Documento de Oro

7/25/2019 Documento de Oro

1/32

1

Protocolo de ManejoResponsable de Informacin

Superintendencia de PensionesDiciembre 2011


2/32

2

ndice

1

Introduccin .................................................................................................................... 3

2 Marco Regulatorio para el Manejo Responsable de Informacin ................................... 4

2.1

Disposiciones Legales del Sistema Previsional y del Seguro de Cesanta .............. 5

2.2 Disposiciones Legales de Aplicacin General ......................................................... 72.3 Disposiciones Legales para el Intercambio y Entrega de Informacin.................... 82.4 Cdigo de tica de la SP ........................................................................................ 11

3

Administracin y Uso de la Informacin en la SP ........................................................ 13

3.1 Funcionamiento Institucional ................................................................................ 133.2 Alcance del Protocolo ............................................................................................ 143.3 Autorizaciones y Accesos a IBDE ......................................................................... 153.4

Clasificacin y Rotulacin de la Informacin ....................................................... 17

4

Intercambio de Informacin con otras Instituciones ..................................................... 18

4.1 Centralizacin de Solicitudes en la Divisin de Estudios ...................................... 18

4.2

Medios Habilitados para el Intercambio de Informacin con Externos ................ 19

5 Acceso de Externos a Informacin SP .......................................................................... 21

Anexo 1: Acuerdo de Confidencialidad Personal SP ........................................................... 22

Anexo 2: Acuerdo de Confidencialidad Persona Externa a la SP ........................................ 24

Anexo 3: Recomendaciones para la Manipulacin y Almacenamiento de Informacin ..... 25

Anexo 4: Gua para la Rotulacin de la Informacin Confidencial (Templates) ................. 27


3/32

3

1 Introduccin

La Superintendencia de Pensiones (SP), en su rol de regulador y supervisor del sistema

previsional, tanto del pilar solidario como contributivo y del seguro de cesanta, recibe,elabora y solicita informacin clave para el desarrollo de sus funciones. Asimismo, lainformacin se utiliza para la difusin de aspectos de inters pblico relacionados alfuncionamiento y desempeo del sistema previsional chileno, as como para la elaboracinde reportes y anlisis desarrollados a nivel interno de la SP.

El manejo de esta informacin es un aspecto de gran relevancia para la Superintendencia dePensiones ya que una parte sustantiva de esta informacin es de alta sensibilidad y estprotegida por ley, transformndose en un deber para la propia SP, sus funcionarios y parasus regulados,el manejo responsable de dicha informacin. En la medida que las normas deseguridad y manejo de informacin estn claramente establecidas y sean conocidas por

todos los funcionarios de la SP, menor es la probabilidad de infringir las obligacionesestipuladas en la ley y mayor es el grado de proteccin de la informacin de los afiliados yde los propios funcionarios que utilizan informacin sensible.

El presente Protocolo de Manejo Responsable de Informacin es una herramienta queprecisamente contribuye a aumentar el grado de seguridad de la informacin que se manejaen la SP y a elevar el nivel de capacitacin del personal en cuanto a una mejor comprensinde las responsabilidades involucradas. Cabe destacar que este protocolo no pretende ser unmanual de proceso respecto del manejo de informacin ni de la seguridad informtica de lainstitucin, sino una gua orientadora para el manejo habitual de informacin, quedando ala responsabilidad personal, la iniciativa para canalizar oportunamente en los superioresrespectivos, las situaciones que no estuvieran contempladas en este documento. Lainformacin sujeta al protocolo abarca tanto la informacin que se genera y maneja en lapropia SP como aquella que se intercambia con las instituciones reguladas y con otrosorganismos y personas que tienen relacin con la SP.

La seccin 2 de este documento entrega una revisin de las principales disposicionesregulatorias que dan cuenta de las atribuciones y responsabilidades, tanto institucionalescomo personales, derivadas del uso de informacin, la seccin 3 describe el marco generalde administracin y uso de la informacin en la SP, la seccin 4 entrega las bases para elintercambio de informacin con otras instituciones o personas y la seccin 5 detalla losresguardos a considerar cuando externos puedan tener acceso a informacin en la SP.

El Protocolo de Manejo Responsable de Informacin es un documento elaborado ysancionado por el Comit de Planificacin de la Superintendencia de Pensiones, instanciaencargada de generar las directrices en esta materia y resolver las consultas que emanen desu utilizacin. Una de las labores de este comit es recoger las sugerencias yrecomendaciones para el continuo perfeccionamiento de este documento.


4/32

4

2 Marco Regulatorio para el Manejo Responsable de Informacin

En esta seccin se presenta un resumen de las principales disposiciones legales yreglamentarias relacionadas con el manejo y acceso a informacin vinculada a laslabores habituales de la SP. Con este documento se espera generar conocimiento enel personal de la Superintendencia acerca de las responsabilidades que emanan delacceso a informacin de carcter confidencial.

Las sanciones asociadas a la infraccin de las disposiciones legales y normativascitadas en esta seccin dependern de las circunstancias y caractersticas propias decada caso.

Con el objetivo de difundir e incrementar el conocimiento respecto del Protocolo

de Manejo Responsable de Informacin, una vez al ao la SP realizar unacapacitacin de este tpico a nivel institucional, la cual deber formar parte delprograma de capacitacin estratgica de la Superintendencia y del programa deinduccin para funcionarios nuevos. Los jefes de las divisiones y unidadesinformarn al Comit de Planificacin (CP) sobre los participantes en esta actividady ser el CP que aprobar en cada oportunidad, el contenido y el nfasis de estaactividad de capacitacin.

Por otra parte, ser obligacin de la Unidad de Auditora Interna de la SP, auditar alo menos a una Unidad o Departamento, como parte de su programa anual deactividades. La auditora deber tener como objetivo principal reportar el grado decumplimiento e implementacin de los procedimientos contenidos en el presenteprotocolo. Las conclusiones y hallazgos derivados de las auditoras debern serreportadas al Comit de Planificacin, debiendo este ltimo, determinar lasacciones que corresponda para corregir potenciales anomalas y elaborar un plan demitigacin de los riesgos identificados.

Las disposiciones regulatorias que se presentan en esta seccin se ordenan partiendopor aquellas que tienen rango legal y luego normativas. La revisin se inicia con losartculos de leyes que se relacionan con el mbito de fiscalizacin de laSuperintendencia de Pensiones, es decir, las del sistema previsional (DL N 3.500 yLey 20.255) y del Seguro de Cesanta (Ley N 19.728), luego se presentan lasdisposiciones legales vinculadas a la proteccin de informacin que son deaplicacin ms general y por ltimo, las regulaciones legales que norman elintercambio y entrega de informacin por parte de instituciones pblicas. En elmbito normativo se mencionan especficamente los artculos relacionados a lainformacin confidencial contenidos en el Cdigo de tica de la SP. No obstantela revisin legal y normativa incluida en este documento, los funcionarios deberntener en cuenta la normativa general que rige el actuar de los funcionarios pblicos,en particular la Ley N 19.653 sobre probidad administrativa aplicable a losrganos de la administracin del Estado.


5/32

5

2.1

Disposiciones Legales del Sistema Previsional y del Seguro de Cesanta

El artculo 50 de la Ley 20.255 seala/

1

:Artculo 50.-La Superintendencia de Pensiones podr requerir datos personalesy la informacin que fuere necesaria para el ejercicio de sus funciones a

instituciones pblicas y a organismos privados del mbito previsional o que

paguen pensiones de cualquier tipo. Con todo, en el caso de los organismos

privados la informacin que se requerir deber estar asociada al mbito

previsional. Adems, podr realizar el tratamiento de los datos personales con el

fin de ejercer el control y fiscalizacin en las materias de su competencia.

Para estos efectos, no regir lo establecido en el inciso segundo del artculo 35

del Cdigo Tributario.

El Superintendente y todo el personal de la Superintendencia debern guardarreserva y secreto absolutos de las informaciones de las cuales tomen conocimiento

en el cumplimiento de sus labores. Asimismo, debern abstenerse de usar dicha

informacin en beneficio propio o de terceros. Para efectos de lo dispuesto en el

inciso segundo del artculo 125 de la ley N 18.834, cuyo texto refundido,

coordinado y sistematizado fue fijado por el decreto con fuerza de ley N 29, de

2005, del Ministerio de Hacienda, se estimar que los hechos que configuren

infracciones a esta disposicin vulneran gravemente el principio de probidad

administrativa, sin perjuicio de las dems sanciones y responsabilidades que

procedan.

El DL 3.500 tambin impone resguardos especiales a la informacin en determinadas

circunstancias. As, respecto del proceso de Consulta en SCOMP y del tratamiento de lainformacin en este proceso, se seala en los incisos 11 y 12 del artculo 61 bis:

Artculo 61 bis.- Las Administradoras de Fondos de Pensiones, las Compaas de

Seguros de Vida y los asesores previsionales que participen en el Sistema de

Consultas y Ofertas de Montos de Pensin, sern responsables de la transmisin

ntegra de la informacin de dicho Sistema. Asimismo, debern resguardar la

privacidad de la informacin que manejen de acuerdo a lo dispuesto en la ley N

19.628, sobre proteccin de datos de carcter personal, y quedarn sujetas a las

responsabilidades que en dicha ley se establecen.

El que obtenga beneficio patrimonial ilcito mediante fraude al afiliado o a sus

beneficiarios o el que haga uso no autorizado de los datos de stos, que en virtud

de este artculo deban proporcionarse al Sistema o de aquellos contenidos en ellistado a que se refiere el artculo 72 bis, ser sancionado con las penas

establecidas en el artculo 467 del Cdigo Penal, sin perjuicio de las dems

sanciones legales o administrativas que correspondan.

/1 La Ley 20.255 que contiene la Reforma Previsional publicada en el D.O. el 17 marzo de 2008.


6/32

6

En relacin a la informacin de las carteras de inversiones de los Fondos de Pensiones, elD.L. 3.500, establece el umbral para que dicha informacin pueda ser de conocimientopblico. A partir de esta disposicin y la normativa complementaria de la SP relativa a lainformacin de cartera de los Fondos de Pensiones se establece que la informacin pblicase circunscribe a aquella que la SP tiene disponible en su sitio web y toda otra informacin

o estadstica relativa a los Fondos o Administradoras es confidencial.Artculo 26.- Toda publicacin de la composicin de la cartera de inversin de los

distintos Tipos de Fondos de Pensiones de cada una de las Administradoras,

deber referirse a perodos anteriores al ltimo da del cuarto mes precedente. El

contenido de dichas publicaciones se sujetar a lo que establezca una norma de

carcter general de la Superintendencia. Con todo, esta ltima podr publicar la

composicin de la cartera de inversin agregada de los Fondos de Pensiones

referida a perodos posteriores al sealado.

Asimismo, se debe tener en consideracin las siguientes disposiciones del DL 3.500, lascuales afectan principalmente a los funcionarios que apoyen las labores de un inspectordelegado, miembros de la SP que participan en la Comisin Clasificadora de Riesgo (CCR)

y en el Consejo Tcnico de Inversiones (CTI).

Artculo 94.- En el ejercicio de sus funciones, el inspector podr hacerse

acompaar por otros funcionarios de la Superintendencia, as como contratar

consultoras privadas externas con cargo a la Administradora. Tanto el inspector

delegado como dichos funcionarios debern guardar absoluta reserva y secreto de

la informacin de las cuales tomen conocimiento en el cumplimiento de sus

labores y debern abstenerse de usar dicha informacin en beneficio propio o de

terceros. Para efectos de lo dispuesto en el inciso 2 del artculo 125 del decreto

con fuerza de ley N 29 de 2004 del Ministerio de Hacienda, se estimar que los

hechos que configuren infracciones a lo dispuesto en esta norma vulneran

gravemente el principio de probidad administrativa, lo que no obstar a las dems

responsabilidades y sanciones que fueren procedentes

Artculo 103.- Los integrantes de la Comisin Clasificadora, como tambin los

funcionarios pblicos debern guardar reserva sobre los documentos y

antecedentes de los emisores e instrumentos sujetos a clasificacin, siempre que

stos no tengan carcter pblico. La infraccin a esta obligacin ser sancionada

con la pena de reclusin menor en su grado mnimo a medio.

Del mismo modo, les est prohibido valerse, directa o indirectamente, en beneficio

propio o de terceros, de la informacin a que tengan acceso en el desempeo de

esta funcin, durante el lapso que dure la reserva establecida en el inciso primero

del artculo 109 ser sancionada con la pena de reclusin menor en su grado

medio e inhabilitacin para cargos y oficios pblicos por el tiempo de la condena.

Los miembros de la Comisin Clasificadora, los integrantes de la Secretara

Administrativa, los funcionarios pblicos o aquellas personas que tomen

conocimiento de las proposiciones de aprobacin de instrumentos o de las

clasificaciones presentadas a la Comisin Clasificadora para su consideracin,

que presentaren o difundieren informacin falsa o tendenciosa respecto de los

instrumentos que aquella deba aprobar o rechazar, sufrirn la pena de reclusin

menor en sus grados mnimo a medio e inhabilitacin para ejercer cargos en la

Comisin Clasificadora y en cualquier oficio pblico por todo el tiempo que dure

la condena, sin perjuicio de las acciones civiles que correspondan.


7/32

7

Artculo 168 (incisos 8 y 9). - Los miembros titulares y suplentes y el Secretario

Tcnico del Consejo debern guardar reserva sobre los documentos y

antecedentes a que tengan acceso en el ejercicio de su funcin, siempre que stos

no tengan carcter pblico. La infraccin a esta obligacin ser sancionada con

la pena de reclusin menor en sus grados mnimo a medio.

Del mismo modo, a las personas indicadas en el inciso precedente les est

prohibido valerse, directa o indirectamente, en beneficio propio o de terceros, de

la informacin a que tengan acceso en el desempeo de esta funcin, en tanto no

sea divulgada al pblico. La infraccin a lo dispuesto en este inciso ser

sancionada con la pena de reclusin menor en su grado medio e inhabilitacin

para cargos y oficios pblicos por el tiempo de la condena.

En el contexto de la Ley 19.728 que establece el Seguro de Cesanta, el artculo 34A, establece la proteccin a la Base de Datos de afiliados al Seguro de Cesanta.

Artculo 34 A: Para el desarrollo de estudios de carcter tcnico del artculo, la

Superintendencia podr requerir la informacin de la Base de Datos a que se refiere dicho

artculo que fuere necesaria para el cumplimiento de los objetivos establecidos en l y conel fin de ejercer el control y fiscalizacin en las materias de su competencia, pudiendo

realizar el tratamiento de datos personales que esta Base contenga.

El personal de la Superintendencia deber guardar absoluta reserva y secreto de las

informaciones de las cuales tome conocimiento en el cumplimiento de sus funciones sin

perjuicio de las informaciones y certificaciones que deba proporcionar de conformidad a la

ley.

2.2 Disposiciones Legales de Aplicacin General

La Ley N 19.628/2 se refiere al tratamiento de los datos personales con el fin de protegerla identidad e integridad de las personas contenidas en las bases de datos. Adicionalmente,dicha ley faculta a las instituciones pblicas a utilizar las bases de datos para cumplir consus funciones. En sus artculos 7, 11 y 20 indica lo siguiente:

Artculo 7.- Las personas que trabajan en el tratamiento de datos personales,

tanto en organismos pblicos como privados, estn obligadas a guardar secreto

sobre los mismos, cuando provengan o hayan sido recolectados de fuentes no

accesibles al pblico, como asimismo sobre los dems datos y antecedentes

relacionados con el banco de datos, obligacin que no cesa por haber terminado

sus actividades en ese campo.

Artculo 11.- El responsable de los registros o bases donde se almacenen datos

personales con posterioridad a su recoleccin deber cuidar de ellos con ladebida diligencia, hacindose responsable de los daos.

Artculo 20.- El tratamiento de datos personales por parte de un organismo

pblico slo podr efectuarse respecto de las materias de su competencia y con

sujecin a las reglas precedentes. En esas condiciones, no necesitar el

consentimiento del titular.

/2 La Ley 19.628 sobre proteccin de datos de carcter personal promulgada el 28 de agosto de 1999.


8/32

8

Por su parte, la Ley N19.223/3 que tipifica las figuras penales relativas a lainformtica en sus artculos 1 al 4 indica lo siguiente:

"Artculo 1.- El que maliciosamente destruya o inutilice un sistema de tratamiento de

informacin o sus partes o componentes, o impida, obstaculice o modifique su

funcionamiento, sufrir la pena de presidio menor en su grado medio a mximo.

Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se

aplicar la pena sealada en el inciso anterior, en su grado mximo.

Artculo 2.- El que con el nimo de apoderarse, usar o conocer indebidamente de la

informacin contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o

acceda a l, ser castigado con presidio menor en su grado mnimo a medio.

Artculo 3.- El que maliciosamente altere, dae o destruya los datos contenidos en un

sistema de tratamiento de informacin, ser castigado con presidio menor en su grado

medio.

Artculo 4.- El que maliciosamente revele o difunda los datos contenidos en un sistema deinformacin, sufrir la pena de presidio menor en su grado medio. Si quien incurre en estas

conductas es el responsable del sistema de informacin, la pena se aumentar en un

grado.".

2.3 Disposiciones Legales para el Intercambio y Entrega de Informacin

La modificacin legal incorporada a la Ley General de Bancos por el proyectoconocido como MKII o Ley 20.190/4 respecto de la facultad de compartirinformacin institucional entre las Superintendencias seala:

Artculo 18 bis Ley General de Bancos: Con el objeto de velar por el cumplimiento desus respectivos deberes de fiscalizacin, los Superintendentes de Bancos e Instituciones

Financieras, de Valores y Seguros y de Administradoras de Fondos de Pensiones podrn

compartir cualquier informacin, excepto aquella sujeta a secreto bancario. Cuando la

informacin compartida sea reservada, deber mantenerse en este carcter por quienes

la reciban.

En el mismo sentido, la norma especial contenida en el artculo 30 de la LeyN20.403, indica:

Las Subsecretaras de Hacienda y de Previsin Social y la Direccin de Presupuestos,

estarn facultadas, en el ejercicio de sus funciones, para acceder a la informacincontenida en el Sistema de Informacin de Datos Previsionales a que se refiere el

artculo 56 de la Ley N20.255, y requerir los datos personales y la informacin

asociada al mbito previsional que posean otros organismos pblicos, los que quedarn

dentro del mbito de control y fiscalizacin de dichos servicios.

/3 La Ley N 19.223 del Ministerio de Justicia que tipifica las figuras penales relativas a la informtica fuepublicada el 7 de julio de 1993.

/4 La Ley N 20.190 o reforma al mercado de capitales II fue publicada en el D.O. en junio de 2010.


9/32

9

Los organismos pblicos antes sealados y su personal debern guardar absoluta

reserva y secreto de la informacin de que tomen conocimiento y abstenerse de usar

dicha informacin en beneficio propio o de terceros. Para efectos de lo dispuesto en el

inciso 2 del artculo 125 del decreto con fuerza de ley N 29, de 2005, del Ministerio de

Hacienda, se estimar que los hechos que configuren infracciones a esta disposicin

vulneran gravemente el principio de probidad administrativa, sin perjuicio de las dems

sanciones y responsabilidades que procedan.

La Ley N 19.728 que establece el Seguro Obligatorio de Cesanta en su artculo 34B seala:

Artculo 34 B.- Las Subsecretaras de Hacienda y del Trabajo y la Direccin de

Presupuestos, estarn facultados para exigir los datos personales contenidos en la Base

de Datos a que se refiere el artculo 34 y la informacin que fuere necesaria para el

ejercicio de sus funciones a la Sociedad Administradora de Fondos de Cesanta. En tal

caso, el tratamiento y uso de los datos personales que efecten los organismos antes

mencionados quedarn dentro del mbito de control y fiscalizacin de dichos servicios.

Los organismos pblicos antes sealados y su personal debern guardar absolutareserva y secreto de la informacin de que tomen conocimiento y abstenerse de usar

dicha informacin en beneficio propio o de terceros. Para efectos de lo dispuesto en el

inciso segundo del artculo 125 de la Ley N 18.834, cuyo texto refundido, coordinado y

sistematizado fue fijado por el decreto con fuerza de ley N 29, de 2005, del Ministerio

de Hacienda, se estimar que los hechos que configuren infracciones a esta disposicin

vulneran gravemente el principio de probidad administrativa, sin perjuicio de las dems

sanciones y responsabilidades que procedan. Asimismo, le sern aplicadas las sanciones

establecidas en el inciso sexto del artculo 34 de la presente ley.

Frente a las solicitudes de informacin que invoquen la Ley N 20.285 sobre accesoa Informacin pblica /5, se debern tener en cuenta el artculo quinto y el vigsimoprimero que indican lo siguiente:

Artculo 5: En virtud del principio de transparencia de la funcin pblica, los actos y

resoluciones de los rganos de la Administracin del Estado, sus fundamentos, los

documentos que les sirvan de sustento o complemento directo y esencial, y los

procedimientos que se utilicen para su dictacin, son pblicos, salvo las excepciones que

establece esta ley y las previstas en otras leyes de qurum calificado.

Asimismo, es pblica la informacin elaborada con presupuesto pblico y toda otra

informacin que obre en poder de los rganos de la Administracin, cualquiera sea su

formato, soporte, fecha de creacin, origen, clasificacin o procesamiento, a menos que

est sujeta a las excepciones sealadas.

Artculo 21: Las nicas causales de secreto o reserva en cuya virtud se podr denegar

total o parcialmente el acceso a la informacin, son las siguientes:

1.

Cuando su publicidad, comunicacin o conocimiento afecte el debido cumplimiento

de las funciones del rgano requerido, particularmente:

5 La Ley 20.285 sobre acceso a la informacin pblica fue publicada en el D.O el 20 de agosto de 2008.


10/32

10

a) Si es en desmedro de la prevencin, investigacin y persecucin de un crimen o

simple delito o se trate de antecedentes necesarios a defensas jurdicas y

judiciales.

b) Tratndose de antecedentes o deliberaciones previas a la adopcin de una

resolucin, medida o poltica, sin perjuicio que los fundamentos de aqullas sean

pblicos una vez que sean adoptadas.

c) Tratndose de requerimientos de carcter genrico, referidos a un elevado

nmero de actos administrativos o sus antecedentes o cuya atencin requiera

distraer indebidamente a los funcionarios del cumplimiento regular de sus

labores habituales.

2. Cuando su publicidad, comunicacin o conocimiento afecte los derechos de las

personas, particularmente tratndose de su seguridad, su salud, la esfera de su vida

privada o derechos de carcter comercial o econmico.

3.

Cuando su publicidad, comunicacin o conocimiento afecte la seguridad de la

Nacin, particularmente si se refiere a la defensa nacional o la mantencin del

orden pblico o la seguridad pblica.

4.

Cuando su publicidad, comunicacin o conocimiento afecte el inters nacional, en

especial si se refieren a la salud pblica o las relaciones internacionales y losintereses econmicos o comerciales del pas.

5.

Cuando se trate de documentos, datos o informaciones que una ley de qurum

calificado haya declarado reservados o secretos, de acuerdo a las causales

sealadas en el artculo 8 de la Constitucin Poltica.

Respecto de la entrega de informacin por parte de la SP se debe tener enconsideracin que el legislador ha pretendido conservar la supervisin de lainformacin traspasada en cada caso en la institucin responsable de la base dedatos respectiva. En efecto, al sealar el artculo 30 de la Ley 20.403 que esta

facultad se confiere dentro del mbito de su competencia, obliga al responsable dela base de datos a cerciorarse que nos encontramos en este mbito, para permitir elacceso a la informacin requerida.

Por otro lado, tambin resulta evidente que una vez definido el acceso y lainformacin traspasable en cada requerimiento, ste se ha otorgado con amplitud enrelacin a su contenido, esto es, incluyendo aquella informacin personalizadadeterminada o determinable, si sta resultare necesaria para el ejercicio de lasfunciones del organismo requirente en conformidad a su solicitud. Ser por tanto,necesario que el organismo solicitante seale, conjuntamente con la peticin, unadescripcin definida y clara de la informacin requerida y los motivos

institucionales as como los objetivos que fundamentan la generacin de dichorequerimiento. En razn de la importancia y sensibilidad de la informacin sedebern establecer las vas de transmisin de dicha informacin privilegiando suseguridad.


11/32

11

2.4 Cdigo de tica de la SP

Adems de los cuerpos legales antes citados, parte esencial del manejo deinformacin est contenido en el Cdigo de tica de la SP. En su seccin 3 sobreprincipios esenciales que deben regir el actuar de los funcionarios de la institucin,

el cdigo seala:7. Discrecin. Guardar reserva respecto de hechos o informaciones de los que

tenga conocimiento con motivo o en ocasin del ejercicio de sus funciones, sin

perjuicio de los deberes y las responsabilidades que le correspondan en virtud de

las normas que regulan la transparencia y el acceso a la informacin pblica.

Asimismo, abstenerse de usar dicha informacin en beneficio propio o de terceros.

En particular, debe dar estricto cumplimiento a lo dispuesto en el artculo 50 de la

Ley N 20.255

En la seccin de prohibiciones ticas:

3. Hacer uso de informacin privilegiada. Participar o permitir que otros

participen en hechos en lo que se utilice informacin privilegiada a la que hatenido acceso por su condicin o ejercicio del cargo que desempea.

En el artculo 5. Deber de reserva y abstencin de uso de informacinsensible con valor econmico y de transaccin de valores:

Adems del deber de reserva, quienes se desempeen en la Superintendencia

estarn obligados a velar porque la informacin antedicha quede debidamente

salvaguardada, para lo cual aquellos debern adoptar o requerir la

implementacin de las medidas pertinentes para evitar que la informacin de que

disponen pueda ser objeto de uso inadecuado.

El artculo 6.- Deber de manejo apropiado de bases de datos

Las personas que se desempeen en la Superintendencia debern mantener en

reserva la informacin relativa a datos personales de afiliados a las

Administradoras de Fondos de Pensiones, al Instituto de Previsin Social y a la

Administradora de Fondos de Cesanta. En ese sentido, debern adoptar las

medidas necesarias destinadas a proteger la informacin reservada de las

personas contenida en las bases de datos y evitar que la informacin de que

disponen pueda ser objeto de uso inadecuado. Para ello, debern regirse por el

manual de normas operativas que establezca la Superintendencia para el

adecuado uso de los datos personales de los afiliados a las Administradoras de

Fondos de Pensiones, al Instituto de Previsin Social y a la Sociedad

Administradora de Fondos de Cesanta.

En el manejo de bases de datos, todo el personal de la Superintendencia deber

sujetarse a las obligaciones y prohibiciones siguientes:

a. Debern guardar estricta reserva de la informacin de ndole personal y no

publica de afiliados, respecto de la cual accedan en el cumplimiento de sus

labores.


12/32

12

b. No podrn usar la informacin de ndole personal y no publica de afiliados,

respecto de la cual accedan en el cumplimiento de sus labores, en beneficio

propio o de terceros.

c. Solo podrn efectuar el tratamiento de bases de datos con informacin de

carcter personal de afiliados, respecto de las materias de su competencia

en el ejercicio de su cargo.

d. Solo en los casos que sea necesario para fines de fiscalizacin y control,

podrn tener acceso a bases de datos nominadas.


13/32

13

3

Administracin y Uso de la Informacin en la SP

3.1 Funcionamiento Institucional

La instancia encargada de la elaboracin del Protocolo de Manejo Responsable de laInformacin es el Comit de Planificacin de la SP, integrado por la Superintendenta, elFiscal, los Intendentes de Regulacin y Fiscalizacin, el Jefe la Divisin de AdministracinInterna e Informtica y la Coordinadora de Gestin de la SP.

Para efectos del presente protocolo se distinguir entre administracin y uso de lainformacin. La funcin de administracin se refiere a los aspectos tcnicos (operacin /hardware / software) y de seguridad informtica cuyo responsable es la Divisin deAdministracin Interna e Informtica (DAI), conforme a las funciones asignadas por elD.F.L. 101 de 1980 y sin perjuicio de las otras funciones asignadas a la DAI en estedecreto. Para cumplir con este propsito, la DAI elaborar sus propias polticas y manualesde operacin, los cuales estarn orientados a facilitar el trabajo de los funcionarios en estarea. No obstante, los cambios en las polticas estratgicas en el mbito de laadministracin de la informacin institucional debern ser aprobados por el Comit dePlanificacin de la SP. Por su parte, el uso de la informacin ser determinado por elComit de Planificacin, instancia que autorizar y/o restringir el acceso a la informacina las Divisiones u otras unidades de la Superintendencia.

Cuadro 1Funcionamiento Institucional


14/32

14

Sin perjuicio de lo anterior, el Superintendente determina que unidades o divisiones son lasresponsables tcnicas de las bases de datos o fuentes de informacin. Por responsablestcnicos se entiende en este contexto, aquellas unidades que gestionan la operacin de lasbases de datos y sus modificaciones en conjunto con la DAI.

Un rol especial en este esquema tendr la Divisin de Estudios que ser la unidadencargada de canalizar todas las solicitudes externas de informacin y/o datos coninstituciones no reguladas desde y hacia SP, debiendo realizar las consultas tcnicas yjurdicas que corresponda en cada caso, generar las respuestas o solicitudes para la sancinde la Superintendenta, en base a la propuesta de las unidades especializadas y reportar alComit de Planificacin peridicamente sobre los flujos de informacin hacia y desde la SPcon instituciones no reguladas.

3.2 Alcance del Protocolo

El alcance de este protocolo y sus recomendaciones se extienden a toda la informacin queexiste y se maneja en la Superintendencia de Pensiones, tanto fsica como electrnica,datos, bases de datos, expedientes y documentacin en general. No obstante, el Comit dePlanificacin podr requerir que determinada informacin que se denominar IBDE(Informacin y Bases de Datos Especiales), se someta a los procedimientos especialesconsignados en la seccin 3.3 del presente protocolo, en razn de la necesidad de limitar suacceso o de requerir un tratamiento especial para su uso y/o almacenamiento. Ejemplos deinformacin IBDE que ser tratada bajo los resguardos definidos en la seccin 3.3 es lainformacin recabada desde las instituciones reguladas para la aplicacin de lasfiscalizaciones bajo el enfoque de Supervisin Basada en Riesgos (SBR), las bases de datosde Afiliados (BDA), las bases de datos del Seguro de Cesanta, las bases de datos debeneficiarios del IPS, los expedientes de sanciones, los expedientes mdicos, bases delicitacin en elaboracin, datos relativos a la cartera de inversiones de los Fondos dePensiones e informacin reservada recibida por la SP desde otras instituciones.

Las bases de datos que contengan informacin nominada debern ser siempreclasificadas como IBDE y ser tratadas bajo el protocolo de la seccin 3.3, el cual consideraun estricto procedimiento de autorizacin, establecimiento de perfil de acceso eincorporacin al Registro de Accesos IBDE. Se entender por bases de datos nominadasaquellas bases de datos en que es posible identificar informacin personalizada o individualde personas naturales o jurdicas, ya sea directamente (por ejemplo a travs de rut y/onombre) o indirectamente a travs de otra informacin que por s sola o combinada permitaindividualizar la informacin. Las bases de datos que en razn de su contenido confidencialreferido a afiliados, portafolios y transacciones de fondos de pensiones, informacinfinanciera de las administradoras u otra informacin que se encuentra directamenteprotegida por Ley debern ser clasificadas como IBDE (ver seccin 2).

Dentro de la informacin ms comnmente manipulada y requerida por el personal de la SPse encuentran las minutas internas, notas internas, informacin sobre entidades fiscalizadas,expedientes, oficios, estudios, bases de datos, informacin externa e informes de distintanaturaleza. Si bien dicha informacin puede no estar especficamente calificada por el


15/32

15

Comit de Planificacin como IBDE, los funcionarios debern ser cuidadosos en sutratamiento y manipulacin debiendo observar como mnimo las disposiciones yrecomendaciones establecidas en el Anexo 3 de este documento.

Cabe destacar que una parte importante de la informacin y bases de datos se encuentra

bajo aplicaciones propias de la SP, preestablecidas y que permiten trabajar con accesorestringido. Sin embargo, existen una serie de aplicaciones particulares, elaboradas por lasunidades usuarias y que manejan informacin confidencial a travs de planillas electrnicasde clculo u otros programas de manejo de bases de datos. En estos ltimos casos cobraespecial relevancia el contenido de los siguientes acpites de esta seccin.

3.3

Autorizaciones y Accesos a IBDE

Las autorizaciones para acceder a IBDE emanarn desde el Comit de Planificacin yrecaern en las Divisiones o Unidades correspondientes. Cada Jefe de Divisin podr

autorizar a su personal a cargo, estando prohibido entregar autorizacin a personas que nopertenezcan formalmente a la institucin. Las autorizaciones deben ser formales ycomunicadas a la DAI por nota interna, especificando el motivo o justificacin de laautorizacin, el nivel de acceso y/o las limitaciones cuando corresponda y el periodo por elcual se autoriza el acceso a la IBDE. El plazo de autorizacin no deber exceder dos aos ylas personas autorizadas debern firmar individualmente el compromiso deconfidencialidad del Anexo 2, siendo responsabilidad de cada funcionario tramitar lasrenovaciones de los accesos a informacin. Una copia de este compromiso deber quedaren poder del interesado y otra copia en la DAI.

La DAI crear y mantendr actualizado un registro denominado Registro de AccesosIBDE en el cual se consignar la informacin clasificada como IBDE por el Comit dePlanificacin y las autorizaciones posteriores de acceso que se otorguen por parte delpropio comit o por los jefes de divisin o unidad segn corresponda. El Registro deAccesos IBDE ser clasificado a su vez como IBDE, es decir, estar disponible paraconsulta a los funcionarios autorizados por el Comit de Planificacin. No obstante, todofuncionario de la SP podr consultar a travs de su clave, el estado de sus accesos vigentesa IBDE.

En los casos en que ello sea posible, la DAI procurar la habilitacin de sistemasautomticos de perfiles de administrador en los cuales se podr otorgar los accesos a laIBDE jerrquicamente, es decir desde los jefes de divisin a los jefes de departamento ystos a su vez al personal a su cargo, registrndose automticamente los accesos y perfilesen el Registro de Accesos IBDE.

En aquellos casos, en que tcnicamente sea posible su implementacin, se definirn nivelesde acceso a la IBDE que debern quedar consignados en el Registro de Accesos IBDEsealado en el 3.2 de esta seccin. Los niveles de acceso podrn ser propuestos por los jefesde divisin o unidades usuarias de la informacin, especificando las restricciones/habilidades de los distintos niveles de acuerdo a las caractersticas propias de la IBDE quese trate. No obstante lo anterior, los niveles de acceso y las definiciones que se presentan a


16/32

16

continuacin servirn de referencia para estructurar los niveles de acceso requeridos encada situacin y sern de uso obligatorio para otorgar los accesos en el caso de las bases dedatos nominadas.

Nivel I (acceso total): Con este perfil de acceso se podr consultar toda lainformacin disponible sin restricciones y modificar la IBDE, cuando corresponda.La modificacin o actualizacin de informacin corresponder slo en casosexcepcionales y cuando la SP sea la generadora de la informacin (ejemplo;Calificaciones de la Matriz de Riesgos SBR). Cuando se permitan modificaciones a laIBDE, las aplicaciones debern permitir el registro y la identificacin de lasmodificaciones, indicando fecha, responsable y la modificacin. Si estasmodificaciones no se registraren automticamente, la informacin deber consignaren algn lugar identificado especialmente para estos fines y dentro de la misma IBDEdicha informacin (hoja especial con modificaciones, ltima actualizacin, etc.)

Las bases de datos que se estructuran a partir de informacin reportada por losorganismos regulados, no deben ser modificadas directamente por personal de la SP(ejemplo: Base de Datos de Afiliados). Los sistemas debern, cuando tcnicamentesea posible, impedir la alteracin de la informacin que fue reportada por un tercero.El mecanismo para actualizar o modificar informacin es la retransmisin o reenvoformal de la informacin a la SP por parte de los regulados o terceros informantes.

Nivel II (acceso restringido): El perfil de acceso Nivel II no permitir bajo ningunacircunstancia modificar la informacin contenida en la IBDE, adicionalmente tendrrestricciones respecto a la informacin que la persona autorizada en este nivel puedeacceder. El nivel de restricciones que presenta este acceso deber quedar consignadoen el Registro de Accesos IBDE que llevar la DAI y las aplicaciones informticasque permitan operar con esta informacin debern contener las restriccionescoincidentes con las restricciones definidas para este nivel de acceso. En el caso debases de datos nominadas, este perfil slo permitir acceder a informacininnominada. El proceso de innominacin / nominacin deber ser efectuado porpersonas con acceso Nivel I y bajo un protocolo especial definido en conjunto por laDAI y la Divisin de Estudios y publicado en la Intranet institucional.

Nivel III (acceso especial): Este perfil identificar tipos de acceso genricamentedistinto a los anteriores y se asignar a los usuarios que se les permita consultarinformacin preestablecida o en la terminologa de bases de datos de afiliados aconsultas semi-estructuradas. As tambin, se deber considerar este nivel deacceso para utilizar las aplicaciones que permiten bsqueda de personas (una a unapor alguna variable predeterminadas, ej. RUT).


17/32

17

3.4 Clasificacin y Rotulacin de la Informacin

Independientemente de que la informacin haya sido calificada o no como IBDE, elpersonal de la SP deber rotular la informacin sobre la cual tenga conocimiento que seaespecialmente sensible ya sea desde un punto de vista legal o estratgico institucional. Para

efectos de rotular la informacin y dar un tratamiento adecuado en cada caso, se deberindicar claramente la naturaleza confidencial de informacin o partes o campos quecorrespondan a informacin confidencial. No obstante, una base de datos o texto quecontenga parcialmente informacin confidencial deber ser clasificada y rotulada en formantegra como confidencial. El criterio general para clasificar informacin debe procurar queel usuario siempre est razonablemente enterado que est teniendo acceso a informacinconfidencial. El Anexo 4 considera una Gua para la Rotulacin de la Informacin yorienta sobre forma y avisos de confidencialidad.

Por motivos de seguridad no se puede asumir que aquella informacin que no estcatalogada como confidencial es pblica, slo aquella informacin rotulada explcitamente

como pblica tendr esta naturaleza para efectos del manejo interno institucional/6

. Lainformacin a la cual no se le haya asignado alguna de las clasificaciones anteriormentesealadas se asumir como reservada. La diferencia entre confidencial y reservada paraefectos de este protocolo es que la informacin confidencial est protegida explcitamentepor ley (ej: datos personales de afiliados, carteras de los fondos de pensiones) y debe serclasificada como IBDE. Por su parte la informacin reservada es aquella que no estmencionada explcitamente en la ley, pero forma parte de la informacin del sistemaprevisional sobre la cual los funcionarios de la SP tienen deber de reserva. La informacinreservada puede circular con esta denominacin dentro de la SP y para su conocimientofuera de la institucin requiere de autorizacin del Comit de Planificacin o delSuperintendente (ejemplo, minutas de temas en estudio, propuestas de normativa, etc).

Cuando un funcionario tenga dudas o discrepancias respecto a la clasificacin de lainformacin en las categoras mencionadas, deber consultar a su superior y las consultasdebern ser canalizadas formalmente por los jefes de divisin o unidades al Comit dePlanificacin. El Comit de Planificacin deber responder formalmente a travs de notainterna y si este comit lo considera pertinente, los alcances de la consulta podrn serinformados a ms personas o a todo el personal de la institucin.

/6 Al respecto se debe tener en consideracin la Ley de Transparencia, Ley N 20.855.


18/32

18

4 Intercambio de Informacin con otras Instituciones

El intercambio de informacin con otras instituciones y/o personas cobra particular

importancia dentro de este protocolo. Para facilitar el intercambio de informacin, acontinuacin se entregan algunos lineamientos bsicos que se debern respetar al momentode enviar o recepcionar una solicitud de informacin. La recomendaciones para un procesode solicitud o flujo de informacin incluidas en el protocolo abarcan un intercambionormal de informacin, entendindose que en determinadas circunstancias se enfrentansituaciones extraordinarias o urgentes, las cuales deben ser resueltas a la brevedad peroque debern necesariamente ser visadas directamente por el Superintendente.

4.1 Centralizacin de Solicitudes en la Divisin de Estudios

La Divisin de Estudios ser la unidad encargada de canalizar todas las solicitudes deinformacin desde y hacia la SP con personas naturales e instituciones no reguladas por laSuperintendencia. En este rol, el Jefe de la Divisin de Estudios deber visar las solicitudesde informacin de esta naturaleza, generadas por las diferentes divisiones o unidades alinterior de la SP, verificando su consistencia, no duplicidad con peticiones existentes deotras divisiones y los resguardos bsicos contenidos en el presente protocolo. El oficio quecontiene la solicitud de informacin ser elaborado por la Divisin solicitante, revisado porla Fiscala y la Divisin de Estudios (DE) y luego, la DE enviar el oficio a la firma delSuperintendente.

En forma similar, las respuestas a solicitudes de informacin recibidas desde instituciones o

personas externas a la SP debern ser canalizadas a travs de la Divisin de Estudios,divisin que ser responsable de coordinar con las instancias que corresponda, laevaluacin de la solicitud considerando al menos los siguientes aspectos:

i) Factibilidad legal considerando las restricciones y facultades enunciadas en laSeccin 2 de este documento (consulta a Fiscala).

ii) Factibilidad tcnica, referida fundamentalmente a la existencia de la informacin(periodos, variables y formatos solicitados), certeza o precisin de la informacin ycapacidad de generacin de la informacin, en el caso de que no se encuentreinmediatamente accesible. Dicha evaluacin y potencial respuesta deber seraportada por la divisin que tiene acceso a la informacin o aquella que mscercanamente se encuentre relacionada al tema en consulta. As tambin ydependiendo del tipo de solicitud, la factibilidad tcnica deber ser determinada ocomplementada con la evaluacin de la DAI, as como tambin, la determinacin delos medios seguros de transmisin.

La evaluacin de las solicitudes deber dimensionar el tiempo y los recursospotencialmente empleados en la elaboracin de la informacin solicitada, con el fin de


19/32

19

facilitar las respuestas por parte de la SP. Se debe considerar que la generacin de lainformacin del tipo no habitual, con alta probabilidad, puede requerir la utilizacin derecursos extraordinarios para su elaboracin, por lo que dichos recursos deben serdimensionados, siendo este aspecto parte importante de la evaluacin. As tambin, latransmisin de dicha informacin o su transporte, puede involucrar requerimientos

especiales de espacio o seguridad.Se debe procurar responder en un plazo breve, teniendo en consideracin la urgencia ypertinencia de la solicitud y eventualmente, los plazos preestablecidos reglamentariamentepara responder (ej: Ley de Transparencia). Con todo, los plazos para responder, al menosen primera instancia, no debern superar 30 das contados desde el plazo de recepcin de lasolicitud en la SP.

La respuesta enviada por la SP deber indicar claramente, el carcter de pblico oconfidencial de la informacin enviada e indicar si corresponde, las restricciones quepudieran existir en el uso de dicha informacin. Asimismo, se deber tener especial cuidadoen la utilizacin de medios autorizados para el envo de informacin, procurando lautilizacin de los medios eficientes de mayor seguridad disponibles, en razn de lascaractersticas de la informacin y el destinatario.

4.2 Medios Habilitados para el Intercambio de Informacin con Externos

Los medios que se enuncian a continuacin son aquellos autorizados para el intercambio deinformacin de acuerdo al presente protocolo. Los medios de transmisin estn priorizadosen razn de su seguridad o probabilidad de ser intervenidos por personas ajenas a aquellasque estn autorizadas para intercambiar informacin. El uso especfico de cada mediodeber ser evaluado caso a caso, dependiendo de si se trata de informacin peridica opuntual, de carcter confidencial o pblico, de su clasificacin como IBDE, de la urgenciadel requerimiento, del costo del envo, etc. Para aquellos casos de mayor complejidadtcnica, se deber siempre solicitar la opinin de la DAI.

Transmisin electrnica de datos: Cuando se trate de intercambios peridicos se deberprivilegiar la transmisin de datos a travs de vas seguras. La situacin ms evidenteen este sentido surge con las instituciones reguladas (IPS /AFPs /AFC). Paramaterializar dicha transmisin se deber consultar la opinin tcnica de la DAI, divisinque adems coordinar los requerimientos para el proceso de transmisin. Tambin sedeber privilegiar este mecanismo o similares tcnicamente, cuando el intercambio deinformacin se produzca con otros organismos estatales nacionales con los que existaintercambio regular de informacin/7. La informacin a intercambiar debe estarpreviamente definida y formalizada a travs de una peticin institucional.

/7 Adicionalmente, en el caso de los organismos del Estado de Chile, la transmisin de datos debe apoyarseen las normas contenidas en el D.S. 81 del 2004 del Ministerio Secretara General de la Presidencia. Latransmisin puede realizarse a travs de la Plataforma Integrada de Servicios Electrnicos del Estado(PISEE).


20/32

20

Acceso sitio web: Cuando no se pueda establecer un proceso de transmisin segura dela informacin a travs de una va dedicada o exclusiva, se deber optar por un acceso atravs de clave a un sitio web definido para estos efectos. Por ejemplo, la SP podrponer a disposicin de la institucin solicitante la informacin requerida en nuestro sitio

web, con acceso a travs de clave de usuario que deber generar la DAI. Condicionessimilares se debern requerir en aquellos casos en que la institucin solicitante sea laSP. La Superintendencia contar con una direccin URL en la que la institucininformante podr subir las bases de datos/8. La forma en que se acceder y habilitarnlas claves de acceso debern ser definidas por la DAI/9.

Medio porttil de almacenamiento con clave: Si no es posible o conveniente estableceruna comunicacin en los trminos sealados anteriormente, se deber enviar / recibir lainformacin en un medio porttil de almacenamiento (ej, DVD, CD u otros), cuyainformacin slo pueda ser accesible con la utilizacin de una clave. El dispositivodeber ser enviado al jefe del servicio o directivo superior de la Institucin(directamente al Superintendente cuando se trate de recepcin de informacin), en unsobre sellado, identificando adems la divisin y el destinatario de la informacin. Losmedios de transporte vlidos de entrega sern: entrega personal (acreditando recepcin),correo certificado y correo personalizados tipo express.

Informacin en papel: Si no hay alternativa o se ha determinado que la informacinestar impresa en papel, los medios de transporte vlidos para enviar /recibir lainformacin sern los mismos sealados en el prrafo anterior, tomando aquellosresguardos razonables para el transporte de la informacin (indicando que se trata deinformacin confidencial, utilizando un sellado apropiado, evitando que se trasluzca,etc.).

e - mail: El mail nunca deber ser utilizado para el envo de informacin peridica. Slose podr enviar informacin por e-mail cuando lo autorice el Superintendente en raznde la urgencia y/o imposibilidad de actuar distinto.

/8 La DAI definir un tamao mximo de bases de datos a subir a travs de la direccin URL./9 Notar que la base de datos ser subida a la direccin URL utilizando una transmisin encriptada hasta que

llegue al servidor de la Superintendencia de Pensiones.


21/32

21

5 Acceso de Externos a Informacin SP

Existen situaciones especiales en que personas externas a la SP tendrn acceso autorizado a

la IBDE u otra informacin que se maneja en la institucin. En esta situacin se encuentranlas personas contratadas a honorarios, alumnos en prctica, profesionales en pasantas odelegaciones extranjeras, acadmicos realizando investigacin conjunta con la SP u otrosprofesionales contratados por la SP. En todos estos casos, la DAI debe encargarse que laspersonas firmen una declaracin de responsabilidad y de confidencialidad de lainformacin a la cual tengan acceso en razn de las actividades que estn desempeando enla SP, la cual incorpora el compromiso de respetar el presente Protocolo de ManejoResponsable de Informacin (Anexo 2: Acuerdo de Confidencialidad Persona Externa a laSP).

Independiente de la firma del acuerdo de confidencialidad, las personas anteriormente

sealadas debern contar con una autorizacin expresa para acceder a informacinconfidencial extendida por el Comit de Planificacin. En dicha autorizacin deber quedarestablecido el acceso a IBDE, el nivel de acceso y la firma de la persona que autoriza.Asimismo, la autorizacin deber quedar consignada en el Registro de Accesos IBDE de laSP.

En trminos generales las personas externas a la SP debern cumplir con estrictas medidasde seguridad en el manejo de informacin. En el caso que la Superintendencia subcontrateo externalice estudios tcnicos o actuariales en los que sea necesario utilizar el universocompleto de alguna de las bases de datos, los investigadores externos debern trabajar enlas dependencias de la Superintendencia en computadores restringidos, especialmenteadaptados para resguardar razonablemente la seguridad de los datos a los cuales se tieneacceso (sin acceso a internet ni a e-mail, sin puerto USB, ni tener la posibilidad de copiar lainformacin). Los investigadores o personas externas a la SP nunca podrn acceder a lasbases de datos nominadas, ya sea el universo total o una muestra, como resultado de losprocesos que se desarrollen en las dependencias de la Superintendencia. Slo podrndisponer de resultados agregados tales como cuadros estadsticos, resultados economtricoso datos innominados.

Al trmino de las labores desempeadas en la SP, las personas debern devolver al Jefe dela Divisin encargada, todo el material al que han tenido acceso en la SP y/o eliminar lascopias con informacin total o parcial que pudieran tener en su poder. El uso deinformacin, como asimismo de las conclusiones o resultados obtenidos en razn deltrabajo en la SP o en colaboracin con la SP debe ser autorizado expresamente por elSuperintendente.


22/32

22

Anexo 1: Acuerdo de Confidencialidad Personal SP

Acuerdo de Confidencialidad

Santiago, XX de XXX de 20XX

Yo, , RUN o N Pasaporte < nmero>,funcionario en calidadde de la Superintendencia de Pensiones de Chile, en adelante SP, en mi

desempeo del cargo de , , suscribo el presente Compromisode Confidencialidad.

En el ejercicio de mis tareas funcionarias puedo tener acceso a mltiples tipos y formas deinformacin relacionadas con la SP y otras entidades que forman parte del Estado de Chile,como tambin de entidades privadas, sus accionistas, directores, proveedores, empleados yclientes, que sean o no objeto de fiscalizacin por parte de la SP.

En particular tendr acceso a la informacin confidencial que se identifica a continuacin:

a)

XXXXX

b)

XXXXXXXXc) XXXXXXX

Entiendo que toda la informacin no pblica relacionada con las personas y entidadesmencionadas tiene el carcter de confidencial, est sujeta a reserva de mi parte y slo puedoutilizar la informacin para los fines que mis responsabilidades como funcionario de la SPrequiera.

Entiendo que en algunos casos, la publicacin, traspaso no autorizado o mal uso deinformacin confidencial puede ser un crimen penado por Ley. Entre las normas msrelevantes al respecto se encuentran las Leyes Nro. 19.628, 19.728 y 20.255 y el DL 3.500y otras disposiciones mencionadas en la Seccin 2 del Protocolo de Manejo Responsable deInformacin de la SP.

Adems, declaro conocer y me comprometo a respetar las disposiciones del Cdigo detica de la SP, comunicado a travs de la Resolucin Exenta N 1440 de fecha 20 de agosto2010 y el Protocolo de Manejo Responsable de Informacin de la SP.


23/32

23

Me comprometo a:

No divulgar informacin confidencial, por ningn medio, sin un permiso escrito dela SP.Entregar mi mayor esfuerzo para proteger la informacin confidencial de ser

divulgada o mal utilizada.Usar slo la informacin confidencial para el propsito de mi trabajo en la SP; yDevolver a la SP cualquier informacin confidencial que pueda tener en mi podercuando termine mi trabajo en la SP, o antes si la SP as me lo solicita.

Firma del testigo de la SPNombre:

...

Firma del Funcionario de la SP que suscribe

compromiso

Nombre:

...


24/32

24

Anexo 2: Acuerdo de Confidencialidad Persona Externa a la SP

Acuerdo de Confidencialidad

Santiago, XX de XXX de 20XX

Yo, YYYY YYYYY YYYYY, nacionalidad (XXXX), Rut: XXXXXXXX / N pasaporteXXXXXX, desarrollar labores en la Superintendencia de Pensiones, en calidad de alumnoen prctica /investigador tiempo parcial a partir del X de XXXX de 201X y hasta el XX deXXXX de 201X (o meses). El principal objetivo de esta contratacin / pasanta ser

.Declaro estar en pleno conocimiento que la informacin a la cual tendr acceso o podratener acceso en la Superintendencia de Pensiones es de carcter confidencial y su uso odivulgacin est sujeta a sanciones establecidas por Ley. Asimismo, declaro conocer lascondiciones de acceso y uso de informacin, contenidas en el documento Protocolo para elManejo Responsable de Informacin de la Superintendencia de Pensiones, as comotambin, conocer las disposiciones del Cdigo de tica de la institucin, las cuales mecomprometo a respetar a cabalidad.

Por ltimo, declaro estar en conocimiento que el material elaborado a partir del trabajodesempeado en la Superintendencia y los potenciales resultados o conclusiones que puedaobtener son de propiedad de la Superintendencia de Pensiones y su uso bajo cualquiercircunstancia requiere expresa autorizacin de dicha institucin.

__________________________________YYYY YYYYY


25/32

25

Anexo 3: Recomendaciones para la Manipulacin y Almacenamiento de Informacin

Las recomendaciones que se establecen en este anexo no agotan los potenciales resguardos

que se puedan adoptar en funcin de proteger la informacin que manejan los profesionalesen la SP. Por ello, las personas deben proceder con un criterio de prudencia que en muchoscasos y dependiendo de las circunstancias, implica adoptar resguardos superiores a aquellosaqu consignados. Las siguientes recomendaciones constituyen un mnimo a aplicar y debenser complementadas con las recomendaciones o procedimientos especiales sealados en losmanuales de procedimientos elaborados por las unidades especializadas respectos dedeterminadas actividades y/o procesos.

Nunca compartir claves, especialmente si ellas permiten tener acceso a informacinconfidencial (IBDE).Cambiar las claves a lo menos cada seis meses procurando que ellas cumplan

estndares de seguridad para gestin de claves (alfanumricas, de largo predeterminado,sin informacin personal, entre otras).No usar programas ni aplicaciones no autorizadas por la institucin.No acceder a copias de informacin o bases de datos confidenciales a los cuales no setiene acceso autorizado.No generar copias totales o parciales de informacin catalogada como IBDE quepuedan circular o manipularse sin el nivel requerido de resguardo o facilitar su uso porpersonas no autorizadas.No dejar documentos impresos abandonados en las impresoras o en lugares sin accesorestringido (salas de reuniones / otras oficinas).Dar aviso y/o entregar a las secretarias de divisin, informacin que pueda ser

encontrada en lugares de acceso general.Eliminar informacin grabada en notebooks de sala de reuniones u otras dependencias,asegurando tambin su eliminacin de la papelera.Trasladar informacin confidencial, incluso dentro de las dependencias de la SP, conmedidas de resguardo, tales como sobre sellados, carpetas cerradas e indicandovisiblemente el carcter de confidencial de la informacin.Destinar algn mueble o lugar para almacenar informacin que pueda ser catalogadacomo IBDE. Este lugar puede ser individual o determinado por la Divisin o / Unidadcorrespondiente para estos efectos.No usar e-mail para el envo de informacin confidencial fuera de la SP. Solo utilizar ele-mail si es estrictamente necesario y si se cumplen las condiciones sealadas en la

Seccin 4.2 de este documento. Considerar el uso de firma electrnica existente en laSP.No utilizar el disco duro del computador personal para grabar la informacininstitucional y utilizar exclusivamente como dispositivo de almacenamiento los discos ounidades de red que la DAI determine para estos efectos (ejemplo: disco F), los cualescorresponden a servidores protegidos y respaldados.Mantener el escritorio libre de documentacin confidencial o IBDE, la cualpreferentemente deber guardarse en muebles con llave.


26/32

26

No transportar informacin confidencial fuera de la oficina.No usar dispositivos de almacenamiento porttiles (e.g., pendrive / CD / DVD / discosexternos USB / notebook, etc.) para transportar informacin confidencial o reservadafuera de la oficina. Evitar trasladar informacin confidencial fuera de la oficina y pormotivos distintos a realizar labores de trabajo (reuniones o trabajo extraordinario y

justificado).Enviar informacin reservada en sobres debidamente sellados utilizando los medios detransporte y protocolos autorizados.Se podrn utilizar accesos remotos a informacin de la SP, estando debidamenteautorizado por el CP.Utilizar bloqueadores de pantalla en los puestos de trabajo que permitan bloquear elacceso, si no hay actividad, en un plazo reducido (recomendado 15 minutos). Apagarlos computadores al finalizar la jornada laboral.Dar la categora de informacin reservada a la IBDE que circule por el Sistema deGestin Documental (SGD).


27/32

27

Anexo 4: Gua para la Rotulacin de la Informacin Confidencial (Templates)

El objetivo de este Anexo es entregar una gua para rotular adecuada y visiblemente lainformacin confidencial o IBDE con el objetivo de que cualquier persona se entererazonablemente que est accediendo a informacin confidencial. La recomendacin essiempre disponer de medidas de seguridad en el acceso a esta informacin, tales comoutilizacin de claves, sistemas especiales, lugares fsicos resguardados, etc. No obstante, alacceder a esta informacin, los usuarios deben informarse adecuadamente del carcter deconfidencial de la informacin.

Una gua actualizada para Rotular Informacin IBDE estar disponible en Intranet, dondese podrn obtener templatesinstitucionales para presentaciones, minutas, subject de e-mail,oficios reservados, sobres y carpetas con informacin confidencial, rotulacin para planillas

electrnicas y advertencias tipo para aplicaciones desarrolladas en nuestra institucin.

a)Minutas Internas

En cada pgina como encabezado: Confidencial

MINUTA DIVISIN XXXXXROTULACION DE INFORMACIN CONFIDENCIAL

(Folio o Numeracin Interna a la Divisin)

Depto. de XXXXXXJuan XXXX/ Rodrigo XXXX

XX de octubre de 201X

CONFIDENCIAL

Materia: XXXXXX XXXXXXXX .

Texto de la Minuta..

Pgina numerada


28/32

28

b)

Documentos (Tapa)

En cada pgina como encabezado: Confidencial

ROTULACION DE INFORMACIN

Superintendencia de PensionesFecha

CONFIDENCIAL

Slo para comentarios SP

Versin 2.0


29/32

29

c)Presentaciones

d)

E- mail

Respecto de los e-mails con informacin confidencial enviados dentro de la institucinestos debern cumplir con la condicin de iniciar el asunto o subject con la palabra IBDE oconfidencial.

Asunto: Confidencial datos XXXXXXX o Asunto: IBDE datos XXXXXXX

Se debe tener en consideracin para no rotular todo como confidencial que la rotulacinindicada del asunto del e-mail se utilizar slo en el caso en que los adjuntos contenganinformacin confidencial. En el caso que no exista adjunto y la informacin del texto ocuerpo del e-mail tenga el carcter de confidencial, en alguna parte del texto se debe sealareste hecho con la palabra Confidencial. Cuando sea posible, indicar en el texto principalde e-mail, el nombre del destinatario para facilitar la identificacin de aquellos correosrecibidos por error en la direccin.

En aquellos casos en que se reenve informacin externa o un e-mail recibido desdepersonas o instituciones ajenas a la SP con carcter de confidencial se deber indicar lapalabra confidencial.


30/32

30

Si algn funcionario recibiere por error un correo electrnico de otro funcionario coninformacin confidencial deber notificar este hecho por la misma va al emisor del correoy luego eliminar el mensaje de la bandeja de entrada y posteriormente de la carpeta quecontiene los correos eliminados.

En los correos electrnicos enviados a personas externas a la SP, se deber tener especialconsideracin de las instrucciones de la seccin 2.4 del presente documento. Sin perjuiciode lo anterior, se deber enviar los correos utilizando un asunto que noentregue indicacindel carcter de confidencial de la informacin y por lo tanto, no se deber utilizar la palabraconfidencial, IBDE o reservado.

Adicionalmente se debern respetar las siguientes indicaciones:En el texto del correo se deber identificar al destinatario con su nombreSe deber agregar una nota al final del correo que indique:Nota: Informacin confidencial de la SP para uso exclusivo de >.

Se debe incluir una leyenda que advierta al receptor por error de esta informacin suresponsabilidad legal de acceder a esta informacin, su obligacin de notificacin alemisor y de su eliminacin.Adjuntar archivos cuidando que su rotulacin cumpla con las indicaciones de esteanexo dependiendo del tipo de archivo que se trate.

e)

CD o DVD

Los discos utilizados con IBDE debern utilizar etiquetas especiales tanto en el propiodisco como en su caja de almacenamiento. Se debe recordar que estos medios coninformacin IBDE debern estar siempre con clave para el acceso a su informacin. Las

etiquetas debern estar disponibles para su impresin en las secretaras de las divisiones enconformidad con el siguiente formato.

Ttulo: XXX XXXXFecha: XXXX

Informacin ConfidencialProhibido su uso a personas no autorizadas

En caso de extravo favor devolver a Superintendencia de Pensiones(Direccin: Av. Libertador Bernardo OHiggins 1449, torre 2, piso XX,Santiago Chile) o tomar contacto al telfono XXXX o [email protected]

Ttulo: XXX XXXXFecha: XXXX

Informacin ConfidencialProhibido su uso a personas no autorizadas

En caso de extravo favor devolver a Superintendencia de Pensiones (Direccin:Av. Libertador Bernardo OHiggins 1449, torre 2, piso XX, Santiago Chile) o

tomar contacto al telfono XXXX o email [email protected]


31/32

31

f)Informacin en papel

Dada la diversidad de situaciones o formas en las que se puede presentar la informacin

impresa resulta imposible abarcar todos los casos, por lo que se deber siempre utilizar unaasimilacin razonable a los casos aqu presentados.

Considerar la utilizacin de los formatos sealados en las letras a) y b) del presenteanexo. Privilegiar el uso de primeras pginas /tapas que no revelen contenidoespecfico confidencial (slo indiquen que contiene informacin confidencial).

Cuando se trate de oficios reservados elaborados por la SP se deber indicar estacalidad en la parte superior derecha del oficio usando el formato habitual de la SPdel cual disponen las secretarias en la institucin.

El ingreso de oficios reservados al Sistema de Gestin Documental (SGD) de la SPdebe ser registrado en calidad de reservado con la aplicacin existente en el SGDpara estos efectos.

Si se trata de informacin ya impresa o histrica que no consigne la calidad deconfidencial, cuando ello corresponda y no constituya una alteracin al valor legal odocumental histrico de dicha informacin, agregar visiblemente un timbre con laleyenda Confidencial.

Si no es posible agregar una marca de timbre en los trminos sealados en el puntoanterior o no resulta eficiente hacerlo, se debe utilizar una carpeta, sobre o

dispositivo contenedor de esta informacin, rotulado con una etiqueta visible queindique su carcter de Confidencial.

g)Mensajes de Advertencia en Software y Archivos Electrnicos

En las aplicaciones informticas desarrolladas internamente en la SP se deber habilitar unmensaje de advertencia respecto del acceso a la informacin confidencial, sin perjuicio delas medidas de seguridad que pudieran tener implementadas dichas aplicaciones enconformidad con este Protocolo de Uso Responsable de Informacin.

En este sentido, cuando tcnicamente sea factible de implementar, se debe incorporar unmensaje visible que se despliegue, una vez superado el proceso de introduccin de nombrede acceso y claves que permiten el ingreso a las aplicaciones. El mensaje debe incorporaropciones de aceptar el ingreso o salir de la aplicacin.

El mensaje de advertencia deber tener el siguiente formato:


32/32

En el caso de archivos de paquetes estadsticos y/o aplicaciones tradicionales con licenciacomercial se deber indicar en la primera hoja o lnea la frase: Informacin Confidencial.A modo de ejemplo, en una planilla electrnica de clculo se deber indicar la frasereferida, visiblemente en la primera fila de cada hoja. Las pantallas de salida o output aimprimir tambin debern incluir la rotulacin Informacin Confidencial.

AdvertenciaAcceso a Informacin Confidencial

Estoy debidamente autorizado por la Superintendencia de Pensiones para utilizar estaaplicacin informtica y acceder a la informacin confidencial con la cual trabaja esteprograma.Acepto las condiciones y consecuencias de las regulaciones que rigen el acceso a lainformacin confidencial a la cual estoy accediendo a travs de esta aplicacin.

ACEPTAR CANCELAR

Documento de Oro

Documents

Transcript of Documento de Oro