RESOLUCION 952/2008. ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL. Política de inercambio electrónico de información.

Bs. As., 22/12/2008

VISTO el Expediente Nº 024-99-81135747-9-790 del Registro de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), las Leyes Nº 24.241, Nº 25.326 y Nº 25.506, sus respectivas disposiciones reglamentarias, el Decreto Nº 378 del 27 de abril de 2005, la Decisión Administrativa Nº 669 del 20 de diciembre de 2004, la Disposición Nº 7 del 8 de noviembre de 2005 de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, la Disposición Nº 7 del 22 de agosto de 2008 de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, la Resolución SGP Nº 45 del 24 de junio de 2005 de la SUBSECRETARIA DE LA GESTION PUBLICA, la Disposición ONTI Nº 06 del 3 de agosto de 2005 de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION, la Resolución SIGEN Nº 48/05 del 5 de mayo de 2005 DE LA SINDICATURA GENERAL DE LA NACION, las Resoluciones ANSES D.E. – N Nº 262 del 30 de agosto de 1999, D.E. – N Nº 366 del 6 de abril de 2004, D.E. – N Nº 1173 del 15 de noviembre de 2004, D.E. – N Nº 1133 del 24 de noviembre de 2005, D.E. – N Nº 1022 del 11 de diciembre de 2006 y D.E.- N Nº 742 del 27 de noviembre de 2007, y,

CONSIDERANDO:

Que por el expediente mencionado en el Visto tramita la definición de la Política de Intercambio de información entre entidades externas y esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES).

Que esta ADMINISTRACION NACIONAL DE SEGURIDAD SOCIAL (ANSES) en cumplimiento de las funciones asignadas por la Ley 24.241, entre otras, genera, administra, modifica, y suministra información a terceros requirentes, respecto a la información contenida en las Bases de Datos, de la cual se sirve para los fines que le son propios.

Que en ejercicio de su competencia, recibe de los propios beneficiarios del Sistema Integrado de Jubilaciones y Pensiones, o de cualquier otro interesado, solicitudes de información o peticiones para acceder a las Bases de Datos de los más diversos órdenes.

Que a partir de la entrada en vigencia de la Ley Nº 25.326, corresponde ajustar el suministro de los datos contenidos en las Bases de Datos de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD (ANSES), a los términos y condiciones fijados en la misma.

Que la mencionada Ley Nº 25.326 se refiere a la protección de los Datos Personales de usuarios y responsables de archivos y bancos de datos, afianzando y consolidando un derecho ya consagrado por la última reforma constitucional.

Que la manda legal define como Datos Personales a la "Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables".

Que el segundo párrafo del artículo 4º del Anexo I del Decreto Nº 1558/2001 reglamentario de la Ley Nº 25.326, expresa que cuando la obtención o recolección de los datos personales fuese lograda por interconexión o tratamiento de archivos, registros, bases o bancos de datos, se deberá analizar la fuente de información y el destino previsto por el responsable o usuario para los datos personales obtenidos.

Que el artículo 5º de la Ley Nº 25.326 indica expresamente que el tratamiento de Datos Personales es ilícito, cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, y por escrito.

Que del referido artículo 5º inc. 2º, también se desprende cuándo no será necesario el consentimiento, detallando expresamente qué datos pueden conferirse.

Que el Decreto Nº 1558/2001 al reglamentar el artículo 5º de la Ley Nº 25.326 dispone que el consentimiento dado para el tratamiento de datos personales, puede ser revocado en cualquier tiempo, no teniendo efectos retroactivos.

Que en consonancia con el artículo 5º, el artículo 6º de la Ley Nº 25.326 dispone la notificación a los interesados de ciertos recaudos imponiendo a través del artículo 9º, al responsable o usuario del archivo arbitrar las medidas técnicas y de seguridad que garanticen la confidencialidad de los datos personales, a fin de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

Que el artículo 10 establece el deber de confidencialidad que se debe respecto de los datos personales.

Que el artículo 11 sienta la regla general según la cual los datos requeridos sólo pueden ser cedidos previo consentimiento del titular de los mismos, y establece las excepciones a aquélla; que así lo disponga una ley; que ocurra alguno de los supuestos previstos en el artículo 5º inciso 2; que se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias; que se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados; o que se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables.

Que respecto a la responsabilidad del cesionario, el precitado artículo 11 expresa que quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas, ante el organismo de control y el titular de los datos de que se trate.

Que la Ley Nº 25.326 es de carácter restrictivo, avalando este criterio el artículo 17º al facultar a los responsables o usuarios de bancos de datos públicos, para que mediante decisión fundada, denieguen el acceso, rectificación o supresión, en función de la protección de los derechos e intereses de terceros, de la defensa de la Nación, el orden y la seguridad pública.

Que se impone definir teniendo en cuenta la diversidad de datos obrantes en las Bases de Datos de ANSES qué, a quiénes y cómo deben suministrarse los datos contenidos en ellas.

Que los requerimientos de intercambio electrónico de información serán formalizados por medio de un CONVENIO suscripto por la Dirección Ejecutiva o responsable designado por ésta.

Que a tal efecto, resulta necesario la confección de un modelo de convenio, a fin de dar cumplimiento a lo expresado ut supra.

Que dicho modelo tiene como objeto acordar mediante su firma, las condiciones del intercambio electrónico de información, asegurando el cumplimiento de los criterios de confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información que brinda este Organismo, en un todo de acuerdo con las disposiciones de la Ley 25.326.

Que en virtud de lo expuesto en el considerando anterior, resulta procedente otorgar un plazo de CIENTO OCHENTA (180) días hábiles administrativos, contados a partir de la publicación de la presente, para que los usuarios de cualquier tipo de intercambio de información autorizado con anterioridad a ésta, realicen la presentación, a fin de adecuarse a las condiciones estipuladas en esta normativa.

Que ANSES se reserva la facultad de auditar las condiciones establecidas en los considerandos de esta, los recursos técnicos de equipamiento y las emergentes del Convenio.

Que la presente Resolución deja sin efecto cualquier otra disposición de esta Administración, que se contraponga en cuanto a los datos a brindar y los solicitantes habilitados por la Ley Nº 25.326.

Que en atención a lo establecido en el artículo 29 punto 1 inciso d) de la Ley Nº 25.326, la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES tiene como función la de controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos.

Que la Disposición Nº 7/2005 de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, aprueba la "Clasificación de Infracciones" y la "Graduación de las Sanciones" que aplica esa Dirección, a cuya observancia se encuentra sometida esta Administración Nacional, en su carácter de responsable de la información contenida en sus Bases de Datos.

Que la Disposición Nº 7/2008 de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES aprobó el documento "Guía de Buenas Prácticas en Políticas de Privacidad para las Bases de Datos del Ambito Público" y el "Convenio de Confidencialidad" que constituyen los Anexos I y II respectivamente de dicha norma.

Que en virtud de la Ley Nº 25.506 se reconoce el empleo de la firma electrónica y de la firma digital y su eficacia jurídica, tendiendo así a la progresiva despapelización de la ADMINISTRACION PUBLICA NACIONAL.

Que los sistemas de "Conexión Directa" y "Sistema Integrado de Transferencia, Almacenamiento y Control de Información" (SITACI) responden a los requerimientos tecnológicos establecidos por la Ley Nº 25.506, pudiendo garantizar un razonable grado de confiabilidad y confidencialidad.

Que el artículo 3º de la Resolución D.E.- N Nº 262 del 30 de agosto de 1999 crea el Comité de Seguridad Informática, el que tiene por misión coordinar la elaboración de las normas y elevarlas para su aprobación, debiendo a tal fin identificar las necesidades, procedimientos y prácticas de seguridad, compatibilizando las mismas con las normas existentes que resulten de aplicación.

Que el artículo 8º, inciso h) referido a OPERACIONES Y COMUNICACIONES de la citada Resolución D.E.- N Nº 262/99 establece que la Gerencia Sistemas y Telecomunicaciones propondrá al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos para asegurar la protección de la información accedida o transmitida por red por medio de un CONVENIO suscripto por la Dirección Ejecutiva o responsable designado por ésta.

Que por la Resolución D.E.-N Nº 366 del 6 de abril de 2004 se aprueba la normativa sobre la composición y funcionamiento del Comité de Seguridad Informática, así como el circuito de aprobación de normas de procedimiento para la gestión de la Seguridad Informática.

Que el Comité de Seguridad Informática mediante Acta del 21 de diciembre de 2004, en uso de las facultadas delegadas por la Resolución D.E. — N Nº 405/99, ha aprobado la Política de Intercambio de Información.

Que en orden a la especificidad del método de transferencia, corresponde hacer referencia a la "Política de Intercambio Electrónico de Información".

Que por el Decreto Nº 378 del 27 de abril de 2005 se impulsa al Estado Nacional a disponer las medidas necesarias para que las comunicaciones se efectúen preferentemente mediante tecnologías informáticas, optimizando para ello la utilización de los recursos electrónicos disponibles.

Que la Decisión Administrativa Nº 669/04 de la Jefatura de Gabinete de Ministros dispone que los organismos del Sector Público Nacional comprendidos en los incisos a) y c) del artículo 8º de la Ley Nº 24.156 y sus modificatorias deberán dictar o adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo.

Que por la Resolución SGP Nº 45/05, el Subsecretario de la Gestión Pública, de la Jefatura de Gabinete de Ministros facultó al Director Nacional de Tecnologías de Información a aprobar la Política de Seguridad Modelo y dictar las normas aclaratorias y complementarias que fueran requeridas a partir de la Decisión Administrativa Nº 669/04.

Que la Disposición Nº 6/05 de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION aprueba la "Política de Seguridad de la Información Modelo" tratando en su Capítulo 10 a la relacionada con el DESARROLLO Y MANTENIMIENTO DE SISTEMAS, donde se establece la necesidad de fijar controles criptográficos en la transmisión de información fuera del ámbito del organismo.

Que por la Resolución SIGEN Nº 48/05 del 5 de mayo de 2005 se aprueban las Normas de Control Interno para Tecnología de Información para el Sector Público Nacional, las que establecen que se debe garantizar el cumplimiento de las normas establecidas en cuanto al deber de disponer de una política de seguridad de la información.

Que la Resolución D.E. — N Nº 1173/04 dispuso la instalación y funcionamiento de Unidades Locales de Atención Transitoria (ULAT), en entidades públicas y privadas que atraviesen por situaciones de excepción y respecto de las cuales se den las condiciones operativas necesarias.

Que las mencionadas ULAT están habilitadas para la atención de los trámites que disponga esta ADMINISTRACION NACIONAL, en el Acuerdo Marco que se suscribirá en cada caso.

Que en virtud de la implementación de la presente, resulta necesario derogar las Resoluciones DE ANSES Nº 1133/05, 1022/06.

Que la Gerencia de Asuntos Jurídicos ha tomado oportunamente la intervención de su competencia, en el Dictamen Nº 27.561 de fecha 26 de noviembre de 2004 y el Dictamen 33.156 de fecha 4 de setiembre de 2006.

Que la Gerencia de Asuntos Jurídicos ha emitido el Dictamen de fecha sin objeciones que realizar a la presente.

Que la presente Resolución se dicta en uso de las facultades conferidas por el artículo 36 de Ley Nº 24.241, el artículo 3º del Decreto Nº 2741/91.

Por ello,

EL DIRECTOR EJECUTIVO DE LA ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL

RESUELVE:

Artículo 1º — Apruébase como Anexo I de la presente, la Política de Intercambio Electrónico de Información.

Art. 2º — Adécuese el suministro de los datos contenidos en las Bases de esta ADMINISTRACION NACIONAL DE SEGURIDAD SOCIAL (ANSES) a los términos y condiciones fijados en la Ley Nº 25.326, su Decreto Reglamentario Nº 1558/01, y las reglamentaciones dictadas en su consecuencia.

Art. 3º — Resérvese esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), el intercambio de información, a condición de razonable reciprocidad, o cuando lo fuere pertinente para el ejercicio de las funciones propias del Estado, en virtud de una obligación legal y todo previa evaluación de su factibilidad técnica, operativa y económica por parte de las áreas competentes de esta Administración.

Art. 4º — Establécese que la Gerencia Normatización de Prestaciones y Servicios es la competente para autorizar el uso de los sistemas que implementan la política de intercambio por parte de organismos públicos nacionales, provinciales y municipales, organizaciones no gubernamentales (ONG) y entidades privadas.

Art. 5º — Deléguese en la Gerencia General el dictado de la Resolución para la denegación de la solicitud de intercambio de información contenida en las Bases de esta Administración Nacional, cuando considere que dicha petición de información vulnera la protección de los derechos e intereses de terceros, la defensa de la Nación, del orden y la seguridad pública, como así también por causas debidamente justificadas que deben quedar plasmadas en el acto administrativo correspondiente.

Art. 6º — Deniéguese la solicitud de intercambio de información contenida en las Bases de Datos de esta Administración, cuando dicha información precise el consentimiento del titular; o no se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; o no se recaben para el ejercicio de funciones propias del Estado o en virtud de una obligación legal, o no sea dispuesta por una Ley.

Art. 7º — Sujétese el cesionario a las mismas obligaciones legales y reglamentarias que posee esta Administración, respondiendo solidaria y conjuntamente por la observancia de las mismas.

Art. 8º — Apruébese como Anexo II de la presente la "CARTA DE INTENCION PARA INTERCAMBIO DE INFORMACION" que podrá ser suscripta en razón de oportunidad, mérito y conveniencia por el Director Ejecutivo o la Gerencia General o Gerencia de Sistemas y Telecomunicaciones o Gerencia Normalización de Prestaciones y Servicios.

Art. 9º — Apruébese como Anexo III de la presente las cláusulas de uso obligatorio en todo convenio a suscribirse por esta ANSES, dentro del marco de la presente resolución, debiendo agregarse al mismo todas las cláusulas que las partes estimen necesarias.

Art. 10. — La Gerencia de Normatización de Prestaciones y Servicios deberá en el plazo de 60 días hábiles aprobar la norma de procedimiento para la implementación del circuito administrativo correspondiente para intercambio de información.

Art. 11. — La Gerencia General queda facultada para representar a esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), a fin de poder suscribir los convenios definitivos, de conformidad con lo establecido en el artículo 9º de la presente.

Art. 12. — Confiérase un plazo de CIENTO OCHENTA (180) días hábiles administrativos para que las entidades/organismos autorizados con anterioridad a la entrada en vigencia de la presente resolución, ante el requerimiento expreso de ANSES, adecuen los mecanismos de intercambio de información a las condiciones aquí estipuladas. En caso de incumplimiento dentro del plazo concedido, se procederá a cancelar el permiso otorgado oportunamente.

Art. 13. — Establécese que el responsable o las personas que intervengan en cualquier fase del tratamiento de Datos Personales, deberá mantener el deber de confidencialidad respecto de los mismos.

Art. 14. — Dispónese que ante el conocimiento de hechos que configuren las infracciones tipificadas en la Disposición DNPDP Nº 7/05, que aprobó la "Clasificación de Infracciones" y "Graduación de Sanciones" por incumplimiento a las normas de la Ley Nº 25.326, de protección de datos personales, deberá darse intervención a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

Art. 15. — Los acuerdos vigentes dentro del marco establecido por la Resolución D.E. – N Nº 1173/04, una vez vencidos, deberán ser renovados de conformidad con la presente resolución.

Art. 16. — Deróganse por las razones expuestas en los considerandos, las Resoluciones D.E.- N Nº 1133/05 y D.E. – N Nº 1022/06 y cualquier otra norma que se contraponga con la presente.

Art. 17. — Las normas de procedimiento correspondientes a las Resoluciones D.E.- N Nº 1133/05 y D.E. – N Nº 1022/06 se aplicarán hasta tanto se de cumplimiento con lo establecido en el artículo 10 de la presente Resolución y se ponga en vigencia la norma de procedimiento definitiva.

Art. 18. — Comuníquese, publíquese, regístrese, dése a la Dirección Nacional del Registro Oficial y archívese.