AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

Ciudad de Buenos Aires, 27/10/2023

VISTO el Expediente Nº EX-2023-123052025- -APN-AAIP; la Ley N° 27.275; el Decreto N° 577 del 28 de julio de 2017, modificado por su similar N° 480 del 11 de julio de 2019; las Decisiones Administrativas N° 1865 del 16 de octubre de 2020, N° 641 del 25 de junio de 2021, y N° 1094 del 1° de noviembre de 2022; las Resoluciones de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN N° 829 del 24 de mayo de 2019, y N° 1523 del 12 de septiembre de 2019; la Resolución de la SECRETARIA DE INNOVACIÓN PÚBLICA N° 44 del 1° de septiembre de 2023; y

CONSIDERANDO:

Que, según lo establecido en el artículo 19 de la Ley N° 27.275, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP), ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, debe velar por el cumplimiento de los principios y procedimientos establecidos en la citada norma, garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326.

Que todas las infraestructuras tecnológicas de información, comunicación y operación del Sector Público se encuentran expuestas a riesgos de disrupción que podrían afectar severamente los servicios que se prestan a la población.

Que por el Decreto N° 577/2017, modificado por su similar N° 480/2019, se creó el COMITÉ DE CIBERSEGURIDAD en la órbita de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS, el cual tiene como objetivo la elaboración de la Estrategia Nacional de Ciberseguridad.

Que por la Resolución N° 829/2019 de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN se aprobó la ESTRATEGIA NACIONAL DE CIBERSEGURIDAD; y mediante la Resolución N° 1523/2019 de la exSecretaría antes mencionada se aprobaron las definiciones de Infraestructuras Críticas y de Infraestructuras Críticas de Información, la enumeración de los criterios de identificación y la determinación de los sectores alcanzados.

Que en el Anexo de la Resolución citada el último término en el párrafo anterior se define a las Infraestructuras Críticas como aquellas que resultan indispensables para el adecuado funcionamiento de los servicios esenciales de la sociedad, la salud, la seguridad, la defensa, el bienestar social, la economía y el funcionamiento efectivo del Estado, cuya destrucción o perturbación, total o parcial, los afecte y/o impacte significativamente; y, de modo similar, se define a las Infraestructuras Críticas de Información como aquellas tecnologías de información, operación y comunicación, así como la información asociada, que resultan vitales para el funcionamiento o la seguridad de las Infraestructuras Críticas.

Que mediante la Resolución N° 44/2023 de la SECRETARIA DE INNOVACIÓN PÚBLICA, modificatoria de la Resolución N° 829/2019 de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN, se implementó la Segunda Estrategia Nacional de Seguridad orientada a fijar las previsiones nacionales en materia de protección del ciberespacio, y con la finalidad de brindar un contexto seguro para su aprovechamiento por parte de las personas y organizaciones públicas y privadas, desarrollando, de forma coherente y estructurada, acciones de prevención, detección, respuesta y recuperación frente a las ciberamenazas, junto con el desarrollo de un marco normativo e institucional acorde.

Que a través de la Decisión Administrativa N° 641/2021 se aprobaron los “REQUISITOS MINIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”, que como ANEXO I (IF-2021-50348419-APN-SSTIYC#JGM), forman parte integrante de dicha medida y son aplicables a todas las entidades jurisdicciones comprendidas en el inciso a) del art. 8° de la Ley N° 24.156.

Que la mencionada norma establece, entre otras obligaciones, que los organismos alcanzados por su ámbito de aplicación deben desarrollar una Política de Seguridad de la Información compatible con la responsabilidad primaria y las acciones de su competencia, sobre la base de una evaluación de riesgos que pudieran afectarlos; aprobar sus Planes de Seguridad, estableciendo los plazos en que se dará cumplimiento a cada uno de los requisitos mínimos de seguridad de la información (art. 3°); y adoptar las medidas preventivas, de detección y correctivas destinadas a proteger la información que reciban, generen o gestionen, así como sus recursos (art. 6°).

Que, conforme se dispuso mediante la Decisión Administrativa N° 1094/2022, la Dirección de Informática e Innovación tiene como responsabilidad primaria la de asistir a la titular de la Agencia en el análisis, formulación, implementación, actualización y rediseño de los sistemas de información, con miras a los procesos y procedimientos tanto internos como externos, así como en la infraestructura informática, sistemas y otras herramientas que contribuyan al fortalecimiento de las políticas de acceso a la información pública y la protección de los datos personales.

Que, entre otras acciones, la Dirección citada debe asistir a la titular de la AAIP en la definición y aplicación de metodologías y normas relativas a la seguridad y privacidad de la información, de conformidad con la normativa vigente y estándares aplicables en la materia; y supervisar el desarrollo de los sistemas informáticos, establecer sus estándares de control y seguridad, como así también supervisar la aplicación de las normas de integridad y seguridad de datos de la Agencia.

Que con la finalidad de mejorar y simplificar los procedimientos administrativos que se desarrollan en su ámbito funcional, la AAIP se encuentra abocada a la progresiva implementación en sus procesos de trabajo de las Tecnologías de la Información y las Comunicaciones (TIC) y de otras tecnologías emergentes.

Que, teniendo en cuenta lo expuesto, se encomendó a la Dirección de Informática e Innovación proyectar la Política de Seguridad de la Información (PSI) del organismo, con el objetivo de fortalecer la seguridad de la información que recibe, produce y administra, en concordancia con los REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL, establecidos en el Anexo I de la Decisión Administrativa N° 641/2021.

Que dicha política busca proteger los recursos de la información de la AAIP y las herramientas tecnológicas utilizadas para su procesamiento frente a amenazas internas y externas, deliberadas o accidentales; asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información; y afianzar la adecuada implementación de las medidas de seguridad, identificando los recursos disponibles.

Que la PSI debe estar entrelazada con la cultura institucional y, para alcanzar ese objetivo, contará con el compromiso manifiesto de las autoridades de la AAIP.

Que la Unidad de Auditoría Interna y el Servicio Jurídico permanente de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA han tomado las intervenciones de sus respectivas competencias.

Que la presente medida se dicta en cumplimiento de lo establecido por la Decisión Administrativa N° 641/2021.

Por ello,

LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1°.- Aprobar la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA”, que como Anexo IF-2023-127002770-APN-DIEI#AAIP forma parte integrante de la presente medida.

ARTÍCULO 2°.- Establecer que la Política aprobada por el artículo 1° se aplica en todo el ámbito institucional de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, a sus recursos y a la totalidad de sus procesos, ya sean internos o externos, vinculados a través de contratos o convenios con terceros.

ARTÍCULO 3°.- Delegar en el titular de la Dirección de Informática e Innovación de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA la facultad de actualizar la política aprobada por el artículo 1°; dictar las normas aclaratorias y complementarias que resulten necesarias para su adecuada implementación; y aprobar el PLAN DE SEGURIDAD que se elabore de conformidad con lo establecido en el artículo 3° de la Decisión Administrativa N° 641/21.

ARTÍCULO 4°.- Encomendar a la Dirección de Informática e innovación de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA la revisión anual de la política aprobada por el artículo 1° de la presente.

ARTÍCULO 5°.- Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese.

Beatriz de Anchorena

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 31/10/2023 N° 87694/23 v. 31/10/2023