Archivos de la etiqueta: Derecho Informático Ecuador

03Sep/24

Decreto Ejecutivo nº 904 de 6 de noviembre de 2023

Decreto Ejecutivo nº 904 de 6 de noviembre de 2023. Reglamento de la Ley de Protección de Datos

Reglamento nº 904 de la Ley Orgánica de Protección de Datos Personales,  de 13 de noviembre de 2023

GUILLERMO LASSO MENDOZA, PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA

CONSIDERANDO:

Que el numeral 11 del artículo 66 de la Constitución de la República reconoce y garantiza el derecho a guardar reserva sobre sus convicciones;

Que el numeral 19 del artículo 66 de la Constitución de la República reconoce y garantiza el derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección;

Que el numeral 13 del artículo 147 de la Constitución de la República faculta al Presidente de la República a expedir los reglamentos necesarios para la aplicación de las leyes, sin contravenirlas ni alterarlas, así como los que convengan a la buena marcha de la administración;

Que en el Quinto Registro Oficial Suplemento nº 459 de 26 de mayo de 2021 , se expidió la Ley Orgánica de Protección de Datos Personales, en cuyo artículo 2 se dispone que la Ley regula el tratamiento de datos personales contenidos en cualquier tipo de soporte;

Que es necesario emitir el Reglamento a la Ley Orgánica de Protección de Datos Personales para establecer con claridad los preceptos y procedimientos para la ejecución de la Ley; y.

En ejercicio de las funciones conferidas en el numeral 13 del artículo 147 de la Constitución de la República, expide el siguiente:

REGLAMENTO GENERAL DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES

CAPÍTULO I. GENERALIDADES

Artículo 1.- Objeto

El presente Reglamento General tiene por objeto desarrollar la normativa para la aplicación Artículo 1 de la Ley Orgánica de Protección de Datos Personales y la protección de los derechos y libertades fundamentales de los titulares de datos personales.

Artículo 2.- Ámbito

Este Reglamento se aplica a todas las personas naturales y jurídicas, nacionales y extranjeras, del sector público y privado, que realicen tratamiento de datos personales, en el contexto de que sus actividades como responsable o encargado de tratamiento de datos personales, tenga lugar en el territorio ecuatoriano o no.

El presente Reglamento también se aplica al tratamiento de datos personales por parte de personas naturales y jurídicas, que actúen como responsables y encargados del tratamiento de datos personales de titulares no residentes en Ecuador, cuando sus actividades de tratamiento sean realizadas en territorio nacional.

El presente Reglamento aplicará para los responsables y encargados del tratamiento de datos personales no establecidos en territorio ecuatoriano a quienes les resulte aplicable la legislación nacional en virtud de un contrato o de las regulaciones vigentes del derecho internacional público. Estos deberán designar a un apoderado especial de acuerdo con el artículo 3 de este Reglamento.

Artículo 3.- De la obligación de contar con poder de los responsables y/o encargados del tratamiento de datos de residentes ecuatorianos fuera del territorio nacional

Los responsables y encargados del tratamiento de datos personales no establecidos en el Ecuador deberán designar a un apoderado especial, de conformidad con las siguientes reglas:

1. Cuando el responsable y/o encargado del tratamiento de datos personales no tenga domicilio en territorio nacional, conforme el Artículo 3, numeral 3 de la Ley- Orgánica de Protección de Datos Personales, deberán designar un apoderado especial en el Ecuador con residencia en el país, que cuente con facultades suficientes para comparecer a nombre de su representado ante instancias administrativas y judiciales en la materia.

2. De forma excepcional, no será necesaria la designación de dicho apoderado o representante, cuando el tratamiento de datos personales sea ocasional y no incluya el manejo a gran escala de datos personales de categoría especial establecidos en el artículo 25 de la Ley y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas naturales, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento.

La Autoridad de Protección de Datos Personales emitirá una guía técnica respecto de la aplicabilidad de los criterios anteriores.

Artículo 4.- Definiciones

Sin perjuicio de lo dispuesto en la Ley, para efectos de la aplicación del presente Reglamento, se establecen las siguientes definiciones:

1. Actividades familiares o domésticas: aquellas en las cuales el tratamiento de los datos personales se dé en un entorno de amistad, parentesco o grupo personal cercano, en propiedad privada, y que no tenga como finalidad su comunicación o transferencia con fines comerciales.

2. Datos relativos a la salud: La definición de datos de salud establecida en la Ley comprende la información relativa a todos los aspectos de salud, tanto físicos como psíquicos, de la persona. Se incluyen todos los datos relativos al estado de salud del titular que dan información sobre su estado de salud física o mental pasado, presente o futuro. Así también contiene la información sobre la persona natural recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia; todo número, símbolo o dato asignado a una persona natural que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del titular, independientemente de su fuente.

3. Normas corporativas vinculantes: Las políticas o códigos de conducta jurídicamente vinculantes dentro de un grupo de empresas o en una unión de empresas que tienen la finalidad de ofrecer garantías suficientes cuando los datos personales van a ser transferidos internacionalmente a uno o varios responsables o encargados del tratamiento que están en un tercer país sin nivel adecuado.

4. Persona Identificable: se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente, siempre y cuando esto no requiera plazos o actividades desproporcionadas.

5. Representante: Persona natural o jurídica establecida en el territorio ecuatoriano que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 3, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud de la Ley Orgánica de Protección de Datos Personales y al presente Reglamento.

6. Tercero: Persona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable.

7. Tratamiento a gran escala: es aquel que afecta a una gran cantidad de datos, referentes a un elevado número de titulares, procedentes de una amplia diversidad geográfica, y que pueden entrañar un riesgo a sus derechos y libertades.

Para determinar cuándo se está en presencia de un tratamiento «a gran escala» la Autoridad de Protección de Datos Personales y los responsables del tratamiento deberán tener en cuenta los siguientes aspectos:

a. El número de interesados o titulares, bien como cifra concreta o como proporción de la población correspondiente;

b. El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;

c. La duración o permanencia de la actividad de tratamiento de datos; y,

d. El alcance geográfico de la actividad de tratamiento.

Se considera tratamiento a gran escala:

a. El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital, o de las instituciones que conforman el Sistema Nacional de Salud;

b. El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte):

c. El tratamiento de datos de geolocalización en tiempo real de clientes por parte de un responsable del tratamiento de datos personales especializado en la prestación de estos servicios;

d. El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros, corredores, agentes, prestadores o de instituciones financieras;

e. El tratamiento de datos personales para publicidad comportamental por un motor de búsqueda; y.

f. El tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.

Artículo 5.- De la recogida del consentimiento

El responsable de datos personales deberá obtener el consentimiento del titular de conformidad con lo establecido en la Ley Orgánica de Protección de Datos Personales.

En todos los casos en los que de conformidad con la Ley se requiera el consentimiento explícito del titular para el tratamiento de sus datos, el responsable deberá informar previa y detalladamente los tipos de tratamiento, finalidades, el tiempo de conservación, las medidas de protección a adoptarse, las consecuencias de su entrega, entre otros aspectos determinados en la Ley, lo cual deberá ser consentido inequívocamente por el titular.

El consentimiento del titular deberá reflejar de manera indubitada la aceptación de éste en relación con el tratamiento de sus datos personales a través de una declaración, pronunciamiento para darse de baja o clara acción afirmativa. El consentimiento otorgado por el titular deberá ser demostrado por el responsable que lo obtiene, cuando así sea requerido por la autoridad competente.

Cuando los datos personales recogidos pertenecen a un incapaz, bastará con el consentimiento del representante legal debidamente acreditado ante el responsable, en los términos señalados en el presente artículo. El consentimiento de niñas, niños y adolescentes y, en general, de personas incapaces, se obtendrá a través de sus representantes legales y curadores, según lo dispuesto en la Ley Orgánica de Protección de Datos Personales y el Código Civil.

El silencio o la inacción, por sí solos, no presumen el consentimiento del titular.

Artículo 6. De la revocatoria del consentimiento

El titular tendrá derecho a retirar su consentimiento en cualquier momento. La revocatoria del consentimiento no afectará a la licitud del tratamiento de datos llevado a cabo hasta el momento de la revocatoria. El responsable del tratamiento deberá contar con un procedimiento sencillo para que el titular pueda revocar su consentimiento.

El responsable del tratamiento deberá suspender el tratamiento de los datos del titular que haya revocado su consentimiento, una vez recibida la notificación por parte del titular.

Artículo 7.- Tratamiento legítimo

Para efectos del correcto tratamiento de datos personales, se considerará lo siguiente:

1. Cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos: Se entenderá que el tratamiento de datos personales está basado en el cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos, debidamente motivado y de acuerdo con los principios establecidos en la Ley, cuando la competencia correspondiente esté atribuida en una norma con rango de ley.

El tratamiento de datos personales realizado sobre esta base legitimadora deberá observar lo siguiente:

a. Los tipos de datos objeto del tratamiento;

b. Los titulares o interesados afectados;

c. Las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación;

d. La limitación de la finalidad:

e. Los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo.

El tratamiento de datos personales bajo esta base legitimadora deberá cumplir un objetivo de interés público y ser proporcional al fin legítimo perseguido.

2. Intereses vitales del interesado o de otra persona: Será lícito el tratamiento de datos personales si es necesario para proteger un interés esencial para la vida del interesado o de otra persona, como epidemias o situaciones de emergencia humanitaria. Los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física, cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente.

3. Interés legítimo del responsable: En el caso de que sea necesario satisfacer un interés legítimo del responsable del tratamiento o de un tercero interesado, se aplicará la regla de ponderación, siempre que no prevalezcan los intereses o derechos y libertades del titular.

La ponderación se realizará a través de una evaluación meticulosa que atienda los siguientes factores:

a. Evaluación del interés legítimo del responsable del tratamiento o del tercero interesado que deberá ser necesario y proporcionado;

b. Impacto sobre los titulares que mida las consecuencias reales o potenciales derivadas del tratamiento:

c. Equilibrio provisional, que contemple las medidas adoptadas por el responsable del tratamiento para cumplir sus obligaciones en términos de proporcionalidad y transparencia: y.

d. Garantías adicionales aplicadas por el responsable del tratamiento para impedir cualquier impacto indebido sobre los titulares.

4. Fuente accesible al público: Para el tratamiento de datos personales que consten en bases de datos de acceso público, se considerará que los datos deben ser obtenidos de fuentes accesibles al público, según la definición de la Ley y el presente Reglamento, respetando el principio de limitación de la finalidad, atendiendo a las razones concretas que han determinado la publicación de la información, especialmente cuando dicha publicación se realiza en cumplimiento de una obligación legal o por razones de interés público.

Consecuentemente, el tratamiento de los datos personales obtenidos de fuentes accesibles al público requiere que la finalidad pretendida con el nuevo tratamiento sea compatible con la finalidad que justificó la publicación de los datos, por lo que el hecho de que los datos figuren en fuentes públicas no determina la posibilidad de realizar un tratamiento indiscriminado por parte de los responsables.

CAPÍTULO II.- CONSERVACIÓN DE DATOS PERSONALES

Artículo 8.- Plazos de conservación de los datos personales

Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean estrictamente necesarios para el cumplimiento de las finalidades que justificaron el tratamiento.

La Autoridad de Protección de Datos regulará los plazos de conservación de datos personales atendiendo las disposiciones aplicables a la materia de que se trate.

Artículo 9.- Eliminación, bloqueo o anonimización

Una vez cumplida la o las finalidades del tratamiento y cuando no exista disposición legal o reglamentaria o no incurra la necesidad de mantener los datos en virtud del interés legítimo del responsable, o por cumplimiento de una obligación legal que establezca lo contrario, el responsable deberá proceder a la eliminación, bloqueo o anonimización de los datos en su posesión.

El responsable establecerá procedimientos para la conservación, revisión periódica, eliminación de los datos personales.

Artículo 10.- Fichero de registro

El fichero del registro de la base de datos deberá contener obligatoriamente el plazo de conservación de los datos, que deberá observar necesariamente la materia, naturaleza del dato, su tratamiento y finalidad.

Artículo 11.- Eliminación de datos

Finalizado el plazo de conservación de los datos, el responsable del tratamiento de datos deberá proceder a la eliminación segura de los mismos.

La eliminación de datos personales no aplicará cuando el tratamiento sea necesario en los siguientes supuestos:

1. Por razones de interés público en el ámbito de la salud pública y privada, así como en materia estatal, seguridad, laboral y educación:

2. Para la formulación, el ejercicio o la defensa de reclamaciones.

La Autoridad de Protección de Datos Personales podrá requerir información cuando lo considere necesario. Para el efecto, ajustará los requerimientos a normas, lineamientos sobre plazo de conservación y estándares internacionales sobre la eliminación de datos.

CAPÍTULO III.- DERECHOS

Artículo 12.- Medios para el ejercicio de los derechos

Para efectivizar el ejercicio de los derechos establecidos en la Ley Orgánica de Protección de Datos Personales, el responsable habilitará, preferentemente, herramientas o canales informáticos simplificados de fácil acceso para el titular, con la finalidad de receptar y atender oportunamente las solicitudes o peticiones formuladas que permitan y garanticen una interacción segura, fiable y rápida entre el responsable y el titular, sin perjuicio de que también puedan ser presentadas por medios físicos.

Por lo tanto, se podrán habilitar plataformas digitales, centros de contacto, líneas telefónicas u otros mecanismos tecnológicos que se consideren idóneos para la presentación de las solicitudes por parte de los titulares.

En todos los casos, el requirente deberá demostrar la titularidad o la representación legal para ejercer el derecho.

Artículo 13.- Contenido de la solicitud

En la solicitud para el ejercicio de los derechos consagrados en la Ley, se hará constar:

1. Los nombres y apellidos completos del titular, número de cédula de identidad o pasaporte y dirección domiciliaria o electrónica para notificaciones. Cuando se actúa en calidad de representante legal, se hará constar también los datos de la o del representado;

2. De ser posible, la descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados y cualquier otro elemento o documento que facilite la localización de los datos personales;

3. Relación de lo que solicita expuesto de manera clara y precisa;

4. Derecho o derechos que desea ejercer; y,

5. A la solicitud se acompañará los documentos que acrediten la identidad o, en su caso, la representación legal o convencional del titular.

Artículo 14.- Requerimiento de información adicional

En caso de que la información constante en la solicitud requiera ser aclarada o ampliada, el responsable podrá requerir al titular, por una sola vez y dentro del término de cinco (5) días de recibida la solicitud, que la aclare o complete.

El titular emplazado contará con el término de diez (10) días contados a partir del día siguiente en el que haya sido notificado, para aclarar o completar la solicitud.

Si el titular aclara o completa la solicitud dentro del término concedido, el responsable le dará la debida atención, caso contrario, la archivará notificando este particular al titular con las razones de su decisión. El archivo del requerimiento inicial no impedirá la presentación de una nueva solicitud.

Artículo 15.- Registro de solicitudes

El responsable deberá registrar todas las solicitudes de ejercicio de derechos, incluyendo el detalle de la atención dada a las mismas. La Autoridad de Protección de Datos determinará el contenido de dichos registros.

Artículo 16.- Reclamo ante la Autoridad de Protección de Datos Personales

El titular de datos personales que encuentre motivos para creer que se han vulnerado sus derechos con la respuesta que el responsable ha dado a su solicitud, o que no haya recibido respuesta en el plazo establecido, podrá acudir a la Autoridad de Protección de Datos a presentar su reclamo, el cual se sustanciará conforme al procedimiento previsto en el Código Orgánico Administrativo y en la normativa complementaria que, para el efecto, emita la Autoridad de Protección de Datos.

El procedimiento de reclamo contemplará la debida notificación al responsable a fin de que ejerza su derecho a la defensa.

CAPÍTULO IV.- DISPOSICIONES APLICABLES A TRATAMIENTOS CONCRETOS

Artículo 17.- De los datos de personas fallecidas

A efectos de que los titulares de derechos sucesorios, o las personas o instituciones que el fallecido haya designado expresamente para ello, puedan ejercer los derechos de acceso, rectificación, actualización y eliminación de los datos del fallecido ante el responsable del tratamiento, según lo dispuesto en la Ley, deberán acreditar su comparecencia a través de los instrumentos legales reconocidos por el ordenamiento jurídico ecuatoriano.

Los derechos podrán ser ejercidos las veces que se considere oportuno, dentro de las limitaciones que plantea la normativa vigente para el ejercicio de derechos por parte de los titulares de los datos personales.

Artículo 18.- De los datos crediticios

A efectos de lo dispuesto en la Ley, será lícito el tratamiento de datos personales que tenga como fin informar sobre el cumplimiento o incumplimiento de obligaciones comerciales o crediticias. La Junta de Política y Regulación Financiera, como organismo de regulación, y la Superintendencia de Bancos, como organismo de control, regularán la protección de los datos crediticios, en el ámbito de sus competencias.

Artículo 19.- De los datos de menores de edad

De conformidad con lo previsto en la Ley Orgánica de Protección de Datos Personales, para el tratamiento de datos personales de menores de 15 años de edad, se requerirá el consentimiento de su representante legal.

Para el tratamiento de datos sensibles, así como para las decisiones basadas en valoraciones automatizadas de menores de edad, se requerirá el consentimiento expreso de su representante legal.

Los adolescentes a partir de los 15 años de edad podrán otorgar su consentimiento explícito para el tratamiento de sus datos personales. Para este efecto, el responsable deberá proporcionar información clara, en un lenguaje sencillo propio de su edad, utilizando métodos que le permitan entender lo que ocurrirá con sus datos personales, las finalidades que se persiguen, los derechos que tiene y cómo ejercerlos y cualquier otra información necesaria para obtener su consentimiento explícito.

También podrá otorgar el consentimiento del adolescente mayor de 15 años, quien ejerce la representación legal, sin perjuicio de que el adolescente, en cualquier momento, pueda revocar este consentimiento. El representante legal del adolescente no podrá revocar el consentimiento otorgado explícitamente por el adolescente en su calidad de titular.

Artículo 20.- Del interés superior del niño

El consentimiento obtenido para el tratamiento de datos personales de un menor de edad, no podrá, bajo ninguna circunstancia, menoscabar el interés superior de la niña, niño o adolescente, conforme a las disposiciones del Código de la Niñez y Adolescencia y demás normativa vigente. De identificarse aquello, el consentimiento obtenido será considerado inválido.

CAPÍTULO V.- TRANSFERENCIA O COMUNICACIÓN DE DATOS A TERCEROS

Artículo 21.- Transferencia de datos personales a un tercero

La transferencia o comunicación de datos personales a un tercero o encargado requerirá el consentimiento del titular, a menos que, previo a realizar la misma, se han disociado los datos, se han utilizado mecanismos de cifrado robustos de los datos u otros mecanismos orientados a la privacidad e intimidad de los titulares de los datos personales; de manera que no se pueda identificar a qué persona se refieren.

Artículo 22.- Supuestos para la transferencia de datos a terceros

La transferencia o comunicación de datos personales a terceros se podrá realizar siempre que concurran los siguientes supuestos:

1. Para el cumplimiento de fines directamente relacionados con las funciones legítimas del responsable y del tercero destinatario, en cuyo caso el destinatario se obliga a cumplir con la normativa de protección de datos; y,

2. Cuando se cuente con el consentimiento previo del titular, el cual puede ser revocado en cualquier momento.

No se requerirá el consentimiento del titular en los supuestos previstos en la Ley.

Artículo 23.- Ejercicio de derechos en los casos de transferencia de datos a terceros

El titular de los datos personales ejercerá los derechos de rectificación, actualización, oposición y eliminación, directamente ante el responsable del tratamiento, quien, a su vez, deberá notificar de aquello al tercero destinatario de la comunicación de datos personales para que proceda con la rectificación, actualización, oposición o eliminación, según sea el caso.

CAPÍTULO VI.- VULNERACIÓN A LA SEGURIDAD DE DATOS PERSONALES

Artículo 24.- De la notificación de vulneración de seguridad

De conformidad con lo dispuesto en la Ley, el responsable del tratamiento deberá notificar a la Autoridad de Protección de Datos Personales y a la Agencia de Regulación y Control de Telecomunicaciones cualquier vulneración a la seguridad de los datos personales, siempre que sea probable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas naturales.

Se entiende que la vulneración o violación a la seguridad constituye un riesgo para los derechos y las libertades de las personas naturales cuando concurre cualquiera de las siguientes causales:

1. Cuando los datos fueron destruidos, ya no existen o no están disponibles de una forma que sea de utilidad para el responsable del tratamiento;

2. Cuando los datos personales han sido alterados, corrompidos o dejan de estar completos;

3. Cuando el responsable del tratamiento ha perdido el control o el acceso a los datos, o ya no obran en su poder; o,

4. Cuando el tratamiento no ha sido autorizado o es ilícito, lo cual incluye la divulgación de datos personales o el acceso por parte de destinatarios que no están autorizados a recibir o acceder a los datos o cualquier otra forma de tratamiento que se ejecuta contrariando las disposiciones de la Ley.

Artículo 25.- Finalidad de la notificación

Las notificaciones de las vulneraciones de seguridad de datos personales tendrán como finalidad principal que la Autoridad de Protección de Datos Personales y la Agencia de Regulación y Control de Telecomunicaciones lleven un registro estadístico sobre vulneraciones para determinar posibles medidas de seguridad para cada una de ellas, así como identificar sectores o instituciones más vulnerables y promover la adaptación de estándares internacionales y mejores prácticas en la gestión de incidentes y vulnerabilidades.

Artículo 26.- Contenido de la notificación

La notificación de vulneración de seguridad deberá contener lo siguiente:

1. La naturaleza y tipo de vulneración;

2. Identificar los titulares o interesados afectados;

3. El detalle inicial de los sistemas vulnerados;

4. La causa presunta de la vulneración:

5. El volumen y tipos de datos expuestos o comprometidos;

6. Las medidas adoptadas y previstas para responder y remediar la vulneración con la finalidad de mitigar las consecuencias presuntas;

7. La evaluación del riesgo que la vulneración implica para los derechos y libertades de los titulares; y,

8. Otros aspectos determinados por la Autoridad de Protección de Datos Personales.

Artículo 27.- Notificación de vulneración de seguridad por parte del encargado

El encargado deberá notificar al responsable del tratamiento de datos personales la vulneración de la seguridad de datos personales.

La notificación de vulneración de seguridad deberá contener la misma información detallada en el artículo precedente, a excepción de la evaluación del riesgo.

Artículo 28.- Notificación de vulneración de seguridad al titular

La notificación de vulneración de datos al titular contendrá la misma información establecida en los artículos anteriores.

La notificación deberá realizarse en lenguaje claro y sencillo, observando los derechos de los titulares.

La Autoridad de Protección de Datos Personales velará por que las excepciones a la obligación de notificación señaladas en la Ley sean utilizadas de manera restringida y de manera justificada.

CAPÍTULO VII.- EVALUACIÓN DE IMPACTO

Artículo 29.- Evaluación de impacto del tratamiento de datos personales

La evaluación de impacto consiste en un análisis preventivo, de naturaleza técnica, mediante el cual el responsable valora los impactos reales del tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con el cumplimiento de los principios y el respeto de los derechos y de las obligaciones establecidas en la Ley Orgánica de Protección de Datos Personales, este Reglamento y demás normativa aplicable.

Artículo 30.- Objeto de la evaluación de impacto

La evaluación de impacto tiene por objeto:

1. Identificar y describir los riesgos potenciales y probables de determinados tratamientos de datos personales;

2. Describir las acciones concretas para la gestión de los riesgos identificados;

3. Actuar de forma preventiva en el cumplimiento de las obligaciones establecidas en la Ley, su Reglamento y demás normativa aplicable; y,

4. Propiciar lineamientos para la construcción de una cultura preventiva de la protección de datos personales de la organización.

Artículo 31.- Evaluación de impacto obligatoria

Las evaluaciones de impacto del tratamiento de datos serán obligatorias en los casos establecidos en la Ley y deberán realizarse de forma previa al inicio del tratamiento de datos personales.

Los responsables utilizarán los criterios establecidos en el presente Reglamento para determinar en qué casos se está en presencia de una evaluación sistemática y exhaustiva de aspectos personales, de un tratamiento a gran escala de categorías especiales de datos, de datos relativos a condenas e infracciones penales o, de una observación sistemática a gran escala de una zona de acceso público.

En caso de duda, el responsable podrá dirigir una consulta a la Autoridad de Protección de Datos Personales con la finalidad de que determine la obligatoriedad de la evaluación de impacto. La Autoridad de Protección de Datos personales deberá contestar dicha consulta en el término máximo de cinco (5) días contados desde la recepción de la consulta.

Artículo 32.- Requisitos de la evaluación de impacto

En los casos en que sea obligatoria, la evaluación de impacto será presentada ante la Autoridad de Protección de Datos Personales y contendrá, al menos, lo siguiente:

1. La descripción sistemática de las operaciones de tratamiento y las finalidades de ese tratamiento;

2. La justificación de la necesidad de llevar a cabo esas operaciones de tratamiento, así como su proporcionalidad con respecto de la finalidad;

3. La evaluación de riesgos a los derechos y libertades de los titulares; y,

4. Las medidas previstas para hacer frente a los riesgos, las garantías, medidas de seguridad y mecanismos destinados a salvaguardar y demostrar el respeto al derecho de los titulares a la protección de sus datos personales.

La información otorgada en virtud de los numerales precedentes debe limitarse a la que sea necesaria para respaldar la evaluación y no incluir detalles potencialmente confidenciales relacionados con las implementaciones de seguridad o la información confidencial.

CAPÍTULO VIII.- RESPONSABLE DEL TRATAMIENTO

Artículo 33.- Obligaciones del responsable del tratamiento

El responsable del tratamiento deberá, tanto en el momento de la determinación de los medios para el tratamiento como en el momento mismo del procesamiento de datos personales, aplicar medidas apropiadas que sean adecuadas para la observancia efectiva de los principios de protección de datos, así como de los derechos reconocidos en la Ley. Para ello, tendrá en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, las circunstancias y los fines del tratamiento, así como la probabilidad y la gravedad de los riesgos para los intereses de los titulares.

Artículo 34.- Estado de la técnica

Se entiende por estado de la técnica a los progresos actuales de la tecnología disponible en el mercado, que deberá ser considerado al determinar las medidas técnicas y organizativas adecuadas. El responsable del tratamiento deberá evaluar continuamente el estado de la técnica.

Artículo 35.- Costos de aplicación

Los costos de aplicación no se limitan solamente a términos monetarios sino también a los recursos que, en general, deba invertir el responsable del tratamiento, incluidos el tiempo y el humano. El responsable del tratamiento deberá evaluar los riesgos que conlleva el tratamiento para los derechos y libertades de los titulares y estimar los costos de la aplicación de las medidas adecuadas para mitigar dichos riesgos. La incapacidad de asumir los costos no es excusa para el incumplimiento de la Ley y el presente Reglamento, para lo cual se observará el principio de proporcionalidad entre el volumen del tratamiento de los datos y la capacidad económica del responsable del tratamiento.

Artículo 36.- De la prueba de las medidas de protección

Los responsables del tratamiento deberán demostrar que han aplicado todas la medidas necesarias para la protección de datos personales. Para ello, el responsable del tratamiento podrá determinar los indicadores clave de rendimiento adecuados para demostrar el cumplimiento. Estos indicadores pueden incluir métricas para demostrar la eficacia de las medidas tomadas. Las métricas pueden ser cuantitativas, como el nivel de riesgo, la reducción de las reclamaciones, la reducción del tiempo de respuesta cuando los interesados ejercen sus derechos; o, cualitativas, como las evaluaciones del rendimiento, el uso de escalas o evaluaciones de expertos.

Artículo 37.- Responsables conjuntos

Si dos o más responsables del tratamiento determinan conjuntamente los mismos fines y los medios del tratamiento de los datos personales, se considerarán responsables conjuntos, quienes definirán sus respectivas tareas y responsabilidades en materia de protección de datos de forma transparente a través de un contrato, en la medida en que estas no estén ya definidas en disposiciones legales, buscando precautelar los intereses y derechos de los titulares.

Dicho acuerdo no impedirá que el titular o interesado ejerza sus derechos contra cualquiera de los responsables conjuntos del tratamiento y que estos sean responsables solidarios ante la autoridad de control y los titulares.

Además, cada responsable conjunto deberá cumplir las obligaciones que determina la Ley, en función de las responsabilidades asumidas en el acuerdo, cuya evidencia deberá estar a disposición de la autoridad de control, cuando así lo solicite. En este sentido, cada responsable conjunto es sujeto del régimen sancionador, en forma diferenciada sobre la base de las responsabilidades adquiridas.

Los acuerdos de protección de datos entre responsables conjuntos deben ser compartidos con los titulares interesados cuando así sea requerido por éstos, sobre la base del principio de transparencia.

Artículo 38.- Registro de actividades de tratamiento

El responsable del tratamiento que cuente con cien o más trabajadores, llevará un registro de todas las actividades de tratamiento de datos personales que sean de su competencia.

Este registro contendrá la siguiente información:

1. El nombre y los datos de contacto del responsable del tratamiento y, en su caso, del responsable que actúa conjuntamente con el responsable del tratamiento de datos personales, así como el nombre y los datos de contacto del delegado de protección de datos;

2. Los fines del tratamiento;

3. Las categorías de destinatarios a los que se han comunicado o se comunicarán los datos personales;

4. Identificar a los titulares y las categorías de datos personales de los titulares;

5. En su caso, el uso de perfiles;

6. En su caso, definir las transferencias de datos personales a organismos de un tercer país o a una organización internacional;

7. Descripción de las bases legitimadoras que facultan el tratamiento;

8. Los plazos de retención previstos para la supresión o la revisión de la necesidad de conservar las diferentes categorías de datos personales; y,

9. Una descripción general de las medidas técnicas, jurídicas, administrativas y organizativas.

El registro se llevará por escrito o electrónicamente. Los responsables pondrán a disposición de la Autoridad de Protección de Datos Personales los registros de actividades cuando ésta lo solicite.

Artículo 39.- Extensión de la obligación de registro

La obligación de registro de actividades también la tendrán los responsables de tratamiento que, teniendo menos de cien trabajadores, cumplan alguna de las siguientes condiciones;

1. El tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los titulares, de acuerdo con el análisis de riesgos, amenazas y vulnerabilidades, de conformidad con lo dispuesto en la ley;

2. No se trate de un tratamiento ocasional: o,

3. Incluya categorías especiales de datos personales.

CAPÍTULO IX.- ENCARGADO DEL TRATAMIENTO

Artículo 40.- Encargado

El encargado del tratamiento deberá ofrecer garantías suficientes para aplicar medidas técnicas, jurídicas, administrativas y organizativas apropiadas para que el tratamiento cumpla con las disposiciones de la Ley garantizando el adecuado tratamiento de los datos personales y la protección de los derechos de los titulares.

Artículo 41.- De la relación entre responsable y encargado

La relación entre el responsable del tratamiento y un encargado debe regirse por un contrato escrito, en el cual se detallen las instrucciones encomendadas respecto del tratamiento de datos personales y, al menos, los siguientes aspectos:

1. El objeto;

2. La duración:

3. La naturaleza;

4. La finalidad del tratamiento de los datos;

5. La categoría de los datos personales;

6. Identificar a los titulares de los datos personales tratados; y,

7. Las obligaciones y responsabilidades del encargado.

El encargado del tratamiento deberá respetar las instrucciones que, para el efecto, determine el responsable en cuanto al tratamiento de los datos personales. Para ello, deberá establecer las medidas técnicas y organizativas adecuadas, previo a brindar el servicio, que deberán ser equiparables a aquellas a las que está obligado el responsable en función de los datos y los tipos de tratamiento aplicables, de tal forma que se garantice la protección de datos de los titulares.

Artículo 42.- Obligación del responsable

El responsable del tratamiento de datos personales será el directo obligado de garantizar el correcto ejercicio de los derechos reconocidos en la Ley a los titulares, sin embargo, el encargado deberá asistir al responsable y realizar todas las acciones necesarias, y bajo su responsabilidad, para que el responsable pueda cumplir con esta obligación.

Artículo 43.- Responsabilidad del encargado.

El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento. En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas. Si el encargado considera que una instrucción es ilegal, informará al responsable del tratamiento, sin demora injustificada, para que se corrija la instrucción, de ser pertinente.

Artículo 44.- Registro de actividades del tratamiento

El encargado del tratamiento deberá mantener un registro de actividades del tratamiento cuando el responsable del tratamiento esté obligado a ello, de conformidad con lo previsto en la Ley, el presente Reglamento y demás normativa aplicable.

Artículo 45.- Contratación

El encargado del tratamiento podrá contratar a un tercero para complementar la prestación de un servicio al responsable del tratamiento de datos personales, siempre que esto se haga constar expresamente en el contrato celebrado entre el responsable y el encargado del tratamiento. Caso contrario, requerirá la autorización escrita del responsable del tratamiento para la subcontratación.

En este caso, el tercero contratado asumirá las obligaciones del encargado de tratamiento establecidas en la ley y en el presente Reglamento, debiendo cumplir con las instrucciones de tratamiento de datos establecidas entre el responsable y encargado del tratamiento, en aquello que fuere pertinente en función de los servicios que han sido contratados.

Artículo 46.- Eliminación de datos personales

El encargado deberá devolver o eliminar todos los datos personales, según las instrucciones impartidas por el responsable del tratamiento, una vez finalizada la relación que justifica el tratamiento de datos personales, destruyendo todas las copias existentes, salvo que exista la obligación de conservar los datos en virtud de una disposición legal.

Artículo 47.- Revisión de registros

El encargado de tratamiento deberá permitir al responsable o a la persona determinada por este, en cualquier momento que así lo solicite el responsable, la revisión de los registros y procesos que tengan relación con los tratamientos de datos personales encomendados, a fin de verificar el correcto cumplimiento del contrato y las obligaciones de la Ley y el presente Reglamento, así como la adopción de medidas técnicas, organizativas y de seguridad adecuadas.

En tal sentido, el encargado deberá proporcionar al responsable o a la persona determinada por este, todas las facilidades y toda la información necesaria para demostrar el cumplimiento de sus obligaciones.

CAPÍTULO X.- DELEGADO DE PROTECCIÓN DE DATOS

Artículo 48.- Delegado de protección de datos

El delegado de protección de datos personales es la persona natural que se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales.

Podrá realizar otras actividades relacionadas con la protección de datos personales que le sean encomendadas por el responsable, siempre que no supongan o exijan del delegado una preparación diversa ni exista un conflicto con las responsabilidades previamente adquiridas.

El delegado de protección de datos personales desempeñará sus funciones de manera profesional, con total independencia del responsable y del encargado del tratamiento de datos personales, quienes estarán obligados a facilitar la asistencia, recursos y elementos que les sea oportunamente requeridos para garantizar el cumplimiento de los deberes, funciones y responsabilidades a cargo del delegado.

Sin perjuicio de lo que disponga la Ley y este Reglamento, corresponderá a la Autoridad de Protección de Datos Personales emitir la normativa que garantice la independencia del delegado de protección de datos personales en el desempeño de sus funciones en relación con el responsable y encargado.

Artículo 49.- Tipo de contratación

El delegado de protección de datos podrá ser contratado por el responsable del tratamiento de datos personales, bajo la figura de relación de dependencia o a través de un contrato de prestación de servicios. Sin perjuicio de lo indicado, en cualquiera de los casos, deberá respetar y garantizar que se presten los servicios de manera independiente.

Tratándose de las instituciones del sector público, el delegado de protección de datos será designado por la máxima autoridad institucional.

Artículo 50.- Delegado de protección de datos de grupos empresariales

Los grupos empresariales podrán designar a un único delegado de protección de datos personales, en la medida en que pueda ejecutar sus actividades y sin que esto genere conflicto de intereses.

Artículo 51.- Prohibición de sanción al delegado de protección de datos

El responsable y el encargado del tratamiento de datos personales deberán respetar el trabajo que ejecute el delegado de protección de datos personales, y no se aplicarán sanciones por el hecho de desempeñar y cumplir sus funciones. En caso que el delegado sea sancionado o removido por motivo de la ejecución de sus funciones, podrá poner este hecho en conocimiento de la Autoridad de Protección de Datos Personales, que valorará las circunstancias en las que se produjo la desvinculación o sanción y validará las sanciones que correspondan, sin perjuicio de las acciones legales o judiciales a que hubiere a lugar por parte del delegado perjudicado.

La Autoridad de Protección de Datos Personales establecerá el procedimiento de denuncia y las sanciones correspondientes para los casos de remoción o sanción injustificadas del delegado de protección de datos.

Artículo 52.- Buenas prácticas

Los responsables o encargados del tratamiento de datos personales, que no se encuentren dentro de las categorías de obligados a designar un delegado de protección de datos, podrán hacerlo de manera voluntaria como un mecanismo de buena práctica y como parte de las medidas de responsabilidad proactiva a adoptar.

En atención a sus necesidades institucionales, los responsables y encargados del tratamiento de datos personales podrán designar un delegado suplente, que actuará en caso de ausencia o impedimento temporal o definitivo del primero.

Artículo 53.- Actividades de control permanente y sistematizado de datos

Para determinar si las actividades de un responsable o encargado en materia de protección de datos requieren de un control permanente, se deberá considerar, entre otros factores que defina la Autoridad de Protección de Datos Personales, alguno de los siguientes:

1. Si el tratamiento de datos es continuado o si se produce en intervalos concretos durante un periodo de tiempo;

2. Si el tratamiento de datos es recurrente o repetido en momentos prefijados; o,

3. Si el tratamiento tiene lugar de manera constante o periódica.

Así mismo, para determinar si el control es sistematizado, además de aquellos que determine la Autoridad de Protección de Datos Personales, se deberá verificar alguno de los siguientes aspectos:

1. Si el tratamiento de datos está de alguna manera preestablecido, organizado o es metódico;

2. Si el tratamiento de datos tiene lugar como parte de un plan general de recogida de datos; o,

3. Si el tratamiento de datos es llevado a cabo como parte de una estrategia.

En caso de suscitarse dudas entre los responsables y encargados respecto a los supuestos que dan lugar a la designación del delegado de protección de datos personales, podrán dirigir sus respectivas consultas a la Autoridad de Protección de Datos Personales, cuya decisión será de cumplimiento obligatorio para los consultantes.

Artículo 54.- Tratamiento a gran escala de datos de categoría especiales

Para determinar el tratamiento de datos de categorías especiales a gran escala, se considerarán, entre otros factores que defina la Autoridad de Protección de Datos Personales, los establecidos en el presente Reglamento.

Artículo 55.- Requisitos para ser delegado

Sin perjuicio de otros requisitos que establezca la Autoridad de Protección de Datos Personales, para ser delegado de protección de datos personales, se requerirá:

1. Estar en goce de los derechos políticos;

2. Ser mayor de edad;

3. Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación, o de Tecnologías; y,

4. Acreditar experiencia profesional de por lo menos cinco años.

Artículo 56.- Impedimento para ser delegado

Sin perjuicio de otras que defina la Autoridad de Protección de Datos Personales, no podrán ser delegados de protección de datos personales las siguientes personas:

1. Quienes formen parte de los órganos de administración y control del responsable y encargado;

2. Los socios o accionistas del responsable y encargado;

3. Los cónyuges de los administradores, directores o comisarios de la compañía, en caso de haberlos, del responsable y encargado, o sus parientes hasta el cuarto grado de consanguinidad o segundo de afinidad; y,

4. Quienes tengan conflictos de intereses con el responsable y encargado, para lo cual la Autoridad de Protección de Datos Personales emitirá la normativa correspondiente en la que se establecerán los supuestos específicos que darían lugar a dicho conflicto de intereses.

Tratándose de las instituciones del sector público, la Autoridad de Protección de Datos Personales definirá las incompatibilidades para ser delegado de protección de datos personales para cada caso en particular.

Artículo 57.- Acuerdos de Confidencialidad

El delegado de protección de datos personales suscribirá un acuerdo de confidencialidad respecto de la información que llegase a conocer o respecto de la cual pueda llegar a tener acceso por el desempeño de su cargo. Las partes acordarán, libremente, los términos y condiciones del acuerdo, pero en ningún caso tales documentos podrán limitar el acceso del delegado a la información que estime necesaria para el desempeño de su función.

El incumplimiento de los acuerdos de confidencialidad estará sujeto a las responsabilidades civiles y penales a las que hubiere lugar.

Este deber de guardar confidencialidad subsistirá incluso una vez que haya concluido la relación jurídica con el responsable o encargado.

CAPÍTULO XI.- RESPONSABILIDAD PROACTIVA Y AUTORREGULACIÓN

Artículo 58.- Obligatoriedad.

El responsable del tratamiento está obligado a aplicar medidas técnicas, jurídicas, administrativas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de datos que realiza es conforme con la normativa. Para ello se deberá atender:

1. La naturaleza;

2. El ámbito;

3. La finalidad del tratamiento; y,

4. Los riesgos.

Esta obligación implica también revisar y actualizar las medidas cuando sea necesario.

Artículo 59.- Medidas de protección de datos desde el diseño

El responsable del tratamiento tiene la obligación de establecer medidas técnicas y organizativas adecuadas para aplicar los principios establecidos en la normativa de forma eficaz, y

proteger los derechos de los titulares, de manera previa al tratamiento de datos personales.

Para la fijación de estas medidas debe tenerse en cuenta:

1. La naturaleza, ámbito y finalidad del tratamiento;

2. Los riesgos de diversa probabilidad y gravedad asociados al tratamiento;

3. El estado de la técnica; y,

4. El coste de aplicación.

Artículo 60.- Medidas de protección de datos por defecto

El responsable del tratamiento adoptará las medidas técnicas y organizativas apropiadas para garantizar que, mediante ajustes, por defecto, solo puedan tratarse aquellos datos personales cuyo tratamiento sea necesario para la respectiva finalidad específica del tratamiento.

Además, mediante los respectivos ajustes, las medidas deben garantizar que, por defecto, los datos no puedan ser accesibles a un número indefinido de personas de forma automatizada.

Esta obligación es aplicable a:

1. La cantidad de los datos recopilados;

2. La extensión del tratamiento;

3. El período de almacenamiento; y,

4. La accesibilidad

Para acreditar el cumplimiento de esta medida, podrá utilizarse un mecanismo de certificación, según lo previsto en la Ley Orgánica de Protección de Datos Personales.

Artículo 61.- Mecanismos de autorregulación

Los mecanismos de autorregulación pueden ser adoptados para el cumplimiento de los principios, ejercicio de derechos, medidas de seguridad, transferencias, procedimientos y, en general, para cumplir cualquiera de las obligaciones previstos en la Ley Orgánica de Protección de Datos Personales, este Reglamento y demás normativa aplicable.

Los mecanismos de autorregulación constituyen instrumentos que permiten adecuar de mejor forma esquemas de cumplimiento para sectores específicos o en situaciones muy particulares, y dar cumplimiento a la Ley Orgánica de Protección de Datos Personales, así como el resto de normativa aplicable.

Artículo 62.- Mecanismos de autorregulación

Serán mecanismos de autorregulación los siguientes:

1. Esquemas certificados en materia de protección de datos personales por el Servicio Ecuatoriano de Acreditación;

2. Reglas específicas creadas para adaptar la normativa de protección de datos personales a un determinado sector o situación. En este tipo de reglas estarán comprendidos los códigos de conducta, las normas corporativas vinculantes y las cláusulas tipo; y,

3. Esquemas validados por la Autoridad de Protección de Datos Personales, conforme a las reglas que para el efecto emita.

Artículo 63.- Registro de mecanismos de autorregulación

La Autoridad de Protección de Datos Personales mantendrá un registro de mecanismos de autorregulación a fin de dar a conocer la siguiente información:

1. Las reglas destinadas a adaptar la normativa de datos personales para determinado sector o situación, con la finalidad de facilitar y hacer efectivo su cumplimiento;

2. Las entidades de acreditación autorizadas por el Servicio Ecuatoriano de Acreditación en materia de protección de datos personales;

3. Las entidades de evaluación acreditadas para otorgar certificaciones en materia de protección de datos personales por el Servicio Ecuatoriano de Acreditación, en el marco de la Ley, este Reglamento y las reglas que se emitan para el efecto; y,

4. Los responsables y encargados que hayan adoptado algún mecanismo.

SECCIÓN I.- CERTIFICACIÓN

Artículo 64.- Objeto de la certificación

La certificación tiene por objeto determinar el grado de cumplimiento de un mecanismo de autorregulación con relación a las obligaciones de la Ley Orgánica de Protección de Datos Personales, este Reglamento y demás normativa aplicable.

Corresponderá, privativamente, a la Autoridad de Protección de Datos Personales emitir y actualizar periódicamente los parámetros básicos o estándares mínimos de evaluación a los que deberán someterse los responsables y encargados para obtener la certificación a la que se refiere este Reglamento.

Artículo 65.- Temporalidad de la certificación

La certificación se expedirá por un periodo máximo de tres años, vencido el cual podrá ser renovada en las mismas condiciones, siempre y cuando se cumplan los requisitos establecidos para el efecto.

Artículo 66.- Entidades de certificación

La certificación en materia de protección de datos estará a cargo de las entidades de certificación acreditadas por el Servicio Ecuatoriano de Acreditación, de conformidad con la normativa que para el efecto emitan en conjunto la Autoridad de Protección de Datos Personales y la Autoridad Nacional de Acreditación.

Para la acreditación de la entidad de certificación se revisará el cumplimiento de, entre otros establecidos por la Autoridad de Protección de Datos Personales, los siguientes requisitos:

1. Haber demostrado su independencia y pericia en relación con el objeto de la certificación;

2. Haber establecido procedimientos adecuados para la expedición, revisión periódica y la retirada de sellos y certificaciones de cumplimiento en materia de protección de datos: y.

3. Haber demostrado que sus funciones y cometidos no dan lugar a conflictos de intereses.

Para la aprobación de las entidades certificadoras se tomará en cuenta, además, el cumplimiento por parte de estas entidades de normas internacionales como la relativa a los requisitos para organismos que certifican productos, procesos y servicios.

Artículo 67.-Revocatoria

Cuando el responsable o encargado del tratamiento de datos personales dejen de cumplir con los requisitos que dieron paso al otorgamiento de la certificación, ésta podrá ser revocada por el mismo organismo de certificación que la otorgó o por la autoridad de control competente.

SECCIÓN II.- CÓDIGOS DE CONDUCTA

Artículo 68.- Aprobación de códigos de conducta

Cualquier persona natural o jurídica, asociación, gremio o grupo de empresas podrá presentar, para aprobación de la Autoridad de Protección de Datos, códigos de conducta que tengan como fin el cumplimiento de la normativa vigente en materia de protección de datos personales.

Los códigos de conducta deberán contener al menos lo siguiente:

1. Exposición de motivos, clara y concisa, que describa detalladamente el objetivo del código, su ámbito de aplicación y cómo facilitará la aplicación efectiva de la Ley y este Reglamento;

2. Ámbito de aplicación que determine de forma específica las operaciones de tratamiento o las características del tratamiento de datos personales que abarca, así como las categorías de responsables o encargados del tratamiento a las que se aplica. Esto incluirá las cuestiones del tratamiento que pretenda abordar el código y aportará soluciones prácticas; y,

3. Mecanismos de supervisión para controlar el pleno cumplimiento de sus disposiciones.

Artículo 69.- Admisibilidad

El proponente del código presentará formalmente su proyecto de código, ya sea en formato electrónico o físico a la Autoridad de Protección de Datos Personales.

Presentado el proyecto de código, la Autoridad de Protección de Datos, en el término máximo de cinco (5) días, examinará si cumple con los requisitos de forma establecidos en el artículo anterior. Si lo hace calificará, tramitará y dispondrá la evaluación del contenido del proyecto de código.

Si el proyecto no cumple con los requisitos formales, la Autoridad de Protección de Datos Personales dispondrá que el proponente la complete o aclare en el término de cinco (5) días, determinando explícitamente el o los defectos. Si no lo hace, ordenará el archivo y la devolución del proyecto, sin necesidad de dejar copias.

Artículo 70.- Evaluación del fondo

Admitido el proyecto de código, la Autoridad de Protección de Datos Personales deberá, en el término de un treinta (30) días, evaluar y verificar que el código contribuya a la correcta aplicación de la Ley, el presente Reglamento y la normativa aplicable en materia de protección de datos, teniendo en cuenta las características específicas de los diversos sectores del tratamiento, así como las obligaciones y los requisitos concretos de los responsables o encargados del tratamiento a los que se aplique.

Además de los criterios que determine la Autoridad de Protección de Datos para la aprobación de los Códigos de Conducta, se verificará que el proyecto cumpla con los siguientes criterios:

1. Satisfacer una necesidad puntual de ese sector o actividad de tratamiento;

2. Especificar la aplicación de la Ley y el Reglamento a la naturaleza de la actividad o el sector del tratamiento;

3. Aportar mejoras al sector en cuanto al cumplimiento de la legislación en materia de protección de datos;

4. Establecer normas realistas, aplicables, concretas, inequívocas y estar formuladas con la calidad y coherencia interna necesarias para aportar valor;

5. Desarrollar de manera específica, práctica y precisa cómo ha de aplicarse la ley, el reglamento y demás normativa de protección de datos;

6. Aportar garantías suficientes y eficaces para mitigar el riesgo que entraña el tratamiento de datos y respetar los derechos y las libertades de los particulares;

7. Disponer de mecanismos eficaces para supervisar el cumplimiento de) código; y,

8. Identificar y proponer específicamente las estructuras, procedimientos y órganos que velen por una supervisión eficaz y una sanción de las infracciones.

Los citados mecanismos pueden incluir una auditoría periódica y requisitos de presentación de informes, la gestión clara y transparente de las reclamaciones y los procedimientos de solución de conflictos, sanciones específicas y medidas correctivas en caso de infracción del código, así como mecanismos para denunciar las infracciones de sus disposiciones.

CAPÍTULO XII.- TRANSFERENCIA O COMUNICACIÓN INTERNACIONAL DE DATOS

Artículo 71.- Transferencia o comunicación internacional de datos personales a países declarados como nivel adecuado de protección

De oficio o a petición de parte, la Autoridad de Protección de Datos Personales, mediante resolución motivada, determinará los países, organizaciones o personas jurídicas que cuentan con adecuados niveles de protección para transferencia de datos personales. Para ello, revisará que los estándares de protección sean equivalentes o superiores a aquellos establecidos en la Ley y demás normativa respectiva.

La resolución tendrá efectos generales, por lo que las transferencias internacionales hacia ese país, organización o persona jurídica no requerirá de autorización previa.

Artículo 72.- Contenido y publicación de la resolución

La Autoridad de Protección de Datos Personales establecerá el mecanismo de revisión periódica de los niveles adecuados de protección, que deberá llevarse a cabo anualmente. De ser el caso, podrá revocar, modificar o suspender la resolución que reconoció el adecuado nivel de protección al país, organización o persona jurídica, sin que este acto tenga efectos retroactivos.

La resolución será publicada en el Registro Oficial y por medios digitales disponibles al público en su página web institucional.

Artículo 73.- Criterios de estándares de nivel adecuado de protección

Para determinar si un país, organización o persona jurídica posee un nivel adecuado de protección de datos se tendrá en cuenta los siguientes criterios, sin perjuicio de otros que pueda definir la Autoridad de Protección de Datos:

1. La legislación nacional y normativa sectorial del país, que tenga incidencia en materia de protección de datos personales;

2. La legislación en materia de seguridad nacional, pública y, en general aquella que tenga relación con la defensa y seguridad del Estado, así como la legislación penal. En estas materias se deberá poner especial énfasis en la revisión de las disposiciones que habiliten el acceso a datos personales por parte de las autoridades de ese país, organización o persona jurídica;

3. La normativa sobre transferencias ulteriores de datos personales a terceros países, organizaciones o personas jurídicas;

4. La jurisprudencia vinculada a la protección de datos personales;

5. El reconocimiento de derechos y los mecanismos para su ejercicio en favor de los titulares de datos personales;

6. El establecimiento de deberes y obligaciones de los responsables y encargados del tratamiento de datos personales;

7. La existencia de una autoridad de protección de datos personales que sea independiente y que tenga competencias de control y vigilancia del cumplimiento de la normativa en materia protección de datos personales, así como de sanción en caso del cometimiento de infracciones en esta materia. Además, deberá brindar asistencia y asesoría a los titulares y cooperación internacional con otras autoridades; y,

8. Los compromisos internacionales asumidos por el país, organización o persona jurídica en cuanto a la materia de protección de datos personales.

Artículo 74.- Transferencia o comunicación internacional mediante garantías adecuadas

De conformidad con la Ley, los instrumentos jurídicos que sustentan la transferencia internacional de datos personales a un país, organización o territorio económico internacional que no haya sido calificado por la Autoridad de Protección de Datos de tener un nivel adecuado de protección serán los siguientes:

1. Instrumentos jurídicamente vinculantes y exigibles entre las autoridades u organismos públicos;

2. Normas corporativas vinculantes aprobadas por la Autoridad de Protección de Datos;

3. Cláusulas tipo de protección de datos adoptadas por organismos internacionales de protección de datos avaladas por la autoridad de control;

4. Códigos de conducta, que incluyan compromisos vinculantes del responsable o el encargado del tratamiento en el tercer país, organización o territorio económico internacional de aplicar garantías adecuadas, que incluya las relativas a los derechos de los interesados;

5. Mecanismos de certificación que incluyen sellos y marcas de protección, que incorporen compromisos vinculantes del responsable o el encargado del tratamiento en el tercer país, organización o territorio económico internacional de aplicar garantías adecuadas, así como aquellos relativos a los derechos de los interesados; y,

6. Cláusulas contractuales que no correspondan a las cláusulas tipo y que estén debidamente autorizadas por la autoridad de protección de datos.

Artículo 75.- Normas corporativas vinculantes

Son normas corporativas vinculantes las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en la República del Ecuador, para garantizar una adecuada protección de los datos personales, que permiten realizar transferencias internacionales de datos personales a un responsable o encargado en uno o más países, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

Todo grupo empresarial, o unión de empresas dedicadas a una actividad económica conjunta, tendrá la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de datos a terceros países, siempre que tales normas corporativas incorporen todos los principios de tratamiento de datos personales y derechos aplicables y garantías de seguridad adecuadas para la transferencia de datos de personales.

Artículo 76.- Autorización de normas corporativas vinculantes

Para que las normas corporativas vinculantes constituyan garantías adecuadas de protección, deberán ser autorizadas por la Autoridad de Protección de Datos.

Para ello, la Autoridad de Protección de Datos deberá observar que las normas corporativas vinculantes cumplan los siguientes requisitos:

1. Sean jurídicamente vinculantes;

2. Confieran expresamente a los titulares derechos exigibles en relación con el tratamiento de sus datos personales; y,

3. Cumplan con los requisitos establecidos en la Ley.

Artículo 77.- Transferencia o comunicación internacional en casos no contemplados

En casos no contemplados en los artículos precedentes, la Autoridad de Protección de Datos Personales autorizará, con carácter previo, la transferencia internacional de datos personales, únicamente cuando el responsable cumpla con alguno de los siguientes supuestos:

1. Que mediante contrato entre el responsable o encargado y el destinatario, este último se obligue, voluntaria y formalmente, a cumplir con la Ley, el Reglamento y demás normativa aplicable, así como a aceptar la autoridad y competencia de la Autoridad de Protección de Datos y de los tribunales ecuatorianos, para cualquier efecto relacionado con el tratamiento de los datos objeto de la transferencia; o,

2. Que mediante contrato entre el responsable o encargado y el destinatario, este último se obligue, voluntaria y formalmente, a cumplir con la Ley, el Reglamento y demás normativa aplicable, y que en el país o territorio donde se encuentre establecido el destinatario se garantice el ejercicio de los derechos, incluido aquel a presentar una reclamación ante una autoridad de protección de datos personales y el derecho a la tutela judicial efectiva, por parte de los titulares.

Artículo 78.- Registro de información sobre transferencias internacionales en el Registro Nacional de Protección de Datos

En el Registro Nacional de Protección de Datos se registrará la siguiente información:

1. El país donde se ubica el destinatario de los datos;

2. Las categorías de datos objeto de la transferencia;

3. Las finalidades de la transferencia;

4. El nombre, denominación, razón social o nombre comercial con el que se identifique al destinatario;

5. El mecanismo o esquema autorizado, conforme a la Ley y este Reglamento, para realizar la transferencia; y,

6. El criterio de excepción utilizado de los previstos en la Ley, cuando sea el caso.

La Autoridad de Protección de Datos privilegiará la utilización de medios digitales para el registro de la información descrita, y emitirá las reglas conforme a las cuales se realizará el registro de la información, los medios disponibles para el registro, los plazos, así como los mecanismos para la actualización de dicha información, de ser el caso.

CAPÍTULO XIII.- AUTORIDAD DE PROTECCIÓN DE DATOS

Artículo 79.- Autoridad de Protección de Datos Personales

 La Autoridad de Protección de Datos Personales goza de autonomía administrativa, técnica, operativa y financiera. Estará a cargo del Superintendente de Protección de Datos Personales y tendrá su sede en el Distrito Metropolitano de Quito.

El Estatuto Orgánico Funcional será aprobado por la máxima autoridad y contendrá la estructura institucional necesaria para el cumplimiento de sus fines y atribuciones.

Artículo 80.- Atribuciones

La Autoridad de Protección de Datos Personales, además de las señaladas en la Ley de la materia,

tendrá las siguientes:

1. Hacer cumplir las regulaciones en el marco de la protección de datos personales;

2. Registrar las bases de datos que contengan datos personales en el Registro Nacional de Protección de Datos Personales;

3. Dirigir y administrar el Registro Único de Responsables y Encargados Incumplidos;

4. Emitir regulaciones para la protección de datos personales;

5. Emitir los informes técnicos dentro de los mecanismos de control y supervisión que se dispongan;

6. Proponer reformas a la Ley y su reglamento;

7. Emitir guías de referencias que ayuden a los responsables y encargados del tratamiento de datos en el proceso de adecuación y cumplimiento de la normativa de protección de datos personales;

8. Conocer y resolver las peticiones, quejas, reclamos y recursos que se propongan en el ámbito de su competencia y de conformidad con la Ley; y,

9. Las demás que se le asignen en este reglamento.

Artículo 81.- Planes anuales

Las actividades de control se realizarán de acuerdo con el plan anual aprobado por la máxima autoridad, el cual será elaborado considerando la naturaleza de las organizaciones controladas, el volumen y la sensibilidad de los datos personales sujetos a tratamiento, la aplicación de los diferentes procedimientos de control y la disponibilidad presupuestaria.

Se podrán ejecutar procedimientos de control no considerados dentro de los planes anuales si la situación lo amerita, basados en criterios de criticidad, oportunidad y posibles lesiones al derecho a la protección de datos personales de uno o más titulares de datos personales.

Artículo 82.- Mecanismos de control

La Autoridad de Protección de Datos Personales determinará los procedimientos de control que se regirán por las reglas previstas en el Código Orgánico Administrativo.

Artículo 83.- Atribuciones del Superintendente de Protección de Datos Personales

Son atribuciones del Superintendente de Protección de Datos Personales, a más de las señaladas en la Ley y este Reglamento, las siguientes:

1. Representar legal y judicialmente a la Autoridad de Protección de Datos Personales, en todos los actos, contratos y relaciones jurídicas sujetas a su competencia.

2. Elaborar y publicar, anualmente, información estadística, de las organizaciones sujetas a su control y de los tratamientos de datos personales.

3. Formular, aprobar y ejecutar el presupuesto de la Autoridad de Protección de Datos Personales.

4. Preparar estudios y propuestas sobre reformas legales y reglamentarias que se requieran para el correcto ejercicio del derecho a la protección de datos personales, y ponerlos en consideración de los órganos encargados de aprobarlas.

5. Aprobar y expedir normas internas, resoluciones y manuales que sean necesarios para el buen funcionamiento de la Autoridad a su cargo.

Artículo 84.- Registro Nacional de Protección de Datos Personales

El Registro Nacional de Protección de Datos Personales constituye un registro público a cargo de la Autoridad de Protección de Datos Personales, que contiene las bases de datos personales o tratamiento realizado por los responsables de tratamiento de datos personales en los términos previstos en la Ley.

Artículo 85.- Responsabilidad del registro

El reporte y la actualización de la información en el Registro Nacional de Protección de Datos Personales, será obligación del responsable de tratamiento.

Esta obligación no implica el registro de los datos contenidos en la base de datos o que son objeto del tratamiento, y se realizará de manera independiente por cada base de datos o tratamiento.

La Autoridad de Protección de Datos Personales regulará los procesos de reporte y actualización en el Registro Nacional de Protección de Datos Personales a su cargo que deberán cumplir los responsables de tratamiento de datos personales.

Artículo 86.- Inscripción oportuna

El reporte de bases de datos o tratamiento en el Registro Nacional de Protección de Datos Personales deberá realizarse dentro del término de diez días contados a partir del día siguiente al inicio del tratamiento.

Artículo 87.- Registro Único de Responsables y Encargados del tratamiento de datos personales incumplidos

El Registro Único de Responsables y Encargados de tratamiento de datos personales incumplidos constituye un registro público a cargo de la Autoridad de Protección de Datos, en el que se harán constar los responsables y encargados del tratamiento que hubieren incurrido en alguna de las infracciones establecidas en la Ley y cuenten con una resolución firme, de conformidad con lo dispuesto en el ordenamiento jurídico vigente.

Dicho registro contendrá los siguientes datos:

1. Nombre de la persona natural o jurídica infractora;

2. Indicación de la infracción cometida;

3. Indicación de la sanción impuesta; y,

4. Reiteración o reincidencias en el cometimiento de infracciones.

Artículo 88.- Fines del Registro Único de Responsables y Encargados del tratamiento de datos personales Incumplidos

El Registro Único de Responsables y Encargados del tratamiento de datos personales Incumplidos será utilizado exclusivamente para fines estadísticos, preventivos y de capacitación.

La Autoridad de Protección de Datos guardará la confidencialidad y privacidad de los datos contenidos en el Registro y aplicará las medidas de seguridad a fin de proteger la información personal contenida en el mismo.

La Autoridad de Protección de Datos mantendrá permanentemente actualizado el Registro, de tal forma que responda con veracidad y exactitud a los datos contenidos en el mismo.

Artículo 89.- Plazo de conservación

El plazo máximo de conservación de los datos contenidos en el Registro de Responsables y Encargados del Tratamiento de datos personales Incumplidos es de siete (7) años contados desde la fecha de la emisión de la resolución o sentencia en firme.

CAPÍTULO XIV.- RÉGIMEN SANCIONATORIO

Artículo 90.- Cometimiento de infracciones

En los casos en que se presuma el cometimiento de alguna de las infracciones previstas en la Ley, la Autoridad de Protección de Datos iniciará el correspondiente procedimiento administrativo sancionatorio, de conformidad con las disposiciones establecidas en el Código Orgánico Administrativo.

La resolución que ponga fin al procedimiento deberá estar debidamente fundamentada y motivada, de conformidad con lo establecido en la Ley.

Las sanciones a las que hubiere lugar se impondrán sin perjuicio de la responsabilidad civil o penal que resulten del cometimiento de la infracción.

DISPOSICIÓN GENERAL

Los procedimientos administrativos se regirán por lo previsto en el Código Orgánico Administrativo.

DISPOSICIÓN TRANSITORIA

PRIMERA

La implementación y funcionamiento de la Superintendencia de Protección de Datos Personales estará sujeta a la disponibilidad presupuestaria, previo dictamen favorable del ente rector de las finanzas públicas.

SEGUNDA

En el plazo máximo de un (1) año, contado a partir de la fecha de implementación y funcionamiento de la Superintendencia de Protección de Datos Personales, esta coordinará y llevará a cabo capacitaciones técnicas y cursos de formación dirigidos al público en general, orientados a promover el ejercicio del derecho a la protección de datos personales y a la profesionalización de los delegados de protección de datos personales. Para tal efecto, podrá celebrar alianzas con instituciones de educación superior con experiencia en la materia, así como con organizaciones especializadas que promuevan la protección de datos personales.

DISPOSICIÓN FINAL

El presente Reglamento General entrará en vigencia a partir de su publicación en el Registro Oficial.

Dado en el Palacio Nacional, Distrito Metropolitano de Quito, el 6 de noviembre de 2023.

Guillermo Lasso Mendoza, PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA

Quito, 8 de noviembre del 2023, certifico que el que antecede es fiel copia del original.

Documento firmado electrónicamente, Juan Pablo Ortiz Mena, SECRETARIO GENERAL JURÍDICO DE LA PRESIDENCIA DE LA REPÚBLICA DEL ECUADOR.

26Feb/21

Acuerdo Ministerial nº 020-2019, de 2 de septiembre de 2019

Acuerdo Ministerial nº 020-2019, de 2 de septiembre de 2019, que expide la Política de Seguridad de la Información. 

MINISTERIO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN

ACUERDO MINISTERIAL nº 020-2019

EL MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN

CONSIDERANDO:

Que, el numeral 1 del artículo 154 de la Constitución de la República del Ecuador confiere a las Ministras y Ministros de Estado, además de las atribuciones establecidas en la ley, la rectoría de las políticas del área a su cargo, así como la facultad de expedir acuerdos y resoluciones administrativas;

Que, el artículo 226 de la Constitución de la República indica que: «Las instituciones del Estado. sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley. Tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución«;

Que, el artículo 227  ibídem  dispone:  «La administración pública  constituye  un  servicio  a  la colectividad  que se rige por los principios de   eficacia, eficiencia, calidad,  jerarquía, desconcentración, descentralización,  coordinación, participación,  planificación,  transparencia y evaluación»;

Que, de conformidad a lo establecido en el artículo 313 de la Constitución de la República «El Estado se reserva el derecho de administrar, regular, controlar y gestionar los sectores estratégicos, de conformidad con los principios de sostenibilidad ambiental, precaución, prevención y eficiencia (…) Se consideran sectores estratégicos la energía en todas sus formas, las telecomunicaciones, los recursos naturales no renovables, el transporte y la refinación de hidrocarburos, la biodiversidad y el patrimonio genético, el espectro radioeléctrico, el agua, y los demás que determine la ley»;

Que, el inciso segundo del artículo 314 de la Constitución de la República, dispone que el Estado garantizará que los servicios públicos, prestados bajo su control y regulación, respondan a principios de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad;

Que, el artículo 140 de la Ley Orgánica de Telecomunicaciones, dispone: «Rectoría del sector. El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el órgano rector de las telecomunicaciones y de la sociedad de la información, informática, tecnologías de la información y las comunicaciones y de la seguridad de la información. A dicho órgano le corresponde el establecimiento de políticas, directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de la información, de conformidad con lo dispuesto en la presente Ley, su Reglamento General y los planes de desarrollo que se establezcan a nivel nacional. Los planes y políticas que dicte dicho Ministerio deberán enmarcarse dentro de los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio tanto para el sector público como privado»;

Que, el artículo 10 de la Ley Orgánica de Acceso a la Información Pública, establece: «Custodia de la Información.- Es responsabilidad de las instituciones públicas, personas jurídicas de derecho público y demás entes señalados en el artículo 1 de la presente Ley, crear y mantener registros públicos de manera profesional para que el derecho a la información se pueda ejercer a plenitud, por lo que, en ningún caso se justificará la ausencia de normas técnicas en el manejo y archivo de la información y documentación para impedir u obstaculizar el ejercicio de acceso a la información pública, peor aún su destrucción.

Quienes administren, manejen, archiven o conserven información pública, serán personalmente responsables, solidariamente con la autoridad de la dependencia a la que pertenece dicha información y/o documentación, por las consecuencias civiles, administrativas o penales a que pudiera haber lugar, por sus acciones u omisiones, en la ocultación, alteración, pérdida y/o desmembración de documentación e información pública. Los documentos originales deberán permanecer en las dependencias a las que pertenezcan, hasta que sean transferidas a los archivos generales o Archivo Nacional.

El tiempo de conservación de los doctm1entos públicos, lo determinará la Ley del Sistema de Archivo Nacional y las disposiciones que regulen la conservación de la información pública confidencial.

Los documentos de una institución que desapareciere, pasarán bajo inventario al Archivo Nacional y en caso de fusión interinstitucional, será responsable de aquello la nueva entidad. «

Que, el artículo 6 de la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos, señala: «Accesibilidad y confidencialidad.- Son confidenciales los datos de carácter personal, tales como: ideología, afiliación política o sindical, etnia, estado de salud, orientación sexual, religión, condición migratoria y los demás atinentes a la intimidad personal y en especial aquella información cuyo uso público atente contra los derechos humanos consagrados en la Constitución e instrumentos internacionales. (…) La autoridad o funcionario que por naturaleza de sus funciones custodie datos de carácter personal, deberá adoptar las medidas de seguridad necesarias para proteger y garantizar la reserva de la información que reposa en sus archivos (…)»;

Que, mediante Decreto Ejecutivo nº 8 de 13 de agosto de 2009, publicado en el Registro Oficial nº 10, de 24 de agosto de 2009, el Presidente de la República creó el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como órgano rector del desarrollo de las Tecnologías de la Información y Comunicación;

Que, con Decreto Ejecutivo nº 5 de 24 de mayo de 2017, se suprime la Secretaría Nacional de la Administración Pública y se transfieren al Ministerio de Telecomunicaciones y de la Sociedad de la Información entre otras atribuciones, la siguiente: «b. Desarrollar y coordinar planes, programas o proyectos sobre gobierno electrónico que sean necesarios para su implementación»;

Que, conforme lo establece la Disposición General Segunda del Decreto Ejecutivo nº 5, «El Ministerio de Telecomunicaciones y Sociedad de la Información gestionará y coordinará la implementación de políticas, planes, programas y proyectos de gobierno electrónico en las instituciones de la administración pública a través de las coordinaciones generales de gestión estratégica y las direcciones de tecnologías de la información, dependientes de estas o de quien haga sus veces»;

Que, mediante Decreto Ejecutivo nº 784 de 4 de junio de 2019, el Presidente de la República nombró al licenciado Andrés Michelena Ayala, como Ministro de Telecomunicaciones y de la Sociedad de la Información;

Que, con Informe Técnico de 2 de septiembre de 2019, aprobado por el Subsecretario de Estado – Gobierno Electrónico, se recomienda: «Expedir mediante Acuerdo Ministerial la Política de Seguridad de la Información, debido a la necesidad de gestionar de manera coordinada la seguridad de la información en las entidades del Ejecutivo, ya que cada vez surgen nuevas amenazas y se revelan vulnerabilidades e incidentes de seguridad que tienen efectos considerables en la sociedad»;

En ejercicio de las atribuciones que le confiere el numeral 1 del artículo 154 de la Constitución de la República, artículo 17 del Estatuto del Régimen Administrativo de la Función Ejecutiva;

ACUERDA

Artículo 1

Expedir la Política de Seguridad de la Información para implementar medidas preventivas y reactivas que permitan resguardar y proteger la información que reposa en las entidades de la administración pública central, institucional y que dependen de la Función Ejecutiva.

Articulo 2

Para efectos de aplicación de la presente política se definen los siguientes términos:

Activo de información. – conocimiento o datos que tienen valor para la Institución.

Confidencialidad.- evitar que la información sea utilizada o divulgada por personas o instituciones no autorizadas.

Disponibilidad. – información que debe ser accesible y utilizable cuando lo requiera una entidad autorizada.

Integridad. – relacionada a la exactitud y completitud de los sistemas de información.

Seguridad de la información. – contempla la protección de la información, bajo los principios de disponibilidad, confidencialidad e integridad.

Sistema de información. – Aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por estos últimos para su funcionamiento, utilización, protección y mantenimiento.

Articulo 3

El Ministerio de Telecomunicaciones y de la Sociedad de la Información desarrollará la actualización del Esquema Gubernamental de Seguridad de la información -EGSI- en un plazo de 30 días, en base a los siguientes lineamientos:

a)  Proporcionar una guía para la gestión de riesgos en la seguridad de la información y la selección de controles para el tratamiento de los riesgos identificados.        

b) Asignar responsabilidades para la gestión de la seguridad de la información en las instituciones.

c) Definir directrices para el seguimiento y control de la gestión de la seguridad de la información en las instituciones.

Artículo 4

Las Instituciones de la administración pública central y dependiente de la Función Ejecutiva cumplirán de manera obligatoria lo establecido en el EGSI en un plazo de 12 meses, a partir de su emisión, con el objetivo de preservar la confidencialidad, integridad y disponibilidad de la información, a través de los siguientes lineamientos:

a) Implementar acciones que protejan la información contra pérdidas y fugas que se procesan mediante sistemas de información.

b) Desarrollar y ejecutar un Plan de Acción de mejora continua, con el fin de asegurar una adecuada gestión de la seguridad de la información.

c) Identificar los activos de información institucionales que se requiere proteger.

Articulo 5

El Ministerio de Telecomunicaciones y de la Sociedad de la Información desarrollará en un plazo de 60 días, un Plan de Migración que permita el alojamiento de los sistemas de información de las Instituciones de la Administración Pública Central y Dependiente de la Función Ejecutiva en un centro de datos que garantice seguridad, disponibilidad y sostenibilidad, en base a los siguientes lineamientos:

a) Diseñar un modelo de migración basado en criterios de seguridad física y lógica, que garanticen la continuidad del servicio que brindan las instituciones públicas a la ciudadanía, así como la operación eficiente de los sistemas de información.

b) Establecer requerimientos previos técnicos y funcionales para priorizar la migración de los sistemas de información.

c) Contemplar criterios de seguridad que reduzcan los riesgos de pérdida o filtración de información durante y después de la migración

Artículo 6

Las Instituciones de la Administración Pública Central y Dependiente de la Función Ejecutiva cumplirán de manera obligatoria lo establecido en el Plan de Migración, una vez sea emitido por parte del Ministerio de Telecomunicaciones y Sociedad de la Información, con el objetivo de promover que las instituciones públicas reduzcan los riesgos de seguridad física y lógica de sus sistemas de información principal.

Artículo 7

Sin perjuicio de la implementación del Plan de Migración, las instituciones de la Administración Pública Central y Dependiente de la Función Ejecutiva, deberán cumplir con los siguientes lineamientos:

a) Elaborar y mantener actualizado un inventario de los sistemas de información, la interdependencia con sistemas internos y externos.

 b) Mantener vigentes Jos sistemas de información con Jos respectivos soportes tecnológicos, a fin de permitir un adecuado proceso de migración, garantizando la continuidad de los servicios gubernamentales a la ciudadanía.

c) Utilizar para el intercambio de información entre instituciones, la red segura gubernamental que para el efecto determine el ente rector.

Articulo 8

El Ministerio de Telecomunicaciones y de la Sociedad de la Información desarrollará la Estrategia Nacional de Seguridad de la información digital -ENCS- en un plazo de 90 días, en base a los siguientes lineamientos:

a) Brindar un entorno de seguridad de la información digital para proteger las infraestructuras críticas y activos de información, con un enfoque en gestión de riesgos, de una forma integral y desde una visión nacional, en coordinación y cooperación con los sectores público, privado, academia y sociedad civil.

b) Promover la colaboración y coordinación entre instituciones para enfrentar las amenazas que atentan contra su seguridad de la información digital.

c) Difundir y sensibilizar a Jos ciudadanos en una cultura de seguridad de la información digital responsable, a través de educación y entrenamiento en seguridad de la información digital.

d) Fomentar la adhesión a los convenios internacionales de seguridad de la información digital para formar parte de cooperaciones regionales.

DISPOSICIÓN GENERAL

De la ejecución e implementación del presente Acuerdo Ministerial encárguese a la Subsecretaría de Estado – Gobierno Electrónico del Ministerio de Telecomunicaciones y de Sociedad de la Información.

El presente Acuerdo Ministerial entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Dado en el Distrito Metropolitano de Quito, a 2 de septiembre de 2019.

Lcdo. Andrés Michelena Ayala. Ministro de Telecomunicaciones y de la Sociedad de la Información

26Feb/21

Acuerdo Ministerial nº 030-2019, de 31 de octubre de 2019

Acuerdo Ministerial nº 030-2019, de 31 de octubre de 2019, Expídese el Plan de Migración de los Sistemas de Información de la Administración Pública
Central, Institucional y que dependen de la Función Ejecutiva a un Centro de Datos Seguro. (Registro Oficial nº 151 del 28 de febrero de 2020). 

MINISTERIO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN:

Considerando:

Que, el numeral 1 del artículo 154 de la Constitución de la República del Ecuador confiere a las Ministras y Ministros de Estado, además de las atribuciones establecidas en la ley, la rectoría de las políticas del área a su cargo, así como la facultad de expedir acuerdos y resoluciones administrativas;

Que, el artículo 226 de la Constitución de la República indica que: “Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley. Tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución”;

Que, el artículo 227 ibídem dispone: “La administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación”;

Que, de conformidad a lo establecido en el artículo 313 de la Constitución de la República “El Estado se reserva el derecho de administrar, regular, controlar y gestionar los sectores estratégicos, de conformidad con los principios de sostenibilidad ambiental, precaución, prevención y eficiencia (…) Se consideran sectores estratégicos la energía en todas sus formas, las telecomunicaciones, los recursos naturales no renovables, el transporte y la refinación de hidrocarburos, la biodiversidad y el patrimonio genético, el espectro radioeléctrico, el agua, y los demás que determine la ley”;

Que, el inciso segundo del artículo 314 de la Constitución de la República, dispone que el Estado garantizará que los servicios públicos, prestados bajo su control y regulación, respondan a principios de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad;

Que, el artículo 140 de la Ley Orgánica de Telecomunicaciones, dispone: “Rectoría del sector. El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el órgano rector de las telecomunicaciones y de la sociedad de la información, informática, tecnologías de la información y las comunicaciones y de la seguridad de la información.

A dicho órgano le corresponde el establecimiento de políticas, directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de la información, de conformidad con lo dispuesto en la presente Ley, su Reglamento General y los planes de desarrollo que se establezcan a nivel nacional. Los planes y políticas que dicte dicho Ministerio deberán enmarcarse dentro de los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio tanto para el sector público como privado”;

Que, el numeral 2 del artículo 141 de la Ley ibídem, señala: “Competencias del Órgano Rector. Corresponde al órgano rector del sector de las Telecomunicaciones y de la Sociedad de la Información: (…) 2. Formular, dirigir, orientar y coordinar las políticas, planes y proyectos para la promoción de las tecnologías de la información y la comunicación y el desarrollo de las telecomunicaciones, así como supervisar y evaluar su cumplimiento”;

Que, el artículo 10 de la Ley Orgánica de Acceso a la Información Pública, establece: “Custodia de la Información.- Es responsabilidad de las instituciones públicas, personas jurídicas de derecho público y demás entes señalados en el artículo 1 de la presente Ley, crear y mantener registros públicos de manera profesional, para que el derecho a la información se pueda ejercer a plenitud, por lo que, en ningún caso se justificará la ausencia de normas técnicas en el manejo y archivo de la información y documentación para impedir u obstaculizar el ejercicio de acceso a la información pública, peor aún su destrucción.

Quienes administren, manejen, archiven o conserven información pública, serán personalmente responsables, solidariamente con la autoridad de la dependencia a la que pertenece dicha información y/o documentación, por las consecuencias civiles, administrativas o penales a que pudiera haber lugar, por sus acciones u omisiones, en la ocultación, alteración, pérdida y/o desmembración de documentación e información pública. Los documentos originales deberán permanecer en las dependencias a las que pertenezcan, hasta que sean transferidas a los archivos generales o Archivo Nacional.

El tiempo de conservación de los documentos públicos, lo determinará la Ley del Sistema de Archivo Nacional y las disposiciones que regulen la conservación de la información pública confidencial.

Los documentos de una institución que desapareciere, pasarán bajo inventario al Archivo Nacional y en caso de fusión interinstitucional, será responsable de aquello la nueva entidad.”

Que, mediante Decreto Ejecutivo nº 8 de 13 de agosto de 2009, publicado en el Registro Ofi cial nº 10, de 24 de agosto de 2009, el Presidente de la República resolvió crear el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como órgano rector del desarrollo de las Tecnologías de la Información y Comunicación, que incluye las telecomunicaciones y el espectro radioeléctrico;

Que, con Decreto Ejecutivo nº 5 de 24 de mayo de 2017, se suprime la Secretaría Nacional de la Administración Pública y se transfieren al Ministerio de Telecomunicaciones y de la Sociedad de la Información entre otras la atribución: “b. Desarrollar y coordinar planes, programas o proyectos sobre gobierno electrónico que sean necesarios para su implementación”;

Que, conforme lo establece la Disposición General Segunda del referido Decreto Ejecutivo, “El Ministerio de Telecomunicaciones y Sociedad de la Información gestionará y coordinará la implementación de políticas, planes, programas y proyectos de gobierno electrónico en las instituciones de la administración pública a través de las coordinaciones generales de gestión estratégica y las direcciones de tecnologías de la información, dependientes de estas o de quien haga sus veces”;

Que, mediante Decreto Ejecutivo nº 784 de 4 de junio de 2019, el Presidente de la República nombró al licenciado Andrés Michelena Ayala, como Ministro de Telecomunicaciones y de la Sociedad de la Información;

Que, con Acuerdo Ministerial nº 011-2018 de 8 de agosto de 2018, se expidió el Plan Nacional de Gobierno Electrónico 2018-2021, el cual tiene como objetivo promover la participación ciudadana, la democratización de los servicios públicos, la simplificación de trámites y la gestión estatal eficiente, por medio del aprovechamiento de los recursos que actualmente posee el Estado;

Que, mediante Acuerdo Ministerial nº 020-2019, de 2 de septiembre de 2019, se expidió la Política de Seguridad de la Información, la cual establece:

“Artículo 5.- El Ministerio de Telecomunicaciones y de la Sociedad de la Información desarrollará en un plazo de 60 días, un Plan de Migración que permita el alojamiento de los sistemas de información de las Instituciones de la Administración Pública Central y Dependiente de la Función Ejecutiva en un centro de datos que garantice seguridad, disponibilidad y sostenibilidad (…)”

“Artículo 6.- Las Instituciones de la Administración Pública Central y Dependiente de la Función Ejecutiva cumplirán de manera obligatoria lo planteado en el Plan de Migración, con el objetivo de promover que las instituciones públicas reduzcan los riesgos de seguridad física y lógica de sus sistemas de información principal.”;

Que, en el Informe Técnico de 28 de octubre de 2019, suscrito por el Subsecretario de Estado – Gobierno Electrónico, indica: “7. CONCLUSIONES. El Plan de Migración a un centro de datos seguro, es el resultado de la necesidad de proteger la información de las instituciones públicas en un espacio seguro que cuente con las certificaciones técnicas que avalen y garanticen la confiabilidad, integridad, disponibilidad y seguridad de los sistemas de información” (…)

RECOMENDACIONES.

Expedir el Plan de Migración, debido a la necesidad de gestionar la seguridad de la información acorde a la evolución normativa y tecnológica, ya que actualmente los riegos en seguridad muestran continuos cambios, se desarrollan nuevas amenazas y se revelan vulnerabilidades e incidentes de seguridad que tienen efectos considerables en la sociedad”;

En ejercicio de las atribuciones que le confiere el numeral 1 del artículo 154 de la Constitución de la República, artículo 17 del Estatuto del Régimen Administrativo de la Función Ejecutiva;

Acuerda:

Artículo 1

Expedir el Plan de Migración de los Sistemas de Información de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva a un Centro de Datos Seguro, que se encuentra Anexo y que forma parte integrante del presente Acuerdo Ministerial.

Artículo 2

El Plan de Migración tiene como objetivo definir el modelo de planificación que permita a las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, migrar los sistemas de información a un Centro de Datos Seguro que garantice la disponibilidad, integridad, confidencialidad y sostenibilidad de los mismos.

El presente Acuerdo Ministerial es de cumplimiento obligatorio para las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva

DISPOSICIÓN GENERAL

De la ejecución e implementación del presente Acuerdo Ministerial encárguese a la Subsecretaría de Estado – Gobierno Electrónico del Ministerio de Telecomunicaciones y de Sociedad de la Información.

El presente Acuerdo Ministerial entrará en vigencia a partir de la publicación en el Registro Oficial.

Dado en el Distrito Metropolitano de Quito, a 31 de octubre de 2019.

f.) Lcdo. Andrés Michelena Ayala, Ministro de Telecomunicaciones y de la Sociedad de la Información.

26Feb/21

Acuerdo Ministerial nº 011-2017, de 20 de marzo de 2017

Acuerdo Ministerial nº 011-2017, de 20 de marzo de 2017, por el que se expide las Políticas Públicas del sector de las Telecomunicaciones y de la Sociedad de la Información.

ACUERDO MINISTERIAL nº 011-2017

LA MINISTRA DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN

CONSIDERANDO:

Que, el numeral 2 del artículo 16 de la Constitución de la República dispone: «Todas las personas, en forma individual o colectiva, tienen derecho al acceso universal a las tecnologías de información y comunicación (…) «;

Que, el artículo 85 de la Constitución de la República, dispone:   «La formulación,  ejecución, evaluación y  control de las políticas públicas  y  servicios públicos  que garanticen  los derechos reconocidos por la Constitución, se regularán de acuerdo con las siguientes disposiciones: 1 . Las políticas públicas y la prestación de bienes y servicios públicos se orientarán a hacer efectivos el buen vivir y todos los derechos, y se formularán a partir del principio de solidaridad (…) En la formulación, ejecución, evaluación y control de las políticas públicas y servicios públicos se garantizará la participación de las personas, comunidades, pueblos y nacionalidades»;

Que, el artículo 141 de la Constitución de la República, señala: «La Presidenta o Presidente de la República ejerce la Función Ejecutiva, es el Jefe del Estado y de Gobierno y responsable de la administración pública. La Función Ejecutiva está integrada por la Presidencia y Vicepresidencia de la República, los Ministerios de Estado y los demás organismos e instituciones necesarios para cumplir, en el ámbito de su competencia, las atribuciones de rectoría, planificación, ejecución y evaluación de las políticas públicas nacionales y planes que se creen para ejecutarlas»;

Que, el numeral 1 del artículo 154 de la Constitución de la República, dispone: «A las ministras y ministros de Estado, además de las atribuciones establecidas en la ley, les corresponde: 1 . Ejercer la rectoría de las políticas públicas del área a su cargo y expedir los acuerdos y resoluciones administrativas que requiera su gestión. «;

Que, el artículo 313 de la Constitución de la República dispone:· «El Estado se reserva el derecho de administrar, regular, controlar y gestionar los sectores estratégicos,  de  conformidad  con   los principios de sostenibilidad ambiental, precaución, prevención y eficiencia. Los sectores estratégicos, de decisión y control exclusivo del Estado, son aquellos que por su trascendencia y magnitud tienen decisiva influencia económica, social, política o ambiental, y deberán orientarse al pleno desarrollo de los derechos y al interés social. Se consideran sectores estratégicos la energía en todas sus formas, las telecomunicaciones, los recursos naturales no renovables, el transporte y la refinación de hidrocarburos, la biodiversidad y el patrimonio genético, el espectro radioeléctrico, el agua, y los demás que determine la ley»;

Que, el inciso segundo del artículo 314 de la Constitución de la República, dispone que el Estado garantizará que los servicios públicos, prestados bajo su control y regulación, respondan a principios de eficiencia, responsabilidad, universalidad, accesibilidad, continuidad y calidad;

Que, el Código Orgánico de Planificación y Finanzas Públicas, en su artículo 15, dispone:  «De las políticas públicas.- La definición de la política pública nacional le corresponde a la función ejecutiva, dentro del ámbito de sus competencias. Los ministerios, secretarías y consejos sectoriales de política, formularán y ejecutarán políticas y planes sectoriales con enfoque territorial, sujetos estrictamente a los objetivos y metas del Plan Nacional de Desarrollo (…) «;

Que, el artículo 7 de la Ley Orgánica de Telecomunicaciones, respecto de las competencias del Gobierno Central, establece: «El Estado, a través del Gobierno Central tiene competencias exclusivas sobre el espectro radioeléctrico y el régimen general de telecomunicaciones. Dispone del derecho de administrar, regular y controlar los sectores estratégicos de telecomunicaciones y espectro radioeléctrico, lo cual incluye la potestad para emitir políticas públicas, planes y normas técnicas nacionales, de cumplimiento en todos los niveles de gobierno del Estado. La gestión, entendida como la prestación del servicio público de telecomunicaciones se lo realizará conforme a las disposiciones constitucionales y a lo establecido en la presente Ley (…) «;

Que, de conformidad a lo establecido en artículo 88 de la referida Ley, el Ministerio de Telecomunicaciones y de la Sociedad de la Información como ente rector de las Telecomunicaciones le corresponde promover la sociedad de la información y el conocimiento para el desarrollo integral del país;

Que, el artículo 140 de la Ley Orgánica de Telecomunicaciones, dispone: «Rectoría del sector. El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el órgano rector de las telecomunicaciones y de la sociedad de la información, informática, tecnologías de la información y las comunicaciones y de la seguridad de la información. A dicho órgano le corresponde el establecimiento de políticas, directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de la información, de conformidad con lo dispuesto en la presente Ley, su Reglamento General y los planes de desarrollo que se establezcan a nivel nacional. Los planes y políticas que dicte dicho Ministerio deberán enmarcarse dentro de los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio tanto para el sector público como privado»;

Que, de conformidad con lo establecido en el artículo 141 de la Ley Orgánica de Telecomunicaciones, al Ministerio de Telecomunicaciones y de la Sociedad de la Información, entre otras competencias le corresponde: «2. Formular, dirigir, orientar y coordinar las políticas, planes y proyectos para la promoción de las tecnologías de la información y la comunicación y el desarrollo de las telecomunicaciones, así como supervisar y evaluar su cumplimiento»;

Que, el artículo 3 del Reglamento General a la Ley Orgánica de Telecomunicaciones define a la Sociedad de la Información como aquella que usa y se apropia de las telecomunicaciones y de las TIC, para mejorar la calidad de vida, la competitividad y el crecimiento económico;

Que, el numeral 3 del artículo 5 del antedicho Reglamento, señala: «Atribuciones del Ministerio rector.- El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el organismo rector y además de las funciones previstas en la Ley, ejecutará las siguientes: (…) 3. Emitir las políticas públicas, normativa técnica, disposiciones, cronogramas y criterios, en el ámbito de sus competencias (…) «;

Que, mediante Decreto Ejecutivo nº 8 de 13 de agosto de 2009, publicado en el Registro Oficial nº 10 de 24 de agosto de 2009, el Presidente de la República creó el Ministerio de Telecomunicaciones y de la Sociedad de la Información;

Que, mediante Decreto Ejecutivo nº 1192 de 22 de septiembre de 2016, el Presidente de la República designó a la Ingeniera Ligia Alexandra Álava Freire, Ministra de Telecomunicaciones y de la Sociedad de la Información;

Que, la Secretaría Nacional de Planificación y Desarrollo, mediante Acuerdo nº 465-201, publicado en la Edición Especial del Registro Oficial nº 184, de 30 de agosto de 201, expidió la Guía para la Formulación de Políticas Públicas Sectoriales, con el fin de establecer la metodología que permita ejecutar los procesos de formulación de políticas públicas sectoriales, para garantizar los derechos establecidos en la Constitución y las políticas y metas del Plan Nacional de Desarrollo;

Que, mediante memorando nº MINTEL-DM-201 5-0052-M, de 21 de agosto de 2015, el Ministro de Telecomunicaciones y de la Sociedad de la Información, sobre la base del marco metodológico para la formulación de políticas sectoriales emitido por la Secretaría Nacional de Planificación y Desarrollo, y con el fin de promover los procesos de formulación y actualización de las políticas sectoriales del Ministerio de Telecomunicaciones y de la Sociedad de la Información, conformó el Equipo Político encargado de la aprobación y validación de las propuestas que de dichos procesos se deriven;

Que, mediante Acta de constitución de 28 de junio de 2016, se conformó el Equipo Técnico para la elaboración de la «Política Pública del Sector de las Telecomunicaciones y de la Sociedad de la Información 2017-2021 «, integrado por el Ing.  Leonardo Cadena, Ing. Andrés Romero, Ing. Danilo Solís, Ing. Mireya Sandoval, Ing. Daniel Ramírez, Ing. Guido Carrión, Ing. Vladimir Vacas, Ing. Marcos Villacís, Ing. Diana Lalangui, Ing. Mayra Ayo, Ing. Ángel Ordóñez, funcionarios de la Dirección de Políticas de Telecomunicaciones y Tecnologías de la Información y Comunicación, Dirección de Supervisión y Evaluación de Empresas de Telecomunicaciones y Dirección de Acceso Universal;

Que, conforme se desprende de las Actas de reunión de 28 de junio, 05 y 29 de julio, 15 y 26 de agosto, 16 y 19 de septiembre de 2016, el Equipo Técnico del MINTEL se reunió para la formulación de las políticas públicas;

Que, el 21, 23, 25 de noviembre y 21 de diciembre de 2016 se desarrollaron los Talleres de Socialización de las políticas públicas, a los que asistieron el Equipo Técnico del MINTEL y los representantes de las siguientes instituciones: Agencia de Regulación y Control de  las Telecomunicaciones; Ministerio del Trabajo; Ministerio de Comercio Exterior;  Ministerio Coordinador de los Sectores Estratégicos; Ministerio Coordinador de Conocimiento y Talento Humano; Secretaría Nacional de Planificación y Desarrollo, Corporación Nacional de Telecomunicaciones; Defensoría del Pueblo; Empresa Pública Yachay, Universidad de las Fuerzas Armadas; representantes de las siguientes organizaciones sociales: Centro  Internacional de  Investigación Científica en  Telecomunicaciones, Tecnologías de la Información y las Comunicaciones; Asociación de Empresas Proveedoras de Servicios de Internet, Valor Agregado, Portadores y Tecnologías de la Información; Asociación de Proveedores de Servicio de Valor Agregado; así como también representantes de la sociedad civil como el Consejo Nacional para la Igualdad Intergeneracional; Consejo Nacional para la Igualdad de Género, Consejo Nacional para la Igualdad de Pueblos y Nacionalidades; Consejo de Igualdad de Discapacidades; Otecel S.A; Conecel S.A; entre otros;

Que, con oficio nº MINTEL-STTIC-2017-0003-0 de 04 de enero de 2017 el Subsecretario de Telecomunicaciones y Tecnologías de la Información y Comunicación, remitió el documento «Políticas Públicas del Sector de las Telecomunicaciones y de la Sociedad de la Información 2017-2021 «, a los representantes del Consejo Nacional de Igualdad de Género, del Consejo Nacional para la Igualdad Intergeneracional, del Consejo Nacional para la Igualdad de Discapacidades, a fin de que real icen las observaciones  respectivas;

Que, mediante oficio MINTEL-STTIC-2017-0007-0 de 06 de enero de 2017 el Subsecretario de Telecomunicaciones y Tecnologías de la Información y Comunicación remitió a la Directora Ejecutiva de la Agencia de Regulación y Control de las Telecomunicaciones, el documento de «Políticas Públicas del Sector de las Telecomunicaciones y de la Sociedad de la Información 2017-2021 «, a fin de que se realice los aportes que fueren del caso;

Que, con oficio nº CNII-ST-2017-0023-0F de 09 de enero de 2017, el Secretario Técnico del Consejo Nacional para la Igualdad Intergeneracional remitió al Subsecretario de Telecomunicaciones y Tecnologías de la Información y Comunicación, los comentarios y observaciones realizadas al documento de las políticas públicas;

Que, con oficio nº CONADIS-DE-2017-0010-0 de 10 de enero de 2017, la Directora Ejecutiva, Encargada, del Consejo Nacional para la Igualdad de Discapacidades remitió al Subsecretario de Telecomunicaciones y Tecnologías de la Información y Comunicación, las observaciones realizadas al documento de las políticas públicas;

Que, con oficio nº CNIG-PRESl-2017-0012-0F de 1 1 de enero de 2017, la Secretaria Técnica del Consejo Nacional para la Igualdad de Género remitió al  Subsecretario de Telecomunicaciones  y Tecnologías de la Información y Comunicación, las matrices de políticas, los marcos conceptuales sobre igualdad  y no discriminación  en razón de género y las propuestas  de políticas;

Que, el 25 de enero de 2017, la Directora Ejecutiva de la Agencia de Regulación y Control de las Telecomunicaciones, ARCOTEL, mediante correo electrónico remitió al Subsecretario de Telecomunicaciones y Tecnologías de la Información y Comunicación, las observaciones realizadas al documento de las políticas públicas;

Que, conforme se desprende del Acta de reunión de 30 de enero de 2017, se realizó la presentación de las «Políticas Públicas del Sector de las Telecomunicaciones y de la Sociedad de la Información 2017- 2021 », misma que fue validada y aprobada por el Equipo Político del MINTEL;

Que, conforme se desprende del Acta de reunión de 02 de marzo de 2017 el Consejo Ciudadano Sectorial del MINTEL, validó y aprobó la propuesta de «Políticas Públicas del Sector de las Telecomunicaciones y de la Sociedad de la Información 2017-2021 «;

Que, mediante oficio nº MINTEL-STTIC-2017-0060-0 de 07 de marzo de 2017, el Subsecretario de Telecomunicaciones y Tecnologías de la Información y Comunicación, remitió al Subsecretario de Planificación Nacional de la Secretaría Nacional de Planificación y Desarrollo, el documento de  las «Políticas Públicas del Sector de las Telecomunicaciones y de la Sociedad de la Información  2017- 2021 «, para su revisión;

Que, con oficio nº SENPLADES-SPN-2017-0077-0F de 10 de marzo de 2017, el Subsecretario de Planificación Nacional de la Secretaría Nacional de Planificación y Desarrollo indicó al Subsecretario de Telecomunicaciones y Tecnologías de la Información  y Comunicación  del MINTEL, que:  «(…) luego de la presentación realizada a esta Subsecretaría y tras la revisión del documento de la referida política pública, se ha determinado que la propuesta es consistente con el procedimiento que dicta la metodología prevista por la SENPLADES y apunta a garantizar los derechos ciudadanos al acceso a los servicios de telecomunicaciones y su inclusión en la sociedad de la Información. No obstante, al tratarse de la propuesta de las políticas públicas que guiarán la gestión institucional, en adjunto sírvase encontrar algunas recomendaciones y sugerencias para incorporar ajustes al documento (…) «;

Que, con oficio nº MINTEL-STTIC-2017-0061 -0 de 08 de marzo de 201 7, el Subsecretario de Telecomunicaciones y Tecnologías de la Información y Comunicación, consultó al Subsecretario de Planificación Nacional de la Secretaría Nacional de Planificación y Desarrollo, respecto de los procedimientos a desarrollarse para la aprobación de la política pública sectorial y las instancias que deben ser resueltas;

Que, mediante oficio nº SENPLADES-SPN-2017-0075-0F de 10 de marzo de 2017, el Subsecretario de Planificación Nacional de la Secretaría Nacional de Planificación y Desarrollo indicó al Subsecretario de Telecomunicaciones y Tecnologías de la Información y Comunicación del MINTEL «(…) informo que una vez que la política pública haya cumplido con el proceso previsto en la  «Guía para  la formulación de Políticas Públicas Sectoriales», emitida por la SENPLADES, es importante observar lo que dispone el Decreto Ejecutivo nº 726, publicado en el R. O. 433 de 25 de abril de 2011, en el Art: 10 (…) lo que determina que el Consejo Sectorial es la instancia .final previa la implementación de las políticas públicas  (…) «;

Que, mediante memorando nº MINTEL-DPTTIC-2017-008-M de 14 de marzo de 2017 el Director de Políticas de Telecomunicaciones y Tecnologías de la Información y Comunicación, remitió al Subsecretario de Telecomunicaciones y Tecnologías de la Información y Comunicación,  al Subsecretario de Fomento de la Sociedad de la Información y Gobierno en Línea, al Subsecretario de Asuntos Postales y Registro Civil y al Coordinador General de Planificación, el documento final de las «Políticas Públicas del Sector de las Telecomunicaciones y de la Sociedad de la Información 2017- 2021 «, tomando en cuenta las observaciones realizadas por la Secretaría Nacional de Planificación y Desarrollo, para su consideración;

Que, el 15 de marzo de 2017, el Equipo Político del MINTEL, aprobó las «Políticas Públicas del Sector de las Telecomunicaciones y de la Sociedad de la Información 2017-2021 «;

Que, con memorando nº MINTEL-STTIC-2017-0016-M de 15 de marzo de 2017, el Subsecretario de Telecomunicaciones y Tecnologías de la Información y Comunicación, solicitó al Coordinador General Jurídico se elabore el Acuerdo Ministerial para la emisión de las «Políticas Públicas del Sector de las Telecomunicaciones y de la Sociedad de la Información 2017-2021» para lo cual adjuntó el expediente respectivo;

Que, con memorando nº MINTEL-STTIC-2017-0017-M de 17 de marzo de 2017, en alcance al memorando nº MINTEL-STTIC-2017-0016-M, el Subsecretario de Telecomunicaciones y Tecnologías de la Información y Comunicación, manifiesta: «( ..) se procederá a enviar las políticas públicas al Consejo Sectorial previa a su implementación como fue recomendado por la SENPLADES en sus Oficios nºs. SENPLADES-SPN-2017-0077-0F y SENPLADES-SPN-2017-0075-0F del 10 de marzo de 2017».

Que, mediante memorando nº MINTEL-DALDN-2017-0070 de·20 de marzo de 2017, la Dirección de Asesoría Legal y Desarrollo Normativo emitió el Informe Jurídico, en el cual señala: «Conforme lo establecido en el artículo 140 de la Ley Orgánica de Telecomunicaciones, el MlNTEL como ente rector de las telecomunicaciones y de la sociedad de la información, y de acuerdo a lo señalado en el artículo 88 y 141 numeral 2 de la misma Ley y artículo 5 de su Reglamento General, se competente para emitir las políticas públicas del sector enmarcadas dentro de los objetivos del Plan Nacional de Desarrollo, las cuales son de cumplimiento obligatorio para el sector público y privado, en tal virtud esta Dirección considera que es legalmente viable la expedición de un Acuerdo Ministerial con el cual se emita las «Políticas Públicas del Sector de las Telecomunicaciones y de la Sociedad de la Información 2017- 2021 «, considerando el documento que ha sido validado y aprobado por el Equipo Político del MINTEL, el 15 de marzo de 2017 «;

Que, considerando que el país actualmente se encuentra inmerso en un proceso de transformación de la matriz productiva, es fundamental establecer políticas públicas cuyo fundamento se relaciona al uso y desarrollo de las TIC, como catalizador principal para fomentar el desarrollo económico y social y consecuentemente contribuir al cambio estructural del país, enfocado tanto en el ciudadano como en la industria nacional;

En ejercicio de las atribuciones que le confieren los artículos 154 numeral 1 de la Constitución de la República, el artículo 140, numeral 2 del artículo 141 de la Ley Orgánica  de Telecomunicaciones numeral 3 del artículo 5 del Reglamento General a la Ley Orgánica de Telecomunicaciones y el artículo 17 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva;

ACUERDA:

Artículo 1

Expedir las «POLÍTICAS   PÚBLICAS   DEL    SECTOR    DE    LAS TELECOMUN ICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN 2017-2021», que consta como Anexo al presente Acuerdo Ministerial.

Artículo 2

De la ejecución de las Políticas Públicas en el ámbito de sus competencias, encárguese la Agencia de Regulación y Control de las Telecomunicaciones; la Subsecretaría de Telecomunicaciones y Tecnologías de la Información y Comunicación; la Subsecretaría de Fomento de la Sociedad de la Información y Gobierno en Línea; y, la Subsecretaría de Inclusión Digital del MINTEL.

Artículo 3

Del monitoreo y seguimiento para la implementación de las Políticas Públicas encárguese la Subsecretaría de Telecomunicaciones y Tecnologías de la Información y Comunicación, Subsecretaría de Fomento de la Sociedad de la Información y Gobierno en Línea y la Subsecretaría de Inclusión Digital.

Artículo 4

Las Políticas Públicas serán implementadas una vez que se cuente con la aprobación del Consejo Sectorial de Sectores Estratégicos.

El presente Acuerdo entrará en vigencia a partir de su publicación en el Registro Oficial.

Dado en Quito, Distrito Metropolitano, a 20 de marzo de 2017.

Fdo. Ing. Ligia Alexandra Álava Freire. Ministra de Telecomunicaciones y de la Sociedad de la Información.

24Feb/21

Decreto Ejecutivo nº 8 de 13 de agosto de 2009

Decreto Ejecutivo nº 8 de 13 de agosto de 2009, que crea el Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINSTEL) y se fusiona CONARTEL al CONATEL. (Registro Oficial nº 10 de 24 de agosto de 2009).

Rafael Correa Delgado. PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA

Considerando:

Que el artículo 313 de la Constitución de la República del Ecuador establece que las telecomunicaciones constituyen un sector estratégico, de decisión y control exclusivo del Estado, el cual se reserva el derecho de administración, regulación, control y gestión;

Que el artículo 314 de la Carta Política dispone que las telecomunicaciones son un servicio público cuya provisión es responsabilidad del Estado, el cual debe garantizar que la prestación de tales servicios responda a principios de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad, con precios y tarifas equitativas;

Que es necesario fortalecer el desarrollo de las tecnologías de la información y la comunicación que incluye el sector de las telecomunicaciones, con el fin de alcanzar el desarrollo social y económico del Ecuador y, la inclusión de sus ciudadanos en la Sociedad de la Información y del Conocimiento y, adicionalmente, que este proceso sea dirigido por un órgano de la Función Ejecutiva con capacidad para emitir políticas generales y establecer planes y proyectos para el avance efectivo hacia la Sociedad de la Información y del Conocimiento;

Que en la actualidad el sector de las telecomunicaciones se encuentra administrado, regulado y controlado por varios entes y órganos estatales que ejercen competencias de forma dispersa lo que crea un ambiente de superposición de funciones, que ha impedido su desarrollo armónico y una gestión y control eficiente de las telecomunicaciones y del espectro radioeléctrico;

Que es necesario crear un órgano público, dependiente de la Función Ejecutiva, que administre en forma integral las tecnologías de la información y la comunicación, las telecomunicaciones y el espectro radioeléctrico, a través de la planificación y el diseño de políticas públicas acordes con la realidad actual, a fin de garantizar de esta manera el desarrollo armónico de este sector estratégico y lograr la inclusión de los ecuatorianos a la Sociedad de la Información y sus beneficios;

Que el artículo 17 de la Ley de Modernización del Estado, Privatizaciones y Prestación de Servicios Públicos por parte de la Iniciativa Privada señala que el Presidente de la República tendrá la facultad de emitir disposiciones normativas de tipo administrativo dentro del ámbito del Gobierno Central para fusionar aquellas entidades públicas que dupliquen funciones y actividades, o que puedan desempeñarse más eficientemente fusionadas, y, para reorganizar y suprimir entidades públicas cuya naturaleza haya dejado de ser prioritaria e indispensable para el desarrollo nacional; o, que no presten una atención eficiente y oportuna a las demandas de la sociedad, exceptuando de esta disposición a las entidades cuya autonomía está garantizada por la Constitución de la República;

Que de conformidad con el artículo 2 del Estatuto del Régimen Jurídico Administrativo de la Función Ejecutiva, a saber, el Gobierno Central, tiene dos tipos de administraciones públicas que lo integran: la central e institucional;

Que las competencias y atribuciones del CONATEL, SENATEL y CONARTEL para el control, regulación y gestión de las telecomunicaciones y del espectro radioeléctrico están en su mayoría duplicadas, haciendo que la administración estatal de estos sectores estratégicos haya sido deficiente y que la dispersión institucional en el sector de las telecomunicaciones haya mermado la capacidad de regulación y control estatal;

Que mediante oficio nº SENPLADES-SRDEGP-2009-16 de 28 de enero del 2009, la Secretaría Nacional de Planificación y Desarrollo emitió el informe correspondiente respecto de la creación del Ministerio de Telecomunicaciones y de la Sociedad de la Información y sobre la fusión del Consejo Nacional de Radio y Televisión (CONARTEL) con el Consejo Nacional de Telecomunicaciones;

Que mediante oficio nº MF-SGJ-2009-0616 de 2 de febrero del 2009, el Ministerio de Finanzas, emitió el informe correspondiente sobre la creación del Ministerio de Telecomunicaciones y de la Sociedad de la Información;

Que la Comisión de Legislación y Fiscalización, ha aprobado el proyecto de Ley Orgánica de Empresas Públicas y se halla en espera de la decisión del Presidente de la República, de conformidad con la Constitución de la República; y,

En ejercicio de las atribuciones que le confieren los numerales 5 y 6 del artículo 147 y 151 de la Constitución de la República.

Decreta:

Artículo 1

Créase el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como el órgano rector del desarrollo de las Tecnologías de la Información y Comunicación, que incluyen las telecomunicaciones y el espectro radioeléctrico, que tendrá como finalidad emitir políticas, planes generales y realizar el seguimiento y evaluación de su implementación, coordinar acciones de apoyo y asesoría para garantizar el acceso igualitario a los servicios y promover su uso efectivo, eficiente y eficaz, que asegure el avance hacia la Sociedad de la Información para el buen vivir de toda la población ecuatoriana.

Artículo 2

Corresponderá al Ministerio de Telecomunicaciones y de la Sociedad de la Información:

1. Ejercer la representación del Estado en materia de Sociedad de la Información y Tecnologías de la Información y Comunicación.

2. Formular, dirigir, coordinar y evaluar las políticas, planes y proyectos para la promoción de la Sociedad de la Información y del Conocimiento y las Tecnologías de la Información y Comunicación.

3. Promover, en coordinación con instituciones públicas o privadas, la investigación científica y tecnológica en materia de Tecnologías de la Información y Comunicación, para el desarrollo de la Sociedad de la Información y del Conocimiento.

4. Dictar las políticas relativas al funcionamiento del Fondo para el Desarrollo de las Telecomunicaciones (FODETEL) y realizar las actuaciones necesarias para garantizar el cumplimiento de sus fines de conformidad con lo dispuesto en el ordenamiento jurídico vigente.

5. Coadyuvar en la promoción del uso de Internet y de las Tecnologías de la Información y Comunicación en los organismos gubernamentales.

6. Formular las políticas y planes para la creación, regulación y supervisión de la Central de Datos del Ecuador, intercambio de información por medios electrónicos, seguridad en materia de información e informática, así como la evaluación de su ejecución; sin perjuicio de las competencias asignadas en el ámbito de la rectoría del Sistema Nacional de Información a la Secretaría Nacional de Planificación y Desarrollo.

7. Establecer los parámetros e indicadores para el seguimiento, supervisión y evaluación de la gestión de las empresas de propiedad del Estado, relacionadas con las telecomunicaciones y las Tecnologías de la Información y Comunicación.

Artículo 3

Para el cumplimiento de sus funciones, el Ministro de Telecomunicaciones y de la Sociedad de la Información podrá expedir todas las normas, acuerdos y resoluciones que requiera la gestión ministerial; y, ejercer las demás atribuciones que establezcan las leyes y otras normas jurídicas.

Así mismo, el Ministerio de Telecomunicaciones y de la Sociedad de la Información, podrá crear las unidades administrativas necesarias para el cumplimiento de sus especiales finalidades para lo cual, aprobará el Estatuto Orgánico de la Institución, previo dictamen de la Secretaría Nacional Técnica de Desarrollo de Recursos Humanos y Remuneraciones del Sector Público, SENRES y del Ministerio de Finanzas, el que realizará todas las modificaciones presupuestarias que permitan la aplicación de este decreto ejecutivo en el plazo máximo de treinta días.

Artículo 4

El Ministerio de Finanzas situará los recursos financieros para el funcionamiento del Ministerio de Telecomunicaciones y de la Sociedad de la Información.

Artículo 5

Añádase en el artículo 16 del Estatuto del Régimen Jurídico Administrativo de la Función Ejecutiva, luego del apartado aa) uno que diga: ab) “Ministerio de Telecomunicaciones y de la Sociedad de la Información”.

Artículo 6

En el artículo 1 del Decreto Ejecutivo nº 849, promulgado en el Registro Oficial nº 254 de 17 de enero del 2008, de creación del Ministerio de Coordinación de los Sectores Estratégicos, inclúyase a continuación de «… Ministerio de Electricidad», lo siguiente: «Ministerio de Telecomunicaciones y de la Sociedad de la Información”.

Artículo 7

En los artículos 22 y 23 del Reglamento General a la Ley Especial de Telecomunicaciones, Reformada, sustitúyase la palabra «CONATEL» por «Ministerio de Telecomunicaciones y de la Sociedad de la Información”.

Artículo 8

Sustitúyase el artículo 26 del Reglamento General a la Ley Especial de Telecomunicaciones, reformada, por el siguiente:

«Artículo 26

Para la planificación, ejecución u operación de los proyectos a ser financiados con los recursos del FODETEL, el Ministerio de Telecomunicaciones y de la Sociedad de la Información podrá contratar, mediante procedimientos públicos competitivos, basados en el menor subsidio explícito u otros parámetros de selección en áreas específicas con cualquier persona natural o jurídica debidamente calificada”.

Artículo 9

Deróguense los artículos 93, 94 y 97 del Reglamento General a la Ley Especial de Telecomunicaciones, reformada.

Artículo 10

Refórmese el artículo 100 del Reglamento General a la Ley Especial de Telecomunicaciones, reformada, en los siguientes términos:

«Artículo 100

Los miembros del Consejo Nacional de Telecomunicaciones podrán asistir a las sesiones del Consejo o hacerse representar por delegados designados de forma permanente a tales efectos”.

Artículo 11

Para los efectos de lo dispuesto en el apartado a) del artículo innumerado segundo a continuación del artículo 33 de la Ley Especial de Telecomunicaciones, reformada, el Ministro de Telecomunicaciones y de la Sociedad de la Información actuará como delegado del Presidente de la República.

Artículo 12

El Ministro de Telecomunicaciones y de la Sociedad de la Información, coordinará con el Fondo de Solidaridad, CONATEL, CONARTEL y SENATEL todas las acciones necesarias para proveer de mobiliario, activos, bienes, servicios y personal al Ministerio de Telecomunicaciones y de la Sociedad de la Información, para lo cual ejecutará las acciones administrativas que sean necesarias para este efecto.

En cumplimiento de lo dispuesto por el inciso tercero de la Disposición Transitoria Trigésima de la Constitución Política, al momento de la liquidación del Fondo de Solidaridad, los recursos tecnológicos, materiales y demás activos del Fondo de Solidaridad serán transferidos al Ministerio de Telecomunicaciones y de la Sociedad de la Información.

Los servidores del Fondo de Solidaridad pasarán a prestar sus servicios en el Ministerio de Telecomunicaciones y de la Sociedad de la Información, previa selección del Ministro o su delegado, de acuerdo a los requerimientos de esta institución, en el caso de que no sea necesaria su incorporación serán separados de conformidad con las normas jurídicas aplicables.

Artículo 13

Fusiónese el Consejo Nacional de Radio y Televisión -CONARTEL- al Consejo Nacional de Telecomunicaciones-CONATEL.

Artículo 14

Las competencias, atribuciones, funciones, representaciones y delegaciones constantes en leyes, reglamentos y demás instrumentos normativos y atribuidas al CONARTEL serán desarrolladas, cumplidas y ejercidas por el CONATEL, en los mismos términos constantes en la Ley de Radiodifusión y Televisión y demás normas secundarias.

Exclusivamente las funciones administrativas que ejercía el Presidente del CONARTEL, las realizará el Secretario Nacional de Telecomunicaciones, en los mismos términos constantes en la Ley de Radio y Televisión y demás normas secundarias.

Artículo 15

Hasta tanto se dicte la Ley de Comunicación y se desarrolle el Sistema de Comunicación previsto en la Constitución, corresponderá al Consejo Nacional de Telecomunicaciones ejercer el control de la programación cursada a través de servicios de radiodifusión y televisión, de conformidad con lo establecido en el artículo quinto innumerado siguiente al artículo 5 y artículo 44 de la Ley de Radiodifusión y Televisión.

Artículo 16

A los fines del control de la programación, el Consejo Nacional de Telecomunicaciones aplicará las disposiciones contenidas en la Ley de Radiodifusión y Televisión y su reglamento general en materia de programación y contenido.

Artículo 17

Los servidores que prestaban sus servicios, con nombramiento o contrato en el CONARTEL podrán pasar a formar parte del CONATEL y SENATEL, previa evaluación y selección del Secretario Nacional de Telecomunicaciones o su delegado, de acuerdo a los requerimientos de esas instituciones.

En el caso de existir cargos innecesarios el Secretario Nacional de Telecomunicaciones podrá aplicar un proceso de supresión de puestos para lo cual observará las normas contenidas en la Ley Orgánica de Servicio Civil y Carrera Administrativa, su reglamento y las normas técnicas pertinentes expedidas por la Secretaría Nacional Técnica de Desarrollo de Recursos Humanos y Remuneraciones del Sector Público -SENRES.

Artículo 18

El presupuesto, los bienes muebles e inmuebles, equipamiento, mobiliario, y demás activos de propiedad del CONARTEL pasan a formar parte del patrimonio institucional de la Secretaría Nacional de Telecomunicaciones -SENATEL.

Artículo 19

Los derechos y obligaciones, constantes en convenios, contratos u otros instrumentos jurídicos, nacionales o internacionales, vinculados con el CONARTEL, serán asumidos por la SENATEL.

Artículo 20

La Ministra de Finanzas, expedirá las demás regulaciones presupuestarias necesarias, dispondrá las acciones y emitirá las resoluciones que considere pertinentes para la aplicación del presente decreto ejecutivo, y asignará los recursos que sean necesarios para cubrir las eventuales indemnizaciones que correspondan por la supresión de puestos.

Artículo 21

Adscripción del Registro Civil.- Adscríbase la Dirección General de Registro Civil, Identificación y Cedulación al Ministerio de Telecomunicaciones y Sociedad de la Información, el que supervisará la inmediata reforma y modernización de esa entidad.

La Dirección General de Registro Civil, Identificación y Cedulación será una entidad descentralizada y desconcentrada administrativa y financieramente, su representante legal será el Director General.

El Director General de Registro Civil, Identificación y Cedulación, será nombrado por el Ministro de Telecomunicaciones y podrá dictar la normativa interna de carácter general.

Deróguese el Decreto Ejecutivo nº 2283 de 24 de noviembre del 2004, publicado en el Registro Oficial nº 476 de 7 de diciembre del 2004 .

Artículo 22

Reformas del Reglamento de Servicios Postales.- Refórmese el Reglamento de Servicios Postales, expedido mediante Decreto Ejecutivo nº 1207 de 17 de julio del 2008, publicado en el Registro Oficial nº 391 de 29 de julio del 2008 , de la siguiente manera:

1. En el artículo 9: reemplácese la expresión «Ministerio de Transporte y Obras Públicas» por la de:

«Ministerio de Telecomunicaciones y de la Sociedad de la Información».

2. Sustitúyese el artículo 10 por el siguiente:

«La Agencia Nacional Postal contará con un Director Ejecutivo quien será un servidor público de libre nombramiento y remoción designado por el Ministro de Telecomunicaciones y de la Sociedad de la Información, sus facultades y atribuciones serán determinadas por el indicado Ministro.

Los servidores y trabajadores de la Agencia al momento de su designación, no podrán mantener relaciones de dirección o gerencia, ser socio, accionista o empleado de las personas naturales o jurídicas sujetas a su regulación y control.».

3. En el primer inciso del artículo 12 reemplácese la expresión «a la Vicepresidencia de la República» por la de: «al Ministerio de Telecomunicaciones y de la Sociedad de la Información».

4. Sustitúyese el artículo 14 por el siguiente:

«El Presidente Ejecutivo de Correos del Ecuador será un funcionario de libre nombramiento y remoción designado por el Ministro de Telecomunicaciones y de la Sociedad de la Información.

En casos de ausencia del Presidente Ejecutivo le reemplazará el servidor público que le siga en jerarquía.».

Artículo 23

Deróguense los decretos ejecutivos relacionados con la creación de la Comisión Nacional de Conectividad y sus reformas: nº 1781, publicado en el Registro Oficial nº 400 de 29 de agosto del 2001 ; y, nº 3392 y 3393, publicados en el Registro Oficial nº 719 de 5 de diciembre del 2002; y, todas las disposiciones reglamentarias que se opongan al presente decreto ejecutivo.

DISPOSICION GENERAL UNICA

Todas aquellas competencias o funciones relacionadas con telecomunicaciones y tecnologías de la información y comunicación que en la actualidad estén asignadas a otras dependencias del Ejecutivo y que a través de este decreto son atribuidas al Ministerio de Telecomunicaciones y de la Sociedad de la Información, serán asumidas por dicho Ministerio, para lo cual se coordinarán las acciones correspondientes.

DISPOSICION FINAL

El presente decreto entrará en vigencia a partir de su suscripción sin perjuicio de su publicación en el Registro Oficial.

Dado en el Palacio Nacional, en San Francisco de Quito, Distrito Metropolitano, el día de hoy 13 de agosto del 2009.

f.) Rafael Correa Delgado, Presidente Constitucional de la República.

Es fiel copia del original.- Lo certifico.

Quito, 13 de agosto del 2009.

f.) Abg. Oscar Pico Solórzano, Subsecretario General de la Administración Pública

24Feb/21

Decreto nº 1014 de 10 de abril de 2008

Decreto nº 1014 de 10 de abril de 2008, por el que se implementa el uso de Software Libre en la Administración Pública Central en sus sistemas y equipamientos informáticos. (Publicado en el Registro Oficial nº 322 de 23 de abril de 2008).

Decreto Ejecutivo nº 1014 (Registro Oficial nº 322 de 23 de abril de 2008

Rafael Correa Delgado. PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA

Considerando:

Que en el apartado g) del numeral 6 de la Carta Iberoamericana de Gobierno Electrónico, aprobada por la IX Conferencia Iberoamericana de Ministros de Administración Pública y Reforma del Estado, realizada en Chile el 1 de junio del 2007, se recomienda el uso de estándares abiertos y software libre, como herramientas informáticas;

Que es el interés del Gobierno alcanzar soberanía y autonomía tecnológica, así como un significativo ahorro de recursos públicos y que el software libre es en muchas instancias un instrumento para alcanzar estos objetivos;

Que el 18 de julio del 2007 se creó e incorporó a la estructura orgánica de la Presidencia de la República la Subsecretaría de Informática, dependiente de la Secretaría General de la Administración, mediante Acuerdo nº 119, publicado en el Registro Oficial nº 139 de 1 de agosto del 2007;

Que el numeral 1 del artículo 6 del Acuerdo nº 119, faculta a la Subsecretaría de Informática a elaborar y ejecutar planes, programas, proyectos, estrategias, políticas, proyectos de leyes y reglamentos para el uso de software libre en las dependencias del Gobierno Central; y,

En ejercicio de la atribución que le confiere el numeral 9 del artículo 171 de la Constitución Política de la República.

Decreta:

Artículo 1

Establecer como política pública para las entidades de la Administración Pública Central la utilización de software libre en sus sistemas y equipamientos informáticos.

Artículo 2

Se entiende por software libre, a los programas de computación que se pueden utilizar y distribuir sin restricción alguna, que permitan su acceso a los códigos fuentes y que sus aplicaciones puedan ser mejoradas.

Estos programas de computación tienen las siguientes libertades:

a) Utilización del programa con cualquier propósito de uso común;

b) Distribución de copias sin restricción alguna;

c) Estudio y modificación del programa (Requisito: código fuente disponible); y,

d) Publicación del programa mejorado (Requisito: código fuente disponible).

Artículo 3

Las entidades de la Administración Pública Central previa a la instalación del software libre en sus equipos, deberán verificar la existencia de capacidad técnica que brinde el soporte necesario para el uso de este tipo de software.

Artículo 4

Se faculta la utilización de software propietario (no libre) únicamente cuando no exista una solución de software libre que supla las necesidades requeridas, o cuando esté en riesgo la seguridad nacional, o cuando el proyecto informático se encuentre en un punto de no retorno.

Para efectos de este decreto se comprende como seguridad nacional, las garantías para la supervivencia de la colectividad y la defensa de patrimonio nacional.

Para efectos de este decreto se entiende por un punto de no retorno, cuando el sistema o proyecto informático se encuentre en cualquiera de estas condiciones:

a) Sistema en producción funcionando satisfactoriamente y que un análisis de costo beneficio muestre que no es razonable ni conveniente una migración a software libre; y,

b) Proyecto en estado de desarrollo y que un análisis de costo – beneficio muestre que no es conveniente modificar el proyecto y utilizar software libre.

Periódicamente se evaluarán los sistemas informáticos que utilizan software propietario con la finalidad de migrarlos a software libre.

Artículo 5

Tanto para software libre como software propietario, siempre y cuando se satisfagan los requerimientos, se debe preferir las soluciones en este orden:

a) Nacionales que permitan autonomía y soberanía tecnológica;

b) Regionales con componente nacional;

c) Regionales con proveedores nacionales;

d) Internacionales con componente nacional;

e) Internacionales con proveedores nacionales; y,

f) Internacionales.

Artículo 6

La Subsecretaría de Tecnologías de la Información como órgano regulador y ejecutor de las políticas y proyectos informáticos en las entidades del Gobierno Central deberá realizar el control y seguimiento de este decreto.

Para todas las evaluaciones constantes en este decreto la Subsecretaría de Tecnologías de la Información establecerá los parámetros y metodologías obligatorias.

(Artículo reformado por Disposición General Octava de Decreto Ejecutivo nº 726, del 8 de abril de 2011, publicado en Registro Oficial 433 de 25 de Abril del 2011).

Artículo 7

Encárguese de la ejecución de este decreto los señores ministros coordinadores y el señor Secretario General de la Administración Pública y Comunicación.

Dado en el Palacio Nacional, en la ciudad de San Francisco de Quito, Distrito Metropolitano, el día de hoy 10 de abril del 2008.

24Feb/21

Decreto Ejecutivo 1384, de 13 de diciembre de 2012

Decreto Ejecutivo 1384, de 13 de diciembre de 2012, (Publicado en el Suplemento del Registro Oficial nº 860, de 02 de enero de 2013), la Presidencia de la República dispuso el desarrollo  de  la  interoperabilidad  gubernamental  de todas  las  entidades  de  la Administración Central, dependiente e institucional para compartir e intercambiar entre ellas, por medio de las tecnologías de la información y comunicación, datos e información electrónicos que son necesarios en la prestación de los trámites y servicios ciudadanos que prestan las entidades, así como en la gestión interna e interinstitucional;

RAFAEL CORREA DELGADO. PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA

CONSIDERANDO:

Que, el artículo 227 de la Constitución de la República establece que la Administración Pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación;

Que, el artículo 116 del Estatuto del Régimen Jurídico y Administrativo de la Función ‘Ejecutiva establece que la Administración Pública impulsará el empleo y aplicación de las técnicas y medios electrónicos, informáticos y telemáticos para el desarrollo de su actividad y el ejercicio de sus competencias, con las limitaciones que a la utilización de estos medios establecen la Constitución y las leyes; y que cuando sea compatible con los medios técnicos de que dispongan la Administración Pública, los ciudadanos podrán relacionarse con ella para ejercer sus derechos a través de técnicas y medios electrónicos, informáticos o telemáticos con respecto de las garantías y requisitos previstos en cada procedimiento;

Que, las letras f), h), i), j) y l) del artículo 15 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva, en su orden, establecen como atribuciones y funciones del Secretaría Nacional de la Administración Pública el «Fomentar una cultura de : calidad en las Instituciones de la Administración Pública, tanto en productos como en servicios públicos»; «Generar metodologías para mejora de la gestión pública en general, tales como proyectos, procesos, trámites y servicios al ciudadano»; «Impulsar proyectos de estandarización en procesos, calidad y tecnologías de la información y comunicación»; «Controlar la ejecución de propuestas, proyectos de mejora y modernización de la gestión pública»; y, «Diseñar, promover e impulsar proyectos, planes y programas destinados a la mejora de la gestión pública a  través de herramientas, sistemas y tecnologías de la información y comunicación»;.

Que, la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, en los artículos 2 y 44, respectivamente, reconoce ante el Estado la validez jurídica de los mensajes de datos electrónicos así como el valor y efecto jurídicos de cualquier actividad, transacción mercantil, financiera o de servicios que se realice con los mismos por medio de redes electrónicas;

Que, la Carta Iberoamericana de Gobierno Electrónico, en la sección 24, recomienda a los gobiernos tomar en consideración la importancia de la interoperabilidad de las comunicaciones y servicios así como disponer las medidas necesarias, para que todas las entidades públicas, cualquiera que sea su nivel y con independencia del respeto a su autonomía, establezcan sistemas que sean interoperables;

Que, el Decreto Ejecutivo nº 1014, publicado en el Registro Oficial nº 322 de 23 de abril del 2008, establece como política pública para las entidades de la Administración Pública Central la utilización de software libre en sus sistemas y equipamientos informáticos;

Que, para el cumplimiento de las disposiciones previamente señaladas es necesario que las entidades de la Administración Pública cooperen y colaboren entre sí para compartir e intercambiar datos e información electrónicos;

Que, para las entidades públicas la capacidad para compartir e intercambiar datos e información electrónica constituye una oportunidad para reducir o eliminar las barreras relacionad¡¡s a distancias, desplazamientos, papeleos, costos y horarios en la ejecución de los servicios que se prestan a la ciudadanía;

Que, las tecnologías de la información y comunicación ofrecen herramientas esenciales e innovadoras para incrementar la eficiencia, eficacia, calidad y transparencia en la prestación de servicios públicos y la interacción con la ciudadanía;

Que, es necesario establecer una política pública que norme, promueva, facilite, estandarice y agilice las actividades y proyectos para compartir e intercambiar datos electrónicos por medios electrónicos entre entidades de la Administración Pública;

En ejercicio de las facultades y atribuciones que le confiere el artículo 147, números 3, 5 y 13 de la Constitución Política de la República;

DECRETA:

Artículo 1

Establecer como política pública el desarrollo de la interoperabilidad gubernamental, que consiste en el esfuerzo mancomunado y permanente de todas las entidades de la Administración Central, dependiente e institucional para compartir e intercambiar entre ellas, por medio de las tecnologías de la información y comunicación, datos e información electrónicos que son necesarios en la prestación de los trámites y servicios ciudadanos que prestan las entidades, así como en  la gestión interna e interinstitucional.

Artículo 2   

 La  interoperabilidad gubernamental entre todas las entidades de la Administración Pública Central, dependiente e institucional será gestionada y normada por el conjunto de principios, políticas, procesos, procedimientos y estándares en los ámbitos operativo, conceptual y tecnológico que para el efecto dicte la Secretaría Nacional de la Administración Pública.

Artículo 3

Se prohíbe a las entidades de la Administración Pública Central, dependiente e institucional la suscripción de convenios institucionales o imponer restricciones operativas, técnicas o económicas entre sí, tales como el cobro de tarifas, por compartir e intercambiar los datos e información electrónicos que custodian.

Se garantizará la confidencialidad, reserva y protección de los datos e información que se comparta e intercambie entre las entidades, de acuerdo a la normativa vigente.

DISPOSICION TRANSITORIA UNICA

La Secretaría Nacional de la Administración Pública establecerá un periodo de transición para que las entidades públicas que se encuentren interoperando fuera de la plataforma de interoperabilidad, formulen y ejecuten proyectos de migración.

DISPOSICION GENERAL UNICA

El presente Decreto Ejecutivo entrará en vigencia a partir de la presente fecha, sin perjuicio de su publicación en el Registro Oficial, y de su ejecución encárguese a la Secretaría Nacional de la Administración Pública

Dado en el Palacio Nacional, en Quito, a 13 de Diciembre 2012.

Fdo. Rafael Correa Delgado. Presidente Constitucional de la República

24Feb/21

Acuerdo Ministerial nº 166. Esquema Gubernamental de Seguridad de la Información EGSI. de 19 de septiembre de 2013

Esquema Gubernamental de Seguridad de la Información EGSI. de 19 de septiembre de 2013. (Registro Oficial Suplemento 88 de 25 de septiembre de 2013).

Acuerdo Ministerial 166 (Registro Oficial Suplemento 88 de 25 de septiembre de 2013)

Cristian Castillo Peñaherrera, SECRETARIO NACIONAL DE LA ADMINISTRACION PUBLICA

Considerando:

Que, la Constitución de la República determina en el artículo 227 que la Administración Pública constituye un servicio a la colectividad que se rige por principios de eficacia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación.

Que, el artículo 13 del Estatuto del Régimen Jurídico Administrativo de la Función Ejecutiva establece que la Secretaría Nacional de la Administración Pública es una entidad de derecho público, con personalidad jurídica y patrimonio propio, dotada de autonomía presupuestaria, financiera, económica y administrativa, encargada de establecer las políticas, metodologías de gestión e innovación institucional y herramientas necesarias para el mejoramiento de la eficiencia, calidad y transparencia de la gestión en las entidades y organismos de la Función Ejecutiva, con quienes coordinará las acciones que sean necesarias para la correcta ejecución de dichos fines; así como también de realizar el control, seguimiento y evaluación de la gestión de los planes, programas, proyectos y procesos de las entidades y organismos de la Función Ejecutiva que se encuentran en ejecución; y, el control, seguimiento y evaluación de la calidad en la gestión de los mismos.

Que, mediante Acuerdos Ministeriales nº 804 y 837 de 29 de julio y 19 de agosto de 2011, respectivamente, la Secretaría Nacional de la Administración Pública creó la Comisión para la Seguridad Informática y de las Tecnologías de la Información y Comunicación conformada por delegados del Ministerio de Telecomunicaciones y de la Sociedad de la Información, la Secretaría Nacional de Inteligencia y la Secretaría Nacional de la Administración Pública y dentro de sus atribuciones tiene la de establecer lineamientos de seguridad informática, protección de infraestructura computacional y todo lo relacionado con ésta, incluyendo la información contenida para las entidades de la Administración Pública Central e Institucional.

Que, es importante adoptar políticas, estrategias, normas, procesos, procedimientos, tecnologías y medios necesarios para mantener la seguridad en la información que se genera y custodia en diferentes medios y formatos de las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva.

Que, la Administración Pública de forma integral y coordinada debe propender a minimizar o anular riesgos en la información así como proteger la infraestructura gubernamental, más aún si es estratégica, de los denominados ataques informáticos o cibernéticos.

Que, las Tecnologías de la Información y Comunicación son herramientas imprescindibles para el cumplimiento de la gestión institucional e interinstitucional de la Administración Pública en tal virtud, deben cumplir con estándares de seguridad que garanticen la confidencialidad, integridad y disponibilidad de la información;

Que, la Comisión para la Seguridad Informática y de las Tecnologías de la Información y Comunicación en referencia ha desarrollado el Esquema Gubernamental de Seguridad de la Información (EGSI), elaborado en base a la norma NTE INEN-ISO/IEC 27002 «Código de Práctica para la Gestión de la Seguridad de la Información».

Que, el artículo 15, letra i) del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva establece como atribución del Secretario Nacional de la Administración Pública, impulsar proyectos de estandarización en procesos, calidad y tecnologías de la información y comunicación;

En uso de las facultades y atribuciones que le confiere el artículo 15, letra n) del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva.

Acuerda:

Artículo 1

Disponer a las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva el uso obligatorio de las Normas Técnicas Ecuatorianas NTE INEN-ISO/IEC 27000 para la Gestión de Seguridad de la Información.

Artículo 2

Las entidades de la Administración Pública implementarán en un plazo de dieciocho (18) meses el Esquema Gubernamental de Seguridad de la Información (EGSI), que se adjunta a este acuerdo como Anexo 1, a excepción de las disposiciones o normas marcadas como prioritarias en dicho esquema, las cuales se implementarán en (6) meses desde la emisión del presente Acuerdo.

La implementación del EGSI se realizará en cada institución de acuerdo al ámbito de acción, estructura orgánica, recursos y nivel de madurez en gestión de Seguridad de la Información.

Artículo 3

Las entidades designarán, al interior de su institución, un Comité de Seguridad de la Información liderado con un Oficial de Seguridad de la Información, conforme lo establece el EGSI y cuya designación deberá ser comunicada a la Secretaría Nacional de la Administración Pública, en el transcurso de treinta (30) días posteriores a la emisión del presente Acuerdo.

Artículo 4

La Secretaría Nacional de la Administración Pública coordinará y dará seguimiento a la implementación del EGSI en las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva. El seguimiento y control a la implementación de la EGSI se realizará mediante el Sistema de Gestión por Resultados (GPR) u otras herramientas que para el efecto implemente la Secretaría Nacional de la Administración Pública.

Artículo 5

La Secretaría Nacional de la Administración Pública realizará de forma ordinaria una revisión anual del EGSI en conformidad a las modificaciones de la norma INEN ISO/IEC 27002 que se generen y de forma extraordinaria o periódica cuando las circunstancias así lo ameriten, además definirá los procedimientos o metodologías para su actualización, implementación, seguimiento y control.

Artículo 6

Es responsabilidad de la máxima autoridad de cada entidad mantener la documentación de la implementación del EGSI debidamente organizada y registrada de acuerdo al procedimiento específico que para estos efectos establezca la Secretaría Nacional de la Administración Pública.

Artículo 7

Las entidades realizarán una evaluación de riesgos y diseñarán e implementarán el plan de manejo de riesgos de su institución, en base a la norma INEN ISO/IEC 27005 «Gestión del Riesgo en la Seguridad de la Información.

DISPOSICIONES GENERALES

Primera

El EGSI podrá ser revisado periódicamente de acuerdo a las sugerencias u observaciones realizadas por las entidades de la Administración Pública Central, Institucional o que dependen de la Función Ejecutiva, las cuales deberán ser presentadas por escrito a la Secretaría Nacional de la Administración Pública.

Segunda

Cualquier propuesta de inclusión de controles o directrices adicionales a los ya establecidos en el EGSI que se generen en la implementación del mismo, deberán ser comunicados a la Secretaría Nacional de la Administración Pública, previo a su aplicación; de igual manera, en caso de existir alguna excepción institucional respecto a la implementación del EGSI, ésta deberá ser justificada técnicamente y comunicada a la Secretaría Nacional de la Administración Pública, para su análisis y autorización.

Tercera

Los Oficiales de Seguridad de la Información de los Comités de Gestión de Seguridad de la Información designados por las instituciones, actuarán como contrapartes de la Secretaría Nacional de la Administración Pública en la implementación del EGSI y en la gestión de incidentes de seguridad de la información.

Cuarta

Cualquier comunicación respecto a las disposiciones realizadas en el presente Acuerdo deberá ser informada directamente a la Subsecretaría de Gobierno Electrónico de la Secretaría Nacional de la Administración Pública.

DISPOSICIONES TRANSITORIAS

Primera

Para efectivizar el control y seguimiento del EGSI institucional, la Secretaría Nacional de la Administración Pública en un plazo de quince (15) días creará un proyecto en el sistema GPR en el que se homogenice los hitos que deben de cumplir las instituciones para implementar el EGSI.

Segunda

La Secretaría Nacional de la Administración Pública emitirá en el plazo de sesenta (60) días desde la emisión del presente Acuerdo los lineamientos específicos de registro y documentación de la implementación institucional del ESGI.

Tercera

La Secretaría Nacional de la Administración Pública, además, en un plazo de noventa (90) días desde la emisión del presente Acuerdo, definirá las metodologías o procedimientos para actualización, implementación, seguimiento y control del EGSI.

DISPOSICION DEROGATORIA

Deróguese los Acuerdo Ministeriales nº 804 de 29 de julio de 2011 y nº 837 de 19 de agosto de 2011.

DISPOSICION FINAL

Este Acuerdo entrará en vigencia a partir de su publicación en el Registro Oficial.

Dado en el Palacio Nacional, a los 19 días del mes de septiembre de 2013.

f.) Cristian Castillo Peñaherrera, Secretario Nacional de la Administración Pública.

Es fiel copia del original.- LO CERTIFICO.

Quito, 20 de septiembre de 2013.

f.) Dra. Rafaela Hurtado Espinoza, Coordinadora General de Asesoría Jurídica, Secretaría Nacional de la Administración Pública.

Anexo 1 del Acuerdo nº 166 del 19 de septiembre de 2013

SECRETARIA NACIONAL DE LA ADMINISTRACION PUBLICA

ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACION (EGSI)

Versión 1.0

Septiembre de 2013

INTRODUCCION

Los avances de las Tecnologías de la Información y Comunicación (TIC) han ocasionado que los gobiernos otorguen mayor atención a la protección de sus activos de información con el fin de generar confianza en la ciudadanía, en sus propias instituciones y minimizar riesgos derivados de vulnerabilidades informáticas.

La Secretaría Nacional de Administración Pública, considerando que las TIC son herramientas imprescindibles para el desempeño de institucional e interinstitucional, y como respuesta a la necesidad gestionar de forma eficiente y eficaz la seguridad de la información en las entidades públicas, emitió los Acuerdos Ministeriales nº 804 y nº 837, de 29 de julio y 19 de agosto de 2011 respectivamente, mediante los cuales creó la Comisión para la Seguridad Informática y de las Tecnologías de la Información y Comunicación.

La comisión realizó un análisis de la situación respecto de la gestión de la Seguridad de la Información en las Instituciones de la Administración Pública Central, Dependiente e Institucional, llegando a determinar la necesidad de aplicar normas y procedimientos para seguridad de la información, e incorporar a la cultura y procesos institucionales la gestión permanente de la misma.

El presente documento, denominado Esquema Gubernamental de Seguridad de la Información (EGSI), esta basado en la norma técnica ecuatoriana INEN ISO/IEC 27002 para Gestión de la Seguridad de la Información y está dirigido a las Instituciones de la Administración Pública Central, Dependiente e Institucional.

El EGSI establece un conjunto de directrices prioritarias para Gestión de la Seguridad de la Información e inicia un proceso de mejora continua en las instituciones de la Administración Pública.

El EGSI no reemplaza a la norma INEN ISO/IEC 27002 sino que marca como prioridad la implementación de algunas directrices.

La implementación del EGSI incrementará la seguridad de la información en las entidades públicas así como en la confianza de los ciudadanos en la Administración Pública.

1. POLITICA DE SEGURIDAD DE LA INFORMACION

1.1. Documento de la Política de la Seguridad de la Información

a) La máxima autoridad de la institución dispondrá la implementación de este Esquema Gubernamental de Seguridad de la Información (EGSI) en su entidad (*)(1).

b) Se difundirá la siguiente política de seguridad de la información como referencia (*):

«Las entidades de la Administración Pública Central, Dependiente e Institucional que generan, utilizan, procesan, comparten y almacenan información en medio electrónico o escrito, clasificada como pública, confidencial, reservada y no reservada, deberán aplicar el Esquema Gubernamental de Seguridad de la Información para definir los procesos, procedimientos y tecnologías a fin de garantizar la confidencialidad, integridad y disponibilidad de esa información, en los medios y el tiempo que su legitimidad lo requiera».

Las entidades públicas podrán especificar una política de seguridad más amplia o específica en armonía con la Constitución, leyes y demás normativa legal propia o relacionada así como su misión y competencias.

1.2. Revisión de la Política

a) Para garantizar la vigencia de la política de seguridad de la información en la institución, esta deberá ser revisada anualmente o cuando se produzcan cambios significativos a nivel operativo, legal, tecnológica, económico, entre otros.

2. ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION

2.1. Compromiso de la máxima autoridad de la institución con la seguridad de la información

a) Realizar el seguimiento de la puesta en marcha de las normas de este documento (*).

b) Disponer la difusión, capacitación y sensibilización del contenido de este documento (*).

c) Conformar oficialmente el Comité de Gestión de la Seguridad de la Información de la institución (CSI) y designar a los integrantes (*).

El comité de coordinación de la seguridad de la información involucrará la participación y cooperación de los cargos directivos de la institución. El comité deberá convocarse de forma periódica o cuando las circunstancias lo ameriten. Se deberá llevar registros y actas de las reuniones.

2.2. Coordinación de la Gestión de la Seguridad de la Información

a) La coordinación estará a cargo del Comité de Gestión de Seguridad de la Información el cual tendrá las siguientes funciones:

– Definir y mantener la política y normas institucionales particulares en materia de seguridad de la información y gestionar la aprobación y puesta en vigencia por parte de la máxima autoridad de la institución así como el cumplimiento por parte de los funcionarios de la institución.

– Monitorear cambios significativos de los riesgos que afectan a los recursos de información frente a las amenazas más importantes.

– Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad.

– Aprobar las principales iniciativas para incrementar la seguridad de la información, de acuerdo a las competencias y responsabilidades asignadas a cada área.

– Acordar y aprobar metodologías y procesos específicos, en base al EGSI relativos a la seguridad de la información.

– Evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios, en base al EGSI.

– Promover la difusión y apoyo a la seguridad de la información dentro de la institución.

– Coordinar el proceso de gestión de la continuidad de la operación de los servicios y sistemas de información de la institución frente a incidentes de seguridad imprevistos.

– Designar a los custodios o responsables de la información de las diferentes áreas de la entidad, que deberá ser formalizada en un documento físico o electrónico.

– Gestionar la provisión permanente de recursos económicos, tecnológicos y humanos para la gestión de la seguridad de la información.

– Velar por la aplicación de la familia de normas técnicas ecuatorianas INEN ISO/IEC 27000 en la institución según el ámbito de cada norma.

– Designar formalmente a un funcionario como Oficial de Seguridad de la Información quien actuará como coordinador del CSI. El Oficial de Seguridad no pertenecerá al área de Tecnologías de la Información y reportará a la máxima autoridad de la institución (*).

– Designar formalmente al responsable de seguridad del área de Tecnologías de la Información en coordinación con el director o responsable del área de Tecnologías de la Información de la Institución (*).

2.3 Asignación de responsabilidades para la seguridad de la información

El Oficial de Seguridad de la Información tendrá las siguientes responsabilidades:

a) Definir procedimientos para el control de cambios a los procesos operativos, los sistemas e instalaciones, y verificar su cumplimiento, de manera que no afecten la seguridad de la información.

b) Establecer criterios de seguridad para nuevos sistemas de información, actualizaciones y nuevas versiones, contemplando la realización de las pruebas antes de su aprobación definitiva.

c) Definir procedimientos para el manejo de incidentes de seguridad y para la administración de los medios de almacenamiento.

d) Controlar los mecanismos de distribución y difusión de información dentro y fuera de la institución.

e) Definir y documentar controles para la detección y prevención del acceso no autorizado, la protección contra software malicioso, garantizar la seguridad de los datos y los servicios conectados a las redes de la institución.

f) Desarrollar procedimientos adecuados de concienciación de usuarios en materia de seguridad, controles de acceso a los sistemas y administración de cambios.

g) Verificar el cumplimiento de las normas, procedimientos y controles de seguridad institucionales establecidos.

h) Coordinar la gestión de eventos de seguridad con otras entidades gubernamentales.

i) Convocar regularmente o cuando la situación lo amerite al Comité de Seguridad de la Información así como llevar registros de asistencia y actas de las reuniones.

El responsable de Seguridad del Área de Tecnologías de la Información tendrá las siguientes responsabilidades:

a) Controlar la existencia de documentación física o electrónica actualizada relacionada con los procedimientos de comunicaciones, operaciones y sistemas.

b) Evaluar el posible impacto operativo a nivel de seguridad de los cambios previstos a sistemas y equipamiento y verificar su correcta implementación, asignando responsabilidades.

c) Administrar los medios técnicos necesarios para permitir la segregación de los ambientes de procesamiento.

d) Monitorear las necesidades de capacidad de los sistemas en operación y proyectar las futuras demandas de capacidad para soportar potenciales amenazas a la seguridad de la información que procesan.

e) Controlar la obtención de copias de resguardo de información, así como la prueba periódica de su restauración.

f) Asegurar el registro de las actividades realizadas por el personal operativo de seguridad de la información, para su posterior revisión.

g) Desarrollar y verificar el cumplimiento de procedimientos para comunicar las fallas en el procesamiento de la información o los sistemas de comunicaciones, que permita tomar medidas correctivas.

h) Implementar los controles de seguridad definidos (ej., evitar software malicioso, accesos no autorizados, etc.).

i) Definir e implementar procedimientos para la administración de medios informáticos de almacenamiento (ej., cintas, discos, etc.) e informes impresos, y verificar la eliminación o destrucción segura de los mismos, cuando proceda.

j) Gestionar los incidentes de seguridad de la información de acuerdo a los procedimientos establecidos.

k) Otras que por naturaleza de las actividades de gestión de la seguridad de la información deban ser realizadas.

2.4 Proceso de autorización para nuevos servicios de procesamiento de la información

a) Asignar un custodio o responsable para cualquier nuevo servicio a implementar, generalmente del área peticionaria, incluyendo la definición de las características de la información y la definición de los diferentes niveles de acceso por usuario.

b) Autorizar explícitamente por parte del custodio el uso de un nuevo servicio según las definiciones anteriores.

c) Solicitar la autorización del oficial de seguridad de la información el uso del nuevo servicio garantizando el cumplimiento de las políticas de seguridad de la información y normas definidas en este documento.

d) Evaluar la compatibilidad a nivel de hardware y software con sistemas internos.

e) Implementar los controles necesarios para el uso de nuevos servicios para procesar información de la institución sean personales o de terceros para evitar nuevas vulnerabilidades.

2.5. Acuerdos sobre Confidencialidad (*)

a) Elaborar y aprobar los acuerdos de confidencialidad y de no-divulgación de información conforme la Constitución, las leyes, las necesidades de protección de información de la institución y el EGSI.

b) Controlar que los acuerdos de confidencialidad de la información, documento físico o electrónico,

sean firmados de forma manuscrita o electrónica por todo el personal de la institución sin excepción.

c) Gestionar la custodia de los acuerdos firmados, en los expedientes, físicos o electrónicos, de cada funcionario, por parte del área de gestión de recursos humanos.

d) Controlar que la firma de los acuerdos de confidencialidad sean parte de los procedimientos de incorporación de nuevos funcionarios a la institución, sin excepción.

e) Gestionar la aceptación, entendimiento y firma de acuerdos de confidencialidad y de no divulgación de información por parte de terceros (ej., contratistas, proveedores, pasantes, entre otros) que deban realizar labores dentro de la institución sea por medios lógicos o físicos y que involucren el manejo de información.

2.6 Contacto con las autoridades

a) Establecer un procedimiento que especifique cuándo y a cuáles autoridades se reportarán incidentes derivados del infringimiento de la política de seguridad o por acciones de seguridad de cualquier origen (ej., SNAP, fiscalía, policía, bomberos, 911, otros). Todo incidente de seguridad de la información que sea considerado crítico deberá ser reportado al oficial de seguridad y este a su vez al comité de seguridad y la máxima autoridad según los casos.

b) Reportar oportunamente los incidentes identificados de la seguridad de la información a la SNAP si se sospecha de incumplimiento de la ley o que provoquen indisponibilidad o continuidad.

c) Identificar y mantener actualizados los datos de contacto de proveedores de bienes o servicios de telecomunicaciones o de acceso a la Internet para gestionar potenciales incidentes.

d) Establecer acuerdos para compartir información con el objeto de mejorar la cooperación y la coordinación de los temas de la seguridad. Tales acuerdos deberían identificar los requisitos para la protección de la información sensible.

2.7 Contactos con grupos de interés especiales

a) Mantener contacto apropiados con organizaciones públicas y privadas, asociaciones profesionales y grupos de interés especializados en seguridad de la información para mejorar el conocimiento sobre mejores prácticas y estar actualizado con información pertinente a gestión de la seguridad.

b) Recibir reportes advertencias oportunas de alertas, avisos y parches relacionados con ataques y vulnerabilidades de organizaciones públicas, privadas y académicas reconocidas por su aporte a la gestión de la seguridad de la información.

c) Establecer contactos entre oficiales y responsables de la seguridad de la información para compartir e intercambiar información acerca de nuevas tecnologías, productos, amenazas o vulnerabilidades;.

2.8 Revisión independiente de la seguridad de la información

a) Ejecutar revisiones independientes de la gestión de la seguridad a intervalos planificados o cuando ocurran cambios significativos en la implementación

b) Identificar oportunidades de mejora y la necesidad de cambios en el enfoque de la seguridad, incluyendo la política y los objetivos de control a partir de las revisiones independientes. La revisión deberá contemplar las actuaciones de la alta dirección, del comité de seguridad y del oficial de seguridad en materia de gestión de la seguridad.

c) Registrar y documentar todas las revisiones independientes de la gestión de la seguridad de la información que la institución realice.

2.9 Identificación de los riesgos relacionados con las partes externas

a) Identificar y evaluar los riesgos para la información y los servicios de procesamiento de información de la entidad en los procesos que involucran terceras partes e implementar los controles apropiados antes de autorizar el acceso.

b) Bloquear el acceso de la tercera parte a la información de la organización hasta haber implementado los controles apropiados y, cuando es viable, haber firmado un contrato que defina los términos y las condiciones del caso así como acuerdos de confidencialidad respecto de la información a la tendrán acceso.

c) Garantizar que la tercera parte es consciente de sus obligaciones y acepta las responsabilidades y deberes involucrados en el acceso, procesamiento, comunicación o gestión de la información y los servicios de procesamiento de información de la organización.

d) Registrar y mantener las terceras partes vinculadas a la entidad considerando los siguientes tipos:

– proveedores de servicios (ej., Internet, proveedores de red, servicios telefónicos, servicios de mantenimiento, energía eléctrica, agua, entre otros);

– servicios de seguridad;

– contratación externa de proveedores de servicios y/u operaciones;

– asesores y auditores externos;

– limpieza, alimentación y otros servicios de soporte contratados externamente;

– personal temporal (estudiantes, pasantes, funcionarios públicos externos);

– ciudadanos/clientes;

– Otros

2.10 Consideraciones de la seguridad cuando se trata con ciudadanos o clientes

a) Identificar requisitos de seguridad antes de facilitar servicios a ciudadanos o clientes de entidades gubernamentales que utilicen o procesen información de los mismos o de la entidad. Se podrá utilizar los siguientes criterios:

– protección de activos de información;

– descripción del producto o servicio;

– las diversas razones, requisitos y beneficios del acceso del cliente;

– política de control del acceso;

– convenios para gestión de inexactitudes de la información, incidentes de la seguridad de la información y violaciones de la seguridad;

– descripción de cada servicio que va a estar disponible;

– nivel de servicio comprometido y los niveles inaceptables de servicio;

– el derecho a monitorear y revocar cualquier actividad relacionada con los activos de la organización;

– las respectivas responsabilidades civiles de la organización y del cliente;

– las responsabilidades relacionadas con asuntos legales y la forma en que se garantiza el cumplimiento de los requisitos legales

– derechos de propiedad intelectual y asignación de derechos de copia y la protección de cualquier trabajo colaborativos

– protección de datos en base la Constitución y leyes nacionales, particularmente datos personales o financieros de los ciudadanos

2.11 Consideraciones de la seguridad en los acuerdos con terceras partes

a) Garantizar que exista un entendimiento adecuado en los acuerdos que se firmen entre la organización y la tercera parte con el objeto de cumplir los requisitos de la seguridad de la entidad.

Refiérase a la norma INEN ISO/IEC para los aspectos claves a considerar en este control.

3. GESTION DE LOS ACTIVOS

3.1. Inventario de activos

Inventariar los activos primarios, en formatos físicos y/o electrónicos:

a) Los procesos estratégicos, claves y de apoyo de la institución.

b) Las normas y reglamentos que son la razón de ser de la institución.

c) Planes estratégicos y operativos de la institución y áreas específicas.

d) Los archivos generados por los servidores públicos, tanto de manera física como electrónica, razón de ser de la función que desempeñan en la institución.

e) Los manuales e instructivos de sistemas informáticos: instalación, guía de usuario, operación, administración, mantenimiento, entre otros.

f) De la operación de los aplicativos informáticos de los servicios informáticos: datos y meta-datos asociados, archivos de configuración, código fuente, respaldos, versiones, etc.

g) Del desarrollo de aplicativos de los servicios informáticos: actas de levantamiento de requerimientos, documento de análisis de requerimientos, modelos entidad – relación, diseño de componentes, casos de uso, diagramas de flujo y estado, casos de prueba, etc.

h) Del soporte de aplicativos de los servicios informáticos: tickets de soporte, reportes físicos y electrónicos, evaluaciones y encuestas, libros de trabajo para capacitación, etc.

i) De la imagen corporativa de la institución: manual corporativo (que incluye manual de marca y fuentes en formato electrónico de logos), archivos multimedia, tarjetas de presentación, volantes, banners, trípticos, etc.

Inventariar los activos de soporte de Hardware (*):

j) Equipos móviles: teléfono inteligente (smartphone), teléfono celular, tableta, computador portátil, asistente digital personal (PDA), etc.

k) Equipos fijos: servidor de torre, servidor de cuchilla, servidor de rack, computador de escritorio, computadoras portátiles, etc.

l) Periféricos de entrada: teclado, ratón, micrófono, escáner plano, escáner de mano, cámara digital, cámara web, lápiz óptico, pantalla de toque, etc.

m) Periféricos de salida: monitor, proyector, audífonos, parlantes, impresora láser, impresora de inyección de tinta, impresora matricial, impresora térmica, plóter, máquina de fax, etc.

n) Periféricos y dispositivos de almacenamiento: sistema de almacenamiento (NAS, SAN), librería de cintas, cintas magnéticas, disco duro portátil, disco flexible, grabador de discos (CD, DVD, Blu-ray), CD, DVD, Blu-ray, memoria USB, etc.

o) Periféricos de comunicaciones: tarjeta USB para redes inalámbricas (Wi-Fi, Bluetooth, GPRS, HSDPA), tarjeta PCMCIA para redes inalámbricas (Wi-Fi, Bluetooth, GPRS, HSDPA), tarjeta USB para redes alámbricas/inalámbricas de datos y de telefonía, etc.

p) Tableros: de transferencia (bypass) de la unidad ininterrumpible de energía (UPS), de salidas de energía eléctrica, de transferencia automática de energía, etc.

q) Sistemas: de control de accesos, de aire acondicionado, automático de extinción de incendios, de circuito cerrado de televisión, etc.

Inventariar los activos de soporte de Software (*):

r) Sistemas operativos.

s) Software de servicio, mantenimiento o administración de: gabinetes de servidores de cuchilla, servidores (estantería/rack, torre, virtuales), sistema de redes de datos, sistemas de almacenamiento (NAS, SAN), telefonía, sistemas (de UPS, grupo electrógeno, de aire acondicionado, automático de extinción de incendios, de circuito cerrado de televisión), etc.

t) Paquetes de software o software base de: suite de ofimática, navegador de Internet, cliente de correo electrónico, mensajería instantánea, edición de imágenes, vídeo conferencia, servidor (proxy, de archivos, de correo electrónico, de impresiones, de mensajería instantánea, de aplicaciones, de base de datos), etc.

u) Aplicativos informáticos del negocio.

Inventariar los activos de soporte de redes (*):

v) Cables de comunicaciones (interfaces: RJ-45 o RJ-11, SC, ST o MT-RJ, interfaz V35, RS232, USB, SCSI, LPT), panel de conexión (patch panel), tomas o puntos de red, racks (cerrado o abierto, de piso o pared), etc.

w) Switchs (de centros de datos, de acceso, de borde, de gabinete de servidores, access-ppoint, transceiver, equipo terminal de datos, etc.).

x) Ruteador (router), cortafuego (firewall), controlador de red inalámbrica, etc.

y) Sistema de detección/prevención de intrusos (IDS/IPS), firewall de aplicaciones web, balanceador de carga, switch de contenido, etc.

Inventariar los activos referentes a la estructura organizacional:

z) Estructura organizacional de la institución, que incluya todas las unidades administrativas con los cargos y nombres de las autoridades: área de la máxima autoridad, área administrativa, área de recursos humanos, área financiera, etc.

aa) Estructura organizacional del área de las TIC, con los cargos y nombres del personal:

administrador (de servidores, de redes de datos, de respaldos de la información, de sistemas de almacenamiento, de bases de datos, de seguridades, de aplicaciones del negocio, de recursos informáticos, etc.), líder de proyecto, personal de capacitación, personal de mesa de ayuda, personal de aseguramiento de calidad, programadores (PHP, Java, etc.).

bb) Inventario referente a los sitios y edificaciones de la institución: planos arquitectónicos, estructurales, eléctricos, sanitarios, de datos, etc.

cc) Dirección física, dirección de correo electrónico, teléfonos y contactos de todo el personal de la institución.

dd) De los servicios esenciales: número de líneas telefónicas fijas y celulares, proveedor de servicios de Internet y transmisión de datos, proveedor del suministro de energía eléctrica, proveedor del suministro de agua potable, etc.

Los activos deberán ser actualizados ante cualquier modificación de la información registrada y revisados con una periodicidad no mayor a seis meses.

3.2. Responsable de los activos

a) Asignar los activos asociados (o grupos de activos) a un individuo que actuará como Responsable del Activo. Por ejemplo, debe haber un responsable de los computadores de escritorio, otro de los celulares, otro de los servidores del centro de datos, etc. El término «responsable» no implica que la persona tenga realmente los derechos de propiedad de los activos. El Responsable del Activo tendrá las siguientes funciones:

– Elaborar el inventario de los activos a su cargo y mantenerlo actualizado.

– Delegar tareas rutinarias, tomando en cuenta que la responsabilidad sigue siendo del responsable.

– Administrar la información dentro de los procesos de la institución a los cuales ha sido asignado.

– Elaborar las reglas para el uso aceptable del mismo e implantarlas previa autorización de la autoridad correspondiente.

– Clasificar, documentar y mantener actualizada la información y los activos, y definir los permisos de acceso a la información.

b) Consolidar los inventarios de los activos a cargo del Responsable del Activo, por área o unidad organizativa.

3.3. Uso aceptable de los activos

a) Identificar, documentar e implementar las reglas sobre el uso aceptable de los activos asociados con los servicios de procesamiento de la información. Para la elaboración de las reglas, el Responsable del Activo deberá tomar en cuenta las actividades definidas en los controles correspondientes a los ámbitos de «Intercambio de Información» y «Control de Acceso», donde sea aplicable.

b) El Oficial de Seguridad de la Información es el encargado de asegurar que los lineamientos para la utilización de los recursos de las Tecnologías de la Información contemplen los requerimientos de seguridad establecidos, según la criticidad de la información que procesan.

c) La información y documentos generados en la institución y enviados por cualquier medio o herramienta electrónica son propiedad de la misma institución.

d) Reglamentar el uso de correo electrónico institucional (*):

– Este servicio debe utilizarse exclusivamente para las tareas propias de las funciones que se desarrollan en la institución y no debe utilizarse para ningún otro fin.

– Cada persona es responsable tanto del contenido del mensaje enviado como de cualquier otra información que adjunte.

– Todos los mensajes deben poder ser monitoreados y conservados permanentemente por parte de las institución.

– Toda cuenta de correo electrónico debe estar asociada a una única cuenta de usuario.

– La conservación de los mensajes se efectuará en carpetas personales, para archivar la información de acceso exclusivo del usuario y que no debe compartirse con otros usuarios. Debe definirse un límite de espacio máximo.

– Toda la información debe ser gestionado de forma centralizados y no en las estaciones de trabajo de los usuarios.

– Todo sistema debe contar con las facilidades automáticas que notifiquen al usuario cuando un mensaje enviado por él no es recibido correctamente por el destinatario, describiendo detalladamente el motivo del error.

– Deben utilizarse programas que monitoreen el accionar de virus informáticos tanto en mensajes como en archivos adjuntos, antes de su ejecución.

– Todo usuario es responsable por la destrucción de los mensajes con origen desconocido, y asume la responsabilidad por las consecuencias que pueda ocasionar la ejecución de los archivos adjuntos.

En estos casos, no deben contestar dichos mensajes y deben enviar una copia al Oficial de Seguridad de la Información para que efectúe el seguimiento y la investigación necesaria.

– Para el envío y la conservación de la información, debe implementarse el cifrado (criptografía) de datos.

– Todo usuario es responsable de la cantidad y tamaño de mensajes que envíe. Debe controlarse el envío no autorizado de correos masivos.

e) Reglamentar el acceso y uso de la Internet y sus aplicaciones/servicios (*):

– Este servicio debe utilizarse exclusivamente para las tareas propias de la función desarrollada en la institución, y no debe utilizarse para ningún otro fin.

– Cada usuario es responsable de la información y contenidos a los que accede y de aquella que copia para conservación en los equipos de la institución.

– Debe limitarse a los usuarios el acceso a portales, aplicaciones o servicios de la Internet y la Web que pudieren perjudicar los intereses y la reputación de la institución. Específicamente, se debe bloquear el acceso por medio de dispositivos fijos y/o móviles a aquellos portales, aplicaciones o servicios de la Internet y la Web sobre pornografía, racismo, violencia, delincuencia o de contenidos ofensivos y contrarios a los intereses, entre otros, y valores de la institución o que impacten negativamente en la productividad y trabajo de la institución (ej., mensajería instantánea-chats, redes sociales, video, otros) y particularmente a los que atenten a la ética y moral.

– El Oficial de Seguridad de la Información debe elaborar, poner en marcha y controlar la aplicación de un procedimiento institucional para acceso y uso de la Internet y la Web por parte de todo funcionario sin excepción, y en el cual se acepten las condiciones aquí especificadas y otras que la institución considere apropiadas.

– Todos los accesos deben poder ser sujetos de monitoreo y conservación permanente por parte de la institución.

– El Oficial de Seguridad de la Información, puede acceder a los contenidos monitoreados, con el fin de asegurar el cumplimiento de las medidas de seguridad.

– La institución podrá en cualquier momento bloquear o limitar el acceso y uso de la Internet a los funcionarios o a terceros que accedan tanto por medio alámbrico como inalámbrico.

– Se debe bloquear y prohibir el acceso y uso de servicios de correo electrónico de libre uso tales como: Gmail, Hotmail, Yahoo, Facebook, entre otros.

– Se prohíbe expresamente a las entidades de la Administración Pública la contratación, acceso y uso de servicios de correo electrónico en la Internet (Nube), para uso institucional o de servidores públicos, con empresas privadas o públicas cuyos centros de datos, redes (salvo la Internet), equipos, software base y de gestión de correo electrónico y cualquier elemento tecnológico necesario, se encuentren fuera del territorio nacional; y adicionalmente, si las condiciones de los servicios que tales empresas prestaren no se someten a la Constitución y Leyes Ecuatorianas.

f) Reglamentar el uso de los sistemas de video-conferencia (*):

– Definir un responsable para administrar la video-conferencia.

– Definir y documentar el procedimiento de acceso a los ambiente de pruebas y producción.

– Elaborar un documento tipo «lista de chequeo» (check-list) que contenga los parámetros de seguridad para el acceso a la red interministerial que soporta el servicios de video-conferencia.

– Crear contraseñas para el ingreso a la configuración de los equipos y para las salas virtuales de video-conferencia.

– Deshabilitar la respuesta automática de los equipos de video-conferencia.

3.4. Directrices de clasificación de la información

a) Clasificar la información como pública o confidencial. (*)

b) Elaborar y aprobar un catálogo de clasificación de la información. Se la deberá clasificar en términos de su valor, de los requisitos legales, de la sensibilidad y la importancia para la institución.

El nivel de protección se puede evaluar analizando la confidencialidad, la integridad y la disponibilidad

3.5. Etiquetado y manejo de la información

a) Incluir datos mediante abreviaturas, acerca del tipo de activo y su funcionalidad para la generación de etiquetas.

b) En caso de repetirse la etiqueta del activo, deberá añadirse un número secuencial único al final.

c) En caso de documentos en formato electrónico, la etiqueta deberá asociarse a un metadato único, pudiendo ser éste un código MD5.

d) Las etiquetas generadas deberán estar incluidas en el inventario, asociadas a su respectivo activo.

e) Los responsables de los activos supervisarán el cumplimiento del proceso de generación de etiquetas y rotulación de los activos.

f) Para el caso de etiquetas físicas, los responsables de los activos verificarán con una periodicidad no mayor a 6 meses, que los activos se encuentren rotulados y con etiquetas legibles.

g) En caso de destrucción de un activo, la etiqueta asociada a éste debe mantenerse en el inventario respectivo con los registros de las acciones realizadas.

4. SEGURIDAD DE LOS RECURSOS HUMANOS

4.1. Funciones y responsabilidades

a) Verificar a los candidatos, previa su contratación, el certificado de antecedentes penales y revisar la información entregada en su hoja de vida (*).

b) Entregar formalmente a los funcionarios sus funciones y responsabilidades (*).

c) Notificar al Oficial de Seguridad de la Información los permisos necesarios para activación y acceso a los activos de información.

d) Informar al Oficial de Seguridad de la Información sobre los eventos potenciales, intentos de intrusión u otros riesgos que pueden afectar la seguridad de la información de la institución.

4.2 Selección

a) Verificar antecedentes de candidatos a ser empleados, contratistas o usuarios de terceras partes, o designaciones y promociones de funcionarios de acuerdo con los reglamentos, la ética y las leyes pertinentes, y deben ser proporcionales a la naturaleza y actividades de la entidad pública, a la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos. No debe entenderse este control como discriminatorio en ningún aspecto.

b) Definir los criterios y las limitaciones para las revisiones de verificación de personal actual (por motivos de designación o promoción), potenciales empleados y de terceras partes.

c) Informar del procedimiento de revisión y solicitar el consentimiento al personal actual (por motivos de designación o promoción), potenciales empleados y de terceras partes.

4.3. Términos y condiciones laborales

a) Realizar la firma de un acuerdo de confidencialidad o no-divulgación, antes de que los empleados, contratistas y usuarios de terceras partes, tengan acceso a la información. Dicho acuerdo debe establecer los parámetros tanto de vigencia del acuerdo, información confidencial referida, formas de acceso, responsabilidades y funciones.

b) Socializar los derechos y responsabilidades legales de los empleados, los contratistas y cualquier otro usuario sobre la protección de datos; dejando constancia de lo actuado a través de hojas de registro, informes o similares, que evidencie la realización de la misma,

c) Responsabilizar al personal sobre el manejo y creación de la información resultante durante el contrato laboral con la institución.

4.4. Responsabilidades de la dirección a cargo del funcionario

a) Explicar y definir las funciones y las responsabilidades respecto a la seguridad de la información, antes de otorgar el acceso a la información, contraseñas o sistemas de información sensibles (*).

b) Lograr la concienciación sobre la seguridad de la información correspondiente a sus funciones y responsabilidades dentro de la institución.

c) Acordar los términos y las condiciones laborales, las cuales incluyen la política de la seguridad de la información de la institución y los métodos apropiados de trabajo.

d) Verificar el cumplimiento de las funciones y responsabilidades respecto a la seguridad de la información mediante la utilización de reportes e informes.

4.5. Educación, formación y sensibilización en seguridad de la información

a) Socializar y capacitar de forma periódica y oportuna sobre las normas y los procedimientos para la seguridad, las responsabilidades legales y los controles de la institución, así como en la capacitación del uso correcto de los servicios de información.

4.6. Proceso disciplinario

a) Garantizar el tratamiento imparcial y correcto para los empleados que han cometido violaciones comprobadas a la seguridad de la información.

b) Considerar sanciones graduales, dependiendo de factores tales como la naturaleza, cantidad y la gravedad de la violación, así como su impacto en el negocio, el nivel de capacitación del personal, la legislación correspondiente (ej., Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, EGSI, etc.,) y otros factores existentes en los procedimientos propios de la entidad.

4.7. Responsabilidades de terminación del contrato

a) Comunicar oficialmente al personal las responsabilidades para la terminación de su relación laboral, lo cual debe incluir los requisitos permanentes para la seguridad de la información y las responsabilidades legales o contenidas en cualquier acuerdo de confidencialidad

b) Los cambios en la responsabilidad o en el contrato laboral deberán ser gestionados como la terminación de la responsabilidad o el contrato laboral respectivo, y la nueva responsabilidad o contrato laboral se deberá instaurar en el contrato de confidencialidad respectivo.

c) Previa la terminación de un contrato se deberá realizar la transferencia de la documentación e información de la que fue responsable al nuevo funcionario a cargo, en caso de ausencia, al Oficial de Seguridad de la Información.

d) Los contratos del empleado, el contratista o el usuario de terceras partes, deben incluir las responsabilidades válidas aún después de la terminación del contrato laboral.

4.8. Devolución de activos

a) Formalizar el proceso de terminación del contrato laboral, para incluir la devolución de software, documentos corporativos y los equipos. También es necesaria la devolución de otros activos de la institución tales como los dispositivos de cómputo móviles, tarjetas de crédito, las tarjetas de acceso, tokens USB con certificados de electrónicos, certificados electrónicos en archivo, memorias flash, teléfonos celulares, cámaras, manuales, información almacenada en medios electrónicos y otros estipulados en las políticas internas de cada entidad.

b) Aplicar los debidos procesos para garantizar que toda la información generada por el empleado, contratista o usuario de terceras partes dentro de la institución, sea transferida, archivada o eliminada con seguridad.

c) Realizar el proceso de traspaso de conocimientos por parte del empleado, contratistas o terceras partes, luego de la terminación de su contrato laboral, para la continuación de las operaciones importantes dentro de la institución.

4.9. Retiro de los privilegios de acceso

a) Retirar los privilegios de acceso a los activos de información y a los servicios de procesamiento de información (ej., sistema de directorio, correo electrónico, accesos físicos, aplicaciones de software, etc.,) inmediatamente luego de que se comunique formalmente al Oficial de Seguridad de la Información formalmente la terminación de la relación laboral por parte del área correspondiente.

5. SEGURIDAD FISICA Y DEL ENTORNO

5.1. Perímetro de la seguridad física

a) Definir y documentar claramente los perímetros de seguridad (barreras, paredes, puertas de acceso controladas con tarjeta, etc.), con una ubicación y fortaleza adecuadas.

b) Definir una área de recepción, con personal y otros medios para controlar el acceso físico al lugar o edificio (*).

c) Extender las barreras físicas necesarias desde el piso hasta el techo a fin de impedir el ingreso inapropiado y la contaminación del medio ambiente.

d) Disponer de alarmas de incendio y puertas de evacuación debidamente monitoreadas que cumplan normas nacionales e internacionales.

e) Disponer de un sistema de vigilancia mediante el uso de circuitos cerrados de televisión.

f) Aislar los ambientes de procesamiento de información de los ambientes proporcionados por terceros.

5.2. Controles de acceso físico

a) Supervisar la permanencia de los visitantes en las áreas restringidas y registrar la hora y fecha de su ingreso y salida (*).

b) Controlar y limitar el acceso, exclusivamente a personal autorizado, a la información clasificada y a las instalaciones de procesamiento de información. Se debe utilizar controles de autenticación como tarjetas de control de acceso más el número de identificación personal.

c) Implementar el uso de una identificación visible para todo el personal y visitantes, quienes deberán ser escoltados por una persona autorizada para el tránsito en las áreas restringidas (*).

d) Revisar y actualizar periódicamente los derechos de accesos a las áreas restringidas, mismos que serán documentados y firmados por el responsable.

5.3. Seguridad de oficinas, recintos e instalaciones

a) Aplicar los reglamentos y las normas en materia de sanidad y seguridad.

b) Proteger las instalaciones claves de tal manera que se evite el acceso al público (*).

c) Establecer que los edificios o sitios de procesamiento sean discretos y tengan un señalamiento mínimo apropiado.

d) Ubicar las impresoras, copiadoras, etc., en un área protegida (*).

e) Disponer que las puertas y ventanas permanezcan cerradas, especialmente cuando no haya vigilancia.

5.4. Protección contra amenazas externas y ambientales.

a) Almacenar los materiales combustibles o peligrosos a una distancia prudente de las áreas protegidas.

b) Ubicar los equipos de repuesto y soporte a una distancia prudente para evitar daños en caso de desastre que afecte las instalaciones principales.

c) Suministrar el equipo apropiado contra incendios y ubicarlo adecuadamente.

d) Realizar mantenimientos de las instalaciones eléctricas y UPS. (*)

e) Realizar mantenimientos en los sistemas de climatización y ductos de ventilación (*).

f) Adoptar controles para minimizar el riesgo de amenazas físicas potenciales como robo, incendio, explosión, humo, agua, polvo, vibración, efectos químicos, interferencia del suministro eléctrico e interferencia a las comunicaciones.

5.5. Trabajo en áreas seguras

a) Dar a conocer al personal, la existencia de un área segura.

b) Evitar el trabajo no supervisado para evitar actividades maliciosas.

c) Revisar periódicamente y disponer de un bloqueo físico de las áreas seguras vacías.

d) No permitir equipos de grabación, cámaras, equipos de vídeo y audio, dispositivos móviles, etc., a menos de que estén autorizados (*).

5.6. Áreas de carga, despacho y acceso público

a) Permitir el acceso al área de despacho y carga, únicamente a personal identificado y autorizado (*).

b) Descargar y despachar los suministros, únicamente en el área de descarga y despacho.

c) Asegurar las puertas externas e internas de despacho y carga.

d) Inspeccionar el material que llega para determinar posibles amenazas.

e) Registrar el material que llega, de acuerdo a los procedimientos de gestión de activos.

5.7. Ubicación y protección de los equipos

a) Ubicar los equipos de modo que se elimine el acceso innecesario a las áreas de trabajo restringidas.

b) Aislar los servicios de procesamiento de información con datos sensibles y elementos que requieran protección especial, para reducir el riesgo de visualización de la información de personas no autorizadas.

c) Establecer directrices para no comer, beber y fumar en las cercanías de las áreas de procesamiento de información (*).

d) Monitorear las condiciones ambientales de temperatura y humedad.

e) Tener protección contra descargas eléctricas en todas las edificaciones de la institución y disponer de filtros protectores en el suministro de energía y en las líneas de comunicación.

f) Disponer de métodos especiales de protección para equipos en ambientes industriales.

5.8. Servicios de suministro

a) Implementar y documentar los servicios de electricidad, agua, calefacción, ventilación y aire acondicionado, suministrados a la institución.

b) Inspeccionar regularmente todos los sistemas de suministro.

c) Tener un sistema de suministro de energía sin interrupción (UPS) o al menos permitir el cierre/apagado ordenado de los servicios y equipos que soportan las operaciones críticas de los servicios informáticos de la institución (*).

d) Tener al alcance el suministro de combustible para que el grupo electrógeno pueda funcionar mientras dure la suspensión del suministro eléctrico público.

e) Disponer de los interruptores de emergencia cerca de las salidas, para suspender el paso de energía eléctrica, en caso de un incidente o problema.

5.9. Seguridad del cableado

a) Disponer de líneas de fuerza (energía) y de telecomunicaciones subterráneas protegidas, en cuanto sea posible.

b) Proteger el cableado de la red contra la interceptación o daño.

c) Separar los cables de energía de los cables de comunicaciones.

d) Identificar y rotular los cables de acuerdo a normas locales o internacionales para evitar errores en el manejo.

e) Disponer de documentación, diseños/planos y la distribución de conexiones de: datos alámbricas/inalámbricas (locales y remotas), voz, eléctricas polarizadas, etc. (*).

f) Controlar el acceso a los módulos de cableado de conexión (patch panel) y cuartos de cableado.

5.10. Mantenimiento de los equipos

a) Brindar mantenimientos periódicos a los equipos y dispositivos, de acuerdo a las especificaciones y recomendaciones del proveedor.

b) Realizar el mantenimiento de los equipos únicamente con personal calificado y autorizado.

c) Conservar los registros de los mantenimientos preventivos, correctivos y fallas relevantes o sospechosas.

d) Establecer controles apropiados para realizar mantenimientos programados y emergentes.

e) Gestionar mantenimientos planificados con hora de inicio, fin, impacto y responsables y poner previamente en conocimiento de administradores y usuarios finales.

5.11. Seguridad de los equipos fuera de las instalaciones

a) Custodiar los equipos y medios que se encuentren fuera de las instalaciones de la institución.

Tomar en cuenta las instrucciones del fabricante para la protección de los equipos que se encuentran fuera de estas instalaciones.

b) Disponer de controles para el trabajo que se realiza en equipos fuera de las instalaciones, mediante una evaluación de riesgos.

c) Establecer una cobertura adecuada del seguro, para proteger los equipos que se encuentran fuera de las instalaciones.

5.12. Seguridad en la reutilización o eliminación de los equipos

a) Destruir, borrar o sobrescribir los dispositivos que contienen información sensible utilizando técnicas que permitan la no recuperación de la información original.

b) Evaluar los dispositivos deteriorados que contengan información sensible antes de enviar a reparación, borrar la información o determinar si se debería eliminar físicamente el dispositivo.

5.13. Retiro de activos de la propiedad

a) Tener autorización previa para el retiro de cualquier equipo, información o software.

b) Identificar a los empleados, contratistas y usuarios de terceras partes, que tienen la autorización para el retiro de activos de la institución.

c) Establecer límites de tiempo para el retiro de equipos y verificar el cumplimiento en el momento de la devolución.

d) Registrar cuando el equipo o activo sea retirado y cuando sea devuelto.

6. GESTION DE COMUNICACIONES Y OPERACIONES

6.1. Documentación de los procedimientos de Operación

a) Documentar el procesamiento y manejo de la información.

b) Documentar el proceso de respaldo y restauración de la información.

c) Documentar todos los procesos de los servicios de procesamiento de datos, incluyendo la interrelación con otros sistemas.

d) Documentar las instrucciones para el manejo de errores y otras condiciones excepcionales que pueden surgir durante la ejecución de las tareas.

e) Documentar los contactos de soporte, necesarios en caso de incidentes (*).

f) Documentar las instrucciones para el manejo de medios e informes especiales, incluyendo procedimientos para la eliminación segura de informes de tareas fallidas.

g) Documentar los procedimientos para reinicio y recuperación del sistema en caso de fallas.

h) Documentar los registros de auditoría y de la información de registro del sistema.

6.2. Gestión del Cambio

a) Identificar y registrar los cambios significativos.

b) Evaluar el impacto de dichos cambios.

c) Aprobar de manera formal los cambios propuestos.

d) Planificar el proceso de cambio.

e) Realizar pruebas del cambio.

f) Comunicar el detalle de cambios a todas las personas involucradas.

g) Identificar responsabilidades por la cancelación de los cambios fallidos y la recuperación respecto de los mismos.

h) Establecer responsables y procedimientos formales del control de cambios en los equipos y software. Los cambios deben efectuarse únicamente cuando haya razón válida para el negocio, como: cambio de versión, corrección de vulnerabilidades, costos, licenciamiento, nuevo hardware, etc.

6.3. Distribución de funciones

a) Distribuir las funciones y las áreas de responsabilidad, para reducir oportunidades de modificaciones no autorizadas, no intencionales, o el uso inadecuado de los activos de la institución.

b) Limitar el acceso a modificar o utilizar los activos sin su respectiva autorización.

c) Establecer controles de monitoreo de actividades, registros de auditoría y supervisión por parte de la dirección.

6.4. Separación de las instancias de Desarrollo, Pruebas, Capacitación y Producción.

a) Definir y documentar diferentes entornos para desarrollo, pruebas, capacitación y producción.

Para el caso que no se pueda definir diferentes entornos con recursos físicos independientes, se debe mantener diferentes directorios con su respectiva versión y delegación de acceso.

b) Aislar los ambientes de desarrollo, pruebas, capacitación y producción.

c) Controlar la instalación y uso de herramientas de desarrollo de software y/o acceso a bases de datos y redes en los equipos informáticos, salvo que sean parte de las herramientas de uso estándar o su instalación sea autorizada de acuerdo a un procedimiento expresamente definido.

d) Implantar ambientes de prueba, iguales en capacidad, a los ambientes de producción.

e) Utilizar sistemas de autenticación y autorización independientes para las diversas instancias o ambientes.

f) Definir perfiles de usuario para las diferentes instancias o ambientes.

g) Aislar los datos sensibles de los ambientes de desarrollo, pruebas y capacitación

h) Permitir al personal de desarrollo de software el acceso al entorno de producción, únicamente en caso de extrema necesidad, con la autorización explícita correspondiente.

6.5. Presentación del Servicio.

a) Establecer controles sobre definiciones del servicio y niveles de prestación del servicio, para que sean implementados, mantenidos y operados por terceros.

b) Establecer controles de cumplimiento de terceros, que garanticen la capacidad de servicio, planes ejecutables y diseños para la continuidad del negocio, en caso de desastres.

6.6. Monitoreo y revisión de los servicios, por terceros.

a) Identificar los sistemas sensibles o críticos que convenga tener dentro o fuera de la institución.

b) Monitorear los niveles de desempeño de los servicios para verificar el cumplimiento de los acuerdos (*).

c) Analizar los reportes de servicios, reportes de incidentes elaborados por terceros y acordar

reuniones periódicas según los acuerdos (*).

d) Revisar y verificar los registros y pruebas de auditoría de terceros, con respecto a eventos de seguridad, problemas de operación, fallas relacionados con el servicio prestado (*).

6.7. Gestión de los cambios en los servicios ofrecidos por terceros.

a) Establecer un proceso de gestión de cambios en los servicios ofrecidos por terceros, en el desarrollo de aplicaciones, provisión de servicios de hardware, software, redes, otros.

b) Coordinar el proceso de cambio cuando se necesita realizar cambios o mejoras a las redes y uso de nuevas tecnologías en los servicios ofrecidos por terceros.

c) Coordinar el proceso de cambio cuando se realice cambio de proveedores, cambio de ubicación física en los servicios ofrecidos por terceros.

6.8. Gestión de la capacidad

a) Realizar proyecciones de los requerimientos de capacidad futura de recursos para asegurar el desempeño de los servicios y sistemas informáticos (*).

b) Monitorear los recursos asignados para garantizar la capacidad y rendimiento de los servicios y sistemas informáticos.

c) Utilizar la información del monitoreo para la adquisición, asignación de recursos y evitar cuellos de botella.

6.9. Aceptación del Sistema.

a) Verificar el desempeño y los requerimientos de cómputo necesarios para los nuevos sistemas.

b) Considerar procedimientos de recuperación y planes de contingencia.

c) Poner a prueba procedimientos operativos de rutina según normas definidas para el sistema.

d) Garantizar la implementación de un conjunto de controles de seguridad acordados.

e) Asegurar que la instalación del nuevo sistema no afecte negativamente los sistemas existentes, especialmente en períodos pico de procesamiento.

f) Considerar el efecto que tiene el nuevo sistema en la seguridad global de la institución.

g) Capacitar sobre el funcionamiento y utilización del nuevo sistema.

h) Para nuevos desarrollos, se debe involucrar a los usuarios y a todas las áreas relacionadas, en todas las fases del proceso, para garantizar la eficacia operativa del sistema propuesto.

6.10. Controles contra código malicioso.

a) Prohibir el uso de software no autorizado por la institución. Elaborar un listado del software autorizado. (*).

b) Establecer procedimientos para evitar riesgos en la obtención/descarga de archivos y software desde o a través de redes externas o por cualquier otro medio.

c) Instalar y actualizar periódicamente software de antivirus y contra código malicioso (*).

d) Mantener los sistemas operativos y sistemas de procesamiento de información actualizados con las últimas versiones de seguridad disponibles (*).

e) Revisar periódicamente el contenido de software y datos de los equipos de procesamiento que sustentan procesos críticos de la institución.

f) Verificar antes de su uso, la presencia de virus en archivos de medios electrónicos o en archivos recibidos a través de redes no confiables.

g) Redactar procedimientos para verificar toda la información relativa a software malicioso.

h) Emitir boletines informativos de alerta con información precisa.

i) Concienciar al personal acerca del problema de los virus y cómo proceder frente a los mismos.

j) Contratar con el proveedor de Internet o del canal de datos los servicios de filtrado de: virus, spam, programas maliciosos (malware), en el perímetro externo.

6.11. Controles contra códigos móviles

a) Aislar de forma lógica los dispositivos móviles en forma similar a lo que ocurre con las VLANs.

b) Bloquear códigos móviles no autorizados.

c) Gestionar el código móvil mediante procedimientos de auditoría y medidas técnicas disponibles.

d) Establecer controles criptográficos para autenticar de forma única el código móvil.

6.12. Respaldo de la información.

a) Los responsables del área de Tecnologías de la Información, Oficial de Seguridad de la Información junto con el propietario de la información, determinarán los procedimientos para el resguardo y contención de la información (*).

b) Definir el procedimiento de etiquetado de las copias de respaldo, identificando su contenido, periodicidad y retención (*).

c) Definir la extensión (completo/diferencial) y la frecuencia de los respaldos, de acuerdo a los requisitos del negocio de la institución (*).

d) Establecer procedimientos de los medios de respaldo, una vez concluida su vida útil recomendada por el proveedor y la destrucción de estos medios.

e) Guardar los respaldos en un sitio lejano, a una distancia suficiente para evitar cualquier daño debido a desastres en la sede principal de la institución.

f) Proporcionar un grado apropiado de protección física y ambiental.

g) Establecer procedimientos regulares de verificación y restauración de los medios de respaldo para garantizar sean confiables para uso de emergencia.

h) Proteger la información confidencial por medio de encriptación.

i) Considerar los respaldos a discos y en el mismo sitio si se tiene suficientes recursos, ya que en caso de mantenimientos de los sistemas de información, es más rápida su recuperación.

6.13. Controles de las redes.

a) Separar el área de redes del área de operaciones, cuando la capacidad y recursos lo permitan.

b) Designar procedimientos y responsabilidades para la gestión de equipos remotos como el caso de re-direccionamiento de puertos y accesos por VPNs, incluyendo el área de operaciones y el área de usuarios finales.

c) Establecer controles especiales para salvaguardar la confidencialidad y la integridad de los datos que pasan por las redes públicas, redes locales e inalámbricas; así como la disponibilidad de las redes.

d) Garantizar la aplicación de los controles mediante actividades de supervisión.

e) Disponer de un esquema de red de los enlaces de datos, Internet y redes locales, así como la documentación respectiva.

6.14. Seguridad de los servicios de la red.

a) Incorporar tecnología para la seguridad de los servicios de red como la autenticación, encriptación y controles de conexión de red (*).

b) Implementar soluciones que proporcionen valor agregado a las conexiones y servicios de red, como la implementación de firewalls, antivirus, etc. (*)

c) Definir procedimientos para la utilización de los servicios de red para restringir el acceso a los servicios de red cuando sea necesario.

6.15. Gestión de los medios removibles.

a) Establecer un procedimiento para la gestión de todos los medios removibles.

b) Tener autorización para la conexión de los medios removibles y registrar la conexión y retiro, para pruebas de auditoría.

c) Almacenar los medios removibles en un ambiente seguro, según las especificaciones de los fabricantes.

d) Evitar la pérdida de información por deterioro de los medios.

6.16. Eliminación de los medios

a) Identificar los medios que requieran eliminación segura.

b) Almacenar y eliminar de forma segura los medios que contienen información sensible, como la incineración, trituración o borrado de los datos.

c) Establecer procedimientos para selección del contratista que ofrece servicios de recolección y eliminación del papel, equipos y medios.

d) Registrar la eliminación de los medios para mantener pruebas de auditoría.

6.17. Procedimientos para el manejo de la información

a) Establecer procedimientos para el manejo y etiquetado de todos los medios de acuerdo a su nivel de clasificación.

b) Establecer controles de acceso para evitar el acceso de personal no autorizado.

c) Tener un registro actualizado de los receptores de los medios.

d) Establecer controles de protección según el nivel de sensibilidad de los datos que reside en la memoria temporal.

e) Almacenar los medios según especificaciones del fabricante.

6.18. Seguridad de la documentación del sistema.

a) Guardar con seguridad toda la documentación de los sistemas informáticos.

b) Mantener una lista de acceso mínima a la documentación del sistema y con su debida autorización.

c) Mantener una protección adecuada de la documentación del sistema expuesta en la red pública.

6.19. Políticas y procedimientos para el intercambio de información.

a) Establecer procedimientos para proteger la información intercambiada contra la interpretación, copiado, modificación, enrutamiento y destrucción.

b) Definir procedimientos para detección y protección contra programas maliciosos, cuando se utilizan comunicaciones electrónicas.

c) Proteger la información sensible que se encuentra en forma de adjunto.

d) Establecer directrices para el uso de los servicios de comunicación electrónica.

e) Definir procedimientos para el uso de las redes inalámbricas en base a los riesgos involucrados.

f) Establecer responsabilidades de empleados, contratistas y cualquier otro usuario de no comprometer a la institución con un mal uso de la información.

g) Establecer controles por medio de técnicas criptográficas.

h) Definir directrices de retención y eliminación de la correspondencia incluyendo mensajes, según la normativa legal local.

i) No dejar información sensible en copiadoras, impresoras, fax, contestadores, etc.

j) No revelar información sensible al momento de tener una conversación telefónica o mantener conversaciones sin tomar los controles necesarios.

k) No dejar datos demográficos al alcance de cualquier persona, como los correos electrónicos, ya que se puede hacer uso de ingeniería social para obtener más información.

6.20. Acuerdos para el intercambio

a) Definir procedimientos y responsabilidades para el control y notificación de transmisiones, envíos y recepciones.

b) Establecer procedimientos para garantizar la trazabilidad y el no repudio.

c) Definir normas técnicas para el empaquetado y transmisión.

d) Definir pautas para la identificación del prestador de servicio de correo.

e) Establecer responsabilidades y obligaciones en caso de pérdida de datos.

f) Utilizar un sistema para rotulado de la información clasificada.

g) Conocer los términos y condiciones de las licencias de software privativo o suscripciones de software de código abierto bajo las cuales se utiliza el software.

h) Conocer sobre la propiedad de la información y las condiciones de uso.

i) Definir procedimientos técnicos para la grabación y lectura de la información y del software en el intercambio de información.

6.21. Medios físicos en tránsito

a) Utilizar transporte confiable o servicios de mensajería.

b) Establecer una lista de mensajería aprobada por la dirección

c) Definir procedimientos para identificar los servicios de mensajería.

d) Embalar de forma segura medios o información enviada a través de servicios de mensajería, siguiendo las especificaciones del proveedor o del fabricante.

e) Adoptar controles especiales cuando sea necesario proteger información sensible, su divulgación y modificación.

6.22. Mensajería electrónica

a) Establecer lineamientos para proteger los mensajes contra los accesos no autorizados, modificación o denegación de los servicios.

b) Supervisar que la dirección y el transporte de mensajes sean correctos.

c) Tomar en cuenta consideraciones legales como la de firmas electrónicas.

d) Encriptar los contenidos y/o información sensibles que puedan enviarse por mensajería electrónica; utilizando firmas electrónicas reconocidas por el Estado Ecuatoriano u otras tecnologías evaluadas y aprobadas por la entidad o el Gobierno Nacional.

e) Monitorear los mensajes de acuerdo al procedimiento que establezca la institución.

6.23. Sistemas de información del negocio.

a) Proteger o tener en cuenta las vulnerabilidades conocidas en los sistemas administrativos, financieros, y demás sistemas informáticos donde la información es compartida.

b) Proteger y tener en cuenta las vulnerabilidades en los sistemas de comunicación del negocio como la grabación de las llamadas telefónicas.

c) Establecer políticas y controles adecuados para gestionar la forma en que se comparte la información.

d) Categorizar la información sensible y documentos clasificados.

e) Implementar controles de acceso a la información como acceso a proyectos confidenciales.

f) Categorizar al personal, contratistas y usuarios que tengan acceso a los sistemas informáticos y los sitios desde cuales pueden acceder.

g) Identificar el estado de las cuentas de usuario.

h) Verificar la retención y copias de respaldo de la información contenida en los sistemas informáticos.

i) Establecer requisitos y disposiciones para los recursos de emergencia.

6.24. Transacciones en línea.

a) Definir procedimientos para el uso de certificados de firmas electrónicas por las partes implicadas en la transacción.

b) Establecer procedimientos para garantizar todos los aspectos en la transacción como credenciales de usuario, confidencialidad de la transacción y privacidad de las partes.

c) Cifrar o encriptar el canal de comunicaciones entre las partes involucradas (por ejemplo, utilizando SSL/TLS).

d) Establecer protocolos seguros en la comunicación de las partes involucradas por ejemplo, utilizando SSL/TLS).

e) Establecer procedimientos para que las transacciones se encuentren fuera del entorno de acceso público.

f) Utilizar los servicios de una entidad certificadora confiable.

6.25. Información disponible al público.

a) Establecer controles para que la información disponible al público se encuentre conforme a la normativa vigente.

b) Definir controles para que la información de entrada sea procesada completamente y de forma oportuna.

c) Establecer procedimientos para que la información sensible sea protegida durante la recolección, procesamiento y almacenamiento.

6.26. Registros de auditorías.

a) Identificar el nombre de usuario.

b) Registrar la fecha, hora y detalles de los eventos clave, como registro de inicio y registro de cierre.

c) Registrar la terminal si es posible.

d) Registrar los intentos aceptados y rechazados de acceso al sistema.

e) Registrar los cambios de la configuración.

f) Registrar el uso de privilegios.

g) Registrar el uso de las aplicaciones y sistemas.

h) Registrar los accesos y tipos de acceso (*).

i) Registrar las direcciones y protocolos de red (*).

j) Definir alarmas originadas por el sistema de control de acceso (*).

k) Activación y desactivación de los sistemas de protección como antivirus y los sistemas de

detección de intrusos (IDS) (*).

6.27. Monitoreo de uso del sistema.

a) Registrar los accesos autorizados, incluyendo (*):

– Identificación del ID de usuario;

– Fecha y hora de eventos clave;

– Tipos de evento;

– Archivos a los que se han tenido acceso;

– Programas y utilitarios utilizados;

b) Monitorear las operaciones privilegiadas, como

– Uso de cuentas privilegiadas;

– Encendido y detección del sistema;

– Acople y desacople de dispositivos de entrada;

c) Monitorear intentos de acceso no autorizados, como (*):

– Acciones de usuario fallidas o rechazadas;

– Violación de la política de acceso y notificaciones de firewalls y gateways;

– Alertas de los sistemas de detección de intrusos;

d) Revisar alertas o fallas del sistema, como (*):

– Alertas y/o mensajes de consola;

– Excepciones de registro del sistema;

– Alarmas de gestión de red;

– Alarmas del sistema de control de acceso;

e) Revisar cambios o intentos de cambio en la configuración y los controles de la seguridad del sistema.

6.28. Protección del registro de la información.

a) Proteger de alteraciones en todos los tipos de mensaje que se registren.

b) Proteger archivos de registro que se editen o se eliminen.

c) Precautelar la capacidad de almacenamiento que excede el archivo de registro.

d) Realizar respaldos periódicos del registro del servicio.

6.29. Registros del administrador y del operador.

a) Incluir al registro, la hora en la que ocurrió el evento (*).

b) Incluir al registro, información sobre el evento (*).

c) Incluir al registro, la cuenta de administrador y operador que estuvo involucrado (*).

d) Añadir al registro, los procesos que estuvieron implicados (*).

6.30. Registro de fallas

a) Revisar los registros de fallas o errores del sistema (*).

b) Revisar las medidas correctivas para garantizar que no se hayan vulnerado los controles (*).

c) Asegurar que el registro de fallas esté habilitado (*).

6.31 Sincronización de relojes

a) Sincronizar los relojes de los sistemas de procesamiento de información pertinentes con una fuente de tiempo exacta (ejemplo el tiempo coordinado universal o el tiempo estándar local). En lo posible, se deberá sincronizar los relojes en base a un protocolo o servicio de tiempo de red para mantener todos los equipos sincronizados.

b) Verificar y corregir cualquier variación significativa de los relojes sobre todo en sistemas de procesamiento donde el tiempo es un factor clave.

c) Garantizar que la marca de tiempo refleja la fecha/hora real considerando especificaciones locales (por ejemplo, el horario de Galápagos o de países en donde existen representación diplomáticas del país, turistas extranjeros, entre otros).

d) Garantizar la configuración correcta de los relojes para la exactitud de los registros de auditoría o control de transacciones y evitar repudio de las mismas debido a aspectos del tiempo.

7. CONTROL DE ACCESO

7.1. Política de control de acceso

a) Gestionar los accesos de los usuarios a los sistemas de información, asegurando el acceso de usuarios autorizados y previniendo los accesos no autorizados.

b) Definir responsabilidades para identificar, gestionar y mantener perfiles de los custodios de información.

c) Definir claramente los autorizadores de los permisos de acceso a la información.

7.2. Registro de usuarios

a) Establecer un procedimiento formal, documentado y difundido, en el cual se evidencie detalladamente los pasos y responsables para:

– Definir el administrador de accesos que debe controlar los perfiles y roles;

– Gestionar el documento de requerimiento de accesos de los usuarios tanto internos como externos, que contemple: el solicitante del requerimiento o iniciador del proceso, validación del requerimiento, autorizador del requerimiento, ejecutor del requerimiento, forma y medio de entrega del acceso al usuario (manteniendo confidencialidad);

– Crear los accesos para los usuarios, para lo cual la institución debe generar convenios de confidencialidad y responsabilidad con el usuario solicitante; además, validar que el usuario tenga los documentos de ingreso con Recursos Humanos (o quien haga estas funciones) en orden y completos.

– Modificar los accesos de los usuarios;

– Eliminar los accesos de los usuarios;

– Suspender temporalmente los accesos de los usuarios en caso de vacaciones, comisiones, licencias, es decir, permisos temporales;

– Proporcionar accesos temporales a usuarios externos o terceros de acuerdo al tiempo de su permanencia y limitados según las actividades para las que fueron contratados y firmar un convenio de confidencialidad;

– Mantener un registro de la gestión de accesos a aplicaciones, redes, que evidencie, fecha de creación, eliminación, suspensión, activación o eliminación del acceso; al igual que de cada usuario, disponer de los permisos de acceso que han sido asignados.

7.3. Gestión de privilegios

a) Controlar la asignación de privilegios a través de un proceso formal de autorización.

b) Mantener un cuadro de identificación de los usuarios y sus privilegios asociados con cada servicio o sistema operativo, sistema de gestión de base de datos y aplicaciones.

c) Evidenciar documentadamente que cada activo de información tecnológico tenga definido los niveles de acceso basados en perfiles y permisos, a fin de determinar que privilegios se deben asignar según las actividades de los usuarios y la necesidad de la institución y su función.

7.4. Gestión de contraseñas para usuarios

a) Establecer un proceso formal para la asignación y cambio de contraseñas (*).

7.5. Revisión de los derechos de acceso de los usuarios

a) Realizar las depuraciones respectivas de los accesos de los usuarios, determinando un período máximo de 30 días; en casos de presentar cambios estructurales, esta gestión deberá hacerse inmediatamente que se ejecute el cambio organizacional.

b) Evidenciar los cambios sobre los derechos de acceso en archivos de log o registro de los sistemas, los cuales deben estar disponibles en caso que se requieran.

7.6. Uso de contraseñas

a) Documentar, en el procedimiento de accesos, las responsabilidades de los usuarios tanto internos como externos, sobre el uso de la cuenta y la contraseña asignados (*).

b) Recomendar la generación de contraseñas con letras mayúsculas, minúsculas, con caracteres especiales, difíciles de descifrar, es decir, que cumplen una complejidad media y alta (*).

c) Evitar contraseñas en blanco o que viene por defecto según el sistema el fabricante del producto, puesto que son fácilmente descifrables; por ejemplo: admin, administrador, administrador, user, usuario, entre otros (*).

d) Controlar el cambio periódico de contraseñas de los usuarios (*).

e) Generar y documentar revisiones periódicas de la gestión de usuarios incluidos los administradores de tecnología, por parte del Oficial de Seguridad de la Información (*).

7.7. Equipo de usuario desatendido

a) Implementar medidas para que, en un determinado tiempo (ej., no mayor a 10 minutos), si el usuario no está realizando ningún trabajo en el equipo, este se bloquee, y se desbloquee únicamente si el usuario ingresa nuevamente su clave (*).

7.8. Política de puesto de trabajo despejado y pantalla limpia

a) El Oficial de Seguridad de la Información deberá gestionar actividades periódicas (una vez cada mes como mínimo) para la revisión al contenido de las pantallas de los equipos, con el fin de que no se encuentren iconos y accesos innecesarios, y carpetas y archivos que deben ubicarse en la carpeta de documentos del usuario.

b) Mantener bajo llave la información sensible (cajas fuertes o gabinetes), en especial cuando no estén en uso y no se encuentre personal en la oficina (*).

c) Desconectar de la red, servicio o sistema, las computadoras personales, terminales, impresoras asignadas a funciones críticas, cuando se encuentren desatendidas. Por ejemplo, haciendo uso de protectores de pantalla con clave (*).

d) Proteger los puntos de recepción de correo y fax cuando se encuentren desatendidas.

e) Bloquear las copiadoras y disponer de un control de acceso especial para horario fuera de oficinas (*).

f) Retirar información sensible una vez que ha sido impresa (*).

g) Retirar información sensible, como las claves, de sus escritorios y pantallas (*).

h) Retirar los dispositivos removibles una vez que se hayan dejado de utilizar (*).

i) Cifrar los discos duros de los computadores personales (escritorio, portátiles, etc.) y otros dispositivos que se considere necesarios, de las máximas autoridades de la institución.

7.9. Política de uso de los servicios de red

a) Levantar un registro de los servicios de red la institución.

b) Identificar por cada servicio los grupos de usuarios que deben acceder.

c) Definir los perfiles y roles para cada grupo de usuarios que tenga acceso a la red y sus servicios.

d) Definir mecanismos de bloqueos para que sea restringido el acceso de equipos a la red.

7.10. Autenticación de usuarios para conexiones externas

a) Generar mecanismos para asegurar la información transmitida por los canales de conexión remota, utilizando técnicas como encriptación de datos, implementación de redes privadas virtuales (VPN) y Servicio de Acceso Remoto (SAR) (*).

b) Realizar un mecanismo diferenciado para la autenticación de los usuarios que requieren conexiones remotas, que permita llevar control de registros (logs) y que tenga limitaciones de accesos en los segmentos de red.

7.11. Identificación de los equipos en las redes

a) Identificar y documentar los equipos que se encuentran en las redes (*).

b) Controlar que la comunicación solo sea permitida desde un equipo o lugar específico.

c) Tener documentada la identificación de los equipos que están permitidos, según la red que le corresponda.

d) Utilizar métodos para que la identificación del equipo esté en relación a la autenticación del usuario.

7.12. Protección de los puertos de configuración y diagnóstico remoto

a) Establecer un procedimiento de soporte, en el cual se garantice que los puertos de diagnóstico y configuración sean sólo accesibles mediante un acuerdo entre el administrador del servicio de computador y el personal de soporte de hardware/ software que requiere el acceso.

b) Los puertos, servicios (ej., fftp) que no se requieren por necesidades de la institución, deberán ser eliminados o deshabilitados (*).

7.13. Separación en las redes

a) Realizar una evaluación de riesgos para identificar los segmentos de red donde se encuentren los activos críticos para la institución (*).

b) Dividir las redes en dominios lógicos de red, dominios de red interna, dominios de red externa e inalámbrica.

c) Documentar la segregación de red, identificando las direcciones IP que se encuentran en cada segmento de red.

d) Configurar la puerta de enlace (gateway) para filtrar el tráfico entre dominios y bloquear el acceso no autorizado.

e) Controlar los flujos de datos de red usando las capacidades de enrutamiento/conmutación (ej., listas de control de acceso).

f) La separación de las redes debe ejecutarse en base a la clasificación de la información almacenada o procesada en la red, considerando que el objetivo es dar mayor protección a los activos de información críticos en función del riesgo que éstos podrían presentar.

g) Separar redes inalámbricas procedentes de redes internas y privadas, para evitar el acceso a terceros y de usuarios externos a las redes privadas internas.

7.14. Control de conexión a las redes

a) Restringir la capacidad de conexión de los usuarios, a través de puertas de enlace de red (gateway) que filtren el tráfico por medio de tablas o reglas predefinidas, conforme a los requerimientos de la institución.

b) Aplicar restricciones considerando:

– Mensajería

– Transferencia de archivos

– Acceso interactivo

– Acceso a las aplicaciones

– Horas del día y fechas de mayor carga

c) Incorporar controles para restringir la capacidad de conexión de los usuarios a redes compartidas especialmente de los usuarios externos a la institución.

7.15. Control del enrutamiento en la red

a) Configurar políticas de control de acceso para el enrutamiento en la red, basándose en los requerimientos de la institución (*).

Las puertas de enlace de la seguridad (gateway) se pueden usar para validar la dirección fuente/destino en los puntos de control de las redes internas y externas, si se emplean tecnologías proxy y/o de traducción de direcciones de red.

Las instituciones que utilizan proxys y quienes definen las listas de control de acceso (LCA), deben estar conscientes de los riesgos en los mecanismos empleados, a fin de que no existan usuarios o grupos de usuarios con salida libre y sin control, en base a las políticas de la institución.

7.16. Procedimiento de registro de inicio seguro

a) Autenticar usuarios autorizados, de acuerdo a la política de control de acceso de la institución, que deberá estar documentada, definida y socializada (*).

b) Llevar un registro de definición para el uso de privilegios especiales del sistema (*).

c) Llevar un proceso de monitoreo y registro de los intentos exitosos y fallidos de autenticación del sistema, registros de alarmas cuando se violan las políticas de seguridad del sistema (*).

d) Utilizar mecanismos como: uso de dominios de autenticación, servidores de control de acceso y directorios (*).

e) Restringir el tiempo de conexión de los usuarios, considerando las necesidades de la institución (*).

f) Controlar que no se muestren identificadores de aplicación ni de sistema, hasta que el proceso de registro de inicio se haya completado exitosamente (*).

g) Evitar que se desplieguen mensajes de ayuda durante el procedimiento de registro de inicio de sesión.

h) Validar la información de registro de inicio únicamente al terminar todos los datos de entrada, y en el caso que se presentara un error o se generara sentencias de error, el sistema no indique qué parte de los datos es correcta o incorrecta o emita mensajes propios de las características del sistema.

i) Limitar la cantidad de intentos permitidos de registro de inicio de sesión; por ejemplo, tres intentos (*).

j) Limitar el tiempo de dilación antes de permitir o rechazar más intentos adicionales del registro de inicio sin autorización específica (*).

7.17. Identificación y autenticación de usuarios

a) Rastrear utilizando los identificadores de usuario y evidenciar las actividades de las personas responsables de administraciones críticas de la institución (*).

b) Usar como excepción, y solo por temas de necesidad de la institución, identificadores de usuarios para un grupo de usuarios o de trabajo específico, el cual debe estar definido y documentado (*).

c) Las actividades de usuarios regulares no deben ser realizadas desde cuentas privilegiadas.

d) Evitar el uso de usuarios genéricos (*).

e) Utilizar métodos alternos a la contraseña, como los medios criptográficos, las tarjetas inteligentes, tokens o medios biométricos de autenticación (*).

f) La identificación de usuario es única e intransferible, por lo que, debe estar registrado y evidenciado en la política de accesos que no se permite el uso de una identificación de usuario de otra persona, y el responsable de toda actividad realizada con este identificador responderá a cualquier acción realizada con éste.

7.18. Sistema de gestión de contraseñas

a) Evidenciar en la política de accesos, la responsabilidad del buen uso de la contraseña y que debe ser secreta e intransferible (*).

b) Controlar el cambio de contraseña de los usuarios y del personal de tecnología y de los administradores de tecnología, en rangos de tiempo y complejidad (*).

c) Forzar el cambio de contraseña en el primer registro de acceso o inicio de sesión (*).

d) Generar un procedimiento formal para la administración y custodia de las contraseñas de acceso de administración e información crítica de la institución.

e) Documentar el control de acceso para los usuarios temporales.

f) Almacenar y transmitir las contraseñas en formatos protegidos (encriptados o codificados).

7.19. Uso de las utilidades del sistema

a) Restringir y controlar estrictamente el uso de programas utilitarios que pueden anular los controles de un sistema en base a las siguientes directrices:

– uso de procedimientos de identificación, autenticación y autorización para programas utilitarios;

– separación de los programas utilitarios del software de aplicaciones,

– limitación del uso de programas utilitarios a la cantidad mínima viable de usuarios de confianza autorizados;

– autorización del uso de programas utilitarios no estándares de la entidad;

– limitación del tiempo de uso de programa utilitarios;

– registro de todo uso de programas utilitarios;

– retiro o inhabilitación de todas los programas utilitarios innecesarios;

7.20. Tiempo de inactividad de la sesión

a) Suspender las sesiones inactivas después de un periodo definido de inactividad sin consideración de lugar dispositivo de acceso

b) Parametrizar el tiempo de inactividad en los sistemas de procesamiento de información para suspender y cerrar sesiones

7.21. Limitación del tiempo de conexión

a) Utilizar restricciones en los tiempos de conexión para brindar seguridad adicional para las aplicaciones de alto riesgo. Los siguientes son algunos ejemplos de estas restricciones:

b) Configurar espacios de tiempo predeterminados para procesos especiales (por ejemplo, transmisiones de datos o archivos, obtención de respaldos, mantenimientos programados, entre otros.)

c) Restringir los tiempos de conexión a las horas normales de oficina, si no se requiere tiempo extra u operaciones de horario prolongado;

d) Requerir la autenticación a intervalos determinados cuando lo amerite

e) Proporcionar accesos temporales para ciertas operaciones (por ejemplo, mediante tickets o tokens electrónicos temporales)

7.22. Control de acceso a las aplicaciones y a la información

a) Controlar el acceso de usuarios a la información y a las funciones del sistema de aplicación, de acuerdo con una política definida de control de acceso;

b) Suministrar protección contra acceso no autorizado por un programa utilitario, software del sistema operativo, software malicioso o cualquier otro software que pueda anular o desviar los controles de seguridad del sistema;

c) Evitar poner en riesgo otros sistemas con los que se comparten los recursos de información.

7.23. Restricción de acceso a la información

a) Controlar el acceso a las funciones de los sistemas y aplicaciones.

b) Definir mecanismos de control para los derechos de acceso de los usuarios, para lectura, escritura, eliminación y ejecución de información.

c) Definir y documentar mecanismos de control para los derechos de acceso de otras aplicaciones.

d) Generar mecanismos a fin de garantizar que los datos de salida de los sistemas de aplicación que manejan información sensible sólo contengan la información pertinente y que se envíe únicamente a terminales o sitios autorizados.

e) Generar revisiones periódicas de las salidas de los sistemas de aplicación para garantizar el retiro de la información redundante.

7.24. Aislamiento de sistemas sensibles

a) Identificar y documentar los sistemas sensibles y al responsable de la aplicación.

b) Identificar y registrar los riesgos, cuando una aplicación se ejecuta en un entorno compartido.

c) Identificar y registrar aplicaciones sensibles que se encuentra compartiendo recursos.

d) Las aplicaciones sensibles, por su criticidad para la institución, deberán ejecutarse en un computador dedicado, únicamente compartir recursos con sistemas de aplicación confiables, o utilizar métodos físicos o lógicos de aislamiento.

7.25. Computación y comunicaciones móviles

a) Evitar exposición de equipos portátiles en sitios inseguros, públicos y de alto riesgo. (*)

b) La información sensible, de alta criticidad o confidencial, debe estar en una partición específica del disco del equipo portátil, y resguardada bajo métodos de cifrado.

c) En la política para uso de equipos portátiles y comunicaciones móviles de la institución, deberá definir rangos de tiempo máximo que el equipo puede permanecer sin conexión a la red de la institución, a fin de que este actualice el antivirus y las políticas aplicadas por la institución.

d) En el proceso de respaldos de la institución, debe estar considerado específicamente los documentos definidos como críticos, sensibles o confidenciales de las diferentes áreas; además, en el proceso de respaldo del equipo portátil deberá definirse el responsable y procedimiento de acceso a esta información.

e) Dentro de la institución el equipo portátil deberá estar asegurado con medios físicos, mediante el uso de candados.

f) El personal que utiliza computadores portátiles y equipos móviles, deberá estar alerta de los riesgos adicionales que se originan y los controles que se deberán implementar.

7.26. Trabajo remoto

a) Las instituciones podrán autorizar la modalidad de trabajo remoto en circunstancias específicas, siempre que en la institución se apliquen las disposiciones de seguridad y los controles establecidos, cumpliendo con la política de seguridad de la información.

b) El funcionario deberá observar la seguridad física de la edificación y del entorno local existente en el sitio de trabajo remoto.

c) Deberá evitarse la conexión a redes inalámbricas que no presten la seguridad de acceso y autenticación adecuadas.

d) No se permite el uso de equipo de propiedad privada que no esté bajo el control y monitoreo de la institución (*).

e) Deberá definirse el trabajo que se permite realizar, las horas laborables, la confidencialidad de la información que se conserva y los sistemas y servicios internos para los cuales el trabajador tiene acceso autorizado.

f) Deberá considerarse la protección de antivirus y reglas del Firewall (*).

g) Deberán estar documentadas las reglas y directrices sobre el acceso de familiares y visitantes al equipo y a la información.

h) La institución deberá observar la disposición de una póliza de seguros para esos equipos.

i) Determinar procesos de monitoreo y auditoría de la seguridad del trabajo remoto que se realice.

j) Permitir al personal realizar trabajo remoto empleando tecnologías de comunicaciones cuando requiere hacerlo desde un lugar fijo fuera de su institución.

8. ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION

8.1. Análisis y especificaciones de los requerimientos de seguridad

a) Definir los requerimientos de seguridad. Por ejemplo: criptografía, control de sesiones, etc. (*).

b) Definir los controles apropiados, tanto automatizados como manuales. En esta definición deben participar personal del requerimiento funcional y personal técnico que trabajarán en el sistema.

Evaluar los requerimientos de seguridad y los controles requeridos, teniendo en cuenta que éstos deben ser proporcionales en costo y esfuerzo al valor del bien que se quiere proteger y al daño potencial que pudiera ocasionar a las actividades realizadas por falla o falta de seguridad. (*).

c) Si se adquieren productos, los contratos con el proveedor deben contemplar los requisitos de la seguridad identificados.

d) Cuando se proporciona funcionalidad adicional y ello causa un riesgo de la seguridad, tal funcionalidad se debe inhabilitar o cambiar. Información adicional sobre los criterios para los productos de la seguridad de la tecnología de la información se puede encontrar en la norma ISO/IEC15408 o en otras normas sobre evaluación y certificación, según sea al caso. La norma ISO/IEC TR 13335-3 proporciona directrices sobre el uso de procesos de gestión de riesgos para identificar los requisitos de los controles de la seguridad.

8.2. Validación de datos de entrada

a) Especificar y utilizar controles que aseguren la validez de los datos ingresados, en el punto de entrada de los mismos, controlando también parámetros de los sistemas (ej., %IVA, dirección IP del servidor).

b) Verificar los datos de entrada con controles que permitan la negación de ingreso de datos: duales, valores fuera de rango, caracteres no válidos, datos incompletos o ausentes, datos de controles inconsistentes o no autorizados, la secuencia de los datos, formatos incorrectos, inyección de código, etc.

c) Definir el estándar de respuesta ante errores de validación.

d) Definir convalidaciones para probar la credibilidad de los datos de entrada.

e) Crear un registro de las actividades implicadas en el proceso de entrada de datos.

8.3. Control de procesamiento interno

a) Incorporar controles de validación a fin de eliminar o minimizar los riesgos de fallas de procesamiento y/o vicios por procesos de errores.

b) Utilizar controles de sesión en los sistemas.

c) Utilizar funciones de agregar, modificar y borrar para implementar los cambios en los datos. El borrado a través de los sistemas será siempre un borrado lógico de los datos.

d) Crear registros de auditoría, al insertar y actualizar datos; y, si se requiere según el sistema, se mantendrá el registro (logs) de consultas de datos.

e) Incorporar en los sistemas, validaciones necesarias para prevenir la ejecución de programas fuera de secuencia, en orden erróneo o de ejecución después de una falla.

f) Crear el procedimiento y/o herramientas para la revisión periódica de los registros de auditoría para detectar cualquier anomalía en la ejecución de las transacciones.

g) Identificar, crear y utilizar programas para la recuperación de datos después de fallas, con el fin de garantizar el procesamiento correcto de los datos.

h) Utilizar controles para mantener integridad de registros y archivos.

i) Utilizar controles para protección contra ataques por desbordamiento/exceso en el buffer.

j) Definir y ejecutar periódicamente, procedimientos de recuperación de sistemas, que verifiquen la ejecución de los sistemas en caso de una falla o desastre, esto estará a cargo del administrador técnico de la aplicación o sistema.

k) Definir los procedimientos que aseguren el orden correcto de ejecución de los sistemas, la finalización programada en caso de falla y la detención de las actividades de procesamiento, hasta que el problema sea resuelto.

8.4. Integridad del mensaje

a) Cuando una aplicación tenga previsto el envío de mensajes que contengan información reservada o confidencial, se implementarán los controles criptográficos determinados en el punto «8.6 Política sobre uso de controles criptográficos».

8.5. Validación de datos de salidas

a) Incorporar el control de conciliación de datos, para asegurar el procesamiento de todos los datos.

b) Suministrar información para que el lector o sistema de procesamiento subsiguiente determine la exactitud, totalidad, precisión y clasificación de la información.

c) Desarrollar procedimientos para responder a las pruebas de validación de salidas.

d) Crear un registro de las actividades del proceso de validación de la salida de datos.

e) Generar protocolos de pruebas y los casos de pruebas para la validación de los datos de salida.

8.6. Política sobre el uso de controles criptográficos.

a) Identificar el nivel requerido de protección de datos que se almacenará en el sistema, considerando: el tipo, fortaleza y calidad del algoritmo de cifrado (encriptación) requerido.

b) Utilizar controles criptográficos para la protección de claves de acceso a: sistemas, datos y servicios. Las claves deberán ser almacenadas de manera codificada, cifrada (encriptada) en la base de datos y/o en archivos de parámetros.

c) Desarrollar procedimientos de administración de claves, de recuperación de información cifrada en caso de pérdida, de compromiso o daño de las claves y de reemplazo de claves de cifrado.

d) Utilizar controles de cifrado (criptográficos) para la transmisión de información clasificada, fuera del ámbito de la institución.

e) Utilizar controles de cifrado (criptográficos) para la protección de la información sensible transportada por medios móviles o removibles, por dispositivos especiales, o a través de los medios de comunicación.

f) Definir las normas de controles de cifrado (criptográficos) que se adoptarán, para la implementación eficaz en toda la institución; establecer la solución a usar para cada proceso del negocio.

g) Los responsables del área de Tecnologías de la Información propondrán la siguiente asignación de funciones:

– Implementación de la Política de Controles

– Administración de claves: gestión de claves, incluyendo su generación

h) Se debe garantizar:

– Confidencialidad: uso de cifrado (encriptación) de la información para proteger información sensible o crítica, bien sea almacenada o transmitida

– Integridad / autenticidad: uso de firmas electrónicas o códigos de autenticación de mensajes para proteger la autenticidad e integridad de información sensible o crítica transmitida o almacenada

– No-repudio: uso de técnicas de cifrado (criptográficas) para obtener prueba de la ocurrencia o no ocurrencia de un evento o acción.

i) Definir los algoritmos de cifrado (encriptación) que se utilizarán en toda la institución, dependiendo del tipo de control a aplicar, el propósito y el proceso del negocio. Esta definición debe ser periódicamente revisada y actualizada.

j) Uso de firma electrónica:

– Utilizar certificados electrónicos de Entidad de Certificación de Información reconocidas por el Estado Ecuatoriano para la firma de cualquier tipo de documento, mensaje de dato, transacción que se procese electrónicamente o para comunicaciones entre sistemas, aplicaciones y medios físicos.

– Utilizar los certificados electrónicos emitidos bajo estándares por las Entidades de Certificación de Información, las cuales deben ser instituciones u organizaciones reconocidas, con controles y procedimientos idóneos establecidos para proporcionar el grado requerido de confianza.

– Uso de los certificados electrónicos según el ámbito para la cual fue generado.

8.7. Gestión de claves

a) Protección de claves cifradas (criptográficas):

– Implementar un sistema de administración de claves cifradas (criptográficas) para respaldar la utilización por parte de la institución, de los dos tipos de técnicas criptográficas: técnicas de clave secreta (criptografía simétrica) y técnicas de clave pública (criptografía asimétrica).

– Proteger todas las claves contra modificación y destrucción, y las claves secretas y privadas serán protegidas contra copia o divulgación no autorizada.

– Proporcionar una protección adecuada al equipamiento utilizado para generar, almacenar y archivar claves, considerándolo crítico o de alto riesgo.

– Generar claves para diferentes sistemas criptográficos y diferentes aplicaciones.

– Habilitar en los sistemas, la generación de claves en la creación de usuarios. Se generará la primera clave la cual deberá obligatoriamente cambiar el propio usuario la primera vez que ingresa al sistema.

– Generar y obtener certificados de claves públicas.

– Distribuir la primera clave a los usuarios, incluyendo la forma de activar y confirmar la recepción de la clave. Luego, a través de un correo electrónico recibirá un acceso al sistema, el cual validará la entrega de la clave y la obligatoriedad de cambiar dicha clave.

– Almacenar las claves cifradas (encriptadas).

– Incorporar funcionalidad para cambiar o actualizar las claves, incluyendo reglas sobre cuándo cambiarlas, cómo hacerlo y la forma en que los usuarios autorizados tendrán acceso a ellas.

– Incorporar funcionalidad para tratar las claves perdidas. Bajo pedido del usuario que pierde una clave se generará una nueva, la entrega será a través del procedimiento definido para la entrega de la primera clave.

– Permitir revocar las claves, incluyendo la forma de retirarlas o desactivarlas cuando las claves se han puesto en peligro o cuando un usuario se retira de la institución.

– Incorporar funcionalidad para recuperar claves pérdidas o corruptas como parte de la gestión de continuidad de los servicios informáticos.

– Permitir archivar claves para información archivada o con copia de respaldo.

– Permitir la destrucción de claves que se dejen de utilizar.

– Registrar y auditar las actividades relacionadas con la gestión de claves.

b) Normas, Procedimientos y Métodos:

– Redactar las normas y procedimientos necesarios para generar claves para diferentes sistemas criptográficos y diferentes aplicaciones, incluyendo fechas de inicio y caducidad de vigencia de las claves.

– Redactar las normas y procedimientos necesarios para generar y obtener certificados de clave pública de manera segura.

– Redactar las normas y procedimientos para distribuir las claves de forma segura a los usuarios, incluyendo información sobre cómo deben activarse cuándo se reciban las mismas.

– Redactar las normas y procedimientos para almacenar claves, incluyendo la forma de acceso a las mismas, por parte de los usuarios autorizados.

– Redactar las normas y procedimientos para cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómo deben cambiarse las claves.

– Redactar las normas y procedimientos para revocar claves, incluyendo cómo deben retirarse o desactivarse las mismas.

– Redactar las normas y procedimientos para archivar claves; por ejemplo, para la información archivada o resguardada.

– Redactar las normas y procedimientos para destruir claves.

– Redactar las normas y procedimientos para registrar y auditar las actividades relativas a la administración de claves.

8.8. Control del software operativo

a) Definir y aplicar procesos de control de cambios para la implementación del software en

producción, a fin de minimizar el riesgo de alteración de los sistemas.

b) Definir el proceso de paso a producción para cada sistema.

c) Ningún programador o analista de desarrollo y mantenimiento de aplicaciones podrá acceder a los ambientes de producción.

d) Asignar un responsable de la implantación de cambios por sistema (no podrá ser personal que pertenezca al área de desarrollo o mantenimiento), quien tendrá como funciones principales:

– Coordinar la implementación de modificaciones o nuevos programas en el ambiente de Producción.

– Asegurar que los aplicativos en uso, en el ambiente de Producción, sean los autorizados y aprobados de acuerdo a las normas y procedimientos vigentes.

– Instalar las modificaciones, controlando previamente la recepción de la prueba aprobada por parte del Analista Responsable, del área encargada del testeo y del usuario final.

– Rechazar la implementación en caso de encontrar defectos

e) Definir un procedimiento que establezca los pasos a seguir para implementar las autorizaciones para el paso a producción, el informe de pruebas previas y el informe de paso a producción.

f) Disponer del informe de paso a producción, el cual contendrá información de todos los cambios a realizar y el plan de contingencia.

g) Guardar o instalar únicamente los ejecutables y cualquier elemento necesario para la ejecución de un software en el ambiente de producción.

h) Implementar el ensayo en el ambiente de pruebas. Este ambiente debe ser similar al ambiente de producción. El ensayo será en base al informe de paso a producción. Se ejecutarán todas las acciones definidas y se realizarán pruebas sobre capacidad de uso, seguridad, efectos en otros sistemas y facilidad para el usuario.

i) Llevar un registro de auditoría de las actualizaciones realizadas.

j) Retener las versiones previas del sistema, como medida de contingencia.

k) Denegar permisos de modificación a los desarrolladores, sobre los programas fuentes bajo su custodia.

l) Usar un sistema de control de configuración para mantener el control del software instalado, así como de la documentación del sistema.

m) Entregar acceso físico o lógico al ambiente producción únicamente para propósitos de soporte, cuando sea necesario y con aprobación del responsable del área de Tecnologías de la Información, esto se realizará tanto para usuarios internos de la dirección como para proveedores.

n) Monitorear las actividades de soporte realizadas sobre el ambiente de producción.

8.9. Protección de los datos de prueba del sistema

a) Identificar por cada sistema, los datos que pueden ser copiados de un ambiente de producción a un ambiente de pruebas.

b) Efectuar pruebas de los sistemas en el ambiente de pruebas, sobre datos extraídos del ambiente de producción.

c) Solicitar autorización formal para realizar una copia de la base de datos de producción como base de datos de prueba.

d) Personalizar los datos en el ambiente de pruebas, eliminando las contraseñas de producción y generando nuevas para pruebas.

e) Identificar los datos críticos que deberán ser modificados o eliminados del ambiente de pruebas.

f) Aplicar los mismos procedimientos de control de acceso que existen en la base de producción.

g) Eliminar inmediatamente, una vez completadas las pruebas, la información de producción utilizada.

h) Registrar la copia y la utilización de la información para futuras auditorías.

i) Controlar que la modificación, actualización o eliminación de los datos operativos (de producción) serán realizados a través de los sistemas que procesan esos datos, y de acuerdo al esquema de control de accesos implementado en los mismos.

j) Se considerarán como excepciones, los casos en que se requiera realizar modificaciones directamente sobre la base de datos. El Oficial de Seguridad de la Información definirá los procedimientos para la gestión de dichas excepciones que contemplarán lo siguiente:

– Se generará una solicitud formal para la realización de la modificación o actualización del dato. No se aceptará eliminación de datos bajo ninguna circunstancia.

– El Propietario de la Información afectada y el Oficial de Seguridad de la Información aprobarán la ejecución del cambio evaluando las razones por las cuales se solicita.

– Se generarán cuentas de usuario de emergencia para ser utilizadas en la ejecución de excepciones. Las mismas serán protegidas mediante contraseñas, la cuales estarán sujetas al procedimiento de administración de contraseñas críticas y habilitadas sólo ante un requerimiento de emergencia y por el lapso que ésta dure.

– Se designará un encargado de implementar los cambios, el cual no será personal del área de Desarrollo. En el caso de que esta función no pueda ser separada del área de Desarrollo, se aplicarán controles adicionales de acuerdo a la separación de funciones.

– Se registrarán todas las actividades realizadas con las cuentas de emergencia. Dicho registro será revisado posteriormente por el Oficial de Seguridad.

8.10. Control de acceso al código fuente de los programas

a) Asignar a un Administrador de programas fuentes, quien tendrá en custodia los programas fuentes y deberá:

– Utilizar un manejador de versiones para los código fuentes, proporcionar permisos de acceso a los desarrolladores bajo autorizaciones.

– Proveer al área de Desarrollo los programas fuentes solicitados para su modificación, manteniendo en todo momento la correlación programa fuente/ejecutable.

– Llevar un registro actualizado de todos los programas fuentes en uso, indicando nombre del programa, programador, autorizador, versión, fecha de última modificación y fecha/hora de compilación y estado (en modificación o en producción).

– Verificar que el autorizador de la solicitud de un programa fuente sea el designado para la aplicación, rechazando el pedido en caso contrario.

– Registrar cada solicitud aprobada.

– Administrar las distintas versiones de una aplicación.

– Asegurar que un mismo programa fuente no sea modificado simultáneamente por más de un desarrollador, sin un manejador de versiones.

b) Establecer que todo programa objeto o ejecutable en producción tenga un único programa fuente asociado que garantice su origen.

c) Establecer que el responsable de implantación en producción efectuará la generación del programa objeto o ejecutable que estará en producción (compilación), a fin de garantizar tal correspondencia.

d) Desarrollar un procedimiento que garantice que cuando se migre a producción el módulo fuente, de preferencia se cree el código ejecutable correspondiente de forma automática de preferencia.

e) Evitar que la función de Administrador de programas fuentes, sea ejercida por personal que pertenezca al área de desarrollo y/o mantenimiento.

f) Prohibir la guarda de programas fuentes históricos (que no sean los correspondientes a los programas operativos) en el ambiente de producción.

g) Prohibir el acceso a todo operador y/o usuario de aplicaciones a los ambientes y a las herramientas que permitan la generación y/o manipulación de los programas fuentes.

h) Realizar las copias de respaldo de los programas fuentes cumpliendo los requisitos de seguridad establecidos como respaldos de información.

i) Cuando sea posible, las bibliotecas fuente de programas no se deberán mantener en los sistemas operativos.

j) El código fuente de programas y las bibliotecas fuente de programas se deberán gestionar de acuerdo con los procedimientos establecidos.

k) El personal de soporte no debe tener acceso al código fuente de programas.

l) La actualización del código fuente de programas y de los elementos asociados, así como la emisión de fuentes de programa a los programadores, solamente se deberá efectuar después de recibir la autorización apropiada.

m) Conservar un registro para auditoría de todos los accesos al código fuente de programas.

n) El mantenimiento y el copiado del código fuente de programas deberán estar sujetos a un procedimiento estricto de control de cambios.

8.11. Procedimiento de control de cambios

a) Verificar que los cambios sean propuestos por usuarios autorizados y se respete los términos y condiciones que surjan de la licencia de uso, en caso de existir.

b) Elaborar el informe de paso de pruebas a producción, que deberá contener el detalle de los cambios y acciones a ejecutar, tanto de software, bases de datos y hardware:

– Archivos a modificar;

– Script de base de datos a ejecutar en la secuencia correcta de ejecución;

– Script de inicialización de datos;

– Creación de directorios;

– Script de creación de tareas periódicas, en caso de ser necesario;

– Plan de contingencia;

– Protocolo de pruebas de verificación el cambio;

– Definir el punto de no retorno;

– Definir las condiciones para determinar la restauración al estado anterior.

c) Obtener aprobación formal por parte del responsable del área de Tecnologías de la Información para las tareas detalladas, antes de comenzar las tareas.

d) Mantener un registro de los niveles de autorización acordados.

e) Implementar funcionalidades para que se pueda solicitar la autorización del propietario de la información (ej., información personal), cuando se hagan cambios a sistemas de procesamiento de la misma.

f) Notificar a los usuarios del sistema sobre el cambio a realizar. Se enviará una notificación para informar sobre el tiempo que durará la ejecución del cambio y para informar cuando se haya terminado la ejecución del cambio.

g) Abrir ventanas de mantenimiento con una duración definida, en la cual se contemple las acciones del cambio, pruebas y configuraciones.

h) Revisar los controles y los procedimientos de integridad para garantizar que no serán comprometidos por los cambios.

i) Solicitar la revisión del Oficial de Seguridad de la Información para garantizar que no se violen los requerimientos de seguridad que debe cumplir el software.

j) Efectuar las actividades relativas al cambio en el ambiente de pruebas.

k) Obtener la aprobación por parte del usuario autorizado y del área de pruebas mediante pruebas en el ambiente correspondiente.

l) Actualizar la documentación para cada cambio implementado, tanto en los manuales de usuario como en la documentación operativa.

m) Mantener un control de versiones para todas las actualizaciones de software.

n) Garantizar que la implementación se llevará a cabo minimizando la discontinuidad de las actividades y sin alterar los procesos involucrados.

o) Definir si los cambios a realizar tienen impacto sobre la continuidad del servicio. Si un cambio implica mucha funcionalidad o impacto al software base o infraestructura, se deberá realizar un procedimiento más complejo de cambio, para que se apruebe con un plan de contingencia y se identifiquen los riesgos posibles.

8.12. Revisión técnica de las aplicaciones después de los cambios en el sistema operativo

a) Revisar los procedimientos de integridad y control de aplicaciones para garantizar que no hayan sido comprometidas por el cambio.

b) Garantizar que los cambios en el sistema operativo sean informados con anterioridad a la implementación.

c) Probar que los cambios realizados retornen la funcionalidad esperada.

d) Realizar las pruebas inmediatamente después de realizar el cambio y durante la ventana de mantenimiento definida para el cambio.

e) Disponer de un protocolo de pruebas a realizar.

f) Entregar un informe de las pruebas realizadas.

g) Identificar si existen problemas con los cambios, para aplicar el plan de contingencia o realizar el retorno al estado anterior al cambio.

8.13. Restricción del cambio de paquetes de software

a) Disponer de la autorización del Responsable del área de Tecnologías de la Información que apruebe el cambio.

b) Analizar los términos y condiciones de la licencia, si es del caso, a fin de determinar si las modificaciones se encuentran autorizadas.

c) Determinar la conveniencia de que la modificación sea efectuada por la institución, por el proveedor o por un tercero, y evaluar el impacto.

d) Retener el software original realizando los cambios sobre una copia perfectamente identificada, documentando exhaustivamente por si fuera necesario aplicarlo a nuevas versiones.

e) Conservar el software original que se va ha cambiar y los cambios se deberán aplicar a una copia claramente identificada.

f) Definir un proceso de gestión de las actualizaciones del software para asegurarse de que los parches más actualizados aprobados y las actualizaciones de las aplicaciones están instalados en todo el software autorizado.

g) Probar y documentar en su totalidad todos los cambios, de manera que se puedan volver a aplicar, si es necesario, para mejoras futuras del software.

8.14. Fuga de información

a) Explorar los medios y comunicaciones de salida para determinar la información oculta.

b) Garantizar que un tercero no pueda deducir, extraer información de las comunicaciones, sistemas de modulación o de enmascaramiento, a partir de un comportamiento específico.

c) Adquirir o desarrollar programas acreditados o productos ya evaluados.

d) Realizar un monitoreo regular de las actividades del personal y del sistema.

e) Realizar un monitoreo del uso de los recursos en los sistemas de computador y transmisión de datos por la red.

f) Restringir el envío de información a correos externos no institucionales.

g) Prevenir y restringir el acceso no autorizado a la red.

h) Examinar los códigos fuentes (cuando sea posible) antes de utilizar los programas.

i) Controlar el acceso y las modificaciones al código instalado.

j) Utilizar herramientas para la protección contra la infección del software con código malicioso.

8.15. Desarrollo de software contratado externamente

a) Definir acuerdos de licencias, acuerdos de uso, propiedad de código y derechos conferidos.

b) Definir los requerimientos contractuales con respecto a la calidad del código y la existencia de garantías.

c) Definir procedimientos de certificación de la calidad y precisión del trabajo llevado a cabo por el proveedor, que incluyan auditorías, revisión de código para detectar código malicioso, verificación del cumplimiento de los requerimientos de seguridad del software establecidos, etc.

d) Verificar el cumplimiento de las condiciones de seguridad requeridas.

e) Definir acuerdos de custodia de los fuentes del software o convenios de fideicomiso (y cualquier otra información requerida) en caso de quiebra de la tercera parte.

f) Realizar pruebas antes de la instalación para detectar códigos troyanos o maliciosos.

8.16. Control de las vulnerabilidades técnicas

a) Disponer de un inventario completo y actual de los activos de software. El inventario servirá para dar soporte a la gestión de la vulnerabilidad técnica e incluye los siguientes datos: vendedor del software, números de versión, estado actual de despliegue y las personas de la institución responsables del software.

b) Definir e instaurar las funciones y responsabilidades asociadas con la gestión de la vulnerabilidad técnica, incluyendo el monitoreo de la vulnerabilidad, la evaluación de riesgos de la vulnerabilidad, el uso de parches, el rastreo de activos y todas las responsabilidades de coordinación requeridas.

c) Identificar los recursos de información que se van a utilizar para identificar las vulnerabilidades técnicas pertinentes y para mantener la concienciación sobre ellas para el software y otras tecnologías, con base en la lista de inventario de activos.

d) Actualizar los recursos de información en función de los cambios en el inventario o cuando se encuentren recursos nuevos o útiles.

e) Definir una línea de tiempo para reaccionar ante la notificación de vulnerabilidades técnicas potenciales pertinentes.

f) Identificar los riesgos asociados a una vulnerabilidad potencial y las acciones que se han de tomar; tales acciones podrían involucrar el uso de parches en los sistemas vulnerables y/o la aplicación de otros controles.

g) Definir la urgencia y las acciones a tomar para tratar la vulnerabilidad técnica identificada, se realizará conforme a los controles relacionados con la gestión de cambios o siguiendo los procedimientos de respuesta ante incidentes de seguridad de la información.

h) Evaluar los riesgos asociados con la instalación de un parche para cubrir vulnerabilidades. Los riesgos impuestos por la vulnerabilidad se deberán comparar con los riesgos de instalar el parche.

i) Probar y evaluar los parches antes de su instalación para garantizar que son eficaces y no producen efectos secundarios intolerables. Estas pruebas se realizarán en un ambiente similar al de producción.

j) Apagar los servicios o capacidades relacionadas con la vulnerabilidad.

k) Adaptar o agregar controles de acceso; por ejemplo, cortafuegos (firewalls), en las fronteras de la red.

l) Aumentar el monitoreo para detectar o prevenir los ataques reales.

m) Crear conciencia en los desarrolladores sobre la vulnerabilidad.

n) Conservar un registro para auditoría de todos los procedimientos efectuados.

o) Monitorear y evaluar a intervalos regulares las vulnerabilidades técnicas, para garantizar eficacia y eficiencia.

p) Tratar primero los sistemas con alto riesgo.

9. GESTION DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACION

9.1. Reporte sobre los eventos de seguridad de la información

a) Instaurar un procedimiento formal para el reporte de los eventos de seguridad de la información junto con un procedimiento de escalada y respuesta ante el incidente, que establezca la acción que se ha de tomar al recibir el reporte sobre un evento que amenace la seguridad de la información (*).

b) Establecer un punto de contacto (Oficial de Seguridad de la Información) para el reporte de los eventos de seguridad de la información. Es conveniente garantizar que este punto de contacto sea conocido en toda la institución, siempre esté disponible y puede suministrar respuesta oportuna y adecuada. Todos los empleados, contratistas y usuarios contratados por los proveedores deberán tener conciencia de su responsabilidad para reportar todos los eventos de seguridad de la información lo más pronto posible.

c) Cuando un incidente se produzca, el funcionario en turno responsable del equipo o sistema afectado, debe realizar las siguientes acciones en su orden (*):

– Identificar el incidente

– Registrar el incidente en una bitácora de incidentes (reporte de eventos) incluyendo fecha, hora, nombres y apellidos del funcionario en turno, departamento o área afectada, equipo o sistema afectado y breve descripción del incidente.

– Notificar al Oficial de Seguridad de la Información de la institución.

– Clasificar el incidente de acuerdo al tipo de servicio afectado y al nivel de severidad.

– Asignar una prioridad de atención al incidente en el caso de que se produjeran varios en forma simultanea.

– Realizar un diagnóstico inicial, determinando mensajes de error producidos, identificando los eventos ejecutados antes de que el incidente ocurra, recreando el incidente para identificar sus posibles causas.

– Escalar el incidente en el caso que el funcionario en turno no pueda solucionarlo, el escalamiento deberá ser registrado en la bitácora de escalamiento de incidentes. El funcionario en turno debe escalar el incidente a su jefe inmediato, en el caso en el que el funcionario no tuviere un jefe al cual escalarlo, este debe solicitar soporte al proveedor del equipo o sistema afectado.

– Investigar y diagnosticar en forma definitiva las causas por las cuales se produjo el incidente.

– Resolver y restaurar el servicio afectado por el incidente debido a la para de un equipo o un sistema, incluyendo un registro de la solución empleada en la bitácora de incidentes.

– Cerrar el incidente, actualizando el estado del registro del incidente en la bitácora de incidentes a «Resuelto». Confirmar con el funcionario en turno, responsable del equipo o del sistema de que el incidente ha sido resuelto.

9.2. Reporte sobre las debilidades en la seguridad

a) Todos los empleados, contratistas y usuarios de terceras partes deberán informar sobre estos asuntos a su director o directamente a su proveedor de servicio, tan pronto sea posible para evitar los incidentes de seguridad de la información. Los mecanismos de reporte deberán ser fáciles, accesibles y disponibles. Se les debe informar a ellos que, en ninguna circunstancia, deberán intentar probar una debilidad sospechada.

b) Cuando un empleado, contratista o usuario contratado por un proveedor detecte una vulnerabilidad o debilidad en un equipo, sistema o servicio deberá ejecutar las siguientes acciones:

– Notificar a su jefe inmediato y este al Oficial de Seguridad de la Información de la debilidad o vulnerabilidad detectada.

– Registrar la fecha, hora, apellidos y nombres del funcionario que detectó la debilidad o vulnerabilidad, descripción de la debilidad, descripción de posibles incidentes de seguridad que pudieran ocurrir producto de esta debilidad. El responsable de llevar este reporte denominado «Reporte de vulnerabilidades o debilidades de la seguridad de la información» es el Oficial de Seguridad de la Información.

– Nunca, por razón alguna, deberá intentar probar la debilidad o vulnerabilidad detectada en la seguridad. El ensayo de las vulnerabilidades se podría interpretar como un posible uso inadecuado del sistema, equipo o servicio y también podría causar daño al sistema o servicio de información y eventualmente podría recaer en una responsabilidad legal.

– El Oficial de Seguridad de la Información deberá tomar las medidas pertinentes para prevenir o eliminar la vulnerabilidad o debilidad detectada.

9.3. Responsabilidades y procedimientos

a) Además de la bitácora de registro de incidentes y el reporte de vulnerabilidades de la seguridad de la información, el monitoreo de los sistemas, las alertas y las vulnerabilidades, se debería establecer y ejecutar un procedimiento para la gestión de incidentes.

b) Identificar y clasificar los diferentes tipos de incidentes de seguridad de la información.

c) Identificar y analizar las posibles causas de un incidente producido.

d) Planificar e implementar acciones correctivas para evitar la recurrencia del incidente

e) Notificar a todos los funcionarios afectados por el incidente de la restauración del equipo, sistema o servicio afectado, una vez esté solucionado el incidente.

f) El Oficial de Seguridad de la Información, emitirá un reporte a los jefes de las áreas afectadas por el incidente.

g) Recolectar y asegurar pistas de auditoría y toda la evidencia relacionada con el incidente.

9.4. Aprendizaje debido a los incidentes de seguridad de la información

a) La información que se obtiene de la evaluación de los incidentes de seguridad de la información se debe utilizar para identificar los incidentes recurrentes o de alto impacto.

b) Determinar el número de incidentes por tipo, el número de incidentes graves, el tiempo medio de resolución de incidentes.

c) Determinar el costo promedio por incidente.

d) Determinar el número de incidentes recurrentes.

e) Determinar la frecuencia de un incidente recurrente.

9.5. Recolección de evidencias

a) Desarrollar y cumplir procedimientos internos cuando se recolecta y se presenta evidencia con propósitos de acción disciplinaria dentro de la institución.

b) Asegurar que los sistemas de información cumplan con las normas legales para la producción de evidencia, para lograr la admisibilidad, calidad y cabalidad de la misma.

c) Para lograr el peso de la evidencia, se debe demostrar la calidad y cabalidad de los controles empleados para proteger correcta y consistentemente la evidencia (es decir, evidencia del control del proceso) en todo el periodo en el cual la evidencia por recuperar se almacenó y procesó, mediante un rastreo sólido de la evidencia. En general, dicho rastreo sólido se puede establecer en las siguientes condiciones:

– Se deberán tomar duplicados o copias de todos los medios removibles, la información en los discos duros o la memoria para garantizar la disponibilidad; es conveniente conservar el registro de todas las acciones durante el proceso de copiado y dicho proceso debería tener testigos; y, el medio y el registro originales se deberán conservar intactos y de forma segura;

– Se debe proteger la integridad de todo el material de evidencia. El proceso de copia del material de evidencia debe estar supervisado por personal de confianza y se debe registrar la información sobre cuándo y cómo se realizó dicho proceso, quién ejecutó las actividades de copiado y qué herramientas o programas se utilizaron.

10. GESTION DE LA CONTINUIDAD DEL NEGOCIO

10.1. Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio

a) El Responsable del área de Tecnologías de la Información o su similar será designado como coordinador de continuidad de los servicios informáticos, que se encargará de supervisar el proceso de elaboración e implantación del plan de continuidad, así como de la seguridad del personal.

b) Identificar los activos involucrados en los procesos críticos de los servicios informáticos, así como de las actividades que se deben realizar.

c) Elaborar la política de continuidad de los servicios informáticos determinando los objetivos y el alcance del plan, así como las funciones y responsabilidades; un documento que establezca a alto nivel los objetivos, el alcance y las responsabilidades en la gestión de la continuidad. Por ejemplo, la plantilla del documento debería contener:

– INTRODUCCION: Detallando de forma resumida de que se trata, la estructura del documento y que se persigue.

– OBJETIVOS: que se satisfacen con la aplicación de la política, como se garantizará continuidad de las actividades y de los servicios, planes adicionales de contingencia.

– ALCANCE: Procesos y operaciones que son cubiertos y recursos que utilizan los procesos u operaciones

– RESPONSABILIDADES: Diferentes responsables implicados en la gestión de la continuidad de los servicios informáticos

d) Garantizar la continuidad incorporando los procesos generados en la estructura de la institución.

10.2. Continuidad del negocio y evaluación de riesgos

a) Definir los procesos y actividades de los servicios y aplicaciones,

b) Entender las complejidades e interrelaciones existentes entre equipamiento, personas, tareas, departamentos, mecanismos de comunicación y relaciones con proveedores externos, los cuales pueden prestar servicios críticos que deben ser considerados.

c) Identificar y valorar el impacto de las interrupciones de los procesos, aplicaciones y servicios de los servicios informáticos, para cuantificar y calificar los impactos y saber sus efectos.

d) Identificar el tiempo máximo de interrupción permitida para cada servicio o aplicación crítica; por ejemplo, 30 minutos, una hora o un día.

e) Analizar los riesgos, identificando las amenazas sobre los activos y su probabilidad de ocurrencia.

f) Analizar las vulnerabilidades asociadas a cada activo y el impacto que puedan provocar sobre la disponibilidad.

g) Obtener un mapa de riesgos que permita identificar y priorizar aquellos que pueden provocar una paralización de las actividades de la institución.

h) Crear una estrategia de gestión de control de riesgos y el plan de acción.

10.3. Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información

a) Definir los equipos para ejecución del plan, donde se destacan las funciones claves que serán realizadas por los responsables:

– Responsables de respuestas a incidentes: analizan el impacto del incidente;

– Logística: responsable de reunir todos los medios para ayudar a la puesta en operación de las actividades;

– Recuperación: puesta en servicio de la infraestructura.

b) Desarrollar los procedimientos indicando el objetivo y el alcance, considerando las actividades y los tiempos de recuperación.

c) Difundir y capacitar al personal responsable en los conceptos que contemplan la continuidad de los servicios informáticos.

d) Definir las Estrategias:

– Seleccionar los sitios alternos y de almacenamiento externo;

– Duplicado de los registros tanto físicos como electrónicos;

– Incorporar RAID en los discos de los servidores;

– Duplicar el suministro eléctrico;

– Estrategia de reinicio de las actividades;

– Contratos de mantenimiento preventivo y correctivo;

– Estrategia adecuada de respaldos;

– Seguros para los activos:

– Métodos, procedimientos y procesos para la recuperación de los servicios.

10.4. Estructura para la planificación de la continuidad del negocio

a) Mantener los documentos de los procesos actualizados, utilizando la Gestión de Cambios.

b) Crear planes de respuesta a los incidentes.

c) Definir los calendarios de pruebas e informes.

d) Definir los acuerdos de niveles de servicios internos y con proveedores.

e) Definir los contratos para servicios de recuperación, si fuera el caso.

f) Definir las condiciones para activar los planes que describen el proceso a seguir antes de activar cada plan, así como sus responsabilidades.

g) Describir los procedimientos de respaldo para desplazar las actividades esenciales de los servicios informáticos o los servicios de soporte a lugares temporales alternos, y para devolver la operatividad de los procesos en los plazos establecidos.

h) Describir los procedimientos de reanudación con las acciones a realizar para que las operaciones de los equipos y servicios vuelvan a la normalidad.

i) Definir los activos y recursos necesarios para ejecutar los procedimientos de emergencia, respaldo y reanudación de los servicios.

j) Distribuir la política, estrategias, procesos y planes generados.

10.5. Pruebas, mantenimiento y revisión de los planes de continuidad del negocio

a) Evaluar la capacidad de respuesta ante desastres verificando los tiempos de respuesta, validez de los procedimientos y capacidad de los responsables. Los resultados obtenidos permitirá actualizar y mantener los planes establecidos.

b) Realizar pruebas de:

– Validez: revisar y discutir el plan;

– Simulación: escenario que permitirá verificar el plan de continuidad;

– Actividades críticas: pruebas en un entorno controlado sin poner en peligro la operación de los servicios informáticos;

– Completa: interrupción real y aplicación del plan de continuidad.

c) Realizar auditorías tanto internas como externas, identificando el tipo y alcance de la auditoría a realizar, se entregará un plan de medidas correctivas para llevar a cabo las recomendaciones acordadas.

d) Ejecutar auto-evaluaciones del plan de continuidad, estrategias y procesos generados.

11. CUMPLIMIENTO

11.1. Identificación de la legislación aplicable

a) Inventariar todas las normas legales, estatutarias, reglamentarias y contractuales pertinentes para cada programa de software, servicio informático y en general todo activo de información que utiliza la institución.

b) Organizar para cada activo de información las normas legales, estatutarias, reglamentarias y contractuales pertinentes.

c) Considerar las normas y leyes más generales relacionadas a la gestión de los datos e información electrónica en el gobierno. A saber:

Constitución de la República del Ecuador

Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos

Ley Orgánica de Transparencia y Acceso a la Información Pública

Ley del Sistema Nacional de Registro de Datos Públicos

– Estatuto del Régimen Jurídico Administrativo de la Función Ejecutiva

– Ley Orgánica y Normas de Control de la Contraloría General del Estado

– Leyes y normas de control del sistema financiero

– Leyes y normas de control de empresas públicas

– Ley del Sistema Nacional de Archivos

– Decreto Ejecutivo nº 1014 sobre el uso de Software Libre en la Administración Pública

– Decreto Ejecutivo nº 1384 sobre Interoperabilidad Gubernamental en la Administración Pública

– Otras normas cuya materia trate sobre la gestión de los activos de información en las entidades de la Administración Pública

11.2. Derechos de Propiedad Intelectual

a) Adquirir software únicamente a proveedores reconocidos para garantizar que no se violen derechos de propiedad intelectual. Si el Software es Libre Opensource se considerará los términos de las licencias públicas generales.

b) Implementar mecanismos para concienciar sobre las políticas para proteger derechos de propiedad intelectual y las acciones disciplinarias para el personal que las viole. Se aplica tanto al software libre como al privativo.

c) Mantener registros apropiados de los activos de información para proteger los derechos de propiedad intelectual. Se aplica tanto al software libre como al privativo.

d) Custodiar evidencia de la propiedad de licencias o suscripciones, contratos, discos maestros, manuales y toda la información relevante del software que se utiliza.

e) Controlar y asegurar que no se exceda el número máximo de usuarios permitidos para un programa de software. Se aplica tanto al software libre como al privativo, donde corresponda.

f) Verificar que se instale únicamente software autorizado y con las respectivas licencias en el caso de utilizar software privativo.

g) Cumplir los términos y condiciones de uso para el software y la información, obtenidos de la Internet o proveedores (programas freeware, shareware, demostraciones o programas para pruebas).

h) Controlar que no se duplique, convierta en otro formato, ni extraiga contenidos de grabaciones de audio y video, si no está expresamente permitido por su autor o la persona que tenga los derechos sobre el material.

i) Controlar que no se copie total ni parcialmente software privativo, códigos fuente y la documentación de programas de software con derechos de propiedad intelectual. Se exceptúa los programas de software libre bajo los términos de sus licencias públicas.

j) Definir y aplicar una licencia pública general al software desarrollado por la institución o contratado a terceros como desarrollo, para proteger la propiedad intelectual.

k) Exigir a los funcionarios que utilicen solo software desarrollado, provisto o aprobado por la institución.

11.3. Protección de registros en cada entidad

a) Clasificar los registros electrónicos y físicos por tipos, especificando los periodos de retención y los medios de almacenamiento, como discos, cintas, entre otros.

b) Mantener la documentación y especificaciones técnicas de los algoritmos y programas utilizados para el cifrado y descifrado de archivos y toda la información relevante relacionada con claves, archivos criptográficos o firmas electrónicas, para permitir el descifrado de los registros durante el periodo de tiempo para el cual se retienen.

c) Establecer un procedimiento para revisar el nivel de deterioro de los medios utilizados para almacenar los registros. Los procedimientos de almacenamiento y manipulación se deberán implementar según las recomendaciones del fabricante. Para almacenamiento a largo plazo, se recomienda considerar el uso cintas y discos digitales utilizando formatos de archivos y datos abiertos.

d) Establecer un procedimiento para garantizar el acceso a los datos e información registrada, tanto el medio como el formato, durante todo el periodo de retención.

e) Establecer un procedimiento para cambiar o actualizar la tecnología del medio en el cuál se almacenan los activos de información y registros de acuerdo a las innovaciones tecnológicas disponibles en el mercado.

f) Los sistemas de almacenamiento de datos se deberán seleccionar de manera que los datos requeridos se puedan recuperar en el periodo de tiempo y en formatos legibles, dependiendo de los requisitos que se deben cumplir.

g) Garantizar la identificación de los registros y el periodo de retención de los mismos tal como se defina en normas legales ecuatorianas. Este sistema debe permitir la destrucción adecuada de los

registros después de este periodo, si la entidad no los necesita y las normas así lo especifican.

h) Establecer y difundir en la entidad las directrices sobre retención, almacenamiento, manipulación y eliminación de registros e información.

i) Inventariar las fuentes de información clave.

j) Implementar controles apropiados para proteger los registros contra pérdida, destrucción y falsificación de la información. Utilizar como referencia para la gestión de los registros de la institución la norma ISO 15489-1 o su homóloga ecuatoriana.

11.4. Protección de los datos y privacidad de la información personal

a) El Oficial de Seguridad de la Información deberá controlar la aplicación de la política de protección de datos y privacidad de la información personal.

b) Implementar medidas técnicas y organizacionales apropiadas para gestionar de manera responsable la información personal de acuerdo con la legislación correspondiente.

c) Implementar mecanismos de carácter organizacional y tecnológico para autorización al acceso, uso e intercambio de datos personales de las personas o ciudadanos en custodia de las entidades públicas. Prima el principio que los datos personales pertenecen a las personas y no a las instituciones, éstas los custodian al amparo de la normativa legal vigente.

11.5. Prevención del uso inadecuado de servicios de procesamiento de información

a) Inventariar y aprobar el uso de los servicios de procesamiento de información por parte de la dirección de la entidad o quien esta delegue.

b) Definir y comunicar los servicios de procesamiento de información aprobados, así como los criterios para establecer el uso de estos servicios para propósitos no relacionados con la entidad sin autorización de la dirección, o para cualquier propósito no autorizado.

c) Implementar mecanismos para identificar el uso inadecuado de los servicios por medio de monitoreo u otros medios

d) Definir y especificar en las normas internas de la entidad, las acciones legales o disciplinarias cuando se compruebe el uso no adecuado de los servicios de procesamiento de información. Se considerará también lo que establece la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos y su Reglamento.

e) Definir la política para autorización de uso de los servicios de procesamiento de información aprobados, misma que debe ser suscrita por cada funcionario en relación de trabajo permanente o temporal, así como contratistas, asesores, proveedores y representantes de terceras partes.

f) Implementar en todos los servicios de procesamiento de información, el mensaje de advertencia que indique que el servicio al cual se está ingresando es propiedad de la entidad y que no se permite el acceso no autorizado. El usuario debe reconocer y reaccionar apropiadamente al mensaje de la pantalla para continuar con el proceso de registro de inicio. El uso de los servicios de procesamiento de información de la entidad tendrán como fin principal o exclusivo los asuntos de la institución y no los personales o de otra índole.

g) Implementar mecanismos tecnológicos y organizacionales para detectar la intrusión y evitar el uso inadecuado de los servicios de procesamiento de información. Se recomienda advertir o informar a los usuarios sobre el monitoreo y obtener su acuerdo cuando los servicios de información están abiertos a la ciudadanía o son públicos.

11.6. Reglamentación de controles criptográficos

a) Restringir importaciones y/o exportaciones de hardware y software de computadores para la ejecución de funciones criptográficas; o diseñados para adicionarles funciones criptográficas.

b) Restringir el uso de encriptación, y especificar y documentar los ámbitos en dónde se aplicarán tales procesos (ej., comunicaciones, firma de documentos, trasmisión de datos, entre otros).

c) Restringir métodos obligatorios o discrecionales de acceso por parte de las autoridades del país a la información encriptada mediante hardware o software para brindar confidencialidad al contenido.

d) Garantizar el cumplimiento con las leyes y los reglamentos nacionales antes de desplazar información encriptada o controles criptográficos a otros países.

11.7. Cumplimiento con las políticas y las normas de la seguridad

a) Revisar en intervalos regulares reportes e informes de seguridad de los sistemas de información.

b) Auditar las plataformas técnicas y los sistemas de información para determinar el cumplimiento de las normas aplicables sobre implementación de la seguridad y sus controles.

c) Revisar con regularidad en su área de responsabilidad, el cumplimiento del procesamiento de información de acuerdo con la política de la seguridad, las normas y cualquier otro requisito de seguridad. Si se determina algún incumplimiento o no conformidad como resultado de la revisión, la dirección deberá:

– Determinar la causa del incumplimiento

– Evaluar la necesidad de acciones para garantizar que no se repitan estos incumplimientos

– Determinar e implementar la acción correctiva apropiada

– Revisar la acción correctiva que se ejecutó

d) Registrar y conservar los resultados de las revisiones y las acciones correctivas llevadas a cabo por la dirección. Los directores deberán informar de los resultados a las personas que realizan revisiones independientes, cuando la revisión independiente tiene lugar en el área de su responsabilidad.

11.8. Verificación del cumplimiento técnico

a) Verificar el cumplimiento técnico bien sea manualmente (con soporte de las herramientas de software apropiadas, si es necesario) por un ingeniero de sistemas con experiencia, y/o con la ayuda de herramientas automáticas que generen un informe técnico para la interpretación posterior por parte del especialista técnico.

b) Aplicar evaluaciones de vulnerabilidad o pruebas de penetración considerando siempre el riesgo de que dichas actividades pueden poner en peligro la seguridad del sistema. Tales pruebas se deberán planificar, documentar y ser repetibles.

c) Controlar que la verificación del cumplimiento técnico sea realizado por personas autorizadas y competentes o bajo la supervisión de dichas personas.

d) Analizar los sistemas operativos para asegurar que los controles de hardware y software se han implementado correctamente. Este tipo de verificación del cumplimiento requiere experiencia técnica especializada.

e) Ejecutar o contratar pruebas de penetración y evaluaciones de la vulnerabilidad, las cuales pueden ser realizadas por expertos independientes especialmente contratados para este propósito.

Ello puede ser útil para detectar vulnerabilidades en el sistema y verificar qué tan efectivos son los controles evitando el acceso no autorizado debido a estas vulnerabilidades. Las pruebas de penetración y las evaluaciones de vulnerabilidad no deben substituir las evaluaciones de riesgos.

11.9. Controles de auditoría de los sistemas de información

a) Salvaguardar los servicios de procesamiento de información y las herramientas de auditoría durante las auditorías de los sistemas de información.

b) Proteger la integridad y evitar el uso inadecuado de las herramientas de auditoría.

c) Acordar los requisitos así como el alcance de las auditorías con la dirección correspondiente.

d) Unicamente se deberá dar a los auditores acceso de lectura a la información.

e) Identificar explícitamente y poner en disposición los recursos correspondientes, para llevar a cabo las auditorías.

f) Identificar y acordar los requisitos para el procesamiento especial o adicional.

g) Monitorear y registrar todo acceso para crear un rastreo para referencia. El uso de rastreos de referencia de tiempo se debe considerar para datos o sistemas críticos.

h) Documentar todos los procedimientos, requisitos y responsabilidades de la auditoría.

i) Asegurar que la persona que realiza la auditoría sea independiente de las actividades auditadas.

11.10. Protección de las herramientas de auditoría de los sistemas de información

a) Instalar y administrar las herramientas de auditoría por parte del personal que las utiliza.

b) Los programas de software o archivos de datos de auditoría se deben separar de los sistemas de información y de desarrollo de la entidad.

c) Los archivos de seguridad y auditoría que generan los sistemas de procesamiento de información deben ser protegidos contra cualquier manipulación.

d) Mantener un estricto control de respaldos y tiempo de retención de los archivos de seguridad y auditoría de acuerdo al tipo de información y la política que se defina.

e) Mantener archivos de seguridad y auditoría en librerías de cinta, siempre que se les proporcione un nivel adecuado de protección adicional.

f) Bloquear el acceso a los archivos de seguridad y auditoría a los funcionarios no autorizados y de acuerdo al procedimiento que se defina.

GLOSARIO DE TERMINOS

Activo: Todo bien que tiene valor para la institución.

Ambiente de Desarrollo: tiene las siguientes características:

– En este ambiente se desarrollan los programas fuentes se almacena toda la información relacionada con el análisis y diseño de los sistemas.

– El analista o programador (desarrollador) tiene total dominio sobre el ambiente, y puede instalar componentes o actualizar versiones del software base.

– Todos los cambios del código, de software base y de componentes deben ser debidamente documentados.

– Se registra en el sistema el control de versiones que administra el «Administrador de programas fuentes».

– El desarrollador realiza las pruebas con los datos de la base de datos desarrollo.

– Cuando se considera que el programa está terminado, se lo pasa al ambiente de pruebas junto con la documentación requerida que se le entregará al implementador de ese ambiente.

Ambiente de Pruebas: tiene las siguientes características:

– Este ambiente es utilizado para realizar pruebas previas al paso a producción.

– Deberá disponer del mismo software base que el ambiente producción.

– El implementador de este ambiente recibe el programa y la documentación respectiva y realiza una prueba general con un lote de datos para tal efecto.

– El testeador realiza las pruebas con los datos de la base de datos de pruebas. Si no se detectan errores de ejecución, los resultados de las rutinas de seguridad son correctas de acuerdo a las especificaciones y se considera que la documentación presentada es completa, entonces se emite un informe favorable y se pasa el programa fuente al implementador de producción por medio del sistema de control de versiones y se le entrega las instrucciones. Caso contrario, vuelve atrás el ciclo devolviendo el programa al desarrollador, junto con un detalle de las observaciones.

Ambiente de Capacitación: tiene las siguientes características:

– Este ambiente es idéntico al ambiente de producción en su estructura, versiones de sistema y software base.

– Este ambiente será utilizado para realizar las capacitaciones respectivas a los usuarios de los sistemas.

– Este ambiente no se actualizará con la información de producción para realizar pruebas.

– Este ambiente también debe ser considerado para los respaldos de datos.

Ambiente de Producción: tiene las siguientes características:

– Es donde se ejecutan los sistemas y se encuentran los datos productivos.

– Los programas fuentes certificados se guardan en un repositorio de fuentes de producción, almacenándolos mediante un sistema de control de versiones que maneja el «administrador de programas fuentes» y donde se registran los datos del programador que hizo la modificación, fecha, hora y tamaño de los programas fuentes y objetos o ejecutables.

– El «implementador» compila el programa fuente dentro del ambiente de producción, asegurando que hay una correspondencia biunívoca con el ejecutable en producción y luego (este fuente) se elimina, dejándolo en el repositorio de programas fuentes.

– Procedimientos de la misma naturaleza que el anterior, deberán aplicarse para las modificaciones de cualquier otro elemento que forme parte del sistema; por ejemplo: modelo de datos de la base de datos o cambios en los parámetros, etc. Las modificaciones realizadas al software de base (Sistemas Operativos, Motores de bases de datos, software middleware) deberán cumplir idénticos pasos, sólo que las implementaciones las realizarán los propios administradores.

– El personal de desarrollo, como el proveedor de los aplicativos, no deben tener acceso al ambiente de producción, así como tampoco a los datos reales para la realización de las pruebas en el Ambiente de Prueba. Para casos excepcionales, se debe documentar adecuadamente la autorización, los trabajos realizados y monitorearlos en todo momento.

Comité de Gestión de Seguridad de la Información:

Estará integrado al menos por: el Director Administrativo, el Responsable del área de Recursos Humanos, el Responsable del área de Tecnologías de la Información, el Responsable de Auditoría Interna y el Oficial de Seguridad de la Información. Este ente contará con un Coordinador (Oficial de Seguridad de la Información), quien cumplirá la función de impulsar la implementación del Esquema Gubernamental de Seguridad de la Información.

– Confidencialidad: Se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.

Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran

Información: Es uno de los activos más importantes de las instituciones, en las formas que esta se manifieste: textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, magnético, papel, electrónico, computadoras, audiovisual y otros.

Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.

Oficial de Segundad de la Información: Será el responsable de coordinar las acciones del Comité de Seguridad de la Información y de impulsar la implementación y cumplimiento del Esquema Gubernamental de Seguridad de la Información. El oficial de Seguridad de la Información deberá ser un miembro independiente de las áreas de tecnología o sistemas, puesto que deberá mantener su independencia para observar las necesidades de seguridad entre la estrategia de la institución y tecnología.

Propietarios de la Información: Son los responsables de clasificar la información de acuerdo con el grado de sensibilidad y criticidad de la misma, de documentar y mantener actualizada la clasificación efectuada y de definir qué usuarios deberán tener permisos de acceso a la información de acuerdo a sus funciones y competencia.

Responsable del Área de Recursos Humanos: Cumplirá la función de comunicar a todo el personal que ingresa, de sus obligaciones respecto del cumplimiento del Esquema Gubernamental de Seguridad de la Información y de todas las normas, procedimientos y prácticas que de él surjan.

Asimismo, tendrá a su cargo, la difusión del presente documento a todo el personal, de los cambios que en ella se produzcan, de la implementación de la suscripción de los Compromisos de Confidencialidad (entre otros) y de las tareas de capacitación continua en materia de seguridad en coordinación con el Oficial de Seguridad de la información.

Responsable del Área de Tecnologías de la Información: Cumplirá la función de cubrir los requerimientos de seguridad informática establecidos para la operación, administración y comunicación de los sistemas y recursos de tecnología de la institución. Por otra parte, tendrá la función de supervisar las tareas de desarrollo y mantenimiento de sistemas, siguiendo una metodología de ciclo de vida de sistemas apropiada, y que contemple la inclusión de medidas de seguridad en los sistemas en todas las fases.

Responsable del Área Legal: Verificará el cumplimiento del Esquema Gubernamental de Seguridad de la Información en la gestión de todos los contratos, acuerdos u otra documentación de la institución con sus empleados y con terceros. Asimismo, asesorará en materia legal a la institución, en lo que se refiere a la seguridad de la información.

————————————————————————-

(1) (*) En todo este documento esta marca significa que se trata de un control/directriz prioritario

23Feb/21

Decreto Ejecutivo nº 149, de 20 de noviembre de 2013

Decreto Ejecutivo nº 149, de 20 de noviembre de 2013, dispónese la implementación del gobierno electrónico en la Administración Pública Central, Institucional y que depende de la Función Ejecutiva (Publicado en el Suplemento del Registro Oficial nº 146 de 18 de diciembre de 2013). (Modifiquese por Disposición reformatoria primera del Decreto Ejecutivo nº 5 de 24 de mayo de 2017) (Deróguese los artículos 5, 6, 7, 8, 9 y 10 del Decreto Ejecutivo nº 149, publicado en el Suplemento del Registro Oficial nº 146 de 18 de diciembre de 2013, y sus posteriores reformas, de acuerdo con lo estipulado en la Disposición Derogatoria Primera del Decreto Ejecutivo 372, publicado en Registro Oficial Suplemento 234 de 4 de Mayo de 2018).

Rafael Correa Delgado. PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA

Considerando:

Que, de acuerdo a los artículos 52 y 53 de la Constitución de la República, las personas tienen derecho a disponer de bienes y servicios de óptima calidad, a elegirlos con libertad, así como obtener una información precisa y no engañosa sobre su contenido y características, además, es deber de las empresas, instituciones y organismos que prestan servicios públicos, incorporar sistemas de medición de satisfacción de las personas usuarias y consumidoras así como poner en práctica sistemas de atención y reparación;

Que, el numeral 25 del artículo 66 de la Constitución de la República reconoce el derecho de las personas a acceder a bienes y servicios públicos y privados de calidad, con eficiencia, eficacia y buen trato, así como a recibir información adecuada y veraz sobre su contenido y características;

Que, según el numeral 1 del artículo 85 de la Constitución de la República, la formulación, ejecución, evaluación y control de las políticas públicas y servicios públicos que garanticen los derechos reconocidos por la Constitución, se orientarán a hacer efectivos el buen vivir y todos los derechos y se formularán a partir del principio de solidaridad;

Que, el artículo 147, numerales 3, 5 y 6 de la Constitución de la República establece que son atribuciones y deberes del Presidente de la República el definir y dirigir las políticas públicas de la Función Ejecutiva, dirigir la administración pública en forma desconcentrada, y expedir los decretos necesarios para su integración, organización, regulación y control, así como crear, modificar, suprimir los ministerios, entidades e instancias de coordinación;

Que, el artículo 226 de la Constitución de la República establece que las instituciones del Estado, sus organismos y dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal, tendrán el deber de coordinar las opciones para el cumplimiento de sus fines y hacer efectivo el goce de los derechos reconocidos en la Constitución;

Que, el artículo 227 de la Constitución de la República establece que la Administración Pública constituye un servicio a la colectividad que se rige por principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación;

Que, el numeral 3 del artículo 277 de la Constitución de la República, determina que para la consecución del buen vivir, es deber general del Estado, generar y ejecutar las políticas públicas, y controlar y sancionar su incumplimiento;

Que, el artículo 314 de la Constitución de la República establece que los servicios que brinde el Estado deben responder a los principios de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad;

Que, el Plan Nacional del Buen Vivir, en el marco del objetivo nº 11 asegurar la Soberanía y eficiencia de los sectores estratégicos para la transformación industrial y tecnológica, determina la política nº 11.3 Democratizar la prestación de servicios públicos de telecomunicaciones y tecnologías de la información y comunicación (TIC), incluyendo radiodifusión, televisión y espectro radio eléctrico y profundizar su uso y acceso universal, y para su cumplimiento establece, entre otras, las siguientes estrategias: c) Impulsar la calidad, seguridad y cobertura en la prestación de servicios públicos a través del uso de las telecomunicaciones y de las TIC, especialmente para promover el acceso a servicios financieros, asistencia técnica para producción, educación y salud; e i) Impulsar el gobierno electrónico transaccional y participativo para que la ciudadanía acceda en línea a datos, información, trámites y demás servicios;

Que, la Carta Iberoamericana de Gobierno Electrónico, adoptada en octubre de 2008 por la XVIII Cumbre Iberoamericana del Salvador, en la sección 22, recomienda a los gobiernos formalizar e institucionalizar autoridades que sean responsables del desarrollo y consolidación del gobierno electrónico en los gobiernos iberoamericanos, como jefatura rectora de la información y de la comunicación gubernamental con nuevos procesos de gestión de la información y planes claros, efectivos y de alto nivel;

Que, la misma Carta Iberoamericana de Gobierno Electrónico, en la sección 23, indica que los Estados deberán prepararse para la efectiva implantación del gobierno electrónico acometiendo las transformaciones organizativas que consideren necesarias, así como la progresiva implantación de sistemas, equipos y programas en las Administraciones Públicas; 

Que, la implementación de servicios de gobierno electrónico es indispensable para la mejora de la eficiencia, eficacia, calidad y transparencia de los servicios públicos en la Función Ejecutiva y su democratización;

Que, la Ley de Modernización del Estado, Privatizaciones y Prestación de Servicios Públicos por parte de la Iniciativa Privada, contiene varias normas referentes a la racionalización y eficiencia administrativa y requisitos legales exigibles en la administración pública;

Que, la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, publicada en el Registro Oficial Suplemento 557 de 17 de abril de 2002, en los artículos 2 y 44 respectivamente, reconoce la validez jurídica de los mensajes de datos electrónicos; así como el valor y efecto jurídicos de cualquier actividad, transacción mercantil, financiera o de servicios que Se realice con los mismos por medio de redes electrónicas;

Que, el artículo 6 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva determina que las entidades, organismos, y empresas del sector público dependientes adscritos o controlados por dignatarios de la Función Ejecutiva se caracterizan en general por tener como propósito facilitar el cumplimiento de determinados servicios públicos, el ejercicio de actividades económicas o la realización de determinadas tareas de naturaleza pública Con el fin de satisfacer necesidades colectivas, entre otras;

Que, de acuerdo a las letras f), h), i) j) y l) del artículo 15 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva, son atribuciones del Secretario Nacional de la Administración Pública: fomentar una cultura de calidad en las Instituciones de la Administración Pública, tanto en productos como en servicios públicos; generar metodologías para mejora de la gestión pública en general, tales como proyectos, procesos, trámites y servicios al ciudadano; impulsar proyectos de estandarización en procesos, calidad y tecnologías de la información y comunicación; controlar la ejecución de propuestas, proyectos de mejora y modernización de la gestión pública; y, diseñar, promover e impulsar proyectos, planes y programas destinados a la mejora de la gestión pública a través de herramientas, sistemas y tecnologías de la información y comunicación;

Que, los numerales 1 y 2 del artículo 116 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva, establece que la Administración Pública impulsará el empleo y aplicación de las técnicas y medios electrónicos, informáticos y telemáticos, para el desarrollo de su actividad y el ejercicio de sus competencias, como herramientas de relación con los ciudadanos, respetando las garantías de los procedimientos además cuando sea compatible con los medios técnicos, los ciudadanos podrán relacionarse con ella para ejercer sus derechos a través de técnicas y medios electrónicos, informáticos o telemáticos con respecto a garantías y requisitos previstos en cada procedimiento;

Que, con Decreto Ejecutivo nº 1014, publicado en el Registro Oficial nº 322 de 23 de abril de 2008, se establece como política pública para las entidades de la Administración Pública Central, la utilización de software libre en sus sistemas y equipamientos informáticos;

Que, mediante Decreto Ejecutivo nº 1384, publicado en el Segundo Suplemento del Registro Oficial nº 860 de 2 de enero del 2013, se establece como política pública para las entidades de la Administración Pública Central, dependiente e institucional el desarrollo de la interoperabilidad gubernamental;

Que, es necesario que se establezca como política pública en la Función Ejecutiva la simplificación de los trámites a fin de que el ciudadano pueda acceder de una forma ágil y eficiente a servicios públicos.

En ejercicio de las facultades y atribuciones que le confiere el artículo 147 numeral 5 de la Constitución de la República del Ecuador,

Decreta:

Artículo 1.- Del gobierno electrónico

La implementación del gobierno electrónico en la Administración Pública Central, Institucional y que depende de la Función Ejecutiva, que consiste en el uso de las tecnologías de información y comunicación por parte de las entidades para transformar las relaciones con los ciudadanos, entre entidades de gobierno y empresas privadas a fin de mejorar la calidad de los servicios gubernamentales a los ciudadanos, promover la interacción con las empresas privadas, fortalecer la participación ciudadana a través del acceso a la información y servicios gubernamentales eficientes y eficaces y coadyuvar con la transparencia, participación y colaboración ciudadana.

Artículo 2.- De la Presidencia de la República

La Presidencia de la República a través de la Secretaría General de la Presidencia será la entidad rectora en gobierno electrónico de la Función Ejecutiva.

Para la correcta implementación del gobierno electrónico actuará en coordinación con las siguientes atribuciones y responsabilidades:

  1. La Presidencia de la República establecerá las políticas y directrices, necesarios para la ejecución y control de la implementación del gobierno electrónico.
  2. El Ministerio de Telecomunicaciones y Sociedad de la Información, emitirá la normativa y lineamientos necesarios para la implementación del Gobierno Electrónico y desarrollará los planes, programas o proyectos sobre gobierno electrónico que sean necesarios para su implementación.

(Nueva redacción dada por la Disposición reformatoria primera del Decreto Ejecutivo nº 5 de 24 de mayo de 2017)

Artículo 3.- De la coordinación y colaboración

Todas las entidades de la Administración Pública Central, institucional y que dependen de la Función Ejecutiva colaborarán en la generación de los instrumentos que sean necesarios para la aplicación del presente decreto así como para su cabal cumplimiento.

(Nueva redacción dada por la Disposición reformatoria primera del Decreto Ejecutivo nº 5 de 24 de mayo de 2017)

Artículo 4.- Del acceso

Toda política, normativa, plan, programa o proyecto de Gobierno Electrónico de las entidades de la Administración Pública Central será considerada información pública y deberá estar disponible y accesible para ciudadanos, salvo aquella que se estime reservada. El Ministerio de Telecomunicaciones y Sociedad de la Información promoverá la comunicación y difusión de esta información en cumplimiento con lo determinado en la Ley Orgánica de Transparencia y Acceso a la Información Pública (LOTAIP).

(Nueva redacción dada por la Disposición reformatoria primera del Decreto Ejecutivo nº 5 de 24 de mayo de 2017)

Artículo 5.- De la simplificación de trámites

La administración pública central, institucional y que depende de la Función Ejecutiva establecerá la gestión con enfoque en la simplificación de trámites. La gestión Pública propenderá progresivamente a la disminución y la eliminación de la duplicidad de requisitos y actividades que debe realizar el ciudadano frente a la administración para acceder a servicios eficientes, transparentes y de calidad.

La simplificación de trámites tendrá como finalidades las de facilitar la interacción entre el ciudadano, empresa y la Administración Pública en la prestación de los servicios a que está obligada; facilitar el acceso y ejecutar ágilmente los trámites que deben realizar los ciudadanos para acceder a dichos servicios; racionalizar el uso de recursos públicos; y, reducir los costos, tiempos y pasos de transacción al ciudadano, empresas y administración pública. Igualmente facilitará la interconexión e interacción de información de registros de datos públicos entre las diferentes instituciones de la administración pública, garantizando así la eficiencia y el uso adecuado de las herramientas tecnológicas con las que cuenta el Estado Ecuatoriano.

(Deróguese el artículo 5, de acuerdo con lo estipulado en la Disposición Derogatoria Primera del Decreto Ejecutivo 372, publicado en Registro Oficial Suplemento 234 de 4 de Mayo de 2018).

Artículo 6.- De la rectoría

La Presidencia de la República será el ente rector de la gestión pública orientada a la simplificación de trámites y será la encargada de establecer las políticas, lineamientos y normativa necesaria para su ejecución y control, los cuales serán de obligatorio cumplimiento de las instituciones de la Función Ejecutiva.

El Ministerio de Telecomunicaciones y Sociedad de la Información será la institución encargada de implementar, en conjunto con las entidades correspondientes, el proceso de simplificación de trámites entre las instituciones del sector público y las empresas, establecimientos comerciales o personas jurídicas con el fin de optimizar la tramitología, con base en los lineamientos, políticas y normas que en la materia emita la Presidencia de la República.

(Nueva redacción dada por la Disposición reformatoria primera del Decreto Ejecutivo nº 5 de 24 de mayo de 2017)

(Deróguese el artículo 6, de acuerdo con lo estipulado en la Disposición Derogatoria Primera del Decreto Ejecutivo 372, publicado en Registro Oficial Suplemento 234 de 4 de Mayo de 2018).

Artículo 7.- Obligatoriedad

La simplificación de trámites es de obligatorio cumplimiento para todas las entidades de la administración pública central, institucional y que depende de la Función Ejecutiva.

Los demás niveles de gobierno, así como otras funciones del Estado, podrán utilizar los productos y normativas que se emitan en virtud del presente Decreto Ejecutivo como referencia para la mejora de su gestión en materia de simplificación de trámites, debiendo las entidades de la Función Ejecutiva responsables de la implementación de este Decreto, brindar las facilidades necesarias y posibles para el efecto.

Sin perjuicio de lo establecido, los demás niveles del Estado que tengan competencia por ley o por delegación, podrán interoperar e interconectarse a los procesos y trámites que la administración pública central e institucional efectúe.

(Deróguese el artículo 7, de acuerdo con lo estipulado en la Disposición Derogatoria Primera del Decreto Ejecutivo 372, publicado en Registro Oficial Suplemento 234 de 4 de Mayo de 2018).

Artículo 8.- Del Comité de Simplificación de Trámites Interinstitucional

Créase el Comité de Simplificación de Trámites Interinstitucional, como un cuerpo colegiado interinstitucional que tendrá la finalidad de coordinar, fomentar y cooperar en la eliminación, reducción, optimización, simplificación y automatización de trámites en la Administración Pública Central, Institucional, y que depende de la Función Ejecutiva, así como también en otras instituciones del sector público o en otros niveles de gobierno.

(Deróguese el artículo 8, de acuerdo con lo estipulado en la Disposición Derogatoria Primera del Decreto Ejecutivo 372, publicado en Registro Oficial Suplemento 234 de 4 de Mayo de 2018).

Artículo 9.- Conformación del Comité

El Comité de Simplificación de Trámites Interinstitucionales estará integrado por:

a) El Secretario General de la Presidencia o su delegado;

b) El/la Secretario Nacional de Planificación y Desarrollo o su delegado;

c) Quien presida el Gabinete de la producción o su delegado;

d) El/la Ministro/a de Trabajo o su delegado y,

d) El/la Ministro/a de Telecomunicaciones y de la Sociedad de la Información o su delegado.

(Nueva redacción dada por la Disposición reformatoria primera del Decreto Ejecutivo nº 5 de 24 de mayo de 2017)

(Deróguese el artículo 9, de acuerdo con lo estipulado en la Disposición Derogatoria Primera del Decreto Ejecutivo 372, publicado en Registro Oficial Suplemento 234 de 4 de Mayo de 2018).

Artículo innumerado añadido.

El Secretario General de la Presidencia presidirá el Comité de Simplificación de Trámites Interinstitucionales.

 (Artículo añadido por la Disposición reformatoria primera del Decreto Ejecutivo nº 5 de 24 de mayo de 2017)

Artículo 10.- Atribuciones del Comité

Son atribuciones del Comité:

a) Impulsar planes, proyectos, programas metodologías interinstitucionales de simplificación de trámites, entre otros;

b) Definir indicadores de gestión que deben ser utilizados para la simplificación de trámites interinstitucionales y establecer metas cuantificables para estos indicadores;

c) Realizar seguimiento periódico a los resultados de los indicadores de gestión;

d) Expedir la normativa que considere necesaria para su gestión así como impulsar la suscripción de instrumentos de coordinación o cooperación interinstitucional;

e) Establecer que servicios públicos deben ser gratuitos, y definir las tasas que se deben cobrar o no, siempre que éstas no se encuentren reguladas por la ley;

f) Proponer la eliminación de tasas, de ser el caso, y gestionar los recursos en remplazo de las mismas;

g) Realizar alianzas, convocar y/o mantener reuniones de trabajo institucionales con otras funciones del Estado encaminadas a aprovechar los recursos infraestructuras, tecnologías, entre otras;

h) Recibir propuestas ciudadanas para la mejora de procesos en el sector público;

i) Recomendar la mejora de procesos para simplificación de trámites en el sector público, en caso de ser necesario; y,

j) Reportar sobre los avances de cada institución en materia de simplificación de trámites.

(Nueva redacción del literal J) dada por la Disposición reformatoria primera del Decreto Ejecutivo nº 5 de 24 de mayo de 2017)

(Deróguese el artículo 10, de acuerdo con lo estipulado en la Disposición Derogatoria Primera del Decreto Ejecutivo 372, publicado en Registro Oficial Suplemento 234 de 4 de Mayo de 2018).

Artículo 11.- Principios del proceso

La simplificación de trámites se regirá por los siguientes principios:

a) Simplicidad.- Los trámites serán claros, sencillos, ágiles, racionales, pertinentes, útiles y de fácil entendimiento para los ciudadanos. Debe eliminarse toda complejidad innecesaria.

b) Economía.- Los trámites deberán realizarse en el menor tiempo y costos posibles, optimizando de la mejor manera los recursos utilizados, agilitando decisiones y procedimientos.

c) Legalidad.- Solo se puede pedir o exigir para el trámite los requisitos que estén previamente establecidos en un marco normativo vigente.

d) Celeridad.- Se ejecutarán los trámites de la forma más eficiente y en el menor tiempo posible, sin perjuicio de brindar la mejor calidad al servicio.

e) Presunción de veracidad.- Se presumirá que los documentos y declaraciones formulados por los ciudadanos frente a un trámite y en la forma prescrita por el ordenamiento jurídico, responden a la verdad de los hechos que ellos afirman.

f) Responsabilidad de información.- La responsabilidad sobre la veracidad y autenticidad de la información, es exclusiva del ciudadano, cuando este provea la información.

g) Privacidad de la información personal/confidencialidad.-  Se respetará la privacidad y dará debida protección a la información de carácter personal, garantizando su inviolabilidad y secreto de conformidad con la Constitución y la normativa vigente.

h) Transparencia.- S e garantizará la publicidad y transparencia de las actuaciones administrativas a través de medios electrónicos y demás canales de libre acceso a los ciudadanos, según lo determinado en la ley.

i) Privilegio de controles posteriores.-  Se propenderá a que los trámites. se sustenten en la aplicación de la fiscalización posterior, reservándose la autoridad administrativa el derecho de comprobar la veracidad de la información presentada, el cumplimiento de la normativa respectiva, así como la aplicación de las sanciones pertinentes en caso que la información presentada no se sujete a la realidad.

j) Informalismo y principio pro-administrado.- Las normas serán interpretadas en forma favorable a la admisión y decisión final de las pretensiones de los ciudadanos, de modo que sus derechos e intereses no sean afectados por formalidades que puedan ser subsanadas en la prestación del servicio, siempre que dicha excusa no afecte derechos de terceros o el interés público, según lo determinado en la Constitución de la República.

k) Gratuidad.- Los trámites que se realicen en la administración pública de preferencia serán gratuitos, salvo los casos expresamente señalados en el ordenamiento jurídico vigente.

l) Interconexión.- Las entidades que mantengan sus bases de datos con información de registro público ciudadano, propenderán a interconectar con el Sistema Nacional de Registro de Datos Públicos, mediante procesos ágiles y simplificados.

Artículo 12.- Obligaciones de las entidades de la Función Ejecutiva

A las instituciones de la Función Ejecutiva, dentro del ámbito de este Decreto Ejecutivo, les corresponderá:

a) Brindar una atención eficiente, transparente y de calidad al ciudadano;

b) Dar accesibilidad a los trámites a través de la desconcentración de los mismos o a través de tecnologías de la información o comunicación;

c) Estandarizar los trámites a través de registros documentales ya sean físicos o digitales. El procedimiento de los trámites será el mismo en todas las unidades desconcentradas de la institución;

d) Automatizar y publicar los trámites y su estado, en sus páginas web institucionales. La administración pública propenderá a ejecutar sus trámites en línea;

e) Realizar transacciones económicas y pagos correspondientes a trámites ciudadanos mediante canales electrónicos o a través de instituciones del sistema financiero nacional;

f) Interoperar con otras instituciones de la Función Ejecutiva a fin de reducir esfuerzos para el ciudadano. Adicionalmente se propenderá a interoperar con otras instancias o niveles de gobierno;

g) Externalizar servicios para la realización y fiscalización de trámites en caso de ser técnica y económicamente factible para la institución, de conformidad con lo que establece el ordenamiento jurídico vigente;

h) Utilizar todos los medios electrónicos disponibles que faciliten la realización de los trámites, como son la firma electrónica, notificaciones electrónicas a través del Sistema de Notificaciones Electrónicas (SINE) de la Dirección Nacional de Registro de Datos Públicos, entre otros;

i) Habilitar los mecanismos que sean necesarios para ofrecer oportunamente y a disposición de los interesados formatos o formularios pre-definidos oficialmente para la realización del respectivo trámite que prioritariamente deberán ser electrónicos y gratuitos;

j) Controlar y aplicar las sanciones necesarias para los Funcionarios que obstaculicen la simplificación de trámites, de conformidad con la ley; y,

k) Minimizar los procesos manuales con la digitalización, con la obtención de información a través de la aplicación del INFODIGITAL.

Artículo 13.- Prohibiciones

Las entidades de la Función Ejecutiva, en la ejecución de trámites al ciudadano, quedan prohibidas de:

a) Exigir requisitos que no estén contemplados en el ordenamiento jurídico vigente;

b) Exigir la presentación de documentación o información que conste en los archivos o registros de la misma institución que los solicita, salvo los casos expresamente establecidos por la ley;

c) Exigir la presentación de requisitos que implique duplicación de una misma información, salvo los casos expresamente establecidos por ley;

d) Cobrar valores innecesarios por los trámites brindados a los ciudadanos o valores que representen un costo mayor de recaudación que el monto requerido;

e) Exigir la presencia del ciudadano en la realización del trámite cuando este pueda otorgar poder o autorización a un tercero para su realización de acuerdo a la naturaleza del trámite o cuando a través de medios tecnológicos, se acredite su identidad;

f) Negar información al ciudadano respecto al estado del trámite que se está realizando en la institución, la falta de publicación del estado del trámite será considerada como una negación de la misma;

g) Negarse a recibir documentación en la institución;

h) Cobrar valor alguno por concepto de formularios, formatos u otros necesarios para realizar cualquier trámite en la institución, salvo disposición expresa establecida en el ordenamiento jurídico vigente;

i) Exigir la presentación de información que se encuentre establecida en sistemas informáticos de acceso al público o de acceso a las instituciones que realizan el trámite respectivo;

j) Las demás que se generen como consecuencia de la aplicación de la política pública de simplificación de trámites y que sean determinadas por la Presidencia de la República o el Comité de Simplificación de Trámites Interinstitucional.

(Nueva redacción dada al literal J) por la Disposición reformatoria primera del Decreto Ejecutivo nº 5 de 24 de mayo de 2017)

Artículo 14.- Planes de simplificación

Las instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, en el ámbito de sus competencias, simplificarán los trámites que brindan al ciudadano de acuerdo a los lineamientos que emita el Comité de Simplificación de Trámites.

(Nueva redacción dada por la Disposición reformatoria primera del Decreto Ejecutivo nº 5 de 24 de mayo de 2017)

DISPOSICIONES GENERALES

PRIMERA

Toda política, plan, programa o proyecto de gobierno electrónico de las entidades de la Función Ejecutiva será aprobado por la Secretaría General de la Presidencia de la República en forma previa a la priorización realizada por la SENPLADES y demás entidades competentes.

(Nueva redacción dada por la Disposición reformatoria primera del Decreto Ejecutivo nº 5 de 24 de mayo de 2017)

SEGUNDA

El Ministerio de Telecomunicaciones y Sociedad de la Información gestionará la implementación de políticas, planes, programas y proyectos de gobierno electrónico en las instituciones de la administración pública a través de las coordinaciones generales de gestión estratégica y las direcciones de tecnologías de la información dependientes de estos o de quien haga sus veces.

(Nueva redacción dada por la Disposición reformatoria primera del Decreto Ejecutivo nº 5 de 24 de mayo de 2017)

TERCERA

El Ministerio de Telecomunicaciones y Sociedad de la Información gestionará y coordinará la implementación de políticas, planes, programas y proyectos de gobierno electrónico en las instituciones de la administración pública a través de las coordinaciones generales de gestión estratégica y las direcciones de tecnologías de la información dependientes de estas o de quien haga sus veces.

(Nueva redacción dada por la Disposición reformatoria primera del Decreto Ejecutivo nº 5 de 24 de mayo de 2017)

CUARTA

Los órganos y entes de la Función Ejecutiva no podrán exigir copias certificadas o simples de la partida de nacimiento como requisito para el cumplimiento de un determinado trámite, cuando sea presentada la cédula de identidad, salvo los casos expresamente establecidos por ley.

QUINTA

Los usuarios de INFODIGITAL, así como las autoridades del nivel jerárquico superior deberán utilizar obligatoriamente la firma electrónica, de no hacerlo deberán ser sancionados conforme a la Ley Orgánica del Servicio Público y su Reglamento General. La Administración Pública promoverá el uso de las firmas electrónicas por parte de las personas naturales y jurídicas.

De igual manera, esta disposición será de aplicación obligatoria para los servidores públicos que despachen en promedio cinco documentos diarios o más. El promedio de la documentación por servidor realizará la unidad administrativa de la institución a cargo de la gestión documental considerando el mes inmediato anterior.

SEXTA

Los Gobiernos Autónomos Descentralizados, sus entidades y las demás funciones o instituciones del sector público señaladas en el Artículo 225 de la Constitución de la República, podrán aplicar las disposiciones del presente Decreto de considerarlo pertinente.

SEPTIMA

El Banco del Estado priorizará los proyectos de los Gobiernos Autónomos Descentralizados relacionados a la simplificación de trámites al ciudadano para el otorgamiento de fondos.

DISPOSICION DEROGATORIA

Deróguense todas aquellas competencias o funciones relacionadas con la rectoría, regulación, planificación y control de gobierno electrónico que estuvieren asignadas a otras dependencias de la Función Ejecutiva y que mediante este Decreto son atribuidas a la Secretaría Nacional de la Administración Pública.

DISPOSICION REFORMATORIA

En el Decreto Ejecutivo 726 de 8 de abril del 2011, publicado en el Registro Oficial nº 433 de 25 de abril del 2011, refórmese el artículo 15 modificatorio del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva, suprimiéndose en la letra r) las palabras “y de la Presidencia de la República”.

DISPOSICIONES TRANSITORIAS

PRIMERA

La Secretaría General de la Presidencia actualizará el Plan Nacional de Gobierno Electrónico para la Función Ejecutiva en un plazo de hasta 180 dias.

(Nueva redacción dada por la Disposición reformatoria primera del Decreto Ejecutivo nº 5 de 24 de mayo de 2017)

SEGUNDA

Las entidades de la Función Ejecutiva deberán, en un plazo no mayor a sesenta (60) días, contados a partir de la emisión del presente Decreto, solicitar al Director Nacional de Registro de Datos Públicos, el acceso a la aplicación INFODIGlTAL.

DISPOSICIÓN FINAL

Este Decreto Ejecutivo entrará en vigencia a partir de su publicación en el Registro Oficial y de su ejecución encárguese a la Secretaría Nacional de la Administración Pública y a todas las entidades de la Función Ejecutiva.

Dado en el Palacio Nacional, en Quito, a 20 de noviembre de 2013.

f.) Rafael Correa Delgado, Presidente Constitucional de la República.

Quito 27 de noviembre del 2013, certifico que el que antecede es fiel copia del original.

Documento firmado electrónicamente.

Alexis Mera Giler, Secretario General Jurídico, Secretaría General Jurídica.

22Feb/21

Decreto Ejecutivo nº 5 de 24 de mayo de 2017

Decreto Ejecutivo nº 5 de 24 de mayo de 2017, por el que se suprime la Secretaría Nacional de la Administración Pública y se transfieren al Ministerio de Telecomunicaciones y de la Sociedad de la Información atribuciones respecto a Gestionar la política y directrices emitidas por la gestión de la implementación del gobierno electrónico y desarrollar y coordinar planes, programas o proyectos sobre gobierno electrónico que sean necesarios para su implementación. 

LENÍN MORENO GARCES. PRESIDENTE CONSTITUCIÓNAL DE LA REPÚBLICA

CONSIDERANDO:

Que, el artículo 141 de la Constitución de la República dispone que el Presidente de la República ejerce la Función Ejecutiva, es el Jefe del Estado y de Gobierno y responsable de la administración pública;

Que, los numerales 3, 5 y 6 del artículo 147 de la Constitución de la República del Ecuador establecen las atribuciones del Presidente de la República, entre ellas, dirigir la administración pública en forma desconcentrada y expedir los decretos necesarios para su integración, organización, regulación y control; así como crear, modificar y suprimir los ministerios, entidades e instancias de coordinación;

Que, el artículo 226 de la Constitución de la República del Ecuador dispone que las instituciones del Estado, sus organismos, dependencias, servidores públicos y las personas que actúan en virtud de una potestad estatal, tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución;

Que el artículo 227 de la Constitución de la República del Ecuador determina que la administración pública constituye un servicio a la colectividad que se rige por los principios de   eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación;

Que, el artículo 10 del Código Orgánico de Planificación y Finanzas Públicas señala que la planificación nacional es de responsabilidad y competencia del Gobierno Central y se ejerce a través del Plan Nacional de Desarrollo, así como que, para el ejercicio de esa competencia, el Presidente de la República podrá disponer la forma en que la Función Ejecutiva se organice institucional y territorialmente;

Que,  las  tetras a)  y b) del  artículo 17  de la Ley de Modernización del Estado, Privatizaciones y Prestación de Servicios Públicos por parte de la Iniciativa Privada indican que el Presidente de la República tendrá la facultad de emitir disposiciones normativas de tipo administrativo  dentro  del ámbito del Gobierno Central, para fusionar aquellas entidades públicas que dupliquen Funciones o actividades o que puedan desempeñarse más eficientemente fusionadas; y reorganizar y suprimir entidades públicas cuya naturaleza haya dejado de ser prioritaria para el desarrollo nacional o que no presten una atención eficiente y oportuna a las demandas de la sociedad;

Que, el artículo 40 de la Ley de Modernización del Estado, Privatizaciones y Prestación de Servicios Públicos por parte de la Iniciativa Privada indica que es de competencia exclusiva del Ejecutivo la regulación de la estructura, Funcionamiento y procedimientos de todas sus dependencias y órganos administrativos;

Que, de acuerdo a las letras a), b), f), h) e i) del artículo 11 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva, corresponde al Presidente de la República dirigir y resolver los asuntos superiores fundamentales de la Función Ejecutiva y del Estado Ecuatoriano; orientar los aspectos fundamentales de las actividades de los organismos y entidades que conforman la Función Ejecutiva; adoptar decisiones de carácter general o especifico, según  corresponda, mediante decretos ejecutivos y suprimir, fusionar y reorganizar organismos de la Función Ejecutiva;

Que el artículo 13 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva determina que la Secretaria Nacional de la Administración Pública es una entidad de derecho público, con personalidad jurídica y patrimonio propio, dotada de autonomía presupuestaria, financiera, económica y administrativa;

Que el artículo 15 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva señala las atribuciones y Funciones del Secretario Nacional de la Administración Pública; y,

Que, es necesario organizar de manera óptima las entidades de la Función Ejecutiva, para adecuarlas a los actuales requerimientos Funciónales.

En ejercicio de las facultades y atribuciones que le confieren el artículo 141, numerales 3, 5 y 6 del artículo 147 y, artículos 226 y 227 de la Constitución de la República del Ecuador, artículo 10 del C6digo Orgánico de Planificación y Finanzas Públicas, letras a) y b) del artículo 17 y artículo 40 de la Ley de Modernización del Estado, Privatizaciones y Prestación de Servicios Públicos por parte de la Iniciativa Privada y, las letras a), b), f), h) e i) del artículo 11 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva

DECRETA

Artículo 1

Suprímase la Secretaria Nacional de la Administración Pública.

Artículo 2

En Función de lo dispuesto en el artículo anterior, transfiéranse las atribuciones que le correspondían a la Secretaria Nacional de la Administración Pública previstas en los artículos 13 y 15 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva, a las siguientes entidades:         

1. Secretaria General de la Presidencia de la República

a.  Asesorar y asistir al Presidente de la República en materia de Gobierno, administración y gestión pública;

b.  Emitir políticas generales para la efectiva gestión de la Administración Pública e Imagen Gubernamental;

c.  Coordinar y dar seguimiento a la gestión eficiente y oportuna de la ejecución de los programas y proyectos de interés nacional que sean considerados prioritarios por el Presidente de la República;

d.  Coordinar y realizar las gestiones que el Presidente de la República requiera con los Ministros de Estado y demás Funcionarios del sector público;

e.  Expedir dentro del ámbito de sus competencias, acuerdos, resoluciones, órdenes y disposiciones conforme a la normativa vigente; y,

f.  Expedir acuerdos de autorización de vacaciones, licencias con y sin remuneración, permisos y demás autorizaciones para autoridades de la Función Ejecutiva comprendidas en el grado ocho de la escala del nivel jerárquico superior.

2. Secretaria Nacional de Planificación y Desarrollo

a.  Emitir políticas generales para la innovación y reorganización institucional de la Administración Pública Central, Institucional y otras entidades que dependan de la Función Ejecutiva; y,

b.  Realizar el control técnico y evaluación de la gestión de los planes, programas y proyectos de las entidades de la Administración Pública Central, institucional y que dependen de la Función Ejecutiva, en el marco de sus competencias.

3.  Ministerio de Telecomunicaciones y de la Sociedad de la Información

a.  Gestionar la política y directrices emitidas para la gestión de la implementación del Gobierno electrónico; y,

b.  Desarrollar y coordinar planes, programas o proyectos sobre Gobierno electrónico que sean necesarios para su implementación.

4.  Ministerio de Trabajo

a.  Establecer la metodología para la gestión institucional y herramientas de gestión por procesos y Prestación de servicios públicos de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva;

b.  Promover e impulsar proyectos de excelencia y mejora de la gestión institucional, innovación para la gestión pública, estandarización en procesos de calidad y excelencia, y Prestación de servicios públicos, de las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva;

c. Gestionar las quejas ciudadanas sobre la calidad de los servicios públicos prestados por las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva; y,

d.  Evaluar la gestión en materia de calidad y excelencia de las entidades de la Función Ejecutiva.

DISPOSICIONES GENERALES

PRIMERA

Las partidas presupuestarias y todos los bienes muebles e inmuebles, activos y pasivos, así coma también los derechos y obligaciones constantes en convenios, contratos u otros instrumentos Jurídicos, nacionales o internacionales que le correspondían a la Secretaria Nacional de la Administración Pública pasaran a formar parte del patrimonio institucional de la Presidencia de la República.

SEGÚNDA

Para efectos de implementar el presente Decreto Ejecutivo el Ministerio de Finanzas designara de manera inmediata un Administrador Temporal.

El Administrador Temporal realizará la evaluación del talento humano, de los distintos programas y proyectos y de los bienes muebles e inmuebles de propiedad o que eran utilizados por la Secretaria Nacional de la Administración Pública, bajo cualquier título, a efectos de determinar la procedencia de su traspaso a la Presidencia de la República o a las diferentes entidades de la Función Ejecutiva, según corresponda.

Para el cumplimiento de su mandato, el Administrador Temporal gozará de representación legal, judicial y extrajudicial.

El Administrador Temporal establecerá los puestos respecto de los cuales se procederá a la aplicación de los mecanismos previstos en la Ley Orgánica del Servicio Público, su reglamento de aplicación y demás normativa vigente.

DISPOSICIÓN TRANSITORIA

PRIMERA

La administración temporal se extenderá por un plazo improrrogable de 90 días.

DISPOSICIONES REFORMATORIAS

PRIMERA

Realícese las siguientes reformas al Decreto Ejecutivo nº 149 de 20 de noviembre del 2013, publicado en el Suplemento del Registro Oficial nº 146 de 18 de diciembre de 2013, sobre el Gobierno Electrónico en la Administración Pública:

1. Sustitúyase el artículo 2 por el siguiente:

«Artículo 2.- De la Presidencia de la República.- La Presidencia de la República a través de la Secretaria General de la Presidencia será la entidad rectora en gobierno electrónico de la Función Ejecutiva.

Para la correcta implementación del gobierno electrónico actuará en coordinación con las siguientes entidades ejerciendo las siguientes atribuciones y responsabilidades:

a)  La Presidencia de la República establecerá las políticas y directrices, necesarios para la ejecución y control de la implementación del gobierno electrónico.

b)  El Ministerio de Telecomunicaciones y Sociedad de la Información, emitirá la normativa y lineamientos necesarios para la implementación del Gobierno Electrónico y desarrollará los planes, programas o proyectos sobre gobierno electrónico que sean necesarios para su implementación.”

2. Sustitúyase el artículo 3 por el siguiente:

«Artículo 3.- De la coordinación y colaboración.- Todas las entidades de la Administración Pública Central,  institucional y que dependen de la Función Ejecutiva colaborarán en la generación de los instrumentos que sean necesarios para la aplicación del presente decreto así como para su cabal cumplimiento.»

3. Sustitúyase el artículo 4 por el siguiente

«Artículo 4.- Del acceso.- Toda política, normativa, plan, programa o proyecto de Gobierno Electrónico de las entidades de la Administración Pública Central será considerada información pública y deberá estar disponible y accesible para ciudadanos,  salvo aquella que se estime reservada. El Ministerio de Telecomunicaciones y Sociedad de la Información promoverá la comunicación y difusión de esta información en cumplimiento con lo determinado en la Ley Orgánica de Transparencia y Acceso a la Información Pública (LOTAIP).»

4.  Sustitúyase el artículo 6 por el siguiente:

«Artículo 6.- De la rectoría.- La Presidencia de la República será el ente rector de la gestión pública orientada a la simplificación de trámites y será la encargada de establecer las políticas, lineamientos y normativa necesaria para su ejecución y control, los cuales serán de obligatorio cumplimiento de las instituciones de la Función Ejecutiva.

El Ministerio de Telecomunicaciones y Sociedad de la Información será la institución  encargada de implementar, en conjunto con las entidades correspondientes, el proceso de simplificación de termites entre las instituciones del sector público y las empresas,  establecimientos comerciales o personas jurídicas con el fin de optimizar la tramitología, con base en los lineamientos, políticas y normas que en la materia emita la Presidencia de la República.»

5. Sustitúyase el artículo 9 por el siguiente:

«Artículo 9.- Confirmación del Comité.- El Comité de Simplificación de Trámites Interinstitucionales estará integrado por:

a) El Secretario General de la Presidencia o su delegado;

b) El/la Secretario Nacional de Planificación y Desarrollo o su delegado

c)  Quien presida el Gabinete de la producción o su delegado

d) El/la Ministro/a de Trabajo o su delegado y,

e)  El/la Ministro/a de Telecomunicaciones y de la Sociedad de la Información o su delegado.»

6. Sustitúyase el artículo innumerado añadido a continuación del artículo 9, por el siguiente:

«Artículo – El Secretario General de la Presidencia presidirá el Comité de Simplificación de Trámites Interinstitucionales.”

7. Sustitúyase el literal j) del artículo 10, por el siguiente

“j) Reportar sobre los avances de cada institución en materia de simplificación de trámites.»

8. Sustitúyase el literal j) del artículo 13 por el siguiente:

«j) Las demás que se generen como consecuencia de la aplicación de la política pública de simplificación de trámites y que sean determinadas por la Presidencia de la República o el Comité de Simplificación de Trámites Interinstitucional.»

9. Sustitúyase el artículo 14 por el siguiente:

«Artículo 14.- Planes de simplificación.- Las instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, en el ámbito de sus competencias, simplificaran los tramites que brindan al ciudadano de acuerdo a los lineamientos que emita el Comité de Simplificación de Trámites.»

10. Sustitúyase el contenido de la Disposición General Primera por el siguiente:

«PRIMERA.- Toda política, plan, programa a proyecto de gobierno electrónico de las entidades de la Función Ejecutiva será aprobado por Secretaria General de la Presidencia de la República en forma previa a la priorización realizada por la SENPLADES y demás entidades competentes.»

11. Sustitúyase el contenido de la Disposición General Según da por el siguiente:

«SEGUNDA.- El Ministerio de Telecomunicaciones y Sociedad de la Información gestionará y coordinará la implementación de políticas, planes, programas y proyectos de gobierno electrónico en las instituciones de la administración pública a través de las coordinaciones generales de gestión estratégica y las direcciones de tecnologías de la información dependientes de estas o de quien haga sus veces.»

12. Sustitúyase el contenido de la Disposición Transitoria Primera por el siguiente:

«PRIMERA.- La Secretaria General de la Presidencia actualizara el Plan Nacional de Gobierno Electrónico para la Función Ejecutiva en un plazo de hasta 180 dias.»

SEGÚNDA. – Refórmense el artículo 282 del Reglamento General de la Ley Orgánica del Servicio  Público,  sobre las políticas y metodologías que para regular y evaluar el cumplimiento  de los estándares  de obtención del certificado de calidad,  reformado mediante Disposición Reformatoria Primera de Decreto Ejecutivo nº 106, publicado en Registro Oficial Suplemento 91 de 30 de Septiembre del 2013; al efecto suprímanse en el inciso primero las palabras «la Secretaria Nacional de la Administración Pública» y en su lugar incorpórense las palabras «el Secretario General de la Presidencia».

TERCERA.- Refórmense el artículo 1.1 del Decreto Ejecutivo nº 50, publicado en el Suplemento del Registro Oficial nº 57 de 13 de agosto del 2013, reformatorio del Decreto Ejecutivo nº 798 publicado en el Registro Oficial 485 de 6 de julio de 2011, sobre la conformación  del  Comité  del  Servicio  de  Gestión Inmobiliaria del  Sector Público Inmobiliar y sustitúyase el numeral 1 por el siguiente:

«1. Secretario General de la Presidencia o su delegado quien lo presidirá;»

CUARTA.-  Refórmense la conformación del Directorio del Servicio de Contratación de Obras establecida en el artículo 6.1 del Decreto Ejecutivo nº 49 de 22 de julio del 2013, reformatorio del Decreto Ejecutivo nº 731 publicado en el Suplemento del Registro Oficial nº 430 de 19 de abril de 2011, y sustitúyase por el siguiente:

«1. El Secretaria General de la Presidencia o su delegado, quien lo presidirá y tendrá voto dirimente;

2. El Secretario Nacional de Planificación y Desarrollo o su delegado permanente; Y,

3. El Ministro encargado de la rectoría de las finanzas públicas o su delegado permanente.»

QUINTA.- Modifíquese la conformación del Directorio de la Empresa Coordinadora de Empresas Públicas EP que consta en el artículo 4 del Decreto Ejecutivo 842 publicado en el Suplemento del Registro Oficial nº 647 de 11 de diciembre de 2015 por la siguiente:

«Artículo 4.- El Directorio de la Empresa Coordinadora de Empresas Públicas -EMCO-EP-, estará integrado por:

I. Un delegado del Presidente de la República, quien lo presidirá;

2. Un delegado del Secretario General de la Presidencia;

3. Un delegado del Secretario Nacional de Planificación y Desarrollo.»,

SEXTA.- Transfiérase  las  atribuciones  otorgadas a Ia Secretaria Nacional de la Administración Pública mediante Decreto Ejecutivo nº 1346 publicado en el Registro Oficial nº 830 de 14 de noviembre de 2012 a la Secretaria General de la Presidencia.

DISPOSICIONES DEROGATORIAS

PRIMERA

En el Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva derogase:

a.- Los artículos 13, 14 y 15.

b.- El artículo innumerado añadido luego del artículo 15 mediante Decreto Ejecutivo nº 1332, publicado en Registro Oficial 257 de 25 de Abril del 2006 y reformado por Decreto Ejecutivo nº 1653, publicado en Registro Oficial 324 de 31 de Julio del 2006.

SEGÚNDA

Deróguese Ia Disposición Final Primera del Decreto Ejecutivo nº 726, publicado en el Registro Oficial nº 433 de 25 de abril del 2011.

TERCERA

Deróguense todas las disposiciones que se opongan a lo dispuesto en el presente Decreto Ejecutivo.

DISPOSICION FINAL

De la ejecución del presente Decreto Ejecutivo, que entrara en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial, encárguese a la Presidencia de la República, Secretaria Nacional de Planificación y Desarrollo, Ministerio de Telecomunicaciones y Sociedad de la Información; Ministerio de Trabajo; Ministerio de Finanzas y a la Dirección Nacional de Registro de Datos

Dado en el Palacio Nacional, en Quito, a 24 de mayo de 2017.

Lenín Moreno Garcés. PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA

21Feb/21

Acuerdo Ministerial nº 265-2020-MDT de 13 de diciembre de 2020

Acuerdo Ministerial nº 265-2020-MDT de 13 de diciembre de 2020. Reforma el Acuerdo Ministerial nº 076-2020-MDT de 12 de marzo de 2020.

REPÚBLICA DEL ECUADOR

MINISTERIO DEL TRABAJO

ACUERDO MINISTERIAL nº MDT-2020-265

Abogado Andrés Isch Pérez. MINISTRO DEL TRABAJO

CONSIDERANDO:

Que, el artículo 14 de la Constitución de la República del Ecuador, reconoce: “(…) el derecho de la población a vivir en un ambiente sano y ecológicamente equilibrado, que garantice la sostenibilidad y el buen vivir, sumak kawsay”;

Que, el número 2 del artículo 16 de la Constitución de la República del Ecuador, dispone: “Todas las personas, en forma individual o colectiva, tienen derecho a: (…) 2. El acceso universal a las tecnologías de información y comunicación”;

Que, el artículo 33 de la Constitución de la República del Ecuador, prescribe: “El trabajo es un derecho y un deber social, y un derecho económico, fuente de realización personal y base de la economía. El Estado garantizará a las personas trabajadoras el pleno respeto a su dignidad, una vida decorosa, remuneraciones y retribuciones justas y el desempeño de un trabajo saludable y libremente escogido o aceptado.”;

Que, el número 1 del artículo 154 de la Constitución de la República del Ecuador, señala: “A las ministras y ministros de Estado, además de las atribuciones establecidas en la ley, les corresponde: 1. Ejercer la rectoría de las políticas públicas del área a su cargo y expedir los acuerdos y resoluciones administrativas que requiera su gestión”;

Que, el artículo 226 de la Constitución de la República del Ecuador, dispone: “Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley (…)”;

Que, el artículo 227 de la Constitución de la República del Ecuador, señala: “La administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación”;

Que, el artículo 325 de la Constitución de la República del Ecuador, establece: “El Estado garantizará el derecho al trabajo. Se reconocen todas las modalidades de trabajo, en relación de dependencia o autónomas, con inclusión de labores de autosustento y cuidado humano; y como actores sociales productivos, a todas las trabajadoras y trabajadores”;

Que, el artículo 326, número 2, de la Constitución de la República del Ecuador, determina: “El derecho al trabajo se sustenta en los siguientes principios: (…) 2. Los derechos laborales son irrenunciables e intangibles. Será nula toda estipulación en contrario”;

Que, el artículo 326, número 11, de la Constitución de la República del Ecuador, establece: “El derecho al trabajo se sustenta en los siguientes principios: (…) 11. Será válida la transacción en materia laboral siempre que no implique renuncia de derechos y se celebre ante autoridad administrativa o juez competente. (…)”;

Que, el artículo 389 de la Constitución de la República del Ecuador, prescribe: “El Estado protegerá a las personas, las colectividades y la naturaleza frente a los efectos negativos de los desastres de origen natural o antrópico mediante la prevención ante el riesgo, la mitigación de desastres, la recuperación y mejoramiento de las condiciones sociales, económicas y ambientales, con el objetivo de minimizar la condición de vulnerabilidad (…)”;

Que, el artículo 25 de la Ley Orgánica del Servicio Público regula las jornadas legales de trabajo, pudiendo ser ordinaria o especial;

Que, el artículo 23.1. del Código del Trabajo, establece: “El Ministerio del ramo podrá regular aquellas relaciones de trabajo especiales que no estén reguladas en este Código, de acuerdo a la Constitución de la República”;

Que, el artículo 539 del Código del Trabajo señala que corresponde al Ministerio del Trabajo la reglamentación, organización y protección del trabajo;

Que, el primer inciso del artículo 17 del Estatuto de Régimen Jurídico y Administrativo de la Función Ejecutiva, ERJAFE, determina: “Los Ministros de Estado son competentes para el despacho de todos los asuntos inherentes a sus ministerios sin necesidad de autorización alguna del Presidente de la República, salvo los casos expresamente señalados en leyes especiales”;

Que, a través del Decreto Ejecutivo nº. 1017, de 16 de marzo de 2020, el Presidente de la República del Ecuador declaró el estado de excepción por calamidad pública en todo el territorio nacional, por los casos de coronavirus confirmados y la declaratoria de pandemia de COVID-19 por parte de la Organización Mundial de la Salud, que representan un alto riesgo de contagio para toda la ciudadanía y generan afectación a los derechos a la salud y convivencia pacífica del Estado; y dispuso que el estado de excepción rija durante sesenta días a partir de la suscripción de este decreto ejecutivo;

Que, mediante Decreto Ejecutivo nº 1052, de 15 de mayo de 2020, se renovó por treinta días  el estado de excepción por calamidad pública en todo el territorio nacional, por los casos de coronavirus confirmados y número de fallecidos a causa de la COVID-19 en el Ecuador;

Que, con Decreto Ejecutivo nº 1074, de 15 de junio de 2020, el Presidente Constitucional de  la República del Ecuador declaró el estado de excepción por calamidad pública en todo el territorio nacional, por la presencia de la COVID-19 en el Ecuador y por la emergencia económica sobreviviente a la emergencia sanitaria que atraviesa el Estado ecuatoriano; y dispuso que el estado de excepción rija durante sesenta días a partir de la suscripción del decreto ejecutivo;

Que, mediante Decreto Ejecutivo nº 1091, de 09 de julio de 2020, el Presidente de la  República del Ecuador, licenciado Lenín Moreno Garcés, designó al abogado Andrés Isch Pérez como Ministro del Trabajo;

Que, con Decreto Ejecutivo nº 1126, de 14 de agosto de 2020, el Presidente de la República del Ecuador dispuso la renovación del estado de excepción por calamidad pública, en todo el  territorio nacional, por la presencia de la COVID-19 en el Ecuador, por treinta días a partir de la suscripción del decreto, esto es hasta el 13 de septiembre de 2020;

Que, a través del Acuerdo Ministerial nº 00126-2020, de 11 de marzo de 2020, el Ministerio de Salud Pública declaró estado de emergencia sanitaria en todos los establecimiento del Sistema Nacional de Salud, en los servicios de laboratorio, unidades de epidemiología y control, ambulancias aéreas, servicios médicos y paramédicos, hospitalización y consulta externa por la inminente posibilidad del efecto provocado por el coronavirus (COVID-19), y prevenir un posible contagio masivo en la población;

Que, con Acuerdo Ministerial nº 0000001, de 12 de marzo de 2020, el Ministerio de Gobierno y el Ministerio de Relaciones Exteriores y Movilidad Humana dispusieron medidas de prevención para evitar la propagación de coronavirus (COVID-19);

Que, a través de Acuerdos Ministeriales nº 00009-2020, publicado en el Registro Oficial Edición Especial nº 567 de 12 de mayo de 2020, nº 00024-2020, publicado en el Registro Oficial Edición Especial nº 679 de 17 de junio de 2020; y, nº 0044-2020 de 15 de agosto de 2020, el Ministerio de Salud Pública modificó el plazo de vigencia de la emergencia sanitaria, hasta la expedición del Acuerdo Ministerial nº 00057-2020, publicado en el Registro Oficial Edición Especial nº 1005 de 14 de septiembre de 2020, en el cual dispuso la extensión de la emergencia sanitaria por el lapso de noventa días, esto es hasta el 13 de diciembre de 2020;

Que, mediante Acuerdo Ministerial nº MDT-2020-076, de 12 de marzo de 2020, el Ministerio del Trabajo expidió las “Directrices para la Aplicación de Teletrabajo Emergente Durante la Declaratoria de Emergencia Sanitaria”;

Que, el artículo 2 del citado acuerdo ministerial, determina: “(…) En virtud de la emergencia sanitaria declarada, las directrices del presente acuerdo son de aplicación obligatoria para las instituciones del sector público, de conformidadal artículo 225 de la Constitución de la República del Ecuador; así como, para el sector privado”;

Que, el artículo 6 del acuerdo ministerial ibídem, señala que el teletrabajo podrá culminar por acuerdo de las partes o por finalización de la declaratoria de emergencia sanitaria;

Que, la disposición general primera del acuerdo ministerial ibídem, dispone: “Una vez finalizado el teletrabajo emergente la Unidad de Administración del Talento Humano institucional y/o los empleadores del sector privado, realizarán los informes técnicos correspondientes bajo los cuales implementaron el teletrabajo emergente”;

Que, la letra c) del número 1.1.1.1. del artículo 10 del Estatuto Orgánico de Gestión Organizacional por Procesos, señala como atribución del Ministro del Trabajo: “c) Ejercer la rectoría de las políticas públicas del área a su cargo y expedir los acuerdos y resoluciones administrativas que requiera su gestión”;

Que, según los registros reportados por el sistema de salud pública, los COE nacional y cantonales, el número de contagios por COVID-19 se han incrementado en la población ecuatoriana;

Que, con la finalidad de precautelar la salud de los servidores públicos y trabajadores del sector público, y de los empleados y obreros del sector privado, así como de la ciudadanía en general, es necesario que cada institución desarrolle un programa de retorno progresivo y seguro a las actividades laborales bajo la modalidad presencial, una vez que concluya la emergencia sanitaria generada de la pandemia de COVID-19; de tal forma que, los empleadores del sector público y privado cuenten con un lapso adecuado, a fin de afrontar los problemas logísticos derivados de la reincorporación presencial del personal, así como para efectuar un estudio técnico adecuado del personal que pueda mantenerse en teletrabajo de manera continua y/o prolongada, procurando la continuidad eficiente en las actividades de la institución y/o empresa;

En ejercicio de las atribuciones que le confieren el número 1 del artículo 154 de la Constitución de la República del Ecuador, artículo 539 del Código del Trabajo, artículo 130 del Código Orgánico Administrativo, artículo 17 del Estatuto de Régimen Jurídico y Administrativo de la Función Ejecutiva,

ACUERDA:

REFORMAR EL ACUERDO MINISTERIAL nº MDT-2020-076, DE 12 DE MARZO DE 2020, A TRAVÉS DEL CUAL SE EXPIDIÓ LAS DIRECTRICES PARA LA APLICACIÓN DE TELETRABAJO EMERGENTE DURANTE LA DECLARATORIA DE EMERGENCIA SANITARIA

Artículo 1

Agréguese la disposición transitoria primera, con el siguiente texto:

“PRIMERA.- Extiéndase la vigencia del Acuerdo Ministerial nº MDT-2020-076, expedido el 12 de marzo de 2020, por el lapso de sesenta (60) días a partir de la terminación de la emergencia sanitaria, a fin de que las máximas autoridades institucionales y empleadores del sector privado, a través de las unidades de administración del talento humano o quien hiciere sus veces, analicen la situación del personal y actividades que ejecutan, para confirmar un retorno programado y seguro a la modalidad de trabajo presencial.”

Disposición final

Este acuerdo entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Dado en la ciudad San Francisco de Quito, Distrito Metropolitano, a los 13 días del mes de diciembre de 2020.

21Feb/21

Acuerdo Ministerial nº 076-2020-MDT de 12 de marzo de 2020

Acuerdo Ministerial nº 076-2020-MDT de 12 de marzo de 2020, al objeto de expedir las directrices para la aplicación de Teletrabajo emergente durante la declaración de emergencia sanitaria.

REPÚBLICA DEL ECUADOR MINISTERIO DEL TRABAJO

ACUERDO MINISTERIAL nº MDT-2020-076

Abg. Andrés Vicente Madero Poveda MINISTRO DEL TRABAJO

CONSIDERANDO:

Que, el artículo 14 de la Constitución de la República del Ecuador, reconoce el derecho de la población a vivir en un ambiente sano y ecológicamente equilibrado que garantice la sostenibilidad y el buen vivir;

Que, el numeral 2 del artículo 16 de la Constitución de la República del Ecuador, señala que todas las personas, en forma individual o colectiva, tienen derecho al acceso universal a las tecnologías de información y comunicación;

Que, el numeral 2 del artículo 17 de la Constitución de la República del Ecuador, establece que el Estado fomentará la pluralidad y la diversidad en la comunicación, y al efecto facilitará el acceso universal a las tecnologías de información y comunicación en especial para las personas y colectividades que carezcan de dicho acceso o Jo tengan de forma limitada;

Que, el artículo 33 de la Constitución de la República del Ecuador, establece que el trabajo es un derecho, un deber social y un derecho económico, fuente de realización personal y base de la economía, siendo el Estado el que garantizará a las personas trabajadoras el pleno respeto a su dignidad, una vida decorosa, remuneraciones y retribuciones justas y el desempeño de un trabajo saludable y libremente escogido o aceptado;

Que, el numeral 1 del artículo 154 de la Constitución de la República del Ecuador, establece que corresponde a las ministras y ministros de Estado expedir los acuerdos y resoluciones administrativas que requieran para el ejercicio de su gestión;

Que, la Constitución de la República del Ecuador, en su artículo 226 establece que las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley. Tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución;

Que, el artículo 227 de la Constitución de la República del Ecuador, establece que la administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación;

Que, el numeral 6 del artículo 284 de la Constitución de la República del Ecuador, dispone que la política económica del Estado ecuatoriano tiene el objetivo de impulsar el pleno empleo y valorar todas las formas de trabajo, con respeto a los derechos laborales;

Que, el artículo 325 de la Constitución de la República del Ecuador, establece que el Estado garantizará el derecho al trabajo; reconociendo todas las modalidades de trabajo, en relación de dependencia o autónomas, con inclusión de labores de autosustento y cuidado humano; y como actores sociales productivos, a todas las trabajadoras y trabajadores;

Que, el numeral 2 del artículo 326 de la Constitución de la República del Ecuador, establece que los derechos laborales son irrenunciables e intangibles, siendo nula toda estipulación en contrario;

Que, el numeral 1 1 del artículo 326 de la Constitución de la República del Ecuador, establece que será válida la transacción en materia laboral siempre que no implique renuncia de derechos y se celebre ante autoridad administrativa o juez competente;

Que, el artículo 389 de la Constitución de la República del Ecuador, señala que es obligación del Estado proteger a las personas, las colectividades y la naturaleza frente a los efectos negativos de los desastres de origen natural o antrópico mediante la prevención ante el riesgo, la mitigación de desastres, la recuperación y mejoramiento de las condiciones sociales, económicas y ambientales, con el objetivo de minimizar la condición de vulnerabilidad;

Que, el artículo 23 de la Ley Orgánica del Servicio Público, determina los derechos irrenunciables de las y los servidores públicos;

Que, el artículo 25 de la Ley Orgánica del Servicio Público, regula las jornadas legales de trabajo pudiendo estas ser Ordinaria y Especial;

Que, en este sentido, el Código del Trabajo, en su artículo 23.1, agregado por la disposición reformatoria quinta, numeral 4 del Código Orgánico de la Producción , señala que el Ministerio del ramo podrá regular aquellas relaciones de trabajo especiales que no se encuentren reguladas en ese Código, de acuerdo a la Constitución de la República del Ecuador;

Que, el artículo 539 del Código del Trabajo, señala que corresponde al Ministerio del Trabajo la reglamentación, organización y protección del trabajo;

Que, mediante Decreto Ejecutivo nº 818, de 3 de julio de 2019, publicado en el Registro Oficial Suplemento nº 534, de 19 de ju lio de 20 19, el Presidente Constitucional de la República del Ecuador, licenciado Lenin Moreno Garcés, designó al abogado Andrés Vicente Madero Poveda como Ministro del Trabajo;

Que, mediante Acuerdo Ministerial nº 00126-2020, de 11 de marzo de 2020, el Ministerio de Salud Pública declara el Estado de Emergencia Sanitaria en todos los establecimientos del Sistema Nacional de Salud, en los servicios de laboratorio, unidades de epidemiología y control, ambulancias aéreas, servicios médicos y paramédicos , hospitalización y consulta externa por la inminente posibilidad del efecto provocado por el coronavirus (COVID-19), y prevenir un posible contagio masivo en la población;

Que, mediante Acuerdo Interministerial nº 0000001, de 12 de marzo de 2020, el Ministerio de Gobierno y el Ministerio de Relaciones  Exteriores y Movilidad Humana dispusieron medidas de prevención para evitar la propagación de coronavirus (COVID-19);

Que, es necesario generar medidas adicionales de prevenc1on a fin de que las y los servidores públicos y trabajadores, puedan cumplir sus actividades utilizando modalidades y mecanismos que velen por el derecho supremo a la salud y la vida colaborando con las medidas sanitarias establecidas dentro de la emergencia sanitaria declarada, para mitigar la propagación de coronavirus (COVID-19), y a la par evitando situaciones económicas que deterioren el empleo;

Que, es necesario establecer alternativas laborales de carácter no presencial a través teletrabajo emergente, las cuales constituirán mecanismos que faciliten a la o el servidor público y trabajadores, la ejecución de sus actividades desde un lugar distinto al habitual; y,

En ejercicio de las atribuciones que le confiere el numeral 1 del artículo 154 de la Constitución de la República del Ecuador, artículo 539 del Código del Trabajo, artículo 130 del Código Orgánico Administrativo y el artículo 17 del Estatuto de Régimen Jurídico Administrativo de la Función Ejecutiva,

ACUERDA:

EXPEDIR LAS DIRECTRÍCES PARA LA APLICACIÓN DE TELETRABAJO EMERGENTE DURANT E LA DECLARATORIA DE EMERGENCIA SANITARIA.

Artículo 1.- Del objeto

El objeto del presente acuerdo es viabilizar y regular la aplicación de teletrabajo emergente durante la declaratoria de emergencia sanitaria por coronavirus (COVID-19).

Artículo 2.- Del ámbito

En virtud de la emergencia sanitaria declarada, las directrices del presente acuerdo son de aplicación para las instituciones del sector público, de conformidad con el artículo 225 de la Constitución  de la República del Ecuador; así como, para el sector privado.

Artículo 3.- De la adopción de teletrabajo emergente

A fin de garantizar la salud de los trabajadores y servidores públicos, durante la emergencia sanitaria declarada; será potestad de la máxima autoridad institucional del sector público y/o del empleador del sector privado adoptar la implementación de teletrabajo emergente.

Artículo 4.- De la implementación de teletrabajo emergente

Es la prestación de servicios de carácter no presencial en jornadas ordinarias o especiales de trabajo, a través de la cual la o el servidor público o la o el trabajador realiza sus actividades fuera de las instalaciones en las que habitualmente desarrolla sus actividades laborales.

La implementación de teletrabajo emergente en relaciones contractuales existentes, modifica únicamente el lugar en que se efectúa el trabajo, sin afectar ni alterar las condiciones esenciales de la relación laboral, por tanto no vulnera derechos y no constituye causal de terminación de la relación de trabajo.

Durante la emergencia sanitaria declarada, el teletrabajo emergente tanto para el sector público como para el privado se aplicará de la siguiente manera:

a) La máxima autoridad institucional del sector público o empleador del sector privado, autorizará prestar sus servicios desde fuera de las instalaciones habituales de trabajo precautelando la prestación y operatividad de servicios.

b) Corresponde a la máxima autoridad institucional del sector público o al empleador del sector privado; o sus delegados, establecer directrices, controlar y monitorear las actividades que la o el teletrabajador emergente ejecute durante la emergencia sanitaria declarada.

c) La o el teletrabajador emergente será responsable del cuidado y custodia de las herramientas y/o equipos para el desarrollo del teletrabajo emergente que le sean provistos.

d) La o el teletrabajador emergente es responsable de la custodia y confidencialidad de la información, que será exclusivamente utilizada para la ejecución del trabajo.

e) Para la implementación e inicio del teletrabajo emergente, solo será necesario el registro descrito en el siguiente artículo.

Los servidores públicos y trabajadores a los cuales la autoridad competente les disponga aislamiento como medida de prevención para evitar el contagio, se acogerán al teletrabajo emergente.

Artículo 5.- Del registro de teletrabajo emergente

Para el sector público la Unidad de Administración del Talento Humano institucional deberá remitir al correo electrónico [email protected], el formulario de registro de teletrabajadores emergentes disponible en nuestra página web http://www.trabajo.gob.ec/registro-4/

Para los empleadores del sector privado, el registro lo deberán realizar en la plataforma SUT (Sistema Único de Trabajo), editando el registro vigente de cada trabajador.

Con la información remitida, el Ministerio de Trabajo realizará el registro de los servidores públicos y trabajadores que se acogieron a esta modalidad.

Artículo 6.- De la terminación de teletrabajo emergente: El teletrabajo emergente podrá culminar por:

a)            Acuerdo de las partes.

b)           Finalización de la declaratoria de emergencia sanitaria.

DISPOSICIONES GENERALES

PRIMERA

Una vez finalizado el teletrabajo emergente Ja Unidad de Administración del Talento Humano institucional y/o los empleadores del sector privado, realizarán los informes técnicos correspondientes bajo los cuales implementaron el teletrabajo emergente.

SEGUNDA

Al iniciar y finalizar el teletrabajo emergente la Unidad de Administración del Talento Humano institucional y/o los empleadores del sector privado comunicarán a los servidores y trabajadores que se encuentran bajo este mecanismo laboral.

TERCERA

Observando las medidas sanitarias dispuestas por el ente rector de salud pública, durante la emergencia sanitaria declarada todas las instituciones del sector público deberán garantizar la provisión de los servicios públicos, la prestación de servicios de salud y velar por la seguridad de la ciudadanía incluyendo el control de pasos fronterizos, terminales aéreos, terrestres y portuarios.

DISPOSICIÓN FINAL

La presente norma técnica entrará en vigencia a partir de su suscripción sin perjuicio de su publicación en el Registro Oficial.

Dado en la ciudad de San Francisco de Quito, Distrito Metropolitano, 12 marzo 2020.

Abg. Andrés Vicente Madero Poveda. Ministro del Trabajo

20Feb/21

Acuerdo Interministerial nº 0001 de 17 de abril de 2018

Acuerdo Interministerial nº 0001 de 17 de abril de 2018, mediante el cual expidieron las directrices para las instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, a fin de garantizar el uso eficiente de la infraestructura tecnológica que soportan los servicios entregados a los ciudadanos en las mencionadas instituciones. 

Acuerdo Interministerial nº 0001

Ec. Andrés lván Mideros Mora. SECRETARIO GENERAL DE LA PRESIDENCIA DE LA REPÚBLICA

Lic. Etzon Enrique Romo Torres. SJECRETARIO NACIONAL DE PLANIFICACIÓN Y DESARROLLO

Ing. Guillermo León Santacruz. MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN

CONSIDERANDO:

Que, el artículo 154 de la Constitución de la República del Ecuador, confiere a las ministras y · ministros de Estado, además de las atribuciones establecidas en la ley, la rectoría de las políticas públicas del área a su cargo, facultad que se instrumenta a través de la expedición de acuerdos y resoluciones administrativas que requiera su gestión;

Que, el artículo 226 de la Constitución de la República del Ecuador, determina que, es deber de las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal, coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución

Que, el artículo 227 de la Norma Fundamental, determina que la Administración Pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación;

Que, el artículo 313 de la Constitución de la República dispone que, se consideran sectores estratégicos la energía en todas sus formas, las telecomunicaciones, los recursos naturales no renovables, el transporte y la refinación de hidrocarburos, la biodiversidad y el patrimonio genético, el espectro radioeléctrico, el agua, y los demás que determine la ley;

Que, el artículo 315 de la Constitución de la República señala que, el Estado constituirá empresas públicas para la gestión de sectores estratégicos, la prestación de servicios públicos, el aprovechamiento sustentable de recursos naturales o de bienes públicos y el desarrollo de otras actividades económicas;

Que, el artículo 26 del Código Orgánico de Planificación y Finanzas Públicas, determina como atribución de la Secretaría Nacional de Planificación y Desarrollo, dirigir el Sistema Nacional de      Información con el fin de integrar, compatibilizar y consolidar la información relacionada al Sistema Nacional Descentralizado de Planificación Participativa;

Que, conforme el numeral 8 del artículo 2 de la Ley Orgánica del Sistema Nacional de Contratación Pública, se someterán a la normativa específica que para el efecto dicte el Presidente de la República en el reglamento general a la ley, bajo criterios de selectividad, los procedimientos precontractuales de las siguientes contrataciones: 8. Los que celebren el Estado con entidades del sector público, estas entre sí, o aquellas con empresas públicas o empresas cuyo capital suscrito pertenezca, por lo menos en el cincuenta (50%) por ciento a entidades ele derecho público o sus subsidiarias; y las empresas entre sí;

Que, los artículos 98 y 99 del Reglamento General a la Ley Orgánica del Sistema Nacional de Contratación Pública, establecen el procedimiento para contrataciones entre entidades públicas o sus subsidiarias;

Que, mediante Decreto Ejecutivo nº 8 de 13 de agosto del 2009, publicado en el Registro Oficial nº 10 de 24 de agosto del mismo año, se creó el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como órgano rector del desarrollo de las tecnologías de la información y comunicación;

Que, mediante Decreto Ejecutivo 1384, de 13 de diciembre de 2012, publicado en el Suplemento del Registro Oficial nº 860, de 02 de enero de 2013, la Presidencia de la República dispuso el desarrollo  de  la  interoperabilidad  gubernamental  de todas  las  entidades  de  la Administración Central, dependiente e institucional para compartir e intercambiar entre ellas, por medio de las tecnologías de la información y comunicación, datos e información electrónicos que son necesarios en la prestación de los trámites y servicios ciudadanos que prestan las entidades, así como en la gestión interna e interinstitucional;

Que, mediante Decreto Ejecutivo nº 1515, de 15 de mayo de 2013, publicado en el Suplemento del Registro Oficial nº 5, de 31 de mayo de 2013, se expidieron las Disposiciones de Contratación para la Adquisición y Arrendamiento, de Bienes y la Prestación de Servicios, Relacionadas con el Cumplimiento del Principio de Vigencia Tecnológica;

Que,   mediante  el  numeral   1 del  artículo  2 del  Decreto  Ejecutivo 005 de 24  de mayo  de 2017, se transfirió  a la  Secretaría General  de la  Presidencia  de la República  varias  de las atribuciones  que  le correspondían  a la  Secretaría  Nacional  de  la Administración  Pública,  sobre todo  aquellas  previstas en los artículos 13  y  15 del Estatuto del  Régimen Jurídico y   Administrativo de la Función Ejecutiva, entre las que se encuentra la de emitir políticas  generales para la efectiva gestión de la Administración Pública y expedir, dentro del  ámbito  de sus competencias, acuerdos, resoluciones, órdenes y disposiciones conforme a la normativa  vigente;

Que, el numeral 3 del artículo 2 del Decreto Ejecutivo 005 de 24 de mayo de 2017, transfirió al Ministerio de Telecomunicaciones y de la Sociedad de la Información varias de las atribuciones que le correspondían a la Secretaría Nacional de la Administración Pública, previstas en los artículos 13 y 15 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva, entre estas, la de gestionar la política y directrices emitidas para la implementación del gobierno electrónico;

Que, el numeral 2 del artículo 2 del Decreto Ejecutivo 005 de 24 de mayo de 2017, transfirió a la Secretaría Nacional  de Planificación y Desarrollo varias de las atribuciones que le correspondían a la Secretaría Nacional de la Administración Pública, respecto de aquellas previstas en los artículos 13 y 15 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva, entre estas, la de emitir políticas generales para la innovación y reorganización  institucional de la Administración Pública Central, Institucional y otras entidades de dependan de la Función Ejecutiva;

Que, mediante Acuerdo Ministerial nº 141, de 21 de abril de 2011, publicado en el Registro Oficial nº 459, de 31 de mayo de 2011, el entonces Ministro de Telecomunicaciones y Sociedad de la Información dispuso que, aquellas entidades del sector público, que requieran servicios de telecomunicaciones, realicen sus contrataciones con empresas públicas que brinden dichos servicios;

Que, mediante Acuerdo Ministerial 166, de 19 de septiembre de 2013, publicado en el Suplemento del Registro Oficial nº 88, de 25 de septiembre de 2013, la Secretaría Nacional de la Administración Pública, dispuso a las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva el uso obligatorio de las Normas Técnicas Ecuatorianas NTEINEN-ISO/IEC 27000 para la Gestión de Seguridad de la Información;

Que, mediante Oficio nº SNAP-SNADP-2016-000169-0 del 5 de abril de 2016, la Secretaría Nacional de la Administración Pública, dispuso a las entidades del sector público, el cumplimiento y adopción de medidas de eficiencia en el uso de recursos;

Que, mediante Decreto Ejecutivo nº 1425, publicado en el Registro Oficial Suplemento 5 de 1 de junio de 2017, señala que el Ministerio de Telecomunicaciones y Sociedad de la Información, será el ente regulador en materia de Gobierno Electrónico para las entidades que conforman el sector público;

Que, mediante Decreto Ejecutivo nº 163, publicado en el Registro Oficial Suplemento 97 de 11 de Octubre del 2017, dispuso que todo programa o proyecto de gobierno electrónico que corresponda a las entidades de la Función Ejecutiva deberá ser aprobado por el Ministerio de Telecomunicaciones y Sociedad de la Información, en forma previa a la priorización realizada por la SENPLADES y demás entidades competentes;

Que, mediante Acuerdo nº SNPD-007-201 8, publicado en la Edición Especial del Registro Oficial nº 311 de 18 de enero de 2018, la Secretaría Nacional de Planificación y Desarrollo, expidió Ja Norma técnica para la Transferencia de Datos e Información al Sistema Nacional de Información;

Que, mediante Decreto Ejecutivo nº 250 de 22 de diciembre del 2017, publicado en el Suplemento del Registro Oficial nº 158 de 11 de enero del 2018, se designó al Ec. Andrés Iván Mideros Mora como Secretario General de la Presidencia de la República;

Que, mediante Decreto Ejecutivo nº 250, suscrito el 22 de diciembre de 2017, publicado en el Registro Oficial nº 158 de 11 de enero de 2018, se designó al señor Etzon Romo Torres como Secretario Nacional de Planificación y Desarrollo;

Que, mediante Decreto Ejecutivo nº 8 de 24 de mayo del 2018, publicado en el Segundo Suplemento del Registro Oficial nº 16 de junio de 2017, se designó al Ing. Guillermo Hernando León Santacruz como Ministro de Telecomunicaciones y de la Sociedad de la Información;

Que, de acuerdo a los resultados de la encuesta realizada en el mes de agosto del año 2017 por la Secretaría Nacional de Planificación y Desarrollo, sobre la situación de la infraestructura tecnológica que soporta los servicios entregados a los ciudadanos en las instituciones de la Administración Pública Central y Dependiente de la Función Ejecutiva (APCID), se evidenció que existe un alto porcentaje de la infraestructura que está llegando a la pérdida de su vigencia tecnológica y/o obsolescencia, o que operan sin las garantías técnicas y soportes respectivos;

Que, es necesario garantizar el uso eficiente de la infraestructura tecnológica que soporta los servicios entregados a los ciudadanos en las instituciones de la Administración Pública Central, Institucional y que depende de la Función Ejecutiva (APCID), verificando su vigencia tecnológica; y,

En ejercicio de las atribuciones que les confiere el artículo 154 de la Constitución de la República del Ecuador; y, el artículo 2 del Decreto Ejecutivo 005 de 24 de mayo de 2017,

ACUERDAN:

Artículo 1

Disponer a todas las instituciones de la Administración Pública Central, Institucional y que depende de la Función Ejecutiva el cumplimiento de las directrices contenidas en este Acuerdo, en concordancia con la normativa legal y reglamentaria vigente.

Artículo 2. Procesos de contratación relacionados con infraestructura tecnológica.

Con la finalidad de precautelar la continuidad y disponibilidad de la información para los procesos de planificación nacional, las entidades, instituciones y organismos de la Administración Pública Central, Institucional y que depende  de la Función Ejecutiva, previo al proceso de contratación pública de la infraestructura deberán considerar los lineamientos  de  vigencia  tecnológica establecidos para el efecto, de manera especial, las contenidas en el Decreto Ejecutivo nº 1515, de 15 de mayo de 2013 , publicado en el Suplemento del Registro Oficial nº 5, de 31 de mayo de 2013.

Artículo 3. Procesos de contratación de tecnologías de información y comunicación. 

Las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, previo al proceso de contratación pública de tecnologías de información y comunicación relacionados con gobierno electrónico, deberán contar con la aprobación del Ministerio de Telecomunicaciones y de la Sociedad de la Información; y, para dar cumplimiento a esta disposición, el Servicio Nacional de Contratación Pública exigirá dicha aprobación e implementará los controles necesarios.

Artículo 4. Ejecución contractual de procesos de tecnologías de información y comunicación. Con el fin de verificar el cumplimiento del alcance aprobado por el Ministerio de Telecomunicaciones y de la Sociedad de la Información, las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, deberán informar a este ministerio, sobre la ejecución contractual de estos procesos, cuando esta entidad lo solicite.

Artículo 5. Servicios de telecomunicaciones. 

Las  instituciones  y  organismos de la Administración Pública Central, Institucional y que depende de la Función Ejecutiva, que requieran la contratación de servicios de telecomunicaciones tales como: telefonía fija, servicio móvil avanzado, enlaces de datos; servicios de valor agregado como el servicio de internet  y  otros servicios vinculados con este ámbito como: servicios cloud y  housing, realizarán dicha contratación, con una empresa pública de telecomunicaciones, aplicando lo establecido en la Ley Orgánica del Sistema Nacional de Contratación Pública y su reglamento general; así como en cumplimiento de Jo dispuesto en del Acuerdo Ministerial n 141, de 21 de abril de 2011, publicado en el Registro Oficial nº 459, de 31 de mayo de 2011.

Artículo 6. Pérdida de vigencia tecnológica u obsolescencia.

Las instituciones que posean sistemas de información operando en infraestructura que han perdido vigencia tecnológica y/o estén llegando a su obsolescencia, deberán ser transferidos a los servicios del Centro Nacional de Datos establecido por el ente rector de las telecomunicaciones para garantizar la continuidad y disponibilidad de información, en adopción de medidas de eficiencia en el uso de recursos, conforme lo requerido en el Oficio nº SNAP-SNADP-2016-000169-0 del 5 de abril de 2016.

Artículo 7. Información para la planificación.

Las entidades, instituciones y organismos de la Administración Pública Central, Institucional y que depende de la Función Ejecutiva, para el intercambio y transferencia de información para la planificación, deberán utilizar las normas y directrices establecidas en la Norma Técnica para la Transferencia de Datos e Información al Sistema Nacional de Información, emitida por la Secretaría Nacional de Planificación y Desarrollo y mediante Acuerdo nº SNPD-007-2018,  publicado el 18 de enero de 2018.

Artículo 8. Procesos de interoperabilidad.

Para los casos que corresponda la aplicación de procesos de interoperabilidad gubernamental se deberá aplicar la norma vigente, de manera especial las contenidas en el Decreto Ejecutivo 1384, de 13 de diciembre de 2012, publicado en el Suplemento del Registro Oficial nº 860, de 02 de enero de 2013.

Artículo 9. Canales de comunicación.

Los canales de comunicación de datos que se usarán para el intercambio de información para la planificación nacional deberán formar parte de la Red Nacional Gubernamental establecida por el ente rector de telecomunicaciones. Por lo tanto se dispone a las entidades de la Administración Pública Central y Dependiente de la Función Ejecutiva que aún no forman parte de la Red Nacional Gubernamental, deberán realizar las gestiones necesarias con la empresa pública de telecomunicaciones, con el objeto de que los servicios de datos e internet se consuman a través de la Red Nacional Gubernamental.

Artículo 10. Gestión de seguridad de la información.

Con el fin de aplicar medidas que permitan resguardar y proteger la información, las entidades de la Administración Pública Central y Dependiente de la Función Ejecutiva deberán cumplir el Esquema Gubernamental de Seguridad de Información vigente, de manera especial lo constante en el  Acuerdo Ministerial 166, de 19 de septiembre de 2013, expedido por la Secretaría Nacional  de la Administración  Pública, publicado en el Suplemento del Registro Oficial nº 88, de 25 de septiembre de 2013; o aquella normativa , emitida por el ente rector de las telecomunicaciones.

Artículo 11. De la gestión de datos.

Las entidades del sector público que gestionen la información para la planificación deberán considerar el ciclo de vida de los datos, para lo cual deberán aplicar las normativas y estándares generados por las instituciones rectoras del sistema estadístico y geográfico nacional.

DISPOSICIÓN FINAL

El presente Acuerdo Interministerial, entrará en vigencia a partir de la fecha de suscripción, sin perjuicio de su publicación en el Registro Oficial, la cual estará a cargo de la Secretaría General de la Presidencia de la República.

CÚMPLASE Y COMUNÍQUESE. –

Dado y firmado en el despacho de la Secretaría General de la Presidencia de la República, en la ciudad de San Francisco de Quito Distrito Metropolitano a 17 de abril de 2018.

Fdo. EC. Andrés Iván Mideros Mora. SECRETARIO GENERAL DE LA PRESIDENCIA DE LA REPÚBLICA

Fdo. Lic. Etzon Enrique Romo Torres. SECRETARIO NACIONAL DE PLANIFICACIÓN Y DESARROLLO

Fdo. Ing. Guillermo León Santacruz. MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACION

Oficio nº PR-DAJ-2018-0013-0

Quito, D.M., 19 de abril de 2018

Asunto: Notificación Acuerdo Interministerial nº 0001 de 12 de abril de 2018

Señora Tecnóloga. Mara Isabel Villalba Vanegas. Asesora de Despacho Ministerial.                                                  MINISTERIO   DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN.                    En su Despacho

De mi consideración:

Mediante Acuerdo Interministerial nº 0001 de 12 abril de 2018, suscrito por el Ec. Andrés Iván Mideros Mora, Secretario General de la Presidencia de la República, Lic. Etzon Enrique Romo Torres, Secretario Nacional de Planificación y Desarrollo, e lng. Guillermo León Santacruz, Ministro de Telecomunicaciones y de la Sociedad de la Información, mediante el cual expidieron las Directrices para las instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, a fin de garantizar el uso eficiente de la infraestructura tecnológica que soporta los servicios entregados a los ciudadanos en las mencionadas instituciones , verificando su vigencia tecnológica , notifico a usted con el contenido del mencionado documento que entra en vigencia a partir de la fecha de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Adjunto un ejemplar del Acuerdo Interministerial nº 0001 de 12 de abril de 2018.

Particular que pongo en su conocimiento para los fines pertinentes.

Con sentimientos de distinguida consideración.

Atentamente,

DIOS, PATRIA Y LIBERTAD

Fdo. María José Proaño Navarrete. DIRECTORA DE ASESORÍA JURÍDICA

20Feb/21

Decreto Ejecutivo nº 372, de 19 de abril del 2018

Decreto Ejecutivo nº 372, de 19 de abril del 2018, publicado en el Registro Oficial nº 234, del 4 de mayo de 2018, se declara como política de Estado la mejora  regulatoria y la simplificación administrativa y de trámites a fin de asegurar una adecuada gestión gubernamental , mejorar la calidad de vida de la población, fomentar la competitividad y el emprendimiento, propender a la eficiencia en la economía y garantizar la seguridad jurídica.

Decreto Ejecutivo 372, publicado en Registro Oficial Suplemento 234 de 4 de Mayo de 2018.

Lenín Moreno Garcés. PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA

Considerando:

Que, el artículo 52 de la Constitución de la República establece que las personas tienen derecho a disponer de bienes y servicios de óptima calidad y a elegirlos con libertad, así como una información precisa y no engañosa sobre su contenido y características;

Que, el artículo 53 de la Constitución de la República establece que las empresas, instituciones y organismos que presten servicios públicos deberán incorporar sistemas de medición de satisfacción de las personas usuarias y consumidoras, y poner en práctica sistemas de atención y reparación;

Que, el numeral 25 del artículo 66 de la Constitución de la República reconoce y garantiza a las personas el derecho de acceder a bienes y servicios públicos y privados de calidad, con eficiencia, eficacia y buen trato, así como a recibir información adecuada y veraz sobre su contenido y características;

Que, el artículo 82 de la Constitución, preceptúa que, el derecho a la seguridad jurídica se fundamenta en el respeto a la Constitución y en la existencia de normas jurídicas previas, claras, públicas y aplicadas a las autoridades competentes;

Que, el artículo 277 de la Constitución, prescribe como deberes generales del Estado para la consecución del buen vivir, entre otros: «1. Garantizar los derechos de las personas, las colectividades y la naturaleza; 4. Producir bienes, crear y mantener infraestructura y proveer servicios públicos; 5. Impulsar el desarrollo de las actividades económicas mediante un orden jurídico e instituciones públicas que las promuevan, fomenten y defiendan mediante el cumplimiento de la Constitución y la ley»;

Que, el artículo 227 de la Constitución de la República determina que la administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación;

Que, el Objetivo 7 del Plan Nacional de Desarrollo 2017-2021 apunta al incentivo de una sociedad participativa, con un Estado cercano al servicio de la ciudadanía y, plantea como políticas:

7.4 Institucionalizar una administración pública democrática, participativa, incluyente, intercultural y orientada hacia la ciudadanía, basada en un servicio meritocrático profesionalizado que se desempeñe en condiciones dignas;

7.5 Consolidar una gestión estatal eficiente y democrática, que impulse las capacidades ciudadanas e integre las acciones sociales en la administración pública;

7.6 Mejorar la calidad de las regulaciones y mejorar la calidad de las regulaciones y simplificación de trámites para aumentar su efectividad en el bienestar económico y social y,

7.9 Promover la seguridad jurídica y la defensa técnica del Estado;

Que, la disposición transitoria quinta del Código Orgánico Administrativo dispone que en el plazo de dos años contado s a partir de la fecha de su publicación, las entidades u órganos responsables del diseño de procesos dentro de la correspondiente administración pública, pondrán a disposición de la máxima autoridad administrativa, un estudio de reingeniería de los procedimientos administrativos dirigidos a cumplir de manera general a la simplificación de trámites;

Que, mediante Decreto Ejecutivo 252 de 22 de diciembre de 2017, se declaró como política de Estado la atracción y promoción de inversiones;

Que, mediante Decreto Ejecutivo nº 149, publicado en el Suplemento del Registro Oficial nº 146 de 18 de diciembre de 2013, se emitieron disposiciones respecto de la implementación del gobierno electrónico y simplificación de trámites en la Administración Pública; y,

En ejercicio de las facultades y atribuciones que le confieren los numerales 3, 5 y 6 del artículo 147 de la Constitución de la República y los literales a), b) y f) del artículo 11 del Estatuto de Régimen Jurídico Administrativo de la Función Ejecutiva.

Decreta:

Artículo 1

Se declara como política de Estado la mejora regulatoria y la simplificación administrativa y de trámites a fin de asegurar una adecuada gestión gubernamental, mejorar la calidad de vida de la población, fomentar la competitividad y el emprendimiento, propender a la eficiencia en la economía y garantizar la seguridad jurídica.

Artículo 2

Son fines de la mejora regulatoria y la simplificación de administrativa y de trámites los siguientes:

a. Garantizar los derechos, el bien común y mejorar la calidad de vida del ciudadano en sus relaciones con el sector público;

b. Garantizar la seguridad jurídica, mejorar el entorno regulatorio de la Administración Pública y fortalecer la confianza de los ciudadanos frente a la institucionalidad pública y privada;

c. Mejorar el clima de negocios e inversiones, promover la innovación e impulsar la economía popular y solidaria y, el emprendimiento de pequeñas y medianas empresas, reduciendo la imposición de costos y cargas administrativas;

d. Establecer estrategias y acciones que faciliten y mejoren el desarrollo de las actividades económicas mediante políticas que aseguren la calidad regulatoria y la simplificación administrativa y de trámites;

e. Reducir la carga regulatoria y los costos de su cumplimiento a través de análisis de impacto, costo beneficio, decisiones basadas en evidencia y datos, el uso, interconexión e integración de plataformas tecnológicas, así como la participación de actores interesados, entre otros;

f. Fomentar capacidades internas y externas para gestionar los procesos de mejora regulatoria y simplificación administrativa y de trámites;

g. Propender al ahorro fiscal y, eliminar la burocracia y cargas burocráticas innecesarias; y,

h. Agilizar la prestación de servicios públicos y fomentar el uso y convergencia de plataformas tecnológicas.

Artículo 3

Las entidades de la Administración Pública Central, Institucional, y entidades que dependen de la Función Ejecutiva están obligadas a implementar procesos de mejora regulatoria y simplificación administrativa y de trámites, los mismos que deben estar orientados a:

a. Simplificar los procedimientos administrativos y reducir al mínimo indispensable los requisitos y exigencias a los ciudadanos en su relación con la Administración Pública;

b. Suprimir los trámites, requisitos y procedimientos que conlleven costos de transacción y cumplimiento injustificados, innecesarios y redundantes, aquellos que hagan menos eficiente el funcionamiento de la Administración Pública y las actividades de sus destinatarios, así como los que se sujeten exclusivamente a la discrecionalidad de los servidores públicos;

c. Llevar a cabo un levantamiento sistemático y permanente de los trámites y procedimientos administrativos de su institución, así como su actualización;

d. Simplificar los procedimientos para el cumplimiento de los trámites por parte de los ciudadanos; y,

e. Implementar el uso progresivo de herramientas tecnológicas.

La simplificación de trámites debe vincular la evaluación ex ante de las regulaciones, su revisión ex post y su actualización gradual.

Artículo 4

Las entidades de la Administración Pública Central, Institucional, y entidades que dependen de la Función Ejecutiva para proceder con la creación de un nuevo trámite o procedimiento administrativo deberán observar de manera obligatoria lo siguiente:

a. Justificar que la creación del nuevo trámite o requisito administrativo sea indispensable y no genere cargas o costos innecesarios a través de un análisis de costo- beneficio e impacto regulatorio.

b. Todo trámite o carga administrativa debe ser creado por acto normativo, ser publicado en la página web de la institución junto con el análisis técnico y jurídico que lo sustenta, de conformidad con este Decreto y normas técnicas aplicables y, deberá ser notificado a la Secretaría General de la Presidencia de la República.

Para que el nuevo trámite o carga administrativa sea exigible a los administrados, el acto normativo correspondiente deberá ser publicado en el Registro Oficial.

Artículo 5

Las entidades de la Administración Pública Central, Institucional, y entidades que dependen de la Función Ejecutiva, en el ámbito de sus competencias, elaborarán sus respectivos planes institucionales de simplificación administrativa y de trámites de acuerdo a los lineamientos, normativa, instrumentos, mecanismos y herramientas que para el efecto emita la Secretaría General de la Presidencia de la República.

Los planes institucionales de simplificación administrativa y de trámites deben ser elaborados anualmente, y serán aprobados por la Secretaría General de la Presidencia de la República.

Artículo 6

Créase el Comité Interinstitucional de Política Regulatoria y Simplificación de Trámites, como un cuerpo colegiado que tendrá la finalidad de coordinar, fomentar y cooperar en materia de política regulatoria, así como en la eliminación, reducción, optimización, simplificación y automatización administrativa y de trámites en la Administración Pública Central, Institucional, y entidades que dependen de la Función Ejecutiva, además de otras instituciones del sector público o niveles de gobierno.

Artículo 7

El Comité Interinstitucional de Política Regulatoria y Simplificación de Trámites estará integrado por:

a. El titular de la Secretaría General de la Presidencia o su delegado, quien lo presidirá, y tendrá voto dirimente;

b. La máxima autoridad de la entidad rectora en planificación nacional;

c. La máxima autoridad de la entidad rectora del trabajo; y,

d. La máxima autoridad de la entidad rectora en las telecomunicaciones.

El presidente del Comité podrá por iniciativa propia o por pedido de alguno de los miembros del Comité, invitar a otras entidades públicas o privadas para que en el ámbito de sus competencias y de acuerdo a la materia o relevancia de los temas a ser tratados en su seno, participen en lo relativo a materia de política regulatoria y simplificación administrativa y de trámites.

Los delegados deberán tener al menos rango de subsecretarios y la entidad que preside el Comité ejercerá la secretaría del mismo.

Artículo 8

Son atribuciones del Comité Interinstitucional de Política Regulatoria y Simplificación de Trámites, las siguientes:

a. Impulsar planes, proyectos, programas, metodologías interinstitucionales de mejora regulatoria y simplificación administrativa y de trámites, entre otros;

b. Aprobar el Plan Nacional de Política Regulatoria;

c. Aprobar el Plan Nacional de Simplificación de Trámites;

d. Evaluar y dar seguimiento al cumplimiento del el Plan Nacional de Política Regulatoria y el Plan Nacional de Simplificación de Trámites;

e. Coordinar con las entidades de la Función Ejecutiva, el levantamiento sistemático y permanente de los procedimientos y trámites administrativos para identificar aquellos que requieren de supresión y simplificación, así como su actualización;

f. Coordinar con las demás funciones del Estado y niveles de gobierno, el alineamiento de sus regulaciones y procedimientos con los objetivos de la política regulatoria, la simplificación administrativa y de trámites y la aplicación de políticas, metodologías y herramientas desarrolladas para el efecto;

g. Coordinar con el sector privado y la academia la identificación de trámites innecesarios en su relación con los usuarios, así como la progresiva simplificación y digitalización de sus servicios; y,

h. Las demás atribuciones que le sean asignadas por el Presidente de la República.

El Comité deberá presentar anualmente y de manera obligatoria un informe del cumplimiento del Plan de Mejora Regulatoria y Plan de Simplificación de Trámites en el sector público al Presidente de la República.

Artículo 9

La Secretaría General de la Presidencia de la República será el ente rector de la simplificación de trámites y administrativa, y ejercerá las siguientes atribuciones:

1. Establecer la normativa, lineamientos, políticas y directrices metodológicas sobre simplificación administrativa y de trámites en coordinación con la Secretaría Nacional de Planificación y Desarrollo;

2. Dictaminar en formar previa, obligatoria y vinculante sobre la creación de un nuevo trámite o requisito administrativo de acuerdo a la norma técnica que se emita para el efecto;

3. Recomendar formalmente la supresión de trámites o requisitos administrativos, para lo cual la entidad correspondiente tendrá el plazo de treinta días para justificarlos, luego de lo cual se dispondrá su permanencia o baja en un plazo de treinta días adicionales. A falta de respuesta justificada de la entidad en el plazo anteriormente previsto, el trámite o requisito administrativo quedará derogado automáticamente;

4. Coordinar con las instituciones de educación superior, personas jurídicas de Derecho Público y Privado, nacionales e internacionales, actividades de cooperación técnica y transferencia de tecnología, conocimiento y capacitación en materia de simplificación de trámites y simplificación administrativa;

5. Brindar asesoría técnica en materia de simplificación administrativa y de trámites al sector público y privado; y,

6. Convocar a las sesiones del Comité Interinstitucional de Simplificación de Trámites.

Artículo 10

Le corresponde a la Secretaría Nacional de Planificación y Desarrollo ejercer la rectoría y regulación en materia de política regulatoria, y ejercerá las siguientes atribuciones:

a. Establecer la normativa, lineamientos, políticas, y directrices metodológicas sobre política regulatoria en coordinación con la Secretaría General de la Presidencia de la República;

b. Aprobar los planes institucionales de política regulatoria y disponer los mecanismos para el análisis y seguimiento de calidad regulatoria;

c. Emitir informes de pertinencia regulatoria sobre los trámites existentes en la administración pública de acuerdo a la norma técnica que se emita para el efecto;

d. Coordinar con las instituciones de educación superior, personas jurídicas de Derecho Público y Privado, nacionales e internacionales, actividades de cooperación técnica y transferencia de tecnología, conocimiento y capacitación en materia de política regulatoria; y,

e. Desarrollar e implementar metodologías de medición de costos en las que incurren las personas naturales o jurídicas y el Estado, relacionadas con trámites administrativos.

Artículo 11

Le corresponde al Ministerio de Telecomunicaciones y de la Sociedad de la información el ejercicio de las siguientes atribuciones:

a. Facilitar condiciones tecnológicas para que las entidades del sector público aumenten la calidad de conectividad para la atención de los servicios que prestan a la ciudadanía, la generación, interconexión e integración de plataformas de información, la política digital cero papel, y la política de datos abiertos;

b. Implementar, en conjunto con las entidades correspondientes, el proceso de automatización de trámites entre las instituciones del sector público con el fin de digitalizar los servicios, trámites, gestión y procedimientos administrativos;

c. Coordinar con la academia, personas jurídicas de Derecho Público y Privado, nacionales e internacionales, actividades de cooperación técnica y transferencia de tecnología, conocimiento y capacitación;

d. Implementar, regular y administrar el Registro Unico de Trámites y Regulaciones en coordinación la Secretaría General de la Presidencia de la República y la Secretaría Nacional de Planificación y Desarrollo.

Artículo 12

Le corresponde al Ministerio del Trabajo el ejercicio de las siguientes atribuciones:

a. Establecer la metodología para la gestión institucional y herramientas de gestión por procesos y prestación de servicios públicos de la Administración Pública;

b. Recibir propuestas ciudadanas para la mejora de procesos en el sector público;

c. Receptar y tramitar las quejas y denuncias ciudadanas relativas a las disposiciones constantes en la normativa sobre trámites administrativos;

d. Recomendar la mejora y automatización de procesos para el servicio público, simplificación administrativa y de trámites en el sector público, en caso de ser necesario; y,

e. Emitir lineamientos y evaluar la gestión en materia de calidad y excelencia de servicio público de las entidades de la Función Ejecutiva.

Artículo 13

Créase el Registro Nacional Único de Trámites y Regulaciones, con el objeto de generar, registrar, administrar y proveer información oportuna a los ciudadanos, sector público y privado, respecto de los requisitos y de las entidades responsables de cada trámite y regulación. Se creará un subregistro público individualizado y simplificado con los procedimientos y trámites que los emprendedores y empresas deban realizar frente al Estado.

El Ministerio de Telecomunicaciones y de la Sociedad de la Información será la entidad encargada de diseñar y administrar el Registro Nacional Único de Trámites y Regulaciones para la consulta ágil, precisa y oportuna de la ciudadanía, el cuál debe contener información completa y vigente de trámites y regulaciones del Estado.

Las entidades que formen parte del Registro, deberán actualizar la información de manera periódica e informar al Ministerio de Telecomunicaciones y de la Sociedad de la Información sobre cualquier cambio en la información ingresada en el Registro.

Artículo 14

Previo a la remisión de una propuesta de un anteproyecto normativo, la entidad proponente deberá remitir un análisis de impacto regulatorio y de simplificación administrativa y de trámites de conformidad a la normativa que emita la Secretaría General de la Presidencia de la República y la Secretaría Nacional de Planificación y Desarrollo, en el ámbito de sus competencias.

DISPOSICION GENERAL UNICA:

Prohíbase a las órganos de la Administración Pública Central, Institucional, y entidades que dependan de la Función Ejecutiva, exigir documentos o certificados que sean producidos o se encuentren a cargo de las entidades comprendidas dentro de este ámbito para la realización de trámites o gestiones administrativas. Para el cumplimiento de esta disposición se recurrirá a los respectivos portales institucionales, interconexión e interacción de información de registro de datos públicos y acceso a otro tipo de registros de libre acceso a través de internet.

Prohíbase además todo requisito de certificación o declaración ante Notario Público salvo que esté expresamente prescrito en la Ley.

La inobservancia de esta disposición será causal de sanción disciplinaria de conformidad con la Ley Orgánica de Servicio Público.

DISPOSICIONES TRANSITORIAS

PRIMERA

En el plazo de 30 días contados a partir de la expedición del presente Decreto Ejecutivo, la Secretaría Nacional de Planificación y Desarrollo y la Secretaría General de la Presidencia de la República emitirán el acuerdo interministerial que desarrolle la norma técnica para el levantamiento de trámites administrativos.

SEGUNDA

En el plazo máximo de 90 días partir de la emisión del acuerdo interministerial descrito en la disposición precedente, las entidades públicas de la Función Ejecutiva deberán presentar a la Secretaría General de la Presidencia de la República un informe que contenga el levantamiento de sus trámites administrativos, así como sus tiempos, costos administrativos y de personal e ingresos asociados. El informe contendrá la recomendación de la máxima autoridad de la eliminación de los trámites que sean innecesarios y la justificación técnica que sustente la permanencia de aquellos que se consideren indispensables. De los trámites y procedimientos, cuya permanencia sea recomendada, el informe establecerá aquellos que puedan ser gestionados en línea, así como la recomendación de su plazo de implementación.

Vencido este plazo, el Comité Interinstitucional de Política Regulatoria y Simplificación de Trámites, conocerá y validará los informes remitidos y dispondrá la ratificación o derogatoria de los trámites correspondientes en un plazo adicional de 60 días, de conformidad con el procedimiento que se establezca en la norma técnica establecida en la disposición precedente.

TERCERA

En el plazo de 60 días contados a partir de la expedición del presente Decreto Ejecutivo, el Ministerio de Telecomunicaciones y de la Sociedad de la Información establecerá la plataforma informática que contendrá el Registro Único de Trámites y Regulaciones, así como sus correspondientes subregistros. Este plazo incluirá la emisión de la norma técnica que se determina en la disposición subsiguiente.

CUARTA

En el plazo máximo de 60 días contados a partir del establecimiento de la plataforma informática descrita en la disposición precedente, todas las entidades públicas de la Administración Pública Central, Institucional, y entidades que dependen de la Función Ejecutiva, deberán incorporar en la plataforma del Registro Único de Trámites y Regulaciones la información correspondiente a cada uno de los trámites que tienen a su cargo, conjuntamente con sus requisitos y procedimientos, de conformidad a la norma técnica emitida por el Ministerio de Telecomunicaciones y de la Sociedad de la Información.

QUINTA

En el plazo de 90 días contados a partir de expedición del presente Decreto Ejecutivo, las entidades que conforman el Comité de Simplificación de Trámites Interinstitucional, emitirán las normas técnicas para regular el proceso de política regulatoria y simplificación de trámites, de acuerdo con lo establecido en el presente Decreto Ejecutivo.

DISPOSICIONES DEROGATORIAS

PRIMERA

Deróguese los artículos 5, 6, 7, 8, 9 y 10 del Decreto Ejecutivo nº 149, publicado en el Suplemento del Registro Oficial nº 146 de 18 de diciembre de 2013, y sus posteriores reformas.

SEGUNDA

Deróguese cualquier disposición de igual o menor jerarquía contrario a lo establecido en el presente Decreto Ejecutivo.

DISPOSICION FINAL

De la ejecución del presente Decreto Ejecutivo, que entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial, encárguese a la Secretaría General de la Presidencia, a la Secretaría Nacional de Planificación y Desarrollo, al Ministerio de Telecomunicaciones y de la Sociedad de la Información y al Ministerio del Trabajo.

Dado en el Palacio Nacional, en Quito, a 19 de abril del 2018.

Fdo. Lenín Moreno Garcés, Presidente Constitucional de la República.

Fdo. Andrés Mideros Mora, Secretario General de la Presidencia de la República.

Quito, 23 de abril del 2018, certifico que el que antecede es fiel copia del original.

Documento firmado electrónicamente

Dra. Johana Pesantez Benítez. SECRETARIA GENERAL JURIDICA DE LA PRESIDENCIA DE LA REPUBLICA DEL ECUADOR

20Feb/21

Acuerdo Ministerial nº 011-2018 de 8 de agosto de 2018,

Acuerdo Ministerial nº 011-2018 de 8 de agosto de 2018, por el que se expide el Plan Nacional de Gobierno Electrónico para el período 2018-2021.

ACUERDO  MINISTERIAL nº 011-2018

EL MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN

CONSIDERANDO:

Que, el numeral 1 del artículo 154 de la Constitución de la República del Ecuador confiere a las Ministras y Ministros de Estado, además de las atribuciones establecidas en la ley, la rectoría de las políticas del área a su cargo, así como la facultad de expedir acuerdos y resoluciones administrativas;

Que, el artículo 227 ibídem dispone: «La administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía , desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación»;

Que, el artículo 313 de la Constitución de la República dispone: «El Estado se reserva el derecho de administrar, regular, controlar y gestionar los sectores estratégicos, de conformidad con los principios de sostenibilidad ambiental, precaución, prevención y eficiencia. Los sectores estratégicos, de decisión y control exclusivo del Estado, son aquellos que por su trascendencia y magnitud tienen decisiva influencia económica, social, política o ambiental, y deberán orientarse al pleno desarrollo de los derechos y al interés social. Se consideran sectores estratégicos la energía en todas sus formas, las telecomunicaciones, los recursos naturales no renovables, el transporte y la refinación de hidrocarburos, la biodiversidad y el patrimonio genético, el espectro radioeléctrico, el agua, y los demás que determine la ley»;

Que, el inciso segundo del artículo 314 de la Constitución de la República, dispone que el Estado garantizará que los servicios públicos, prestados bajo su control y regulación, respondan a principios de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad;

Que, el Plan Nacional de Desarrollo 2017-2021, señala: «Objetivo 7: Incentivar una sociedad participativa, con un Estado cercano al servicio de la ciudadanía; Políticas. 7.6. Mejorar la calidad de las regulaciones y simplificación de trámites para aumentar su efectividad en el bienestar económico y social: 7. 7. Democratizar la prestación de servicios públicos territorializados, sostenibles y efectivos, de manera equitativa e incluyente, con énfasis en los grupos de atención prioritaria y poblaciones en situación de vulnerabilidad, en corresponsabilidad entre el Estado y la sociedad»;

Que, mediante Decreto Ejecutivo nº 8 de 13 de agosto de 2009, publicado en el Registro Oficial nº 10, de 24 de agosto de 2009, el Presidente de la República resolvió crear el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como órgano rector del desarrollo de las Tecnologías de la Información y Comunicación, que incluye  las telecomunicaciones y el espectro radioeléctrico;

Que, el artículo 1 del Decreto Ejecutivo nº 149 de 20 de noviembre de 2013 publicado en el Registro Oficial Suplemento nº 146 de 18 de diciembre de 2013, establece: «La implementación de gobierno electrónico en la Administración Pública Central, que consiste en el uso de las tecnologías de la información y comunicación por parte de las entidades para transformar las relaciones con los ciudadanos, entre entidades de gobierno y empresas privadas a fin de mejorar la calidad de los servicios gubernamentales a los ciudadanos, promover la interacción con las empresas privadas , fortalecer la participación ciudadana a través del acceso a la información y servicios gubernamentales eficientes y eficaces y coadyuvar con la transparencia, participación y colaboración ciudadana»;

Que, mediante Acuerdo Ministerial nº 1762 publicado en el Registro Oficial Suplemento nº 873 de fecha 31 de octubre de 2016, se expidió el Plan Nacional de Gobierno Electrónico versión 2.0;

Que, con Decreto Ejecutivo nº 5 de 24 de mayo de 2017, publicado en Registro Oficial Suplemento 16, de 16 de junio de 2017, se suprime la Secretaría Nacional de la Administración Pública y se transfieren al Ministerio de Telecomunicaciones y de la Sociedad de la Información las atribuciones respecto de:

«a: Gestionar la política y directrices emitidas para la gestión de la implementación del gobierno electrónico;

b. Desarrollar y coordinar planes, programas o proyectos sobre gobierno electrónico que sean necesarios para su implementación»;

Que, mediante Decreto Ejecutivo nº 8 de 24 de mayo de 2017, publicado en el Segundo Suplemento del registro Oficial nº 16, de 16 de junio de 201 7, se designó al Ing. Guillermo Hernando León Santacruz como Ministro de Telecomunicaciones y de Ja Sociedad de la Información;

Que, de conformidad con la Disposición Transitoria Primera del Decreto Ejecutivo nº 149 de 20 de noviembre de 2013 publicado en el Registro Oficial Suplemento nº 146 de 18 de diciembre de 2013 al Ministerio de Telecomunicaciones y Sociedad de la Información le corresponde actualizar el Plan Nacional de Gobierno Electrónico para la Función Ejecutiva;

Que, mediante Decreto Ejecutivo nº 372, de 19 de abril del 2018, publicado en el Registro Oficial nº 234, del 4 de mayo de 2018, se declara como política de Estado la mejora  regulatoria y la simplificación administrativa y de trámites a fin de asegurar una adecuada gestión gubernamental , mejorar la calidad de vida de la población, fomentar la competitividad y el emprendimiento , propender a la eficiencia en la economía y garantizar la seguridad jurídica;

Que, en Informe Técnico de 02 de agosto de 2018, aprobado por el Subsecretario de Estado – Gobierno Electrónico, señala: «El Plan Nacional de Gobierno Electrónico 2018- 2021 fue actualizado de manera participativa con actores de entidades del Ejecutivo, otros poderes del Estado, Academia y sociedad civil (…) es uno de los instrumentos del MINTEL, para el fortalecimiento de la Sociedad de la Información y del Conocimiento. Promueve el aprovechamiento de los recursos tecnológicos que pose e el Estado. Compromete a las entidades del Ejecutivo a articular acciones para ofrecer más y mejores servicios electrónicos a los ciudadanos. «;

Que, el Plan Nacional de Gobierno Electrónico tiene como objetivo promover la participación ciudadana, la democratización de Jos servicios públicos, Ja simplificación de trámites y la gestión estatal eficiente, por medio del aprovechamiento de los recursos que actualmente posee el Estado;

En ejercicio de las atribuciones que Je confiere el numeral 1 del artículo 154 de la Constitución de la República, el Decreto Ejecutivo nº 149 de 18 de diciembre de 2013 y el artículo 17 del Estatuto del Régimen  Administrativo  de la Función Ejecutiva.

ACUERDA

Artículo 1.

Expedir el Plan Nacional de Gobierno Electrónico 2018 -2021, que se encuentra anexo y forma parte integral del presente Acuerdo Ministerial.

Artículo 2

Disponer la implementación obligatoria del Plan Nacional de Gobierno Electrónico 2018- 2021 a todas las entidades de la Administración Pública Central.

Artículo 3

De la Ejecución, Monitoreo y Seguimiento del Plan Nacional de Gobierno Electrónico 2018 -2021, encárguese a la Subsecretaría de Gobierno Electrónico en el ámbito de sus competencias.

Artículo 4

Deróguese el Acuerdo Ministerial n 1762 publicado en el Registro Oficial Suplemento nº 873 de 31 de octubre de 2016.

El presente Acuerdo entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Dado en el Distrito Metropolitano de Quito, a  08 de agosto de 2018.

 Fdo. Ign. Guillermo Hernando León Santacruz. MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN

20Feb/21

Memorando nº MINTEL-SEGE-2019-0 125-M de 12 de septiembre de 2019

Memorando nº MINTEL-SEGE-2019-0 125-M de 12 de septiembre de 2019, por el que el Subsecretario de Gobierno Electrónico del Ministerio de Telecomunicaciones y de la Sociedad de la Información remite Informe Técnico de 10 de septiembre de 2019, suscrito por el Ing. Luis lván Gualotuña/Especialista de Seguridad de la Información (Oficial de Seguridad), en el que se recomienda: ·»Expedir mediante resolución la «Política para el Tratamiento y Protección de Datos Personales en Portales y Sistemas Web que se administran el Ministerio de Telecomunicaciones y de la Sociedad de la Información»

Memorando nº MINTEL-SEGE-2019-0010-M

Quito, D.M., 31 de enero de 2019

PARA:

Sr. Mgs. Raúl Javier Jara Iñiguez. Subsecretario de Estado – Gobierno Electrónico

Sr. Ing. Martín Elías Espinosa González. Subdirector de Planificación Institucional

Sr. Ing. Ariel Martínez Fernández. Responsable de Tecnología

Sra. Ing. Giulia Alejandra Aulestia Estrella. Directora de Planificación

Sr. Ing. Pablo David Proaño Galarza. Director de Tecnologías de la Información y Comunicaciones.

Sra. Ing. Alba Verónica Tipán Camuendo. Directora de Planificación y Gestión Estratégica

Sr. Mgs. Edgar Roberto Valarezo Vargas. Analista de Tecnologías de la Información y Comunicación 3

Sr. Ing. Andrés Eduardo Rodríguez Fernández. Coordinador General de Planificación y Gestión Estratégica Encargado

Sr. Mgs. Carlos Alberto Balladares Enriquez. Director de Tecnologías de la Información y Comunicación Encargado

Sra. Econ. Ana Paulina Escudero Lucero. Gerente Financiero

Sr. Mgs. Alvaro Santiago Caceres Vaca. Director de Planificación y Gestión de Calidad

Sr. Ing. Juan Carlos Cárdenas Quenguán. Director de Tecnologías de la Información y Comunicación

Srta. Ing. Mélida Azucena Cárdenas Vera. Directora Planificación y Seguimiento

Sr. Ing. Christian Francisco Moncayo Sarmiento. Director Administrativo Financiero

Sr. Grad. Pablo Miguel Rodríguez Torres. Director de Planificación

Sr. Mgs. Luis Miguel Cano Cifuentes. Director de Gestión Institucional

Sra. Ing. Verónica Yanina Zurita Matos. Servidor Público 7 – Delegada del Director de Gestión Institucional

Srta. Ing. Reyna Verónica Valencia Reinel. Coordinadora General de Planificación y Gestión Estratégica

Srta. Ing. Carla Marcela Centeno Molina. Secretaria de Dirección y Coordinación

Sr. Mgs. Freddy Paúl Terán Mayorga. Coordinador de Tecnología

Sr. Mgs. Milton Oswaldo Gavilanes Villarreal. Coordinador de Planificación y Gestión Estratégica

Sr. Ing. Rafael Anibal Intriago Mera. Analista de Planificación 2

Sr. Ing. Ruben Dario Delgado Saavedra. Analista de la Tecnologia de la Informacion

Sr. Ing. Álvaro Javier Minuche Hermida. Jefe Administrativo

Sra. Ing. Daniela Alexandra Romero Quezada. Subproceso de Infraestructura, Operaciones y Soporte Técnico

Srta. Ing. Mercy Elizabeth Perez Villacis. Subgerente de Planificación y Gestión Estratégica

Sra. Ing. Anita Mercedes Álvarez Álvarez. Subgerente de Tecnologías de la Información y Comunicación

Sr. Cesar Oswaldo Chevasco Cedeño. Gerente Planificación (E)

Sr. Ing. Cesar Giovanni Maldonado Fabara. Gerente de Tecnologia Informatica

Sra. Rosa Isabel Plaza Castro. Trabajadora Social

ASUNTO: Taller de accesibilidad web en portales estatales

De mi consideración:

 El 28 de enero de 2014 se publicó en el Registro Oficial nº 171 la norma NTE INEN-ISO/IEC 40500 «Tecnología de la información – Directrices de accesibilidad para el contenido web del W3C (WCAG) [JCÁ1] 2.0 (ISO/IEC 40500:2012, IDT)», a fin de que se garantice el derecho al acceso a la información y comunicación de todas las personas con y sin discapacidad.

 El 10 de febrero de 2016, el INEN expidió el Reglamento Técnico Ecuatoriano RTE INEN 288 «Accesibilidad para el contenido web», el cual entró en vigor el 8 de agosto de 2016 y estableció en su disposición transitoria el plazo para cumplir con el reglamento y la norma, en la misma se indica: «Los propietarios de los sitios web a los que se aplica este reglamento técnico tendrán un plazo de 4 años para adecuar sus sitios web existentes al momento de entrar en vigencia el reglamento de acuerdo al nivel de conformidad .AA. de la norma INEN vigente.», plazo que finaliza el 8 de agosto de 2020. Este reglamento es obligatorio para todos los sitios web que presten servicios públicos.

Mediante Decreto Ejecutivo 5 del 24 de mayo de 2017, publicado en Registro Oficial Suplemento nº 16 de 16 de junio de 2017 en su artículo 2, numeral 3, señala que: son atribuciones del Ministerio de Telecomunicaciones y de la Sociedad de la Información:

«a: Gestionar la política y directrices emitidas para la gestión de la implementación del gobierno electrónico;

b. Desarrollar y coordinar planes, programas o proyectos sobre gobierno electrónico que sean necesarios para su implementación»,

así también en la disposición reformatoria primera, numeral 2 indica: » Todas las entidades de la Administración Pública Central, institucional y que dependan de la función Ejecutiva colaborarán en la generación de los instrumentos que sean necesarios para la aplicación del presente decreto así como su cabal cumplimiento.»

Mediante Acuerdo Ministerial nº 011-2018, de 08 de agosto de 2018, el Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL) expidió el Plan Nacional de Gobierno Electrónico 2018-2021, donde se dispone la implementación del mismo en todas las entidades de la Administración Pública Central, y se encarga su ejecución, monitoreo y seguimiento a la Subsecretaría de Gobierno Electrónico.

El Plan Nacional de Gobierno Electrónico (PNGE) maneja tres programas:

Gobierno abierto,

gobierno cercano,

gobierno eficaz y eficiente.

En el marco del programa de gobierno cercano, se están llevando adelante varias iniciativas para reducir la brecha que tienen los ciudadanos con discapacidad para acceder a los portales web de las instituciones que conforman la Administración Pública Central, así también dar cumplimiento a la Reglamento RTE INEN 288 y a la norma INEN ISO/IEC 40500, como parte de estas acciones se encuentra el promover la implementación de portales web accesibles, así como capacitaciones continuas para su correcta implementación y administración.

En virtud de lo antes señalado desde la Subsecretaría de Gobierno Electrónico en coordinación con la Dirección de Fomento de la Industria y Servicios para la Sociedad de la Información del Ministerio de Telecomunicaciones se realizará un taller con el fin de promover y establecer acuerdos con las instituciones para el cumplimiento de la norma antes señalada.

En la agenda del taller se tratarán los siguientes puntos

– Accesibilidad web en el Ecuador:

* Sensibilización derechos ciudadanos

* Normativa relacionada

– Recursos disponibles para el cumplimiento de la norma:

* Plantilla Homologa

* Información sobre capacitación para el desarrollo y manejo de contenido accesible

– Compromisos y establecimiento de fechas

* Plan de actualización a web accesibles

* Taller de capacitación

Este taller se llevará a cabo el viernes 8 de febrero de 2019, en el salón de uso múltiple AYB Plan Baja de la Plataforma Gubernamental Financiera, ubicado en la Av. Amazonas y Unión de Periodistas, de 09:30 a 12:00.Solicitamos de la manera más cordial, la confirmación de las personas que asistirán, al correo: [email protected] hasta el miércoles 6 de febrero de 2019.

Su asistencia es importante, para la construcción de una administración pública inclusiva.

Con sentimientos de distinguida consideración.

Atentamente,

Documento firmado electrónicamente

Mgs. Raúl Javier Jara Iñiguez. SUBSECRETARIO DE ESTADO – GOBIERNO ELECTRÓNICO

Copia:

Sra. Cbop. Jenny Pilar Guazumba Moromenacho. Secretaria

Sr. Mgs. Juan Carlos Castillo Moreno. Gerente Institucional – Gobierno Electrónico

Sr. Mgs. Jorge Fernando Torres Rueda. Director de Fomento de la Industria y Servicios para la Sociedad de la Información

Sr. Ing. Kleber Mauricio Jacome Gavilanes. Analista Técnico 3

Sr. Mgs. Pablo Javier Veintimilla Vargas. Director Nacional – Provisión de Servicios Electrónicos

Sr. Ing. Jorge Andres Pazmiño Teran. Especialista de Gestión de Procesos

Sr. Ing. Patricio Oswaldo Bermúdez Camatón. Subsecretario de Fomento de la Sociedad de la Información y Gobierno en Línea

Sr. Ing. Jesus Alberto Jacome Espinosa. Viceministro de Tecnologías de la Información y Comunicación

Sra. Karolina Elizabeth do Carmo Zurita. Analista de Observancia, Seguimiento y Evaluación 1


 [JCÁ1]

20Feb/21

Resolución nº 3 MINTRA. Segundo Suplemento del Registro Oficial n° 825 del 24 de agosto de 2016.

Segundo Suplemento del Registro Oficial n° 825 del 24 de agosto de 2016. MINISTERIO DE TRABAJO. MDT-2016-0190 Expídense las normas que regulan el teletrabajo en el sector privado nº MDT-2016-0190.

SEGUNDO SUPLEMENTO DEL REGISTRO OFICIAL n° 825 DEL 24 DE AGOSTO DE 2016

MINISTERIO DEL TRABAJO:

MDT-2016-0190 Expídense las normas que regulan el teletrabajo en el sector privado nº MDT-2016-0190

EL MINISTRO DEL TRABAJO

Considerando:

Que, el numeral 2 del artículo 16 de la Constitución de la República del Ecuador, señala que todas las personas, en forma individual o colectiva, tienen derecho al acceso universal a las tecnologías de información y comunicación;

Que, el numeral 2 del artículo 17 de la Constitución de la República del Ecuador establece que el Estado fomentará la pluralidad y la diversidad en la comunicación, y al efecto facilitará el acceso universal a las tecnologías de información y comunicación, en especial para las personas y colectividades que carezcan de dicho acceso o lo tengan de forma limitada;

Que, el artículo 33 establece la Constitución de la República del Ecuador, establece que “el trabajo es un derecho y un deber social y un derecho económico, fuente de realización personal y base de la economía. El Estado garantizará a las personas trabajadoras el pleno respeto a su dignidad, una vida decorosa, remuneraciones y retribuciones justas y el desempeño de un trabajo saludable y libremente escogido o aceptado”;

Que, el artículo 154 numeral 1 la Constitución de la República del Ecuador, dispone que las ministras y ministros de Estado, además de las atribuciones establecidas en la ley, les corresponde ejercer la rectoría de las políticas públicas del área a su cargo y expedir los acuerdos y resoluciones administrativas que requiera su gestión;

Que, el numeral 2 del artículo 276 de la Constitución de la República establece que el régimen de desarrollo, tiene entre sus objetivos el de construir un sistema económico justo, democrático, productivo, solidario y sostenible, basado en la distribución equitativa de los beneficios del desarrollo, de los medios de producción y en la generación de trabajo digno y estable;

Que, el numeral 6 del artículo 277 de la Constitución de la República señala que para la consecución del Buen Vivir, será deber del Estado, la promoción e impulso de la tecnología;

Que, el numeral 6 del artículo 284 de la Constitución del República establece que, es deber del Estado impulsar el pleno empleo y valorar todas las formas de trabajo, con respeto a los derechos laborales;

Que, el artículo 325 de la Constitución de la República establece que el Estado garantiza el derecho al trabajo y reconoce todas las modalidades de trabajo;

Que, el artículo 326 de la Constitución de la República establece que el derecho al trabajo se sustenta en varios principios, entre ellos que los derechos laborales son irrenunciables e intangibles, siendo nula toda estipulación en contrario, disposición que guarda concordancia con lo dispuesto en el artículo 4 del Código del Trabajo;

Que, el artículo 328 de la Constitución de la República del Ecuador, dispone que la remuneración de la persona trabajadora será justa, con un salario digno que cubra al menos sus necesidades básicas y las de su familia; que su pago se dará en los plazos convenidos y no podrá ser disminuido ni descontado;

Que, el artículo 413 de la Constitución de la República dispone “El Estado promoverá la eficiencia energética, el desarrollo y uso de prácticas y tecnologías ambientalmente limpias y sanas, así como de energías renovables, diversificadas, de bajo impacto y que no pongan en riesgo la soberanía alimentaria, el equilibrio tecnológico de los ecosistemas ni el derecho al agua”;

Que, el artículo 539 del Código del Trabajo señala que corresponde al Ministerio de Trabajo y Empleo la reglamentación, organización y protección del trabajo y las demás atribuciones establecidas en este Código y en la Ley de Régimen Administrativo en materia laboral;

Que, en este sentido, el Código del Trabajo en su artículo 23.1, agregado por la disposición reformatoria quinta, numeral 4 del Código Orgánico de la Producción, señala que el Ministerio del ramo podrá regular aquellas relaciones de trabajo especiales que no se encuentren reguladas en ese Código, de acuerdo a la Constitución de la República del Ecuador;

En uso de las atribuciones conferidas por la Constitución de la República del Ecuador, y lo dispuesto en el artículo 23.1 del Código del Trabajo,

Acuerda:

EXPEDIR LAS NORMAS QUE REGULAN EL TELETRABAJO EN EL SECTOR PRIVADO

Artículo 1. Objeto y Ámbito.-

El objeto del presente acuerdo es regular el teletrabajo como mecanismo de prestación de servicios en el sector privado.

Artículo 2. Definiciones.

Para efectos de la aplicación del presente acuerdo se observarán las siguientes definiciones:

a) Teletrabajo.

El teletrabajo es una forma de prestación de servicios de carácter no presencial en jornadas ordinarias y especiales de trabajo a través de la cuales el trabajador/a realiza sus actividades fuera de las instalaciones del empleador, siempre que las necesidades y naturaleza del trabajo lo permitan, haciendo uso de las tecnologías de la información y comunicación (TIC), tanto para su gestión como para su administración y control.

El teletrabajo podrá prestarse de las siguientes formas:

1. Permanente: Se realiza siempre fuera de las instalaciones donde el empleador realiza sus actividades, utilizando medios y recursos tecnológicos de información y comunicación; el teletrabajador/a podrá asistir a las instalaciones de la empresa para quien presta sus servicios, cuando sea requerido por el empleador.

2. Parcial: Se realiza fuera del lugar habitual del empleador hasta un máximo de 24 horas semanales y el resto de horas se prestan los servicios en las instalaciones del empleador.

b) Trabajador.

Toda persona que tiene calidad de trabajador/a de conformidad con lo dispuesto en el Código de Trabajo, y que efectúe sus labores mediante teletrabajo fuera de las instalaciones en las que mantiene su actividad el empleador, sea de manera parcial o permanente.

c) Lugar habitual del empleador.

Espacio físico donde la parte empleadora ejecuta sus actividades, sea en su matriz o en cualquiera de sus dependencias.

Artículo 3. Contenido del contrato de teletrabajo.

El contrato de teletrabajo deberá celebrarse por escrito y contener, a más de los requisitos establecidos en el Código del Trabajo, los siguientes:

a) La descripción clara de las labores a realizarse, condiciones de ejecución, remuneración y otros beneficios e información relevante relacionada a esta forma de trabajo;

b) Identificación de los instrumentos que utilizará el empleador para la supervisión y control del trabajo;

c) Identificación de los instrumentos de trabajo que utilizará el teletrabajador/a y determinación de la parte responsable de la provisión, instalación y mantenimiento de los equipos de trabajo;

d) La unidad organizacional o departamento al cual pertenece el teletrabajador/a -de ser el caso- así como el señalamiento del nombre y cargo de su inmediato superior u otras personas a las que puede dirigirse para informarse sobre temas profesionales o personales;

e) En el caso de los teletrabajadores/as parciales, los días en los que se ejecutará el trabajo a través de esta forma o la forma de determinarlos;

f) Modalidades de entrega de informes de trabajo; y,

g) Demás particularidades del teletrabajo dependiendo de la labor que se trate.

Artículo 4. Naturaleza.

La aplicación de esta forma de prestación de servicios es voluntaria, y para su implementación deberá existir el acuerdo entre las partes, el cual deberá constar por escrito en el contrato que se suscriba para este efecto. El teletrabajo puede acordarse como parte de la descripción inicial de la modalidad de trabajo o puede incorporarse posteriormente.

Artículo 5.- Reversibilidad.

Cuando un trabajador/a hubiese pasado a ser teletrabajador/a, podrá volver a prestar sus servicios en la forma y lugar en que se acordó inicialmente, por acuerdo de las partes o a pedido de una de ellas, en este caso, salvo disposición contractual en contrario, al menos se debe respetar 90 días del compromiso de teletrabajo, y la comunicación de reversión de la forma de prestar los servicios deberá ser notificada en un plazo de al menos 15 días de anticipación a la otra parte.

Artículo 6.- Causales de reversibilidad del teletrabajo.

En casos de falta de acuerdo entre las partes, o por fuera de los términos señalados en el contrato o el artículo anterior, se podrá exigir la reversibilidad de la modalidad de teletrabajo ante la autoridad del trabajo, por las siguientes causas:

a) Imposibilidad comprobada para que el trabajador/a pueda continuar realizando sus labores mediante teletrabajo;

b) Desobediencia reiterada o falta de cumplimiento de objetivos por parte del teletrabajador/a;

c) Uso inadecuado del teletrabajador/a o de terceros no autorizados de los bienes y/o servicios tecnológicos que le fueron entregados para la ejecución de sus labores;

d) Imposibilidad de continuar proveyendo las tecnologías de información y comunicación necesarias para realizar el teletrabajo por parte del teletrabajador/a o del empleador;

e) Incumplimiento del acuerdo de confidencialidad por parte del teletrabajador/a;

El procedimiento se sustanciará con petición al inspector, notificación contraria, diligencia de investigación y resolución en el plazo máximo de 30 días y respetando los principios y normas del debido proceso y la sana crítica.

Artículo 7. Aplicación al teletrabajo.

Corresponde a la parte empleadora, realizar el análisis para la aplicación del teletrabajo, de acuerdo a las necesidades de ésta y al tipo de trabajo que se ejecute.

Artículo 8. Condiciones del teletrabajo.

La personas teletrabajadoras gozarán de los mismos derechos y tendrán las mismas obligaciones de aquellos trabajadores/ras que realizan labores en las instalaciones donde la parte empleadora realiza sus actividades.

La parte empleadora está obligada a tomar medidas necesarias para evitar el aislamiento de la persona teletrabajadora en relación con los otros trabajadores/as que laboran dentro de las instalaciones de la empresa, así como también propiciará oportunidades de interacción regular con sus compañeros de trabajo y le informará sobre las directrices que ésta imparta y; le permitirá el libre acceso a las instalaciones y oficinas de la empresa, en las mismas condiciones que el resto de las personas trabajadoras.

La parte empleadora deberá contar con los mecanismos tecnológicos necesarios con los cuales se mantendrá conexión con la persona teletrabajadora a fin de ejercer el control y la supervisión de las labores por ésta realizadas.

Artículo 9. Confidencialidad.

El teletrabajador/a es responsable de la custodia y uso de la información, tanto la que ha sido entregada para la ejecución del trabajo, así como la generada por el teletrabajador/a, misma que deberá ser utilizada exclusivamente para la ejecución del trabajo.

El empleador, es responsable de informar al teletrabajador/a sobre la protección y manejo de datos, así como el riesgo en la mala utilización de los mismos y la prohibición del uso del equipo o de las herramientas informáticas por terceros.

Artículo 10. Equipos.

Todas las cuestiones relativas a los equipos de trabajo, a la responsabilidad y a los costos deberán ser definidos claramente en el contrato antes de iniciar el teletrabajo.

En caso de que la parte empleadora entregue los equipos necesarios para el teletrabajo, al finalizar el contrato el teletrabajador/a estará obligado/a a restituir a la parte empleadora los equipos entregados para la ejecución del trabajo en buenas condiciones salvo el deterioro natural de los bienes.

La persona teletrabajadora deberá cuidar los equipos y material facilitados por el empleador, utilizándolos exclusivamente en las actividades propias de su trabajo; no recogerá ni difundirá material ilícito vía internet; y los equipos serán de uso exclusivo de la persona teletrabajadora.

Si el teletrabajador/a utilizare equipos de su propiedad y contratare servicios para la realización de su trabajo, la empresa podrá compensar al trabajador/a, por los costos asociados al uso de dichos recursos, esta compensación no se sumará a la masa salarial.

Artículo 11. Jornada de trabajo.

En el marco de la legislación laboral vigente, el teletrabajador/a gestionará la organización de su tiempo de trabajo. No obstante, la jornada de trabajo no podrá exceder los límites establecidos en el Código del Trabajo. La carga laboral y criterio de resultados será equivalente y comparable al de las personas trabajadoras que se desempeñan en las instalaciones donde la parte empleadora realiza su actividad.

El horario de trabajo podrá ser pactado y modificado por las partes.

Artículo 12. Horas suplementarias, extraordinarias y jornada nocturna.

La parte empleadora deberá contar con los mecanismos internos que le permitan llevar un adecuado control respecto del pago de horas suplementarias o extraordinarias, así como jornadas nocturnas, de acuerdo a lo señalado en el Código del Trabajo, mismas que para el teletrabajo procederán con autorización previa del empleador y estarán sujetas a verificación.

Artículo 13. Salud y seguridad ocupacional.

La parte empleadora es responsable de velar por la seguridad y salud ocupacional de las personas teletrabajadoras. Los lugares donde se realice el teletrabajo deben cumplir las condiciones de higiene y seguridad dispuestas en la normativa vigente. El empleador deberá informar al teletrabajador/a de los reglamentos que sobre la materia disponga la empresa. El teletrabajador/a deberá acatar y aplicar correctamente estas políticas de seguridad, de tal manera que la prestación de servicios se realice de manera segura y sin peligros para su salud.

Artículo 14. Control.

Para verificar la correcta aplicación de la normativa laboral, incluida la materia de seguridad y prevención de riesgos laborales, la parte empleadora y/o las autoridades competentes tendrán acceso al lugar del teletrabajo, dentro de los límites de la ley y de conformidad a lo establecido en el Código de Trabajo.

DISPOSICIONES GENERALES

Primera.

El cambio a teletrabajo en relaciones contractuales existentes, modifica únicamente la manera en que se efectúa el trabajo, sin afectar ni cambiar las condiciones esenciales de la relación laboral, por tanto no altera derechos y no constituye causal de terminación de la relación de trabajo.

Segunda.

Las personas teletrabajadoras tienen los mismos derechos colectivos que el resto de trabajadores/ras de la empresa, de conformidad con la ley. Se considerarán teletrabajadores/as únicamente aquellos que hubieren sido contratados o cambiados a esta modalidad mediante acuerdo escrito entre las partes. exclusivamente en las actividades propias de su trabajo; no recogerá ni difundirá material ilícito vía internet; y los equipos serán de uso exclusivo de la persona teletrabajadora.

Si el teletrabajador/a utilizare equipos de su propiedad y contratare servicios para la realización de su trabajo, la empresa podrá compensar al trabajador/a, por los costos asociados al uso de dichos recursos, esta compensación no se sumará a la masa salarial.

Tercera.

En todo lo no previsto en el presente Acuerdo se estará a lo dispuesto en el Código del Trabajo, así como en los Convenios de la Organización Internacional del Trabajo (OIT) ratificados por el Ecuador.

Cuarta.

Los contratos o adendas a contratos de trabajo celebrados para la contratación de esta modalidad, deberán celebrarse por escrito. La parte empleadora, una vez suscrito cada uno de estos contratos o adendas, deberán cumplir con lo dispuesto en el numeral 7 del artículo 42 del Código de Trabajo.

DISPOSICIÓN FINAL.

El presente Acuerdo Ministerial entrará en vigencia a partir de la fecha de su publicación en el Registro Oficial.

Dado en la ciudad de San Francisco de Quito Distrito Metropolitano, a 04 de agosto de 2016.

f.) Leonardo Barrezueta Carrión, Ministro del Trabajo.

19Feb/21

Acuerdo Ministerial nº 017-2018, de 22 de octubre de 2018

Acuerdo Ministerial nº 017-2018, de 22 de octubre de 2018, del Ministerio de Telecomunicaciones y de la Sociedad de la Información. 

ACUERDO MINISTERIAL nº 016-2018

EL MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN

CONSIDERANDO:

Que, el numeral 2 del artículo 16 de la Constitución de la República, establece: «Todas las personas, en forma individua/ o colectiva, tienen derecho a: (…) 2. El acceso universal a las tecnologías de información y comunicación (…)»;

Que, el numeral 1 del artículo 154 de la Constitución de la República del Ecuador confiere a las Ministras y Ministros de Estado, además de las atribuciones establecidas en la ley, la rectoría de las políticas del área a su cargo, así como la facultad de expedir acuerdos y resoluciones administrativas;

Que, el artículo 227 ibídem dispone: «La administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía , desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación»;

Que, el artículo 313 de la Constitución de la República dispone: «El Estado se reserva el derecho de administrar, regular, controlar y gestionar los sectores estratégicos, de conformidad con los principios de sostenibilidad ambiental, precaución, prevención y eficiencia. Los sectores estratégicos, de decisión y control exclusivo del Estado, son aquellos que por su trascendencia y magnitud tienen decisiva influencia económica, social, política o ambiental, y deberán orientarse al pleno desarrollo de los derechos y al interés social. Se consideran sectores estratégicos la energía en todas sus formas, las telecomunicaciones, los recursos naturales no renovables, el transporte y la refinación de hidrocarburos, la biodiversidad y el patrimonio genético, el espectro radioeléctrico, el agua, y los demás que determine la ley»;

Que, el inciso segundo del artículo 314 de la Constitución de la República, dispone que el Estado garantizará que los servicios públicos, prestados bajo su control y regulación, respondan a principios de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad;

Que, los numerales 1, 2, 4, 5, 6 del artículo 88 de la Ley Orgánica de Telecomunicaciones, señalan: «Art. 88.- Promoción de la Sociedad de la Información y del Conocimiento. El Ministerio rector de las Telecomunicaciones promoverá la sociedad de la información y del conocimiento para el desarrollo integral del país. A tal efecto, dicho órgano deberá orientar su actuación a la formulación de políticas, planes, programas y proyectos destinados a: 1. Garantizar el derecho a la comunicación y acceso a la Información. 2. Promover el acceso universal a los servicios de telecomunicaciones; en especial, en zonas urbano marginales o rurales, a fin de asegurar una adecuada cobertura de los servicios en beneficio de las y los ciudadanos ecuatorianos (.:.) 4. Procurar el Servicio Universal. 5. Promover el desarrollo y masificación del uso de las tecnologías de información y comunicación en todo el territorio nacional. 6. Apoyar la educación de la población en materia de informática y tecnologías de la información, a fin de facilitar el uso adecuado de los servicios o equipos (…y:·

Que, el artículo 140 de la Ley Orgánica de Telecomunicaciones, dispone: «Rectoría del sector. El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el órgano rector de las telecomunicaciones y de la sociedad de la información, informática, tecnologías de la información y las comunicaciones y de la seguridad de la información. A dicho órgano le corresponde el establecimiento de políticas, directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de la información, de conformidad con lo dispuesto en la presente Ley, su Reglamento General, y los planes de desarrollo que se establezcan a nivel nacional. Los planes y políticas que dicte dicho Ministerio deberán enmarcarse dentro de los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio tanto para el sector público como privado»;

Que, el numeral 2 del artículo 141 de la Ley Orgánica de Telecomunicaciones. dispone que es competencia del órgano rector del sector de las Telecomunicaciones y de la Sociedad de la Información: «2. Formular, dirigir, orientar y coordinar las políticas, planes y proyectos para Ja promoción de las tecnologías de la información y la comunicación y el desarrollo de las telecomunicaciones, así como supervisar y evaluar su cumplimiento»;

Que, el Reglamento General a la Ley Orgánica de Telecomunicaciones. dispone: «Art. 3.- Definiciones.­ Para la aplicación del presente Reglamento General, además de las contenidas en Ja Ley y en las definiciones dadas por la Unión Internacional de Telecomunicaciones UIT, se considerarán las siguientes definiciones: (…) 11. Sociedad de la Información. – La Sociedad de la Información es aquella que usa y se apropia de las telecomunicaciones y de las TIC, para mejorar la calidad de vida, la competitividad y el crecimiento económico (…)»;

Que, el Reglamento General a la Ley Orgánica de Telecomunicaciones, establece: «Art. 5.-Atribuciones del Ministerio rector.- El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el organismo rector y además de las funciones previstas en la Ley, ejecutará las siguientes: 1. Emitir las disposiciones necesarias a la ARCOTEL para la aplicación de las políticas públicas y planes, y requerir la información sobre su cumplimiento. 2. Elaborar y aprobar Jos planes de Servicio Universal, Plan de Sociedad de la Información, Plan Nacional de Telecomunicaciones (…)’:’

Que, el Código Orgánico de la Economía Social de los Conocimientos, Creatividad e Innovación, señala «Art. 3.- El presente Código tiene, como principales, Jos siguientes fines: (…) 4. Incentivar la circulación y transferencia nacional y regional de Jos conocimientos y tecnologías disponibles, a través de la conformación de redes de innovación social, de investigación, académicas y en general, para acrecentarlos desde la práctica de la complementariedad y solidaridad; (…) 7. Incentivar la desagregación y transferencia tecnológica a través de mecanismos que permitan la generación de investigación, desarrollo de tecnología e innovación con un alto grado de componente nacional; (…) 1O. Fomentar el desarrollo de la sociedad del conocimiento y de la información como principio fundamental para el aumento de productividad en los factores de producción y actividades laborales intensivas en conocimiento; y, (…)»;

Que, mediante Decreto Ejecutivo nº 8 de 13 de agosto de 2009, publicado en el Registro Oficial nº 1O, de 24 de agosto de 2009, el Presidente de la República resolvió crear el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como órgano rector del desarrollo de las Tecnologías de la Información y Comunicación, que incluye las telecomunicaciones y el espectro radioeléctrico;

Que, mediante Decreto Ejecutivo nº 8 de 24 de mayo de 2017, publicado en el Segundo Suplemento del registro Oficial nº 16, de 16 de junio de 2017, se designó al lng. Guillermo Hernando León Santacruz como Ministro de Telecomunicaciones y de la Sociedad de la Información.;

Que, mediante Acuerdo Ministerial nº 011-2017, de 20 de marzo de 2017, se expidió las Políticas Públicas del sector de las Telecomunicaciones y de la Sociedad de la Información;

Que, en Informe Técnico de 18 de octubre de 2018, elaborado por la Subsecretaría de Fomento de la Sociedad de la Información y Gobierno en Línea, señala: «(…) se recomienda la aprobación del Plan de la Sociedad de la Información y del Conocimiento 2018-2021, instrumento que permitirá promover la adopción de las tecnologías de la información y comunicación que posibiliten el desarrollo efectivo de la sociedad de la información y del conocimiento en un entorno seguro y confiable, mediante acciones que permitan influir positivamente en la calidad de vida de la población y en la competitividad del sector productivo  (…)»;

Que, el Viceministro de Tecnologías de la Información y Comunicación, mediante sumilla inserta en el Informe Técnico de 18 de octubre de 2018, aprobó el referido informe;

Que, la Sociedad de la Información debe centrarse en la persona, integradora y al servicio del desarrollo en los ámbitos social, económico, cultural, debe impulsar el capital de conocimiento así como el desarrollo de las industrias, emprendimientos, innovación y servicios en línea, con el fin de impulsar la Economía Digital del Ecuador;

En ejercicio de las atribuciones que le confiere el numeral 1 del artículo 154 de la Constitución de la República, el numeral 2 del artículo 141 de la Ley Orgánica de Telecomunicaciones, numeral 2 del artículo 5 del Reglamento a la Ley Orgánica de Telecomunicaciones, art!culo 17 del Estatuto del Régimen Administrativo de la Función Ejecutiva;

ACUERDA

Artículo 1

Aprobar el Plan de la Sociedad de la Información y del Conocimiento 2018-2021, que se encuentra anexo y forma parte integral del presente Acuerdo Ministerial.

Artículo 2

Disponer la implementación obligatoria del Plan de la Sociedad de la Información y del Conocimiento 2018 – 2021.

Artículo 3–

De la Ejecución, Monitoreo y Seguimiento del Plan de la Sociedad de la Información y del Conocimiento 2018 – 2021, encárguese a la Subsecretaria de Fomento de la Sociedad de la Información y Gobierno en Línea y a la Subsecretaría de Inclusión Digital del Ministerio de Telecomunicaciones y de la Sociedad de la Información en el ámbito de sus competencias.

El presente Acuerdo Ministerial entrará en vigencia a partir de su expedición, sin perjuicio de su publicación en el Registro Oficial.

Dado en el Distrito Metropolitano de Quito, a 22 de octubre de 2018.

lng. Guillermo Hernando León Santacruz. Ministro de Telecomunicaciones y de la Sociedad de la Información.

18Feb/21

Acuerdo Ministerial nº 012-2019 del Ministro de Telecomunicaciones y de la Sociedad de la Información. (Registro Oficial nº 18 de 15 de agosto de 2019).

Acuerdo Ministerial nº 012-2019 del Ministro de Telecomunicaciones y de la Sociedad de la Información. (Registro Oficial nº 18 de 15 de agosto de 2019).

ACUERDO MINISTERIAL nº 012-2019

EL MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN

CONSIDERANDO:

Que, el numeral 12 del artículo 66 de la Constitución de la República, establece: «Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, asi como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley «;

Que, el artículo 92 de la Constitución de la República, determina: «Toda persona, por sus propios derechos o como representante legitimado para el efecto, tendrá derecho a conocer de la existencia y a acceder a los documentos, datos genéticos, bancos o archivos de datos  personales e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas, en soporte material o electrónico. Asimismo tendrá derecho a conocer el uso que se haga de ellos, su finalidad, el origen y destino de información personal y el tiempo de vigencia del archivo o banco de datos. Las personas responsables de los bancos o archivos de datos personales podrán difundir la información archivada con autorización de su titular o de la ley. La persona titular de los datos podrá solicitar al responsable el acceso sin costo al archivo, así como la actualización de los datos, su rectificación, eliminación o anulación. En el caso de datos sensibles, cuyo archivo deberá estar autorizado por la ley o por la persona titular, se exigirá la adopción de las medidas de seguridad necesarias. Si no se atendiera su solicitud, ésta podrá acudir a la jueza o juez. La persona afectada podrá demandar por los perjuicios ocasionados «;

Que, el numeral 1 del artículo 154 de la Constitución de la República confiere a las Ministras y Ministros de Estado, además de las atribuciones establecidas en la ley, la rectoría de las políticas del área a su cargo, así como la facultad de expedir acuerdos y resoluciones administrativas;

Que, el artículo 226 de la Constitución de la República indica que: «Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley. Tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución«;

Que, el artículo 227 ibídem dispone: «La administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación»;

Que, el inciso segundo del artículo 314 de la Constitución de la República, dispone que el Estado garantizará que los servicios públicos, prestados bajo su control y regulación, respondan a principios de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad;            

Que, el artículo 4 de la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos, establece: «Responsabilidad de la información.- Las instituciones del sector público y privado y las personas naturales que actualmente o en el futuro administren bases o registros de datos públicos, son responsables de la integridad, protección y control de los registros y bases de datos a su cargo. Dichas instituciones responderán por la veracidad, autenticidad, custodia y debida conservación de los registros. La responsabilidad sobre la veracidad y autenticidad de los datos registrados, es exclusiva de la o el declarante cuando esta o este provee toda la información (…)»;

Que, la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos, señala: «Art. 6.­ Accesibilidad y confidencialidad.- Son confidenciales los datos de carácter personal, tales como: ideología, afiliación política o sindical, etnia, estado de salud, orientación sexual, religión, condición migratoria y los demás atinentes a la intimidad personal y en especial aquella información cuyo uso público atente contra los derechos humanos consagrados en la Constitución e instrumentos internacionales.

El acceso a estos datos sólo será posible con autorización expresa del titular de la información, por mandato de la ley o por orden judicial.

También son confidenciales los datos cuya reserva haya sido declarada por la autoridad competente, los que estén amparados bajo sigilo bancario o bursátil, y los que pudieren afectar la seguridad interna o externa del Estado.

La autoridad o funcionario que por la naturaleza de sus funciones custodie datos de carácter personal, deberá adoptar las medidas de seguridad necesarias para proteger y garantizar la reserva de la información que reposa en sus archivos (…)»;

Que, el Código Orgánico de Economía Social de los Conocimientos, Creatividad e Innovación, dispone «Art. 141.- Utilización Datos Personales o no Personales en contenidos protegidos o no por Propiedad Intelectual. – Los datos personales o no personales que se encuentren formando parte de los contenidos protegidos o no por propiedad intelectual disponibles en bases de datos o repositorios y otras formas de almacenamiento de datos pertenecientes apersonas naturales o jurídicas, sean de derecho público o privado, podrán ser utilizados exclusivamente en los siguientes casos:

a)           Cuando se trate de información clasificada como asequible;

b)           Cuando cuenten con la autorización expresa del titular de la información;

c)            Cuando estén expresamente autorizados por la ley;

d)           Cuando estén autorizados por mandato judicial u otra orden de autoridad con competencia para ello; y,

e)            Cuando lo requieran las instituciones de derecho público para el ejercicio de sus respectivas competencias o del objeto social para el que hayan sido constituidas.

No podrán disponerse de los datos personales o no personales so pretexto de los derechos de autor existentes sobre la forma de disposición de los elementos protegidos en las bases de datos. La información contenida en las bases de datos, repositorios y otras formas de almacenamiento de datos personales o no personales son de interés público; por consiguiente, deberán ser usados con criterios equitativos, proporcionales y en su uso y transferencia deberá primar el bien común, el efectivo ejercicio de derechos y la satisfacción de necesidades sociales.»;

Que, Ja Disposición General Vigésima Sexta del Código Orgánico de Economía Social de los Conocimientos, Creatividad e Innovación, establece: «Las entidades públicas y personas naturales o jurídicas privadas que tengan bajo su poder documentos, datos genéticos, bancos o archivos de datos personales e informes sobre personas o sobre sus bienes, pondrán a disposición del público a través de un portal de información o página web la siguiente información y recursos:

a)           Los derechos que le asisten respecto de la protección de sus datos personales, entre ellos el derecho a conocer el uso que se haga de dicha información, su finalidad, el origen y destino, y el tiempo de vigencia del archivo o banco de datos; y sus derechos a solicitar la rectificación, eliminación o anulación de sus datos personales;

b)           Detalle de las políticas y procedimientos institucionales para la protección de la privacidad de datos personales; y

c)            Servicio de trámite en línea de las consultas y reclamos en materia de datos personales(..) «;

Que, la Disposición General Vigésima Séptima del Código Orgánico de Economía Social de los Conocimientos, Creatividad e Innovación, establece: «Sin perjuicio de las excepciones previstas   en la ley, el tratamiento de datos personales que incluya acciones tales como la recopilación, sistematización y almacenamiento de datos personales, requerirá la autorización previa e informada del titular.

No se requerirá de la autorización del titular cuando el tratamiento sea desarrollado por una institución pública y tenga una finalidad estadística o científica; de protección a la salud o seguridad; o sea realizado como parte de una política pública de garantía de derechos constitucionalmente reconocidos. En este caso deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares. La DINARDAP podrá solicitar que los bancos de datos personales en poder de una persona jurídica privada sean entregados a la misma con la finalidad de cumplir el presente artículo. «;

Que, mediante Decreto Ejecutivo nº 8 de 13 de agosto de 2009, el Presidente de la República resolvió crear el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como órgano rector del desarrollo de las Tecnologías de la Información y Comunicación, que incluye las telecomunicaciones y el espectro radioeléctrico;

Que, con Decreto Ejecutivo nº 5 de 24 de mayo de 2017, se suprime la Secretaría Nacional de la Administración Pública y se transfieren al Ministerio de Telecomunicaciones y de la Sociedad de la Información las atribuciones respecto de: «a: Gestionar la política y directrices emitidas para la gestión de la implementación del gobierno electrónico; b. Desarrollar y coordinar planes, programas o proyectos sobre gobierno electrónico que sean necesarios para su implementación»;

Que, mediante Decreto Ejecutivo nº 784 de 4 de junio de 2019, el Presidente de la República nombró al licenciado Andrés Michelena Ayala, en el cargo de Ministro de Telecomunicaciones y de la Sociedad de la Información;

Que, mediante Acuerdo Ministerial nº 011-2018 de 8 de agosto de 2018, se expidió el Plan Nacional de Gobierno Electrónico para el período 2018-2021; 

Que, el Plan Nacional de Gobierno Electrónico tiene como objetivo promover la participación ciudadana, la democratización de los servicios públicos, la simplificación de trámites y la gestión estatal eficiente, por medio del aprovechamiento de los recursos que actualmente posee el Estado;

Que, dentro de la Iniciativa 3, Impulsar la protección de la información y datos personales, contempla como iniciativa la emisión de normativa que permita instrumentar la protección de datos personales gestionados por la Administración Pública Central;

Que, mediante Informe Técnico de 5 de junio de 2019, aprobado por el Subsecretario de Estado – Gobierno Electrónico, se concluye: «La Guía para el tratamiento de datos personales en la Administración Pública es una de las estrategias del Plan Nacional de Gobierno Electrónico, contempladas en su programa para el fortalecimiento del Gobierno Abierto. Compromete a las entidades del Ejecutivo a articular acciones para promover la transparencia manteniendo informada a la ciudadanía sobre el tratamiento que se da a sus datos personales»;

En ejercicio de las atribuciones que le confiere el numeral 1 del artículo 154 de la Constitución de la República y el artículo 17 del Estatuto del Régimen Administrativo de la Función Ejecutiva;

ACUERDA

Artículo 1.-

Expedir la Guía para el tratamiento de datos personales en la Administración Pública Central, que se encuentra Anexo y forma parte integral del presente Acuerdo.

Artículo 2.-

Disponer la implementación obligatoria de la Guía para el tratamiento de datos personales en la Administración Pública Central.

DISPOSICIONES TRANSITORIAS:

Primera.-

El Ministerio de Telecomunicaciones y de la Sociedad de la Información coordinará con el administrador del sistema informático «Contacto ciudadano», para que se habilite la opción para ejercer derechos de Acceso y Rectificación relacionadas con los datos personales, en un plazo de treinta (30) días, contados a partir de la suscripción del presente Acuerdo.

Segunda.-

Con la finalidad de facilitar la publicación de la Política para la protección de datos personales, el Ministerio de Telecomunicaciones y de la Sociedad de la Información, pondrá a disposición un componente tecnológico en los portales homologados, que permita la publicación de la misma, en el plazo de treinta (30) días contados a partir de la suscripción de la presente Guía, para que las entidades de la Administración Pública Central habiliten su despliegue.

Tercera.-

En el plazo de noventa (90) días contados a partir de la suscripción del presente Acuerdo, las entidades de la Administración Pública Central deberán elaborar, aprobar y publicar la Política para la protección de datos personales en los diferentes canales electrónicos que disponen para interactuar con los ciudadanos.

DISPOSICIÓN FINAL ÚNICA:

De la ejecución, monitoreo y seguimiento de la Guía para el tratamiento de datos personales, encárguese a la Subsecretaría de Estado – Gobierno Electrónico en el ámbito de sus competencias.

El presente Acuerdo Ministerial entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Dado en el Distrito Metropolitano de Quito, a 11 de junio de 2019

 Lcdo. Andrés Michelena Ayala. MINISTERIO DE TELECOMUNICACIONES  Y DE LA SOCIEDADAD DE LA INFORMACION

GUÍA PARA EL TRATAMIENTO DE DATOS PERSONALES EN LA ADMINISTRACIÓN PÚBLICA CENTRAL

Título: Guía para el tratamiento de datos personales en la Administración Pública Central

Fecha: Junio 2019           

Dependencia:

Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL)

Dirección Nacional de Registro de Datos Públicos (DINARDAP)  

FIRMAS DE REVISIÓN Y APROBACIÓN

Elaborado por: Johama Pazmiño. Especialista en Fomento y Difusión del Plan Nacional de Gobierno Electrónico MINTEL

Elaborado por: Daniela Macias. Directora de Protección de la Información DINARDAP

Revisado por: Juan Carlos Castillo. Gerente del Plan Nacional de Gobierno Electrónico MINTEL

Aprobado por: Javier Jara. Subsecretario de Estado Gobierno Electrónico. MINTEL

Aprobado por: Lorena Naranjo. Directora Nacional de Registro de Datos Públicos DINARDAP

 Objeto:

La Guía para el tratamiento de datos personales en la Administración Pública Central, tiene   por objeto proporcionar lineamientos para que las entidades de la Administración Pública Central (APC) mantengan informadas a las personas que acceden a través de sus canales electrónicos, sobre el tratamiento que dan a sus datos personales; y gestionen de manera adecuada los datos personales.

Ámbito de aplicación:

La presente Guía es de aplicación obligatoria para todas las entidades de la Administración Pública Central, quienes deberán implementar estos lineamientos  en  los  canales  electrónicos  que  mantienen  para  comunicarse  con los ciudadanos, así como a los datos que circulan y se receptan por medio de estos canales.

Términos y definiciones:

Para efectos de aplicación de la presente Guía, se consideran las siguientes definiciones:

Anonimización:

Proceso por el cual deja de ser posible establecer por medios razonables el nexo entre un dato y el sujeto al que se refiere.

(Reglamento General de Protección de Datos, Unión Europea,2016/679)

APC:

La Administración Pública Central comprende: la Presidencia y Vicepresidencia de la República; los ministerios de Estado; las entidades adscritas o dependientes; y, las entidades del sector público cuyos órganos de dirección estén integrados, en la mitad o más, por delegados o representantes de organismos, autoridades, funcionarios o servidores de entidades que integran la administración pública central.

(Art. 45, Código Orgánico Administrativo,2017)

Autodeterminación Informativa:

es la atribución que tiene el titular de conocer y consentir sobre el uso de sus datos personales.

(Dinardap, 2019)

Canales:

Estructuras o medios de difusión de los contenidos y servicios; incluyendo el canal presencial, el telefónico y el electrónico, asi como otros que existan en la actualidad o puedan existir en el futuro (dispositivos móviles, TDT, etc.)

(«Diccionario de términos y conceptos de la administración electrónica’, Secretaría Nacional de la Administración Pública, Gobierno de España, abril 2018)

Canal electrónico:

todo canal de transmisión de datos por medios electrónicos, ópticos o radiofrecuencias.

(Diccionario de términos y conceptos de la administración electrónica, Secretaría Nacional de  la Administración Pública, Gobierno de España, abril 2018)

Consentimiento:

toda manifestación expresa de voluntad, libre, inequívoca, específica e informada, emanada por el títular de la informacíón o datos personales que permiten la recolección y tratamiento de los mismos.

(Diccionario de términos y Conceptos de la Administración Electrónica. Versión 4ª, feb. 2019)

Cookies:

es una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario. Sus principales funciones son: llevar el control de usuarios, conseguir información sobre los hábitos de navegación del usuario, e intentos de acceso de programas espía.

(Diccionario de términos y Conceptos de la Administración Electrónica. Versión 48, feb.2019)

Dato personal:

dato que permite identificar o hacer identificable a un individuo directa o indirectamente.

(Reglamento General Europeo de Protección de Datos Personales,2018)

Dato personal registrable:

Es el dato personal que se encuentra en la Administración Pública, mismo que ha sido recogido de acuerdo a las facultades y atribuciones establecidas mediante norma expresa.

(Dirección Nacional de Registro de Datos Públicos, 2019)

Dato sensible: es aquel dato personal que en caso de ser tratado de manera inadecuada podría derivar en importantes riesgos para los derechos y las libertades fundamentales de una persona. Por ejemplo, ideología, afiliación política o sindical, etnia, estado de salud, orientación sexual, religión, identificación personal, datos biométricos, condición migratoria, entre otros.

(Dirección Nacional de Registro de Datos Públicos, 2019)

lnformación pública:

Toda la información que emane o que esté en poder de las instituciones, organismos y entidades, personas jurídicas de derecho público o privado que, para el tema materia de la información tenga participación del Estado o sean concesionarios de éste.

(Lotaip,2004)

lnteroperabilidad gubernamental:

Esfuerzo mancomunado y permanente de todas las entidades de la Administración Pública Central, para compartir e intercambiar entre ellas, por medio de las tecnologías de la información y comunicación, datos e información electrónicos que son necesarios en la prestación de los tramites y servicios ciudadanos que presentan las entidades, así como en la gestión interna e interinstitucional.

(Decreto Ejecutivo nº 1384, diciembre 2012)

Tratamiento de datos:

Se compone de la obtención, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción de datos personales.

(Dirección Nacional de Registro de Datos Públicos, 2019)

Trazabilidad :

Es la capacidad para seguir la historia, aplicación o localización de todo aquello que está bajo consideración.

(ISO 9000,2005)

Vulnerabilidad:

debilidad de un activo de información o control que puede ser aprovechado por una causa potencial de un incidente no deseado, el cual puede resultar en daños al sistema o a la organización.

(NTE INEN-ISO/IEC 27000:2012)

Vulneración:

acción y efecto de transgredir, quebrantar, violar una ley o precepto.                        

(Diccionario Real Academia de la Lengua Española)

CAPÍTULO I.- DERECHO CIUDADANO A SER INFORMADO

1. Derechos que asisten al titular de los datos.-

En virtud de que los datos personales identifican o hacen identificable a un individuo asi como son parte del ser humano a quien se le atribuye su titularidad, resulta imprescindible que al encontrarse en registros de la Administración Pública Central, el titular tenga la facultad de ejercer los siguientes derechos y garantías que le asisten:

a. Derecho de acceso: facultad del titular para conocer la información que se almacena en una base de datos, su origen, finalidad, criterios, tiempo de conservación y comunicación.

b. Derecho de rectificación: facultad del titular para solicitar se rectifiquen o actualicen los datos ola información inexacta, errónea, falsa, incorrecta o imprecisa.

c. Derecho de portabilidad: facultad del titular para recibir del responsable de datos personales, sus datos personales, en un formato compatible, actualizado, estructurado, común y mecánico.

2. Régimen de excepciones al consentimiento.-

Las entidades de la APC no requieren autorización del titular, para dar tratamiento a los datos personales, en los siguientes casos:

a. Existencia de mandato legal.

b. Existencia de orden judicial emitida por autoridad competente.

c. Cuando los datos son recogidos en la Administración Pública para el ejercicio de sus funciones de acuerdo con sus facultades y atribuciones.

d. Cuando son datos de fuentes accesibles al público. Aquellos datos que se puede acceder sin necesitar el consentimiento o autorización de la persona a la que se refiere la información.

e. En procesos de interoperabilidad o intercambio de datos entre entidades de la Administración Pública, de acuerdo con sus atribuciones.

f. Cuando se trate de resguardar la seguridad del Estado, o en procesos de inteligencia y contrainteligencia.

g. Cuando mantengan fines estadísticos efectuados por las entidades competentes para lo cual se garantizará el secreto estadístico conforme las regulaciones vigentes.

h. Cuando sean utilizados en emergencias de salud pública, por entidades que sean competentes.

i. Cuando se utilicen en sucesos de desastres naturales, por entidades que sean competentes.

3. Ejercicio de derechos.-

Con la finalidad de hacer efectivos los derechos anteriormente mencionados, las entidades de la APC deben incluir la Política para el tratamiento de datos personales, utilizando los mecanismos que resulten adecuados a cada medio electrónico que disponga.

4. Política para el tratamiento de datos personales.-

Es un comunicado que informa de manera detallada cómo la entidad realiza el tratamiento de la información ciudadana, que se recolecta a través del canal electrónico que está siendo usado (Política de privacidad); y las condiciones a las que está sujeta el uso del canal electrónico que deben ser conocidas y aceptadas, de ser el caso, para que el titular pueda ejercer sus derechos. al tiempo que haga un buen uso del canal electrónico que está utilizando (Términos y condiciones de uso).

La Política para el tratamiento de datos personales contendrá como mínimo la siguiente información:

• El alcance: quién utiliza los datos.

• Datos que recolecta

• La finalidad de los datos.

• Se deberá informar cuando la entidad trate información correspondiente a niñas, niños y adolescentes. Las cláusulas deberán señalar que el tratamiento respeta el interés superior y asegurar el respeto de derechos fundamentales

• El proceso para ejercer derechos de Acceso y Rectificación.

• Notificaciones en el caso de que existan cambios en la política de privacidad.

• Uso de cookies.

• Medidas para precautelar la seguridad de los datos personales.

• Base legal que sustenta el tratamiento de los datos.

• Términos y condiciones de uso.

La política debe ser elaborada acorde a las competencias y atribuciones de las instituciones. Un ejemplo de lo que debe contener la Política para el tratamiento de datos personales se encuentra en el Anexo 1, mismo que debe ser considerado como referencia.

5. Mecanismos para informar la Política para el tratamiento de datos personales.-

Para que el usuario pueda informarse acerca del tratamiento de los datos personales, la entidad debe utilizar el mecanismo idóneo para informar la Política para el tratamiento de datos personales, en cada canal electrónico que disponga para comunicarse con el ciudadano.

6. Publicación de la Política para el tratamiento de datos personales en páginas web.­

Las entidades deben utilizar notificaciones o ventanas emergentes visibles, las mismas que deben abarcarla siguiente información.

• Un texto que indique la aceptación expresa o no de la Política para el tratamiento de datos personales.

• El enlace al contenido de la Política para el tratamiento de datos personales.

Ver Anexo 2, mismo que debe ser considerado como referencia.

7. Proceso para ejercer derechos de Acceso y Rectificación.-

La entidad debe incluir, en la Política para la protección de los datos personales. el enlace al sistema informático «Contacto ciudadano» para recibir estas solicitudes. La entidad responsable que recepte la solicitud responderá al titular de la información conforme a los procedimientos internos acorde al ordenamiento legal vigente.

CAPÍTULO II.- TRATAMIENTO DE DATOS PERSONALES EN LA ENTIDAD

8. Principios.-

Las entidades de la APC deben considerar los siguientes principios para el tratamiento de datos personales:

a. Principio de consentimiento: El tratamiento de datos personales debe concebirse en base al debido sigilo y secreto; es decir, no deben divulgarse, difundirse. cederse, comercializarse o publicarse. sin que se cuente con el consentimiento del titular.

b. Principio de calidad: Los datos personales deben ser exactos y facilitar su actualización cuando sea solicitado por el titular con el fin de evitar errores por omisión, se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

c. Principio de legalidad: Los datos personales deben ser tratados de forma lícita. leal y transparente.

d. Principio de finalidad: Los datos personales deben ser recogidos con fines determinados y explícitos. No serán tratados ulteriormente con fines contrarios para los que fueron recogidos. Ninguno de los datos personales deberá ser utilizado o revelado sin el consentimiento de la persona interesada, con un propósito incompatible con el que se haya especificado.

e. Principio de proporcionalidad: Los dalos personales deben ser adecuados. Pertinentes y limitados a lo necesario en relación con el tratamiento.

f. Principio de conservación: Los datos personales deben mantenerse de manera que se permita la identificación durante no más tiempo del necesario, para los fines del tratamiento permitido de los datos personales. Deben ser eliminados, anonimizados o disociados cuando se haya cumplido con la finalidad para la cual fueron recolectados. Le corresponde a la entidad determinar las políticas para efectuar los procesos mencionados.

g. Principio de seguridad: Los datos personales deben ser tratados de manera que se garantice la aplicación de medidas técnicas u organizativas apropiadas para evitar su pérdida, destrucción o daño accidental. En caso de vulnerarse las seguridades. el responsable deberá notificar la o las transgresiones al titular de los datos.

h. Principio de no discriminación: El tratamiento de datos personales no puede originar discriminación de ningún tipo.

9. Actores y responsabilidades.-

Para los fines de cumplimiento de la presente Guía, se determinan los siguientes actores y sus responsabilidades:

Titular de los datos: es la persona natural a quien hace referencia la información. Tiene las siguientes responsabilidades:

– Otorga el consentimiento para el tratamiento de sus datos personales.

– Realiza las correspondientes acciones para ejercer los derechos que le asisten.

Responsable de los datos: es la máxima autoridad de la institución (o su delegado). Tiene las siguientes responsabilidades:

– Aprobar la Política para el tratamiento de datos personales.

– Emitirá las directrices la aplicación y uso de la guía en la Institución.

– Garantizar los derechos y principios señalados en esta Guía.

– Designar a los responsables de atender las solicitudes de Acceso y Rectificación.

Gestor institucional: es el oficial de seguridad de la información institucional o quien haga sus veces. Le corresponde efectuar lo siguiente:

– Elaborar la Política para el tratamiento de datos personales, asi como las directrices para su institución.

– Elaborar procedimientos para identificar los riesgos asociados al tratamiento de datos personales con el propósito de evaluar y/o anticipar el incumplimiento de las normas.

– Elaborar protocolos de respuesta que se anticipen a riesgos y/o acciones que conlleven violaciones de seguridad de los datos personales.

– Coordinar y dar a conocer todo lo relativo al tratamiento de datos personales dentro de su institución.

– Determinar qué datos personales requieren trazabilidad en función de lo establecido en el Esquema Gubernamental de Seguridad de la Información respecto a la priorización de activos de información.

Encargados del tratamiento:

son los funcionarios de las unidades poseedoras de la información que efectúan el tratamiento de los datos. Tienen las siguientes responsabilidades:

– Siguen directrices y disposiciones para el tratamiento de datos personales.    

– Comunican al gestor institucional sobre riesgos en relación con los datos personales.  

– Implementan las medidas de seguridad para protegerlos datos personales.

– Implementar los criterios de trazabilidad.

10. Criterios para implementación de trazabilidad.-

Las entidades determinarán qué tipo de datos personales requieren trazabilidad, en estos casos se debe considerar desde la recopilación de los datos. A continuación se detallan las acciones a implementar:

– Mantener un registro de los datos personales que han sido tratados.

– Establecer   un   registro   de   los   datos   personales   que   han   sido   consultados   o actualizados.

– Conservar un registro de los datos que ha sido revisados o que está en proceso de revisión.

11. Criterios a considerar para nuevas soluciones informáticas.-

Las entidades que van a implementar nuevas soluciones informáticas deben aplicar aspectos técnicos y operativos desde las primeras fases del diseño, en cuanto al tratamiento de datos personales, de forma que se aplique los principios de protección de datos desde el primer momento (protección de datos desde el diseño) y se garantice el ejercicio de los derechos del titular.

Asimismo, por defecto, deben garantizar que los datos personales se tratan con la mayor protección (protección de datos por defecto), de forma que los datos personales no sean accesibles a un número indefinido de personas. Solo se debe recoger los datos personales específicos para un fin determinado.

ANEXO 1

*NOTA: Este es un ejemplo referencial y debe ser adaptado a la entidad

Política para el tratamiento de datos personales en (nombre de la entidad)

I. POLÍTICA DE PRIVACIDAD

En esta sección se cuenta con Información sobre:

1. Alcance

2. Datos que se recolecta

3. Finalidad

4. Proceso para ejercer derecho de Acceso y Rectificación

s. Notificaciones cuando existan cambios en la política de privacidad

6. Uso de cookies

7. Medidas para precautelarla seguridad de los datos personales

8. Base legal que sustenta el tratamiento de los datos

1. Alcance

Esta política de privacidad se aplica a todos los datos personales recolectados a través de la página web institucional y de servicios de (nombre de la entidad).

En (nombre de la entidad) todos los funcionarios que realizan el tratamiento de los datos personales, suscriben acuerdos de confidencialidad de la información.

2. Datos que se recolecta

(nombre de la entidad) recopila los siguientes datos personales en línea:

– Su nombre y datos de contacto.

– Fecha de nacimiento.

– Datos de perfil en línea.

– Datos de contacto en caso de emergencia.

– Datos del perfil de las redes sociales.

– Copias de documentos de identificación.

– Educación e información profesional.

– Dispositivo que utiliza.

– Datos de autenticación.

– Datos sobre la ubicación.

– Otros datos que usted cargue o nos proporcione.

Prácticos de registro

(Nombre de la entidad) registra automáticamente las direcciones de Protocolo de Internet (IP) de los visitantes. La dirección IP es un número único asignado a cada computadora en Internet. En general, una dirección IP que cambia cada vez que se conecta a Internet es una dirección dinámica. Sin embargo, tenga en cuenta que, con algunas conexiones de banda ancha, su dirección IP es estática y podría estar asociada a su computadora personal.

Hacemos un seguimiento de las páginas visitadas en el sitio web de (nombre de la entidad), la cantidad de tiempo que pasa en esas páginas y los tipos de búsquedas realizadas en ellas. Sus búsquedas permanecen confidencia les y anónimas, {nombre de la entidad) utiliza esta información solo con fines estadísticos para averiguar qué páginas encuentran los usuarios más útiles y para mejorar el sitio web.

(Nombre de la entidad) también almacena los datos que usted transmite. Esto puede incluir: Navegador / tipo de dispositivo / versión.

Sistema operativo utilizado.

Dirección de control de acceso a medios (MAC).  

Fecha y hora de la solicitud del servidor.

Volumen de datos transferidos.

3. Finalidad

(nombre de la entidad) utiliza (y, cuando se especifica, comparte) su información personal para los siguientes fines:

– Para procesar transacciones se usa información personal como el nombre, la dirección física, el número de teléfono, la dirección de correo electrónico.  Utilizamos la información financiera y de la tarjeta de crédito y de pago para procesar su pedido y es posible que debamos compartir parte de esta información con los servicios de entrega, las cámaras de compensación de tarjetas de crédito y otros terceros para completar la transacción.

– Para proporcionar soporte u otros servicios. {Nombre de la entidad) puede usar su información personal para proporcionarle asistencia u otros servicios que haya solicitado o solicitado. {Nombre de la entidad) también puede usar su información personal para responder directamente a sus solicitudes de información.

– Para proporcionar información basada en sus  necesidades  y  responder a sus  solicitudes. (Nombre de la entidad) puede usar su información personal para proporcionarle avisos de nuevos lanzamientos de productos y desarrollos de servicios.

– Para proporcionar foros en línea y redes sociales. Algunos servicios disponibles en los sitios web le permiten participar en discusiones interactivas, publicar comentarios, oportunidades u otro contenido en un tablón de anuncios o intercambio, o participar en actividades de redes.

– Para administrar servicios. (Nombre de la entidad) puede contactarlo para confirmar cierta información {por ejemplo, que no tuvo problemas en el proceso de descarga).

– Para evaluar el uso de los productos y servicios. (Nombre de la entidad) puede rastrear el uso de los servicios para determinar su nivel de uso, y esas estadísticas son para uso exclusivo de esta entidad.

– Para comunicarnos con usted acerca de una reunión, conferencia o evento organizado o copatrocinado por (nombre de la entidad) o una de nuestras instituciones adscritas. Esto puede incluir información sobre el contenido del evento, la logística del evento, las actualizaciones y la información adicional relacionada con el evento.

– Para considerarlo para un reconocimiento o distinción.

– Para proteger contenidos y servicios. Podemos usar su información para prevenir actividades potencialmente ilegales y para hacer cumplir nuestros términos y condiciones. También utilizamos una variedad de sistemas tecnológicos para detectar y abordar actividades anómalas y para analizar el contenido a fin de evitar abusos, como el spam.

– Para obtener retroalimentación o aportación de usted. Con el fin de ofrecer productos y servicios de mayor interés (por ejemplo, a través de encuestas, estudios de usabilidad, grupos de enfoque).

Datos persono/es de niños

(Nombre de la entidad) no recopila datos de o sobre niños sin el permiso de los padres o tutores. Si nos enteramos de que hemos recopilado información personal de un niño, eliminaremos esa información lo más rápido posible. Si cree que podemos tener alguna información de o sobre un niño, contáctenos.

4. Proceso para ejercer derecho de Acceso y Rectificación.

(Nombre de la entidad) reconoce a los titulares de datos personales el Acceso y Rectificación al tratamiento que se realice sobre sus datos, para lo cual debe seguir el respectivo proceso, ingresando al siguiente enlace:

https://aplicaciones.administracionpublca.gob.ec/

Derecho de Acceso

Indicar el procedimiento que se sigue en la entidad, partiendo de la recepción del pedido, hasta la entrega de la respuesta.

Derecho de Rectificación

En el caso de detectar errores de omisión, como errores tipográficos u ortográficos, deberá iniciar el perdido parala rectificación por el medio que sea definido por (nombre de la entidad), y deberá indicar el proceso que se sigue hasta hacer efectiva la rectificación.

(Nombre de la entidad) analiza si el pedido es procedente o no y comunica al titular notificando dicho particular.

 5. Notificaciones cuando existan cambios en la política de privacidad

(Nombre de la entidad) puede actualizar su Política de Privacidad cuando sea necesario. Si realizamos cambios sustanciales, le notificaremos por correo o mediante un aviso en este sitio web antes de que el cambio entre en vigencia. Le recomendamos que revise periódicamente esta página para obtener la Información más reciente sobre nuestras prácticas de privacidad.

6. Uso de cookies

(Nombre de la entidad) puede utilizar sus datos personales, incluidos los datos recopilados como resultado de la navegación del sitio y los protocolos y registros electrónicos para ayudar a crear y personalizar el contenido del sitio web, mejorar la calidad del sitio web, realizar un seguimiento de la capacidad de respuesta delos servicios entregados.

No compartimos sus datos personales sin su consentimiento. Cuando hace clic o interactúa con un anuncio, existe la posibilidad de que el anunciante pueda colocar una cookie en su navegador con sus propias condiciones de uso.

7. Medidas para precautelar la seguridad de los datos personales

(Nombre de la entidad) protege la confidencialidad, integridad y disponibilidad de los activos de información al seguir un enfoque de administración de riesgos basado en políticas, estándares, pautas y procedimientos para cumplir con los objetivos de seguridad al tiempo que respalda los objetivos.

(Nombre de la entidad) utiliza el protocolo HTIPS para brindar seguridad en el uso de este canal electrónico.

Mitiga los riesgos utilizando el EGSI, Normas ISO 27000, OWAS, etc.

8. Base legal que sustenta el tratamiento de los datos.

(Nombre de la entidad) fundamenta el tratamiento que da a los datos personales en los siguientes instrumentos legales, como los que se citan a continuación.

COESCCi, Disposiciones Generales, VIGÉSIMA SEPTIMA.- «(…) El tratamiento de datos personales que incluya acciones tales como la recopilación, sistematización y almacenamiento de datos personales, requerirá la autorización previa e informada del titular. No se requerirá de la autorización del titular cuando el tratamiento sea desarrollado por una institución pública y tenga una finalidad estadística o científica; de protección a la salud o seguridad; o sea realizado como parte de una política pública de garantía de derechos constitucionalmente reconocidos».

Decreto Ejecutivo nº 1384, diciembre 2012, que establece como política pública el desarrollo de la interoperabilidad gubernamental que consiste en el esfuerzo mancomunado y permanente de todas las entidades de la Ad ministración Pública Central, para compartir e intercambiar entre ellas, por medio de las tecnologías de la información y comunicación, datos e información electrónicos que son necesarios en la prestación de los trámites y servicios ciudadanos que presentan las entidades, así como en la gestión interna e interinstitucional.

 II. TÉRMINOS Y CONDICIONES DE USO

El uso de este portal o de cualquiera de sus componentes, implica la aceptación expresa de los presentes Términos y condiciones de uso.

(Nombre de la entidad) dispone de este portal web para prestar información a los ciudadanos sobre la gestión que lleva adelante.

Los datos que han recibido tratamiento estadístico pueden están disponibles en formatos abiertos, para facilitar su utilización.

Los trámites, servicios, transacciones o movimientos que se realicen después de las de las dieciocho horas o en días inhábiles, se considerarán realizados al día hábil siguiente.

Responsabilidad

(Nombre de la entidad) solamente será responsable del tratamiento y uso de los datos personales que recabe en forma directa a través de este canal electrónico (portal, teléfono, etc.).

(Nombre de la entidad) se deslinda de cualquier responsabilidad que pueda generar al usuario por cualquier uso inadecuado o contrario a los fines de este canal electrónico.

(Nombre de la entidad) no se hace responsable por la veracidad o exactitud de la información contenida en los enlaces a otros sitios web o que haya sido entregada por terceros.

Son obligaciones del usuario

• No dañar, inutilizar, modificar o deteriorar los canales electrónicos a los que está teniendo acceso, ni los contenidos incorporados y almacenados en éstos.

• No utilizar versiones de sistemas modificados con el fin de obtener accesos no autorizados a cualquier canal electrónico, contenido y/o servicios ofrecidos a través de estos.

• No interferir ni interrumpir el acceso, funcionalidad y utilización de canales electrónicos y redes conectados al mismo.

ANEXO 2. EJEMPLO DE VENTANA EMERGENTE PARA LA ACEPTACIÓN DE LA POLÍTICA PARA EL TRATAMIENTO DE DATOS PERSONALES

ANEXO 3. PARTICIPANTES EN EL PROCESO DE CO-CREACIÓN