Escolar Documentos
Profissional Documentos
Cultura Documentos
TABLA DE CONTENIDO
INTRODUCCIÓN ----------------------------------------------------------------------------------------------- 3
1. OBJETIVO GENERAL. ------------------------------------------------------------------------------ 4
2. ALCANCE. ------------------------------------------------------------------------------------------- 4
3. TÉRMINOS Y DEFINICIONES. --------------------------------------------------------------------- 5
4. CALIFICACIÓN DE LA INFORMACIÓN. ----------------------------------------------------------- 8
4.1 Metodología de calificación de la información. ----------------------------------------------------- 8
4.1.1 Paso 1: Identificar la información a cargo --------------------------------------------------------- 10
4.1.2 Paso 2: Establecer la Calificación de la información ---------------------------------------------- 11
4.1.3 Paso 3: Definir las medidas de protección para las clases de información ---------------------- 14
4.1.4 Paso 4. Registrar la información en la herramienta de calificación de la información ----------- 16
4.1.5 Paso 5. Validación la información registrada en la herramienta para la calificación de la
información ----------------------------------------------------------------------------------------- 17
4.1.6 Paso 6. Implementación de controles ------------------------------------------------------------- 17
4.1.7 Paso 7. Consolidar inventario de activos de información de la Entidad -------------------------- 18
4.1.8 Paso 8. Publicar el Registro de Activos de Información y el Índice de Información Clasificada y
Reservada en la página Web de la Entidad ------------------------------------------------------- 18
5. MARCO LEGAL ------------------------------------------------------------------------------------ 18
6. DOCUMENTOS ASOCIADOS. -------------------------------------------------------------------- 24
7. RESPONSABLE DEL DOCUMENTO. ------------------------------------------------------------- 24
2
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
La información se consolida como uno de los activos más importantes para las organizaciones,
convirtiéndose en el recurso vital para la gestión y la toma de decisiones. Teniendo en cuenta su
importancia, es necesario que el Departamento Administrativo de la Presidencia de la República aplique
los debidos protocolos para el cuidado, custodia, almacenamiento y disposición final de la información,
acorde con las políticas de seguridad establecidas.
Es preciso que todos los funcionarios y contratistas que se encuentran desarrollando alguna labor con la
Entidad, comprendan el impacto que podría tener la pérdida y/o divulgación de la información considerada
como clasificada o reservada que se encuentre a su cargo. Por éste motivo, es de suma importancia que
cada usuario y/o propietario de la información asuma la responsabilidad de clasificar y calificar la
información de acuerdo a las directrices establecidas, así como también por el uso y custodia de la misma,
para que se proteja este activo vital para la Entidad, minimizando riesgos, evitando posibles inconvenientes
y sanciones para el DAPRE pero sin descuidar los derechos que tiene la ciudadanía en general de acceso
a la información.
Dentro de las múltiples razones por las cuales la entidad debe realizar la calificación de la información a su
cargo, están: cumplimiento regulatorio de la Ley 594 de 2000, Ley 1712 de 2014, Ley 1581 de 2012, sus
respectivos decretos reglamentarios entre otros.
De igual manera se busca el compromiso real y demostrado con los usuarios para la protección de la
información que así lo requiera y el mejoramiento de los procesos de auditoría interna, ya que le permite a
los auditores evidenciar las medidas de control que aplica un área y a los responsables garantizar la
seguridad de la información.
En las actividades de calificación de información deben participar activamente los propietarios, usuarios
finales y custodios de la misma, ya que solo el propietario puede determinar el nivel de calificación que
debe recibir la información.
La calificación de la información no es una actividad aislada sino una actividad integrada y dependiente de
la normatividad, que empieza desde la Constitución Política, los Sistemas de Gestión implementados en el
DAPRE y la Ley General de Archivos, entre otros. La gestión documental es una actividad necesaria en
todas las organizaciones y abarca la gestión de la documentación desde la producción o recepción, la
radicación, la distribución y trámite, la organización, el almacenamiento, la protección y conservación
documental, la consulta y recuperación y la disposición final. La guía hace énfasis en la organización y
calificación, la protección, la consulta y la recuperación de información.
Para lograr una apropiada calificación, al momento de generar la información bien sea en los dispositivos
tecnológicos (digital) o de papel en un archivador (física), el creador o propietario de la información es el
responsable de darle una calificación y rotulado.
Se debe trabajar en concordancia con el proceso de gestión documental de la entidad, haciendo una
valoración de estos activos de información, calificándolos, ordenándolos y tomando las medidas de
seguridad apropiadas desde el campo de la conservación preventiva de la documentación, así como de la
protección física y digital, garantizando que los documentos permanezcan de acuerdo a las Políticas de
Seguridad de la Información del DAPRE.
1. OBJETIVO GENERAL.
Brindar a los funcionarios del Departamento Administrativo de la Presidencia de la República que tienen
bajo su responsabilidad la calificación de la información, un instrumento orientador que apoye la
organización, valoración, uso y custodia de la información, atendiendo las disposiciones normativas
vigentes.
2. ALCANCE.
La guía para la calificación de la información cubre los aspectos administrativos y de control que deben ser
evaluados y aplicados por la alta dirección, funcionarios, contratistas y terceros que presten sus servicios
o tengan algún tipo de relación con el DAPRE para una adecuada calificación, uso y custodia de la
información.
4
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
Un activo de información puede tener las siguientes características, independiente del tipo de activo:
El activo de información es reconocido como valioso para el DAPRE.
No es fácilmente reemplazable sin incurrir en costos, habilidades especiales, tiempo, recursos o
combinación de los mismos.
Forma parte de la identidad de la entidad y sin la cual el DAPRE puede estar en algún nivel de
riesgo. (La determinación del nivel y tipo de riesgo se estima sobre la base del modelo MECI del
DAPRE).
Dato personal: Es cualquier información vinculada o que pueda asociarse a una o varias personas
naturales determinadas o determinables.
Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos,
entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de
comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre
otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales
debidamente ejecutoriadas que no estén sometidas a reserva.
Datos abiertos: Son todos aquellos datos primarios o sin procesar, que se encuentran en formatos
estándar e interoperables que facilitan su acceso y reutilización, los cuales están bajo la custodia de las
entidades públicas o privadas que cumplen con funciones públicas y que son puestos a disposición de
cualquier ciudadano, de forma libre y sin restricciones, con el fin de que terceros puedan reutilizarlos y crear
servicios derivados de los mismos.
Datos sensibles: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su
discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las
convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos
humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías
de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos
biométricos.
5
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
Por otra parte, la Ley 1712 de 2014, artículo 6, la define como: “un conjunto organizado de datos contenido
en cualquier documento que los sujetos obligados generen, obtengan, adquieran, transformen o controlen”.
Información clasificada: La Ley 1712 de 2014, artículo 18, en concordancia con la Ley 1266 de 2008
(Hábeas Data), indican que existe información que por su naturaleza no debe ser divulgada ya que puede
atentar contra la intimidad de su propietario y solo es relevante para el titular. En ésta categoría se
encuentra la información de carácter privado y semi-privado
Información disponible: Información que puede ser solicitada o consultada por la ciudadanía pero que no
se encuentra publicada en el sitio web de la entidad.
“La información privada, será aquella que por versar sobre información personal o no, y que por
encontrarse en un ámbito privado, sólo puede ser obtenida y ofrecida por orden de autoridad judicial en el
cumplimiento de sus funciones. Es el caso de los libros de los comerciantes, de los documentos privados,
de las historias clínicas o de la información extraída a partir de la inspección del domicilio. “
Esta información, que es sensible dentro del DAPRE, puede causar pérdidas serias a la entidad,
disminución de confianza en la Entidad, daños a terceros y afectación de las relaciones con terceros. Esta
calificación incluye información altamente confidencial y personal. Sólo estaría disponible a un grupo
específico debido a su función o rol y si esta información se filtra fuera del DAPRE causará pérdida de
imagen o pérdidas financieras. La ruptura de la CONFIDENCIALIDAD compromete legal o
administrativamente a la entidad. El acceso a esta información debe ser restringido sobre el principio de
“Necesidad de ser conocida”. En caso de requerirse la divulgación de la información a una tercera parte se
requiere la aprobación del propietario y se recomienda la firma de un acuerdo de confidencialidad.
Información Pública: La Ley 1712 de 2014, artículo 6 la describe como: “Es toda información que un
sujeto obligado genere, obtenga, adquiera o controle en su calidad de tal”. Esta información es creada en
el curso normal de la función misional de la entidad y tiene poca probabilidad de causar daño.
La información pública incluye la información que debe ser publicada por mandato legal o para dar
cumplimiento a una política de divulgación de información del DAPRE. Está disponible al ciudadano,
funcionarios, contratistas, subcontratistas y demás personal que trabaja para el DAPRE.
6
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
En caso de la divulgación de ésta información, puede existir afectación a los derechos de privacidad de
personas naturales o jurídicas descritas en el Artículo 18 de la Ley 1712 de 2014.
Información pública reservada: De acuerdo al artículo 6 de la Ley 1712 de 2014 se define como “Es
aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es
exceptuada de acceso a la ciudadanía por daño a bienes o intereses públicos y bajo cumplimiento de la
totalidad de los requisitos consagrados en el artículo 19 de esta ley”.
Información publicada: Toda aquella documentación o información que ha sido publicada en el sitio Web
oficial de la entidad.
Información semiprivada: Según el artículo 3 de la Ley 1266 de 2008, un dato semiprivado es “el que no
tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a
su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y
crediticio de actividad comercial o de servicios”
Esta información es sensible si está fuera de las instalaciones del DAPRE y puede impactar los niveles de
servicio, desempeño o generar pérdidas económicas a las personas o la entidad. Esta calificación incluye
información personal, registros financieros y bancarios o detalles relacionados con la operación del DAPRE.
La información sólo está disponible a los funcionarios y contratistas debidamente autorizados; y sólo es
suministrada si su conocimiento es necesario para el desarrollo de una función o tarea asignada a la
persona.
7
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
Nivel de Calificación de la Información: Es el estatus con el que se califica cualquier tipo de información,
en el DAPRE de acuerdo con el riesgo y la exposición, se puede calificar en Información pública,
información pública reservada o información pública clasificada (privada y semiprivada).
Tabla de Retención Documental - TRD: Listado de series con sus correspondientes tipos documentales
a la cual se asigna el tiempo de permanencia en cada etapa del ciclo vital de los documentos. Contribuyen
a la racionalización de la producción documental.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la
recolección, almacenamiento, uso, circulación o supresión.
Ubicación: Se refiere a las rutas que indican el lugar donde se encuentra la información ya sea física o
electrónica, como por ejemplo en archivadores físicos, en el disco duro del computador, en discos virtuales,
en discos externos, directorio o carpeta en el computador, base de datos, estante, escritorio, etc. La
ubicación debe ser lo más precisa posible para que en caso de tener que recuperar la información se pueda
identificar rápidamente el lugar en donde se encuentra.
4. CALIFICACIÓN DE LA INFORMACIÓN.
Partiendo del punto que toda la información en posesión o custodia del Departamento Administrativo de la
Presidencia de la República es pública, es claro que existen excepciones en pro de la protección de
intereses públicos e individuales, que limitan el acceso indebido. Por éste motivo es de vital importancia
que en la identificación de la calificación de la información, sea el jefe de la dependencia o del área
responsable de la generación, posesión, control o custodia de la información, quien asuma la
8
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
La información debe tratarse conforme a los principios rectores de la Transparencia y del derecho al acceso
a la información pública los cuales son:
9
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
Las Tablas de Retención Documental (TRD) de la dependencia son un insumo necesario para iniciar el
proceso de calificación de la información, en caso que aún no se cuente con TRD o que se genere nueva
documentación que no se ha incluido en la misma, el reconocimiento se realiza con el acompañamiento
del Grupo de Gestión Documental que a partir de las funciones asignadas al Área, Secretaría, Dirección,
Consejería o Grupo identifican las obligaciones adquiridas y ofrecen una guía para identificar la categoría
a la cual pertenece la información estableciendo la serie o subserie documental que se incluirá en la
siguiente actualización de las Tablas de Retención Documental (TRD).
De igual manera es importante llevar a cabo entrevistas con los productores documentales en las que es
posible evaluar el tipo de información producida, los medios empleados para su almacenamiento y/o
divulgación, los controles existentes y requeridos. Es importante además alcanzar una descripción
detallada de las fuentes y responsables de la información de la dependencia, su ubicación e inventario de
la información a su cargo o custodia y que es utilizada para el desarrollo de sus actividades laborales;
Al agrupar la información por categorías que faciliten la descripción, calificación, disponibilidad y controles
de acceso estas son representadas como series y subseries de las Tablas de Retención Documental. Es
importante tener en cuenta que la información se presenta en distintos soportes y formatos que puede
encontrarse en físico o en medios electrónicos (o mezcla de ambos), y que de acuerdo a esto requiere
medidas de protección diferentes.
10
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
Los criterios para asignar la calificación a las categorías de información son aquellos indicados por la Ley
1712 de 2014 que fue reglamentada con el Decreto 103 de 2015 y que además son reiterados en el Decreto
reglamentario Único del Sector Presidencia de la República. De igual forma se aconseja apoyar éstos
conceptos de calificación de la información de acuerdo a indicaciones proporcionadas por la Ley 594 de
2000 y decretos reglamentarios (Ley General de Archivos) y la Ley Estatutaria 1581 de 2012 y decretos
reglamentarios (Sobre el tratamiento de los datos personales).
De acuerdo a lo anterior, es importante aclarar que toda la información en posesión, custodia o bajo el
control del Departamento Administrativo de la Presidencia de la República es pública y que de acuerdo a
determinados requisitos existen excepciones por afectar derechos individuales o a intereses públicos
descritas de la siguiente manera:
Estar expresamente permitidas por una ley, decreto con fuerza de ley, tratado o convenio internacional
ratificado por el Congreso de la República o estipulado en la Constitución Política de Colombia. No es
posible aplicarla con normas de menor rango como un decreto o una resolución.
Si su contenido se relaciona con las indicaciones de los artículos 18 y 19 de la Ley 1712 de 2014
Existencia de daño presente, probable o específico como consecuencia de su divulgación.
La calificación que se asigna a la categoría de información determinará los controles requeridos para su
custodia, almacenamiento y acceso, además es importante asumir la calificación que manifieste su
productor ya sea una persona, una empresa u otra entidad y debe contemplarse de acuerdo a:
Información pública: Es toda información que un sujeto obligado genere, obtenga, adquiera, o
controle en su calidad de tal. (Artículo 5 Ley 1712 de 2014)
Información clasificada: Es toda aquella que al ser divulgada puede llegar a causar daño a algunos
derechos individuales de personas naturales o jurídicas por contener información relacionada con la
intimidad y privacidad de éstas. (Artículo 18 Ley 1712 de 2014)
Información reservada: Su divulgación indebida puede afectar bienes o intereses públicos. (Artículo
19 Ley 1712 de 2014). Es necesario establecer el plazo para la clasificación de la reserva, es decir el
11
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
Así mismo se destaca que existen categorías de información (series y subseries documentales) cuyo
contenido puede involucrar información pública y reservada o clasificada en forma mixta, en éstos casos
se asigna la calificación más alta a toda la categoría es decir Privada, semiprivada o reservada, aclarando
la parte o partes que reúnen tales requisitos de excepción, de igual manera definir controles específicos.1
1
1 Nota 1. De acuerdo a la ley 1712 toda información en posesión, bajo control o custodia de un sujeto obligado es pública y no puede ser reservada o limitada
sino por disposición constitucional o legal.
Nota 2. La información que se recibe de otras dependencias debe:
a) Mantener el nivel de calificación otorgado por la entidad que la originó.
b) Se manejará de acuerdo con los esquemas de seguridad definidos por la legislación o por el nivel de calificación que tiene.
Nota 3. La información que ha sido calificada en un nivel superior de protección, puede ser reclasificada en un nivel inferior de protección solo por el funcionario
o área que la originó.
12
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
intereses de cualquier partido político o que garantice los derechos - Acciones administrativas en contra
y garantías de partidos políticos de oposición, así como los datos de la entidad.
relativos a la salud, la vida sexual y los datos biométricos. - El uso indebido puede generar
Secretos comerciales, industriales y profesionales, así como los discriminación.
Información estipulados en el parágrafo del artículo 77 de la Ley 1474 de 2011. - Pérdida de la confianza en el
Pública Información de la intimidad de las personas (bajo las limitaciones gobierno.
Clasificada: propias que impone la condición de servidor público). - El uso indebido puede generar
Información que pueda afectar la vida, la salud o la seguridad de discriminación.
una persona
Los Datos personales de las Hojas de Vida que no son públicos
tales como dirección, teléfono, grupo familiar etc.
13
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
Una vez que se ha identificado y calificado la información, se procede a establecer los mecanismos de
protección teniendo en cuenta su disposición final definido en las Tablas de Retención Documental.
Una de las medidas de protección básicas sugiere la rotulación de la información en lo posible desde el
mismo momento de su producción y durante su ciclo vital, para que en trámites requeridos se mantengan
los controles del caso.
14
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
Autenticación
El elemento más común para proteger la confidencialidad de la información es autenticar a quienes quieren
tener acceso a la información. El mecanismo más simple es usar una palabra clave para tener acceso a
los datos, pero también se pueden emplear otras soluciones como identificación biométrica (huella digital,
iris, mapa de la retina, etc.).
Cifrado de datos
El cifrado de datos cambia la información de modo que no pueda ser visualizada o no pueda ser inteligible,
si es accesada por un usuario no autorizado. Por lo regular las transacciones financieras y la información
de acceso a las aplicaciones (login) están cifradas para prevenir acceso no autorizado a los datos.
Controles administrativos
15
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
Controles de tecnología
También existen controles de tecnología como antivirus, redundancia en aplicaciones y separación de
redes de datos que facilitan la protección de los datos.
Aseguramiento
Validar que los sistemas estén efectivamente protegidos también es un mecanismo de seguridad de los
datos. Algunos ejemplos pueden ser: cumplimiento de la política, auditoria de sistemas, pruebas de
intrusión, evaluación del desempeño de sistemas de información, supervisión administrativa y supervisión
del acceso a los datos.
En caso de que existan dudas sobre los posibles controles se puede solicitar la ayuda del Comité de
Seguridad de la Información para determinar mecanismos de control para la información inventariada.
Para dar cumplimiento a los requerimientos de la Ley 1712 de 2014, la Entidad desarrolló una herramienta
en la cual se registran las series y/o subseries documentales con la calificación asignada, de ésta manera,
se plasma la condición de reservadas y clasificadas incluyendo además las medidas de protección
requeridas, disponibilidad y acceso.
El jefe de cada dependencia (Área, Dirección, Consejería, Secretaría, etc.) como responsable de la
información, deberá designar por medio de comunicación escrita dirigida a los jefes del Área Administrativa
y del Área de Tecnología y Sistemas de Información, un funcionario responsable de registrar la información
correspondiente a su dependencia, se sugiere asignar personal de alta confianza quien será habilitado por
el Área de Tecnología y Sistemas de Información para ejecutar ésta tarea. De igual manera es importante
que el responsable de la información informe oportunamente (igualmente de manera escrita) sobre
cualquier novedad que se presente con el funcionario asignado bien sea por el traslado, desvinculación o
modificación de funciones que involucre una nueva designación.
16
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
Una vez que cada dependencia ha completado el registro de la información a cargo, un equipo
interdisciplinario integrado por la Casa Militar (en lo relativo a la seguridad de las instalaciones), el Área de
Tecnología y Sistemas de Información (como cabeza de la seguridad informática de la Entidad) y el Grupo
de Gestión Documental (responsable de la creación, actualización y aplicación de las Tablas de Retención
Documental) deberán analizar los datos registrados por cada dependencia y validar las justificaciones para
la calificación asignada, detectando posibles errores en el registro los cuales serán notificados formalmente
al responsable de la información (jefe de dependencia) para que tome las medidas correctivas del caso.
De acuerdo con las medidas de protección definidas por el jefe de la dependencia en el paso 3 y con las
solicitadas por el Comité de Seguridad de la Información del Departamento Administrativo de la Presidencia
17
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
La periodicidad con que se califica la información reservada está estrechamente relacionada con el plazo
de la calificación asignado inicialmente así como en la aparición o detección de nuevas categorías de
información, es necesario hacer un seguimiento constante a los datos registrados y a los controles
requeridos con el fin de asegurar su cumplimiento en las diferentes etapas del ciclo vital de los documentos.
El Grupo de Gestión Documental en calidad de custodio de la documentación del Archivo Central deberá
garantizar que los controles requeridos se mantengan luego de ser transferidos los archivos por las
dependencias.
El Área de Tecnología y Sistemas de Información realiza la compilación de todos los registros realizados
por las dependencias obteniendo como resultado el Inventario de los Activos de Información del
Departamento Administrativo de la Presidencia de la República.
Por medio de acto administrativo, la Entidad adopta los instrumentos de gestión de información pública,
para el caso, son el Registro de Activos de Información y el Índice de Información Clasificada y Reservada,
los mismos son publicados en el sitio Web oficial del Departamento Administrativo de la Presidencia de la
República y deben ser actualizados de acuerdo a las modificaciones que se presenten en la composición
de las series y subseries documentales de las Tablas de Retención Documental.
5. MARCO LEGAL
Todas las personas pueden hacer solicitudes a la administración observando varios requisitos de orden
formal y legal, en cuanto a la información solicitada.
NORMA ARTÍCULOS
Arts. 1 y 2 que consagran el Estado Social de Derecho y los fines esenciales del Estado a los que deben someter su actividad las
instituciones y las autoridades.
Art. 20. Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información
CONSTITUCIÓN veraz e imparcial, y la de fundar medios masivos de comunicación.
POLÍTICA Art. 23. Toda persona tiene derecho a presentar peticiones respetuosas a las autoridades por motivos de interés general o particular
y a obtener pronta resolución. (…)t. 40. Todo ciudadano tiene derecho a participar en la conformación, ejercicio y control del poder
político. (...)
Art. 74. Todas las personas tienen derecho a acceder a los documentos públicos salvo los casos que establezca la ley (…)
LEY 1755 DE 2015 Por medio de la cual se regula el Derecho Fundamental de Petición y se sustituye un título del Código de Procedimiento
Administrativo y de lo Contencioso Administrativo.
18
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
Las entidades competentes deberán hacer compatibles los sistemas de información para llevar el registro de los adolescentes que
han cometido delitos, con el objeto de definir los lineamientos de la política criminal para adolescentes y jóvenes.
Código de
Art. 155. Publicidad. Las audiencias preliminares deben realizarse con la presencia del imputado o de su defensor. La asistencia del
procedimiento
Ministerio Público no es obligatoria.
penal LEY 906
Serán de carácter reservado las audiencias de control de legalidad sobre allanamientos, registros, interceptación de comunicaciones,
31/08/2004 Por la
vigilancia y seguimiento de personas y de cosas. También las relacionadas con autorización judicial previa para la realización de
cual se expide el
inspección corporal, obtención de muestras que involucren al imputado y procedimientos en caso de lesionados o de víctimas de
Código de
agresiones sexuales. Igualmente aquella en la que decrete una medida cautelar.
Procedimiento Penal.
ARTÍCULO 3o. PRINCIPIOS: 8 En virtud del principio de transparencia, la actividad administrativa es del dominio público, por
consiguiente, toda persona puede conocer las actuaciones de la administración, salvo reserva legal.
ARTÍCULO 5. DERECHOS DE LAS PERSONAS ANTE LAS AUTORIDADES. En sus relaciones con las autoridades toda persona
tiene derecho a:
2. Conocer, salvo expresa reserva legal, el estado de cualquier actuación o trámite y obtener copias, a su costa, de los respectivos
documentos.
3. Salvo reserva legal, obtener información que repose en los registros y archivos públicos en los términos previstos por la
Constitución y las leyes.
ARTÍCULO 24. INFORMACIONES Y DOCUMENTOS RESERVADOS. <Artículo modificado por el artículo 1 de la Ley 1755 de 2015.
El nuevo texto es el siguiente:> Solo tendrán carácter reservado las informaciones y documentos expresamente sometidos a reserva
por la Constitución Política o la ley, y en especial:
1. Los relacionados con la defensa o seguridad nacionales.
CÓDIGO DE 2. Las instrucciones en materia diplomática o sobre negociaciones reservadas.
PROCEDIMIENTO 3. Los que involucren derechos a la privacidad e intimidad de las personas, incluidas en las hojas de vida, la historia laboral y los
ADMINISTRATIVO Y expedientes pensionales y demás registros de personal que obren en los archivos de las instituciones públicas o privadas, así como
DE LO la historia clínica.
CONTENCIOSO 4. Los relativos a las condiciones financieras de las operaciones de crédito público y tesorería que realice la nación, así como a los
ADMINISTRATIVO estudios técnicos de valoración de los activos de la nación. Estos documentos e informaciones estarán sometidos a reserva por un
LEY 1437 DE 2011 término de seis (6) meses contados a partir de la realización de la respectiva operación.
S. Los datos referentes a la información financiera y comercial, en los términos de la Ley Estatutaria 1266 de 2008.
6. Los protegidos por el secreto comercial o industrial, así como los planes estratégicos de las empresas públicas de servicios
públicos.
7. Los amparados por el secreto profesional.
8. Los datos genéticos humanos.
PARÁGRAFO. <Parágrafo CONDICIONALMENTE exequible> Para efecto de la solicitud de información de carácter reservado,
enunciada en los numerales 3, 5, 6 y 7 solo podrá ser solicitada por el titular de la información, por sus apoderados o por personas
autorizadas con facultad expresa para acceder a esa información.
ARTÍCULO 25. RECHAZO DE LAS PETICIONES DE INFORMACIÓN POR MOTIVO DE RESERVA. <Artículo modificado por el
artículo 1 de la Ley 1755 de 2015. El nuevo texto es el siguiente:> Toda decisión que rechace la petición de informaciones o
documentos será motivada, indicará en forma precisa las disposiciones legales que impiden la entrega de información o documentos
pertinentes y deberá notificarse al peticionario. Contra la decisión que rechace la petición de informaciones o documentos por motivos
de reserva legal, no procede recurso alguno, salvo lo previsto en el artículo siguiente.
19
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
20
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de
datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras
disposiciones.
Art. 1o. OBJETO. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer,
actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y
garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el artículo
15 de la Constitución Política, así como el derecho a la información establecido en el artículo 20 de la Constitución Política,
particularmente en relación con la información financiera y crediticia, comercial, de servicios y la proveniente de terceros países.
Art. 2o. AMBITO DE APLICACIÓN. La presente ley se aplica a todos los datos de información personal registrados en un banco de
datos, sean estos administrados por entidades de naturaleza pública o privada.
Esta ley se aplicará sin perjuicio de normas especiales que disponen la confidencialidad o reserva de ciertos datos o información
registrada en bancos de datos de naturaleza pública, para fines estadísticos, de investigación o sanción de delitos o para garantizar
el orden público.
Se exceptúan de esta ley las bases de datos que tienen por finalidad producir la Inteligencia de Estado por parte del Departamento
LEY ESTATUTARIA Administrativo de Seguridad, DAS, y de la Fuerza Pública para garantizar la seguridad nacional interna y externa.
1266 DE 2008 Los registros públicos a cargo de las cámaras de comercio se regirán exclusivamente por las normas y principios consagrados en
las normas especiales que las regulan.
Igualmente, quedan excluidos de la aplicación de la presente ley aquellos datos mantenidos en un ámbito exclusivamente personal
o doméstico y aquellos que circulan internamente, esto es, que no se suministran a otras personas jurídicas o naturales.
e) Dato personal. Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan
asociarse con una persona natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente
ley. Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal. Los datos personales pueden
ser públicos, semiprivados o privados;
f) Dato público. Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean
semiprivados o privados, de conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en documentos públicos,
sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas;
g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación
puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y
crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley.
h) Dato privado. Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la
información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las
comunicaciones, entre otras disposiciones.
Art. 269A: Acceso abusivo a un sistema informático. <Ver Nota del Editor> El que, sin autorización o por fuera de lo acordado,
acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo
en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa
y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.
Art. 269B: Obstaculización ilegítima de sistema informático o red de telecomunicación. El que, sin estar facultado para ello, impida u
obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de
telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000
salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.
LEY 1273 DE 2009 Art. 269C: Interceptación de datos informáticos. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino
(enero 5). o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los
transporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.
Art. 269D: Daño Informático. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos,
o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48)
a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.
Art. 269E: Uso de software malicioso. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe,
introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en
pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales
vigentes.
Art. 269F: Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile,
sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos
personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho
(48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
21
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
Art. 269G: Suplantación de sitios web para capturar datos personales. El que con objeto ilícito y sin estar facultado para ello, diseñe,
desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de
prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes,
siempre que la conducta no constituya delito sancionado con pena más grave.
En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al
usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta
no constituya delito sancionado con pena más grave.
La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado
víctimas en la cadena del delito.
Art. 269H: Circunstancias de agravación punitiva: Las penas imponibles de acuerdo con los artículos descritos en este título, se
aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere:
1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros.
2. Por servidor público en ejercicio de sus funciones.
3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este.
4. Revelando o dando a conocer el contenido de la información en perjuicio de otro.
5. Obteniendo provecho para sí o para un tercero.
6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional.
7. Utilizando como instrumento a un tercero de buena fe.
8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le
impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información
procesada con equipos computacionales.
CAPITULO II
De los atentados informáticos y otras infracciones
Art. 269I: Hurto por medios informáticos y semejantes. El que, superando medidas de seguridad informáticas, realice la conducta
señalada en el Artículo. 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante,
o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el
artículo 240 de este Código.
Art. 269J: Transferencia no consentida de activos. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o
artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no
constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses
y en multa de 200 a 1.500 salarios mínimos legales mensuales vigentes. La misma sanción se le impondrá a quien fabrique,
introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa.
Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a 200 salarios mínimos legales mensuales, la
sanción allí señalada se incrementará en la mitad
Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas
digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.
Art. 1o. AMBITO DE APLICACION. La presente ley será aplicable a todo tipo de información en forma de mensaje de datos, salvo
LEY 527 DE 1999. en los siguientes casos:
a) En las obligaciones contraídas por el Estado colombiano en virtud de convenios o tratados internacionales;
b) En las advertencias escritas que por disposición legal deban ir necesariamente impresas en cierto tipo de productos en razón al
riesgo que implica su comercialización, uso o consumo.
22
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
Estas medidas no podrán redundar en perjuicio de los derechos del acusado o de un juicio justo e imparcial, ni serán incompatibles
con estos.
Información no divulgada Acuerdo ADPIC artículo 3.
Las personas físicas y jurídicas tendrán la posibilidad de impedir que la información que esté legítimamente bajo su control se
divulgue a terceros o sea adquirida o utilizada por terceros sin su consentimiento de manera contraria a los usos comerciales
honestos, en la medida en que dicha información:
1. Sea secreta en el sentido de que no sea, como cuerpo o en la configuración y reunión precisas de sus componentes, generalmente
conocida ni fácilmente accesible para personas introducidas en los círculos en que normalmente se utiliza el tipo de información en
cuestión; y
2. Tenga un valor comercial por ser secreta; y
3. Haya sido objeto de medidas razonables, en las circunstancias, para mantenerla secreta, tomadas por la persona que
legítimamente la controla.
La información de un secreto empresarial podrá estar referida a la naturaleza, características o finalidades de los productos; a los
métodos o procesos de producción; o, a los medios o formas de distribución o comercialización de productos o prestación de
LEY 975 DE 2005. servicios.
Requisitos de protección decisión 486 comunidad andina.
OBJETO: Art. 260, incisos 1o y final, decisión 486, cubren el secreto industrial y el secreto comercial.
VALOR COMERCIAL: La información debe tener valor actual o potencial por ser secreta.
INFORMACIÓN UTILIZABLE: Información debe ser utilizable en alguna actividad productiva, industrial o comercial.
INFORMACIÓN TRANSMISIBLE: Información susceptible de transmitirse a un tercero.
CONTROL (ELEMENTO SUBJETIVO): Información debe ser objeto de medidas de protección adecuadas por el detentador para
mantenerla secreta.
OBJETO DE LA PROTECCIÓN (ART. 260, DECISIÓN 486 ACUERDO DE CARTAGENA)
El objeto de protección del secreto empresarial puede estar referido a cualquier información no divulgada que una persona natural o
jurídica legítimamente posea, incluye:
SECRETOS INDUSTRIALES: Información relacionada con la naturaleza, características o finalidades de los productos, y los
métodos o procesos de producción.
SECRETOS COMERCIALES: Relacionados con los medios o formas de distribución o comercialización de productos o con la
prestación de servicios.
• Qué no es secreto empresarial y su vigencia.
NOTA PRELIMINAR - VIGENCIA El secreto expira, según el artículo 263 de la decisión 486, al desaparecer los requisitos de
protección del mismo.
En consecuencia al desparecer los requisitos de protección establecidos por el art. 260, deja de existir secreto.
También la información que deba ser divulgada por disposición legal u orden judicial no se considera secreta.
Sin embargo, no se considera que ha perdido carácter confidencial la información proporcionada a las autoridades para obtener
licencias, registros o permisos, o de otros actos de autoridad.
En los casos de divulgación por ministerio de la ley, orden judicial o de pérdida de los requisitos de protección, se considerará que
la información ha entrado a formar parte del dominio público.
23
GUÍA PARA LA CALIFICACIÓN DE LA
INFORMACIÓN DE ACUERDO CON SUS NIVELES
DE SEGURIDAD
6. DOCUMENTOS ASOCIADOS.
24