Puede realizar búsquedas exactas dentro de este documento, ingrese el texto a buscar en la siguiente casilla:
RESOLUCIÓN ORGANIZACIONAL OGZ-0811-2022 DE 2022
(agosto 12)
Diario Oficial No. 52.128 de 16 de agosto de 2022
CONTRALORÍA GENERAL DE LA REPÚBLICA
Por la cual se modifica la Resolución Organizacional OGZ-0531-2016, en lo relativo a la definición del Sistema de Gestión de Seguridad y la adopción de las políticas de seguridad de personas, bienes e información, y la política de tratamiento de datos personales.
EL CONTRALOR GENERAL DE LA REPÚBLICA,
en ejercicio de sus facultades constitucionales y legales, y
CONSIDERANDO:
Que el artículo 119 de la Constitución Política preceptúa que la Contraloría General de la República, como órgano de control, tiene a su cargo la vigilancia de la gestión fiscal y el control de resultado de la administración.
Que el artículo 267 de la Constitución Política, modificado por el artículo 1 del Acto Legislativo 04 de 2019, determina que la vigilancia y el control fiscal son una función pública que ejercerá la Contraloría General de la República, la cual vigila la gestión fiscal de la administración y de los particulares o entidades que manejen fondos o bienes públicos, en todos los niveles administrativos y respecto de todo tipo de recursos públicos. La vigilancia de la gestión fiscal del Estado incluye el seguimiento permanente al recurso público, sin oponibilidad de reserva legal para el acceso a la información por parte de los órganos de control fiscal.
Que la Ley 1581 de 2012 tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política. Así mismo, el artículo 6, literal e), y el artículo 10, literal a), de la ley, exceptúan la prohibición de tratamiento de datos sensibles cuando este tenga una finalidad histórica, estadística o científica, a condición de que se adopten las medidas conducentes a la supresión de identidad de los titulares, y que la autorización del titular no será necesaria cuando se trate de información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o cuando los datos sean de naturaleza pública. Existe, por lo tanto, la posibilidad de acceso a esa información, que reitera el artículo 13, literal b), de la misma norma.
Que los artículos 26 y 27 del Decreto número 1377 de 2013 indican que los responsables del tratamiento de datos personales deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y sus normas reglamentarias, las cuales deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio.
Que el artículo 136 de la Ley 1955 de 2019 dispuso que la Contraloría General de la República, para el cumplimiento de sus funciones, tendrá acceso sin restricciones a los sistemas de Información o bases de datos de las entidades públicas y privadas que dispongan o administren recursos y/o ejerzan funciones públicas. Para ello, la reserva legal de información o documentos no le será oponible y se entenderá extendida, exclusivamente, para su uso en el marco de sus funciones constitucionales y legales. Cada entidad deberá disponer de lo necesario para garantizar el suministro oportuno y en tiempo real de la información requerida por la Contraloría General de la República.
Que por mandato del artículo 3, literal k), del Decreto número 403 de 2020, la inoponibilidad en el acceso a la información es un principio de la vigilancia y control fiscal, en virtud del cual “(...) los órganos de control fiscal podrán requerir, conocer y examinar, de manera gratuita, todos los datos e información sobre la gestión fiscal de entidades públicas o privadas, exclusivamente para el ejercicio de sus funciones sin que le sea oponible reserva alguna”.
Que, según lo dispuesto en el artículo 90 del Decreto número 403 de 2020, “(...) el acceso a los sistemas de información o bases de datos de las entidades públicas y privadas que dispongan o administren recursos y/o ejerzan funciones públicas, por parte de la Contraloría General de la República y demás órganos de control fiscal, no podrá impedirse o limitarse con el argumento del carácter reservado o clasificado de la información. Los funcionarios de los órganos de control fiscal estarán obligados a guardar la reserva y la confidencialidad de la información que tenga dicho carácter, en los términos de las Leyes 1712 de 2014 y 1581 de 2012 y las normas que las modifiquen, adicionen o sustituyan”.
Que la finalidad del acceso, por parte de la Contraloría General de la República, a los sistemas de información o bases de datos de las entidades públicas y de las entidades privadas que dispongan o administren recursos y/o ejerzan funciones públicas, en los cuales pueden existir datos personales, es exclusivamente para utilizar la información en los fines y propósitos de la vigilancia y control fiscal, por disposición del artículo 89 del Decreto número 403 de 2020.
Que, de acuerdo con lo establecido por el artículo 128, inciso 5o, de la Ley 1474 de 2011, es función de la Unidad de Seguridad y Aseguramiento Tecnológico e Informático prestar apoyo profesional y técnico para la formulación y ejecución de las políticas y programas de seguridad de los servidores públicos, de los bienes y de la información de la entidad y promover la celebración de convenios con entidades u organismos nacionales e internacionales para garantizar la protección de las personas al servicio de la Contraloría General de la República.
Que el parágrafo 1o del artículo 1o del Decreto número 2037 de 2019 prescribe que la Unidad de Seguridad y Aseguramiento Tecnológico e Informático cumplirá las finalidades y funciones señaladas en el artículo 128 de la Ley 1474 de 2011 y los lineamientos que expida el Contralor General de la República para el desarrollo de las mismas.
Que el numeral 4 del artículo 35 del Decreto número 267 de 2000 establece como función del Contralor General de la República la de dirigir como autoridad superior las labores administrativas y de vigilancia fiscal de las diferentes dependencias de la Contraloría General de la República, en concordancia con la autonomía administrativa que le atribuye a la Entidad el artículo 6o ibídem.
Que la Contraloría General de la República se propuso en el Plan Estratégico 2018- 2022 “Una Contraloría para todos”, en el Objetivo Estratégico 1, satisfacer la necesidad de “fortalecer la gobernanza interna a través de las interacciones y acuerdos entre el control fiscal macro y micro en el nivel central y regional, para hacer más efectivo el control fiscal, la vigilancia y control del recurso público”, a través de estrategias como las de “optimizar el uso de la información macroeconómica, sectorial y micro para dar contexto al control fiscal micro y macro”, de cuya ejecución se espera obtener como productos una “herramienta tecnológica única como repositorio y gestor de información, que permita capturar, organizar y tabular información micro y macro para la toma de decisión” oportuna e “implementar el gobierno de datos y datos abiertos en la CGR”.
Que, en el Objetivo Estratégico 2, en procura de “vigilar la gestión fiscal con un control efectivo y articulado entre los macro procesos misionales”, se propone “emitir alertas tempranas sobre la gestión fiscal con base en el análisis de la información que genera el centro de control y monitoreo del recurso público” (hoy Dirección de Información, Análisis y Reacción Inmediata (DIARI)).
Por su parte, en el Objetivo Estratégico 5, se propone “habilitar las capacidades y servicios tecnológicos para impulsar la transformación digital de la entidad por medio de la práctica de arquitectura empresarial”, lo cual se pretende obtener con la estrategia de “implementar soluciones tecnológicas que permitan la interoperabilidad, el intercambio de información en tiempo real y de forma segura, en toda la organización y con sus socios estratégicos”; al tiempo que se busca “integrar los diferentes sistemas de información para facilitar la optimización de los procesos, la adaptación de los cambios y el suministro de información de manera oportuna”.
Que el Jefe de la Unidad de Seguridad y Aseguramiento Tecnológico e Informático (USATI) colidera el macroproceso Gestión del Riesgo, Seguridad y Continuidad del Negocio (RSC), que tiene por objetivo gestionar riesgos, seguridad de personas, bienes e información, crisis, continuidad y emergencias, para reducir la exposición o vulnerabilidad de la Entidad frente a los eventos que puedan afectar el logro de sus objetivos; así mismo, dicha Unidad tiene a su cargo el Sistema de Gestión de Seguridad, creado por la Resolución Organizacional OGZ- 0531-2016, que entre otros, tiene por objeto la generación de las políticas relativas a la seguridad de personas, bienes e información.
Que es función del Comité de Seguridad, como instancia directiva del Sistema de Gestión de Seguridad, determinar la pertinencia de las políticas y programas de seguridad y, de ser procedente, recomendar su adopción por parte del Contralor General de la República, según lo establece el artículo 4o, ordinal 1, de la Resolución Organizacional OGZ-0758-2020; disposición que modificó al artículo 4o de la Resolución Organizacional OGZ-0531-2016.
Que, por Resolución Organizacional OGZ-0765-2020, se designó a la Unidad de Seguridad y Aseguramiento Tecnológico e Informático como Oficial de Protección de Datos Personales en la Contraloría General de la República y se fijaron sus funciones en esa materia.
Que es necesario actualizar la política general de seguridad, la política de seguridad y privacidad de la información, y la política de tratamiento de datos personales, que fueron adoptadas por el artículo 7o de la Resolución Organizacional OGZ-0531-2016.
Que la Oficina de Planeación validó en el contexto del Sistema de Gestión y Control Interno de la CGR - SIGECI las propuestas de “políticas de seguridad de personas, bienes e información” y “política de tratamiento de datos personales”, elaboradas por la USATI, en cumplimiento de la Resolución Organizacional número OGZ-0727 de 2019 que reglamenta el SIGECI y en el procedimiento aplicable para el efecto.
Que el Comité de Seguridad de la CGR, en su sesión del 29 de junio de 2022, para contribuir al fortalecimiento del Sistema de Gestión de Seguridad de la Entidad, aprobó las propuestas de “políticas de seguridad de personas, bienes e información” y “política de tratamiento de datos personales”, sometidas a su consideración por el Jefe de la USATI.
Que, en atención a la precitada aprobación por parte del Comité de Seguridad de la CGR, es necesario realizar las modificaciones pertinentes en los artículos 1o y 7o de la Resolución Organizacional OGZ-0531-2016.
En mérito de lo expuesto,
RESUELVE:
ARTÍCULO 1o. Modificar el artículo 1o de la Resolución Organizacional OGZ-0531-2016, el cual quedará así:
Artículo 1o. Del sistema de gestión de seguridad. Créase el Sistema de Gestión de Seguridad, a través del cual se administrará y publicará la documentación, con carácter público, relativa a la seguridad de personas, bienes e información, conformada por políticas, normas, guías, instructivos, formatos, listas de chequeo y todos los demás que sean pertinentes.
PARÁGRAFO. La dirección y coordinación de la implementación del Sistema de Gestión de Seguridad estará a cargo de la Unidad de Seguridad y Aseguramiento Tecnológico e Informático.
ARTÍCULO 2o. Modificar el artículo 7o de la Resolución Organizacional OGZ-0531-2016, el cual quedará así:
Artículo 7o. Adopción de políticas para la operación del sistema de seguridad. Adoptar las “políticas de seguridad de personas, bienes e información” y la “política de tratamiento de datos personales”, las cuales corresponden a los dos (2) anexos de la presente resolución y forman parte integral de la misma.
PARÁGRAFO 1o. Para su divulgación y consulta, publicar en el aplicativo SIGECI o el que haga sus veces las “políticas de seguridad de personas, bienes e información” y la “política de tratamiento de datos personales” y gestionar, por parte del Jefe de la USATI, su actualización, cuando se requiera, de conformidad con lo establecido en la Resolución Organizacional número OGZ- 0727 de 2019 que reglamenta el SIGECI y en el procedimiento aplicable para el efecto.
PARÁGRAFO 2o. Derogar los siguientes documentos publicados en la intranet de la Entidad, en el micrositio USATI: Libro de políticas de seguridad; Política General de Seguridad, identificada con Código SGS-PO-001, versión 1.0 y demás políticas previamente aprobadas; la Política de Seguridad y Privacidad de la Información, identificada con Código SGS-I-A5- PO-001, versión 1.0; y la Política de Tratamiento de Datos Personales, identificada con Código SGS-I-A18-PO-001, versión 2.0.
ARTÍCULO 3o. Las demás disposiciones contenidas en la Resolución Organizacional OGZ- 0531- 2016 continúan vigentes y sin modificaciones.
ARTÍCULO 4o. La presente resolución rige a partir de la fecha de su publicación.
Comuníquese, publíquese y cúmplase.
Dada en Bogotá, D. C., a 12 de agosto de 2022.
El Contralor General de la República,
Carlos Felipe Córdoba Larrarte
<Anexos a continuación no publicados en el Diario Oficial. Descargados de la página web de la entidad>
POLÍTICAS DE SEGURIDAD DE PERSONAS, BIENES E INFORMACIÓN.
<Consultar anexo original directamente en el siguiente enlace:
http://168.61.69.177/documentospdf/PDF/R_CGR_OGZ0811_2022-ANEXO_1.pdf
POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES.
<Consultar anexo original directamente en el siguiente enlace:
http://168.61.69.177/documentospdf/PDF/R_CGR_OGZ0811_2022-ANEXO_2.pdf