que le fueran asignados para el desempeño de sus funciones de manera racional, evitando su abuso, derroche o desaprovechamiento.

e) Ley N° 25.326. Ley de Protección de Datos Personales. Obliga al funcionario público a mantener resguardado el dato sensible y no público mientras que este lo tenga bajo su tutela.

El presente listado es meramente enunciativo.

2.3. Derechos de Propiedad Intelectual

El material que posea derechos de propiedad intelectual solo podrá ser utilizado por el personal de la SUPERINTENDENCIA DE SERVICIOS DE SALUD, cualquiera sea su función o categoría laboral, en la forma y condiciones previstas en las leyes que protegen dicha propiedad y/o de acuerdo a la autorización brindada por el titular de dichos derechos.

En el manejo de esos materiales se deberá dar estricto cumplimiento a lo previsto en las normas que a continuación se detallan, y cualquier otra normativa que en el futuro se dicte, complemente o reemplace, la que deberá ser notificada y difundida a todo el personal:

a) Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual (ADPIC).

b) Ley N° 11.723. Ley de Propiedad Intelectual. Protege los derechos de autor de las obras científicas, literarias y artísticas, incluyendo los programas de computación fuente y objeto; las compilaciones de datos o de otros materiales.

c) Ley N° 22.362. Ley de Marcas y Designaciones. Protege la propiedad de una marca y la exclusividad de su uso.

d) Ley N° 24.481. Ley de Patentes de Invención y Modelos de Utilidad. Protege el derecho del titular de la patente de invención a impedir que terceros utilicen su producto o procedimiento.

2.4. Sanciones previstas en caso de Incumplimiento

Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de Seguridad, conforme las normas estatutarias, escalafonarias y convencionales que rigen al personal de la ADMINISTRACIÓN PÚBLICA NACIONAL (cfr. Ley N° 25.164, reglamentarias y concordantes), y en su caso, se realizarán las acciones correspondientes ante el/los organismos pertinentes.

La eventual atribución de responsabilidad administrativa al agente que incurra en los incumplimientos mencionados, no obstará a la atribución de responsabilidad civil o patrimonial -cuando ocasione un daño que deba ser indemnizado- y/o responsabilidad penal -cuando su conducta constituya un delito reprimido por el Código Penal o leyes especiales-.

 

  ANEXO III

POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN

EN FORMATO PAPEL

1. Acceso y almacenamiento de la información papel

1.1. Responsabilidad del Usuario Agente

1.1.1. Pautas de utilización y manipulación del dato papel.

El usuario será responsable de utilizar de manera correcta el “documento papel”. A tal fin, deberán seguir lo establecido en los Manuales de Procedimiento aplicables.

No obstante, en el caso de que los Manuales de Procedimiento nada establezcan al respecto, se deberá seguir los siguientes parámetros:

a. Datos de los Titulares: se aplica la Ley N° 25.326 sobre Protección de Datos Personales.

b. Datos solicitados a través de Oficios Judiciales: Se aplica lo establecido en el Código Procesal Civil y Comercial de la Nación, Parte Especial, Libro Segundo, Título Segundo, Capítulo Quinto, Sección Tercera.

c. Datos solicitados por Terceros No Titulares: la solicitud deberá ser ingresada a través de una nota presentada en Mesa de Entradas. La misma deberá ser escaneada e incorporada al Sistema de Gestión Electrónica (GDE), o el que lo reemplace, y remitida al área pertinente para su tramitación.

1.1.2. Responsabilidad del Usuario Agente en cuanto al uso del documento papel en los escritorios.

El Usuario Agente deberá resguardar los documentos papel que contengan información sobre los beneficiarios, sin importar el tipo o clasificación de los datos contenidos en aquellos.

El Usuario Agente será responsable del cumplimiento de las políticas establecidas en el Anexo II en cuanto al resguardo y utilización del dato según su clasificación.

1.1.3. Transferencia de los datos entre Áreas, Organismos o Terceros.

Para el caso de transferencias de datos entre Áreas, Organismos o Terceros, los Usuarios Agentes deberán seguir lo establecido en los Manuales de Procedimiento aplicables.

No obstante, una vez aprobada la transferencia entre Áreas, Organismos o Terceros externos a la institución, y en el caso de que los Manuales de Procedimiento e Instructivos específicos nada establezcan al respecto, se deberán seguir los siguientes parámetros:

a. Transferencia de documentación original: realizar una copia de resguardo.

b. Transferencia de documentación copia: realizar una copia y dejarlo asentado en el expediente original. Ello deberá realizarse con una nota que establezca: hasta que foja se realizó la copia, a quien va dirigido y firma del responsable del área que realizó la copia.

c. Transferencia de documentación original para archivo: realizar un inventario que consigne el contenido, su origen y destino mediante comunicación oficial.

1.1.4. Eliminación de la documentación papel.

Cabe destacar que existen dos tipos de documentos papel:

a. Documento de trabajo.

b. Documento final.

El procedimiento de destrucción del documento de trabajo deberá garantizar que no puede ser reconstruido.

El documento final será considerado indestructible por el plazo que determine la normativa aplicable en cada caso. Queda estrictamente prohibido eliminar cualquier tipo de documento final por parte del Usuario Agente sin autorización para ello.

1.1.5. Confidencialidad:

Los Usuarios son responsables directos sobre los datos e información que, por motivo de su labor, se encuentran en su poder. A tal fin, deberán firmar una Declaración Jurada de Confidencialidad.

1.2. Responsabilidad del Usuario Autoridad o Superior.

1.2.1. Capacitar y documentar sobre cómo administrar, utilizar, compartir, transferir y almacenar la información de cada área según su tipo.

1.2.2. A los fines del almacenamiento y resguardo de la información contenida en los documentos papel, y la correcta eliminación de los documentos de trabajo, se deberán arbitrar las medidas conducentes para que se equipen las oficinas con las herramientas necesarias y adecuadas.

1.3. Responsabilidad del Agente No Administrativo y Terceros

1.3.1. Cadetes y choferes que manipulan cajas y correspondencias.

Todo el personal no administrativo del Organismo que tenga a cargo el transporte y manipulación, será responsable de resguardar la integridad física y la confidencialidad de los datos y documentación a su cargo.

1.3.2. Personal de empresas de servicios de guarda y almacenamiento de documentación.

El personal de las empresas que eventualmente fueren contratadas por el Organismo para el archivo, guarda o almacenamiento de documentación, será responsable de resguardar la integridad física y la confidencialidad de los datos y documentación a su cargo. Deberán suscribirse contratos a tales efectos.

 

  ANEXO IV

POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN

EN FORMATO ELECTRÓNICO

1. Control de accesos y resguardo de la información

1.1 Responsabilidad de los Usuarios en General.

1.1.1. Uso de Contraseñas:

El Usuario deberá respetar los lineamientos y disposiciones acerca de la Generación y Cambio de Contraseñas consignadas para las distintas plataformas a las cuales deba tener acceso con motivo de sus funciones dentro del Organismo, los cuales serán comunicados de forma fehaciente.

Los Usuarios deberán firmar una Declaración Jurada sobre el Uso de Contraseñas.

1.1.2. Políticas de Espacios Físicos Compartidos y el Resguardo de la Información:

Se adoptará una política de escritorios y pantallas limpias para proteger los datos contenidos en soporte fijo electrónico y dispositivos de almacenamiento removibles en todas aquellas áreas que sean compartidas entre agentes y/o abiertas a la atención al público; a fin de reducir los riesgos de acceso no autorizado, hurto, pérdida y daño de la información, tanto durante el horario normal de trabajo como fuera del mismo.

Se aplicarán los siguientes lineamientos iniciales:

a. Los usuarios deberán bloquear su estación de trabajo cuando se alejen en forma momentánea de la misma.

b. Los usuarios deberán cerrar sesión de su estación de trabajo cuando se retiren provisoriamente de la oficina.

c. Los usuarios deberán apagar su estación de trabajo cuando finalicen su jornada laboral.

d. Los usuarios deberán retirar la información de las impresoras, escáneres y fotocopiadoras al terminar el proceso.

1.1.3. Confidencialidad:

Los Usuarios son responsables directos sobre los datos e información que, por motivo de su labor, se encuentran en su poder. A tal fin, deberán firmar una Declaración Jurada de Confidencialidad.

1.1.4. Intercambio de Información a través de plataformas ajenas a las oficiales:

Queda terminantemente prohibido el intercambio de información a través de plataformas ajenas a las oficiales, sin autorización y justificación previa.

1.1.5. Almacenamiento de datos fuera de los circuitos aprobados por el Organismo:

Los Usuarios velarán en todo momento por el resguardo del dato digital. Queda estrictamente prohibida la utilización de herramientas de almacenamiento en línea o en plataformas ajenas a las oficiales, sin autorización y justificación previa.

1.1.6. Datos intercambiados con otros organismos:

Todos los datos que se deban intercambiar con otros organismos deberán contar con un mecanismo de aprobación para su traslado o envío, generado por la autoridad del área y la Gerencia de Sistemas de la Información.

1.1.7. Acceso físico a los equipos con información reservada.

Todos los equipos de los Usuarios que pudieran contener información calificada como reservada, deberán estar en una oficina con llave o contar con un mecanismo de encriptación de su disco rígido para evitar que personas no autorizadas puedan obtener acceso a los datos alojados en él.

1.1.8. Uso de las herramientas otorgadas por el Organismo.

El usuario será responsable de cumplir con las metodologías impartidas por las áreas correspondientes con relación a la correcta utilización de las herramientas otorgadas por el Organismo, ya sean físicas o software:

a) Físicas: Celulares, Notebooks y Tablets, etc.

b) Software: Licencias de aplicaciones pagas como productos Adobe, Office, etc.

Los Usuarios deberán firmar una Declaración Jurada de Uso de Herramientas del Organismo.

2. Responsabilidad de la Gerencia de Sistemas de Información

Es responsabilidad de la Gerencia de Sistemas de Información:

a. Auditar la seguridad de las plataformas a través de la Coordinación de Seguridad Informática y Telecomunicaciones.

b. Generar y aprobar los procedimientos para el resguardo de la información, a través del área de Infraestructura.

c. Generar y aprobar los procedimientos para el acceso restringido de la información, a través del área de Infraestructura.

d. Aprobar las medidas de seguridad para las plataformas ajenas al Organismo, cuando las mismas no son generadas por la Gerencia de Sistemas de la Información.

e. Generar y hacer firmar las Declaraciones Juradas en cuanto al acceso de terceros a plataformas, servidores y sistemas o equipos que posean información restringida.

f. Capacitar a los usuarios en el uso de las diversas plataformas para evitar extravíos o corrupción en los datos almacenados. Las capacitaciones deberán contener aspectos informáticos, jurídicos y laborales.

g. Eliminar en forma definitiva los datos electrónicos que deban ser descartados por aplicación de normativa específica o decisión de autoridad competente.

3. Responsabilidad de otros organismos y proveedores

3.1. Cumplimiento por parte de terceros de todas las políticas de seguridad de la información y mantenimiento de las plataformas.

Cuando se utilicen sistemas que no sean de propiedad del Organismo, el área deberá encargarse de hacer cumplir las políticas de seguridad para el almacenamiento, seguridad y acceso a la información contenida en esas plataformas, con la asistencia y coordinación de la Gerencia de Sistemas de Información.

3.2. Seguro de fiabilidad de la plataforma.

Todas las plataformas que se desarrollen o utilicen y que no fueran generadas por el propio Organismo deberán de contener un seguro de garantía, según corresponda.

 

  ANEXO V

POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN

EN EL SITIO WEB DE LA SUPERINTENDENCIA DE SERVICIOS DE SALUD

La presente explicación de los procedimientos de uso del Sitio Web de la SUPERINTENDENCIA DE SERVICIOS DE SALUD fija los términos y condiciones de uso y las políticas de privacidad de la información que se brinda vía Internet a las instituciones usuarias que lo requieran y que previamente se registren.

La SUPERINTENDENCIA DE SERVICIOS DE SALUD podrá modificar total o parcialmente estas condiciones en cualquier momento, sin necesidad de aviso previo, por lo que se recomienda leer atentamente las mismas de forma periódica para mantenerse actualizado sobre los cambios que pudieran sufrir.

1. Derechos reservados

SSSalud.gob.ar es un dominio web registrado en NIC Argentina por la SUPERINTENDENCIA DE SERVICIOS DE SALUD. Su contenido y software se encuentran protegidos mediante los derechos de propiedad intelectual.

2. Términos y condiciones del servicio

Los términos y condiciones de uso del servicio del Sitio Web constituyen el único acuerdo entre la institución usuaria y la SUPERINTENDENCIA DE SERVICIOS DE SALUD para tal fin, y reglamentan su utilización.

3. Obligaciones de la institución usuaria

Como condición esencial para acceder a los servicios, la institución usuaria se obliga a:

a) Tomar conocimiento y aceptar en forma total los términos y condiciones en la versión publicada en la página web, sin reservas ni condicionamiento alguno.

b) Proveer información veraz, actual y completa acerca de la institución, del modo requerido en los diferentes formularios de registro de usuario, los cuales quedarán en poder de la SUPERINTENDENCIA DE SERVICIOS DE SALUD.

c) Mantener y actualizar en todo momento los datos del registro de usuarios a fin de conservarlos veraces, actuales y completos.

d) Se compromete a usar el servicio solo para beneficio específico de la institución, debiendo ejercer el debido control y supervisión sobre su adecuada utilización y el tratamiento confidencial de la información a la que se acceda.

4. Cuenta de la institución usuaria, contraseña y seguridad.

Luego de completado el proceso de inscripción en el registro de usuarios, la Gerencia de Sistemas de Información de la SUPERINTENDENCIA DE SERVICIOS DE SALUD asignará a la institución una cuenta y contraseña, respecto de la cual la institución asume la responsabilidad de mantener su confidencialidad, siendo también responsable único y absoluto por todas las actividades que se desarrollen desde su cuenta y bajo su contraseña.

En virtud de ello la institución usuaria se compromete a:

a) Notificar en forma inmediata a la SUPERINTENDENCIA DE SERVICIOS DE SALUD cualquier uso no autorizado de su cuenta y/o contraseña o de cualquier otra falla de seguridad o irregularidad que detecte.

b) Asegurar que su cuenta sea debidamente cerrada al final de cada sesión.

La SUPERINTENDENCIA DE SERVICIOS DE SALUD no será responsable por ninguna pérdida o daño que resulte como consecuencia del incumplimiento de las disposiciones de este artículo.

5. Responsabilidades de la institución usuaria

En el caso de detectarse algún tipo de irregularidad respecto de las obligaciones de confidencialidad o violación de los Términos y Condiciones, la SUPERINTENDENCIA DE SERVICIOS DE SALUD dará de baja en forma inmediata la habilitación otorgada para el uso del servicio.

La institución usuaria será la única responsable ante la SUPERINTENDENCIA DE SERVICIOS DE SALUD y eventuales terceros damnificados por las consecuencias o perjuicios acaecidos por la manipulación irregular y/o uso indebido de la información obtenida a través de este servicio.

6. Exclusión de garantías.

La institución usuaria acepta y acuerda que conoce la existencia de riesgos inherentes a la utilización de medios tecnológicos, acceso y visitas a sitios web y/o al uso de la información que proveen los mismos; por lo que la SUPERINTENDENCIA DE SERVICIOS DE SALUD no asume ninguna responsabilidad derivada de los daños y/o perjuicios que aquella -o eventuales terceros- pudieran sufrir con motivo del acceso o la utilización de los servicios que se brindan a través del sitio web www.sssalud.gob.ar.

La limitación de la responsabilidad del Organismo incluye la reserva de denegar, retirar el acceso o desconectar a la entidad usuaria -en cualquier momento y sin aviso previo- en caso de que se detecte un defecto de transmisión, acceso no autorizado, fallas de tipo técnico, inconvenientes telefónicos u otros problemas de interconexión que, a criterio del área técnica de esta SUPERINTENDENCIA DE SERVICIOS DE SALUD, pudiera vulnerar o comprometer el servicio que brinda el sitio.

7. Información general

La SUPERINTENDENCIA DE SERVICIOS DE SALUD no garantiza, expresa o implícitamente, que la información que pueda ser obtenida a través del uso del servicio sea correcta, confiable, completa o no pueda contener errores. Por lo tanto, en caso de duda o discrepancias sobre la información proporcionada por este servicio, deberá dirigirse a las áreas correspondientes del Organismo por los diferentes canales de comunicación disponibles para el público.

La SUPERINTENDENCIA DE SERVICIOS DE SALUD deberá informar a las instituciones usuarias las condiciones de uso general del Sitio Web. Por su parte, las instituciones usuarias deberán prestar conformidad con las mismas en todos sus términos (sin reservas), comprometiéndose y garantizando el no uso del Sitio Web para fines ilegales, no autorizados y/o que desvirtúen los enunciados de las presentes condiciones.