Resolución N° 1234/24
Nro de Expediente:
2022-6539-98-000011
 
SECRETARIA GENERAL
Fecha de Aprobación:
11/03/2024


Tema:
DIGESTO

Resumen:
DIGESTO - SE DEJA SIN EFECTO LA RESOLUCIÓN N.º 1492/15 DE 6/04/15 Y SE SUSTITUYE LOS ARTÍCULOS R.418.35 AL R.418.44 DE LA SECCIÓN X “DE LA POLÍTICA SOBRE CIBERSEGURIDAD”, CAPÍTULO XVIII.3 “DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN”, TÍTULO ÚNICO, PARTE REGLAMENTARIA, LIBRO III “DE LA RELACIÓN FUNCIONAL”, VOLUMEN III “RELACIÓN FUNCIONAL” DEL DIGESTO DEPARTAMENTAL, EN LA REDACCIÓN DADA POR LA RESOLUCIÓN NRO. 1492/15 DE 6 DE ABRIL DE 2015.-

Montevideo, 11 de Marzo de 2024.-
 

                         VISTO: la necesidad de realizar cambios en la normativa vigente en materia de ciberseguridad a los efectos de adecuar a nivel institucional ciertas políticas vinculadas a la seguridad de la información;

                         RESULTANDO: 1o.) que se considera fundamental para la comunicación con la población de Montevideo la existencia de correos electrónicos institucionales seguros, administrados en forma centralizada y con todas las garantías de integridad y confidencialidad, para lo cual el Departamento de Desarrollo Sostenible e Inteligente ha trabajado en definir mecanismos para proveer estos servicios de forma adecuada a las necesidades de la Institución;

2o.) que la seguridad de la información es fundamental para el desarrollo del gobierno electrónico, resultando necesario contar con lineamientos para la implementación y uso de tecnologías y/o servicios en la nube ubicados en centros de datos seguros, por lo cual la Unidad de Seguridad Informática elaboró la propuesta cuya aprobación se propicia;

3o.) que se propone avanzar en garantizar que la información producida o distribuida por la organización mantenga su integridad y confidencialidad de forma apropiada y que se encuentre disponible siempre que sea necesaria;

4o.) que en el marco de la implantación de políticas de seguridad de la información se han aprobado un conjunto de resoluciones, tales como las  Nos. 4286/20 y 4287/20 de 07 de diciembre del 2020, y que asimismo a nivel nacional se aprobó el Decreto del Poder Ejecutivo No. 92/014 de 07 de abril de 2014, el cual estableció un nuevo marco normativo a nivel de ciberseguridad para la Administración Pública, el que también debe ser tomado como referencia ineludible;

                         CONSIDERANDO: 1o.) que el Decreto del Poder Ejecutivo No. 452/009 de 28 de setiembre de 2009 exhorta a los Gobiernos Departamentales a adoptar las disposiciones establecidas en materia de seguridad en el uso de las tecnologías de la información y las comunicaciones en el Estado;

2o.) que el Decreto del Poder Ejecutivo No. 92/014 de 07 de abril de 2014, en su articulo 3º establece que “Los sistemas informáticos de la Administración Central deberán estar alojados en centros de datos seguros situados en territorio nacional, exceptuándose aquellos que no constituyan un riesgo para el organismo, de acuerdo con los "lineamientos para la implementación y uso de centros de datos seguros", establecidos en dicho Decreto;

3o.) que la Unidad Reguladora y de Control de Datos Personales (URCDP), señala que en el uso de servicios de nube que involucre datos personales y pueda implicar transferencia internacional de estos, debe considerarse la ubicación, es decir, si se trata de territorio adecuado o no adecuado;

4o.) que actualmente por Resolución de la URCDP  No. 23/021 de 08 de junio de 2021 se mantiene el listado de los territorios adecuados;

5o.) que el Departamento de Desarrollo Sostenible e Inteligente y la División Asesoría Jurídica manifiestan su conformidad y estiman procedente el dictado de resolución en el sentido indicado;

EL INTENDENTE DE MONTEVIDEO

RESUELVE:

1.- Dejar sin efecto la Resolución N.º 1492/15 de 6 de abril de 2015.-

2.- Sustituir los artículos R.418.35 al R.418.44 de la Sección X “De la política sobre ciberseguridad”, Capítulo XVIII.3 “Del Sistema de Gestión de la Seguridad de la Información”, Título Único, Parte Reglamentaria, Libro III “De la relación funcional”, Volumen III “Relación Funcional” del Digesto Departamental, en la redacción dada por la Resolución Nro. 1492/15 de 6 de abril de 2015, los cuales quedarán redactados de la siguiente manera:

Artículo R.418.35.- Se establece que los sistemas informáticos y la información producida o gestionada por la Intendencia de Montevideo, deberá estar alojada en centros de datos seguros, situados en el territorio nacional, exceptuándose aquéllos que mediante un análisis, se determine un riesgo bajo o nulo para la organización. En este último caso se deberá contar con la aprobación previa de la Dirección General del Departamento de Desarrollo Sostenible e Inteligente quien podrá, en casos excepcionales y por motivos debidamente fundados, elevar las actuaciones para resolución de la Intendencia, sin perjuicio de lo estipulado en la Ley de Protección de Datos Personales.”

Artículo R.418.36.- Cuando el uso de servicios de nube involucre datos personales que puedan implicar una transferencia internacional, deberá tenerse en cuenta el uso de territorios adecuados según lo definido por la Unidad Reguladora y de Control de Datos Personales (URCDP). De otra forma se deberá acreditar ante la mencionada Unidad que se cuenta con el consentimiento de los titulares de los datos, o con cláusulas contractuales que aseguren la protección de los datos.”

Artículo R.418.37.- Los análisis de riesgos, tanto en materia de ciberseguridad como de protección de datos personales, corresponde que sean realizados en la interna de la organización, por los equipos de Tecnología de la Información (TI), Seguridad, Legal, y en caso de estar asignado, quien desempeña el rol de delegado de protección de datos (regulado por la Resolución de la URCDP N°32/020).”

Artículo R.418.38.- Aquellas tecnologías que utilicen información gestionada por la Intendencia de Montevideo que pueda alojarse o enviarse, aun de forma temporal, fuera de territorio nacional, debe transferirse preferentemente de forma cifrada. En caso que trate información clasificada como reservada, confidencial o secreta, debe transferirse y almacenarse de forma cifrada.”

Artículo R.418.39.- La información generada en canales abiertos de difusión o comunicación con la ciudadanía no estará comprendida en los numerales anteriores.”

Artículo R.418.40.- Los portales web y las direcciones de correo electrónico utilizarán únicamente los dominios de internet asignados oficialmente a la Intendencia de Montevideo, o alguno de sus subdominios.”

Artículo R.418.41.- Para la comunicación entre los clientes de correo y los servidores de correo de la institución se utilizarán protocolos de comunicación cifrada, utilizando un certificado de seguridad válido.”

Artículo R.418.42.- Se utilizarán preferentemente canales de comunicación cifrados para la comunicación entre servidores de transferencia de correo.”

Artículo R.418.43.- Cuando la información enviada en los mensajes de correo se considere de carácter reservado, se recomienda utilizar cifrado a nivel de mensaje, que permita que únicamente el destinatario del mismo pueda leerlo.”

Artículo R.418.44.- Definiciones: a) Centro de datos seguro: El Decreto del Poder ejecutivo 92/014 de 7 de abril de 2014 en su anexo III define los "Lineamientos para la implementación y uso de centros de datos seguros"

b) Canales abiertos de difusión: Se trata de canales de distribución de contenido digital, como ser, redes sociales, blogs, publicidad, mensajería instantánea.

c) Riesgo bajo: El impacto y la probabilidad de ocurrencia es muy baja o prácticamente nula, se requiere unicamente tomar medidas de prevención.

d) Cifrado: Mecanismo de protección de acceso y transferencia de la información mediante algoritmos criptográficos. (Numeral 4 de la Resolución N.º 4286/20, de 7 de diciembre de 2020 incorporado en el artículo R.418.48 del Volumen III del Digesto Departamental).

e) Territorio adecuado: La URCDP establece los territorios adecuados y en consecuencia apropiados para las transferencias internacionales, no requiriendo en este caso autorizaciones especiales por parte de la URCDP, aunque sí el cumplimiento de algunos requisitos formales como la inscripción de la base de datos, entre otros.

f) Territorio no adecuado: En caso de que la transferencia se realice a un territorio no adecuado, se deberá acreditar ante la URCDP que se cuenta con consentimiento de los titulares de los datos, o con cláusulas contractuales que aseguren la protección de los datos, u otras hipótesis previstas en el artículo 23 de la Ley N° 18.331, de fecha 11 de agosto de 2008.

3.- Establecer que la política de ciberseguridad deberá ser revisada cuando ocurran cambios significativos (técnicos, normativo, de negocio) o al menos cada tres años para evaluar su implantación, y modificada cuando así se requiera, a efectos del eficaz cumplimiento de sus objetivos, siendo responsabilidad del área de Seguridad Informática asegurar su cumplimiento.-

4.- Establecer que es responsabilidad de las Gerencias de Tecnología de la Información y  Tecnología para Ciudades Inteligentes, la correcta implementación de esa política.-

5.- Instituir como responsabilidad de todo el personal de esta Intendencia, independientemente de su cargo o situación contractual o funcional, adherirse a estas políticas y reportar todas las situaciones que no la cumplan, con el objetivo de resolverlas.-

6.- Comuníquese a todos los Departamentos, a las Divisiones Asesoría Jurídica, Asesoría de Desarrollo Municipal y Participación, Información y Comunicación, Contaduría General, a las Gerencias de Tecnología de la Información, Tecnología para Ciudades Inteligentes, a los Equipos Técnicos de Información Jurídica, Actualización Normativa, a la Biblioteca Jurídica y pase al Departamento de Desarrollo Sostenible e Inteligente.-

 

 

MAURICIO EMILIO ZUNINO CANEPA, INTENDENTE DE MONTEVIDEO (I).-

OLGA BEATRIZ OTEGUI PINTOS, SECRETARIA GENERAL.-