RÉGIMEN LEGAL DE BOGOTÁ D.C.

© Propiedad de la Secretaría Jurídica Distrital de la Alcaldía Mayor de Bogotá D.C.

Secretaría
Jurídica Distrital

Cargando el Contenido del Documento
Por favor espere...

Acuerdo 002 de 2023 Alcaldía Mayor de Bogotá, D.C. - Comisión Distrital de Transformación Digital

Fecha de Expedición:
22/12/2023
Fecha de Entrada en Vigencia:
30/12/2023
Medio de Publicación:
Registro Distrital No. 7898 del 29 de diciembre de 2023.
Temas Anexos
La Secretaría Jurídica Distrital aclara que la información aquí contenida tiene exclusivamente carácter informativo, su vigencia está sujeta al análisis y competencias que determine la Ley o los reglamentos. Los contenidos están en permanente actualización.


 
 

ACUERDO 002 DE 2023

 

(Diciembre 22)

 

Por el cual se adopta el lineamiento para el desarrollo de evaluaciones de impacto a la privacidad

 

LA COMISIÓN DISTRITAL DE TRANSFORMACIÓN DIGITAL

 

En ejercicio de sus facultades legales, en especial de las conferidas en el artículo 57 del Acuerdo Distrital 761 de 2020, y en el artículo 5 del Decreto Distrital 025 de 2021, y

 

CONSIDERANDO:

 

Que conforme a lo definido en el Numeral 1 del artículo 5 del Decreto Distrital 025 de 2021 "Por medio del cual se reglamenta la Comisión Distrital de Transformación Digital corresponde a esta instancia “generar los estudios, informes o investigaciones, lineamientos en materia de transformación digital para el Distrito, en concordancia con los estándares que defina el Ministerio de Tecnologías de la Información y las Comunicaciones”.

 

Que el artículo 8 del mencionado Decreto señala “los lineamientos o instrucciones que imparta la Comisión Distrital de Transformación Digital en materia de transformación digital serán aplicables a todas las entidades y organismos del Distrito Capital”.

 

Que el artículo 5 Acuerdo Distrital 822 de 2021 “Por medio del cual se dictan los lineamientos para la promoción del ciclo virtuoso de la seguridad, el uso y aprovechamiento de los datos en Bogotá” establece que “la Alta Consejería Distrital de Tecnologías, de Información y Comunicaciones - TIC, a través de la Comisión Distrital de Transformación Digital, y con la participación de la Agencia Analítica de Datos- Ágata, orientará a todas las entidades del Distrito en la elaboración de programas integrales de gestión de datos personales, de conformidad con las necesidades y capacidades de cada una de ellas, con el propósito de que se implementen los controles necesarios para el tratamiento de la información personal, se administren los riesgos relativos a recolección y utilización de los datos se armonicen entre sí las prácticas relativas al tratamiento de datos en Distrito Capital y sus instituciones”.

 

Que el artículo 7 del Acuerdo 822 de 2021 establece que la Administración Distrital, en cabeza de la Agencia Analítica de Datos - Ágata, y con el apoyo de la Comisión de Transformación Digital del Distrito Capital, impartirá instrucciones a todas las entidades distritales con el fin de que estas, de conformidad con sus necesidades y capacidades, realicen anualmente y con corte a 31 de diciembre, evaluaciones de seguridad y de privacidad de la información antes de la recolección de los datos, durante su administración y posterior a su uso, proponiendo estrategias para reducir los impactos negativos e informando a los ciudadanos de las mismas oportunamente.

 

Que los artículos 31 y 32 del Decreto Distrital 575 de 2023 Por medio del cual se definen los componentes de la Infraestructura de Datos y se establece el modelo de gobernanza correspondiente en el Distrito Capital, señala que las entidades del Distrito están obligadas a realizar Evaluaciones de Impacto de Privacidad (PIA, por sus siglas en inglés), antes de efectuarla recolección de datos personales, durante su administración y, posterior a su uso, de conformidad con lo estipulado en el Acuerdo Distrital 822 de 2021.

 

En mérito de lo expuesto, los miembros de la Comisión Distrital de Transformación Digital,

 

ACUERDAN:

 

CAPÍTULO I

 

DISPOSICIONES GENERALES

 

Artículo 1. Objeto. Definir los lineamientos para el desarrollo de las evaluaciones que permitan medir el impacto de privacidad y emplear sistemas de seguridad digital para una protección adecuada de los datos personales en el Distrito Capital.

 

Artículo 2. Ámbito de aplicación. Son sujetos obligados del presente acuerdo las entidades del sector central, descentralizado y las localidades del Distrito Capital, correspondientes a los sectores administrativos y sus entidades adscritas y vinculadas y los particulares que ejerzan funciones públicas dentro de la Administración Distrital.

 

Artículo 3. Definiciones Generales. Para la implementación de este lineamiento se tendrán en cuenta las definiciones dadas por la Superintendencia de Industria y Comercio en sus Guías para la implementación del principio de responsabilidad demostrada (Accountability) – SIC y sobre el tratamiento de datos personales en las entidades estatales, principalmente las relacionadas con:

 

Responsabilidad demostrada: Deber que obliga al responsable y/o encargado del tratamiento de datos personales a demostrar, a petición de la Superintendencia de Industria y Comercio-SIC, haber implementado medidas apropiadas y efectivas para cumplir con las obligaciones del régimen de protección de datos personales.

 

Responsabilidad reforzada: Responsabilidad mayor en la protección de los datos, que implica la aplicación de medidas de alto nivel de seguridad, mayores restricciones de acceso uso y circulación de los datos.

 

Privacidad desde el diseño: Implica incorporar la privacidad de la información como eje central de los procesos de diseño, operación y gestión de soluciones o herramientas tecnológicas para lograr una protección adecuada en materia de datos personales.

 

Privacidad por defecto: Implica el uso de mecanismos que garanticen que se traten únicamente lo datos que sean necesarios, adecuados y pertinentes para los fines del tratamiento y se garantice que la extensión de dicho tratamiento sea la estrictamente necesaria, al igual que el tiempo o periodo de conservación de los datos debe estar justificado objetivamente en la finalidad del tratamiento.

 

Soluciones tecnológicas: Comprende, pero sin limitarse, software de todo tipo, aplicaciones, portales web, formularios de inscripción o registro, plataformas, aplicaciones móviles y en general cualquier solución diseñada, licenciada, adquirida, utilizada para la prestación de servicios o el cumplimiento de fines institucionales.

 

CAPÍTULO Il

 

EVALUACIÓN DE IMPACTO DE PRIVACIDAD

 

Artículo 4.- Condiciones generales para la evaluación de impacto de privacidad. Las entidades distritales que sean responsables de soluciones tecnológicas que realicen el tratamiento de datos personales para la prestación de sus servicios o el cumplimiento de sus funciones deben contar con:

 

- Una estrategia metodológica de aplicación de la política y objetivos de la gestión de riesgos de seguridad digital y de privacidad de la información.

 

- Una estrategia de gestión integral de tratamiento de datos personales que responda a los ciclos internos de la administración de la información en las entidades distritales.


- Una identificación de soluciones tecnológicas que apoyen actividades en donde se adelante el tratamiento de datos personales.

 

Artículo 5.- Elementos para la evaluación de impacto de privacidad. Previo al lanzamiento y/o puesta en producción de soluciones tecnológicas con las cuales se adelante tratamiento de datos personales para la prestación de sus servicios o el cumplimiento de sus funciones las entidades distritales mencionadas en el ámbito de aplicación deben realizar la evaluación del impacto de privacidad, teniendo en cuenta como mínimo los siguientes pasos:

 

- Establecer una metodología que permita recoger la autorización de los titulares de los datos personales.

 

- Analizar la necesidad de implementar medidas de encriptación de la información para evitar que esta quede expuesta a consulta pública.

 

- Elaborar e incluir avisos de privacidad que contenga el lenguaje mínimo señalado en la Ley 1581 de 2012 y el Decreto 1377 de 2013.

 

- Verificar que el tratamiento que se vaya a dar a los datos personales se encuentre alineado con la política de tratamiento de datos personales de la entidad.

 

- Definir una matriz que permita identificar los datos y el componente de la aplicación o del sistema de información en donde se dará su recolección y posterior almacenamiento.

 

- Realizar una descripción detallada y un análisis de las operaciones de tratamiento de datos personales y de los fines del tratamiento.

 

- Hacer una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.

 

- Implementar medidas de privacidad por diseño y por defecto.

 

- Hacer una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales.

 

Artículo 6.- Validaciones previas a la salida a producción. Previo a la salida a producción de las soluciones tecnológicas, como medidas de seguridad de la información, prevención de perdida de datos y continuidad de negocio, las entidades distritales deben asegurarse de seguir los siguientes pasos:

 

1. Habilitar el monitoreo de los componentes del sistema en tiempo real para identificar fallas o sobrecargas en procesador, procesos y memoria, entre otros.

 

2. Habilitar el monitoreo constante de la red de área local LAN y la red de área extendida WAN, en caso de tener que utilizar infraestructura local.

 

3. Habilitar el monitoreo de los sistemas de suministro de energía eléctrica y del sistema de aire acondicionado en los Centros de Datos, en caso de utilizar infraestructura local.

 

4. Contar con monitoreo de balanceadores de carga y sistemas auto escalables para permitir crecer hasta por lo menos el doble de la estimación que realice la entidad.

 

5. Habilitar alta disponibilidad en aquellos componentes que sean críticos y sean un único punto de fallo.

 

6. Realizar pruebas de carga de las funcionalidades críticas antes de salir a producción.

 

7. Realizar pruebas unitarias automatizadas de los componentes de la solución.

 

8. Establecer el Plan de Recuperación de Desastres de los sistemas anteriormente mencionados.

 

9. Establecer un Plan de Continuidad del Negocio.

 

Si la entidad cuenta con soporte de la infraestructura, de conformidad con los recursos disponibles, activar soporte Premium con los proveedores.

 

Artículo 7.- Mecanismos de seguridad para protección de datos personales. Durante todo el tiempo que se traten datos personales privados, semiprivados y sensibles, las Entidades Distritales deben tener en cuenta, como mínimo, los siguientes mecanismos, para asegurar la correcta prestación de los servicios hacia los usuarios de las entidades y para permitir la detección y recuperación ante posibles fallas de los sistemas garantizando el debido tratamiento de los datos personales recolectados, almacenados, usados y circulados:


1. Contar con medidas apropiadas, efectivas y verificables de seguridad digital que le permitan demostrar el correcto cumplimiento de las buenas prácticas consignadas en el modelo de seguridad y privacidad de la información emitido por el Ministerio de Tecnologías de la Información y las Comunicaciones, o un sistema de gestión de

seguridad de la información certificable.

 

2. Establecer controles de seguridad y privacidad de la información que permita adoptar medidas preventivas de diversa naturaleza (tecnológica, organizacional, humana, procedimental, entre otras), con el objeto de evitar indebidos tratamientos de datos personales o fallas de seguridad de información, que permitan entre otras garantizar la confidencialidad, integridad y disponibilidad de la información, a través de:

 

- Controles efectivos de acceso, uso y disposición.

 

- Controles de autenticidad, integridad y disponibilidad de la información.

 

- Garantía de continuidad del negocio.

 

3. Verificar que se encuentren implementados procesos, mecanismos, herramientas y controles técnicos o de cualquier otra naturaleza que sean pertinentes, efectivos y útiles para brindar un consentimiento o acceso restringido sólo a los titulares de los datos personales o terceros autorizados conforme a lo señalado en la Ley 1581 de 2012.

 

4. Adoptar protocolos de respuesta en el manejo de incidentes de seguridad digital que afecten la protección de los datos.

 

5. Controlar y actualizar el inventario de información personal continuamente para identificar y evaluar nuevas recolecciones, usos y divulgaciones.

 

Artículo 8.- Responsables de la evaluación de impacto de privacidad. Los responsables del tratamiento de datos en la entidad, con el apoyo del Oficial de Protección de Datos o quien haga sus veces, de conformidad con lo establecido en el artículo 12 del Acuerdo Distrital 822 de 2021, serán los encargados de realizar y documentar las evaluaciones de impacto de privacidad, en coordinación con las oficinas de tecnología, de seguridad de la información y el líder de seguridad, o quien haga sus veces.

 

CAPÍTULO III

 

ACOMPAÑAMIENTO

 

Artículo 9.- Acompañamiento para evaluación de impacto de privacidad. Con el fin de apoyar la implementación efectiva de los lineamientos anteriormente descritos, principalmente cuando se pretenda desarrollar soluciones tecnológicas que impliquen el tratamiento de datos personales privados, semiprivados o sensibles, las entidades distritales podrán solicitar acompañamiento y orientación a la oficina de la Alta Consejería Distrital de TIC de la Secretaría General de la Alcaldía Mayor de Bogotá D.C., o quien haga sus veces.

 

Artículo 10. Comunicación. Comunicar el presente acuerdo a todas las entidades y organismos distritales, a través de la Subdirección de Servicios Administrativos de la Secretaría General de la Alcaldía Mayor de Bogotá, D.C.

 

Artículo 11. Vigencia. El presente acuerdo de la Comisión Distrital de Transformación Digital rige a partir del día siguiente a su publicación y deroga las disposiciones que le sean contrarias.

 

PUBLÍQUESE Y CÚMPLASE.

 

Dada en Bogotá, D.C., a los 22 días del mes de diciembre de 2023.

 

MARÍA CLEMENCIA PÉREZ URIBE

 

Presidente

 

IVÁN MAURICIO DURÁN PABÓN

 

Secretario Técnico.

 

Nota: Ver norma original en Anexos.