RESOLUCIÓN ORGANIZACIONAL OGZ-00802 DE 2022

(abril 19)

Diario Oficial No. 52.011 de 20 de abril de 2022

CONTRALORÍA GENERAL DE LA REPÚBLICA

Por la cual se deroga el artículo 7o de la Resolución Organizacional OGZ-0768-2020, por la cual se crea el Sistema de Gestión y Gobierno de Datos e Información de la Contraloría General de la República, se conforma el Comité de Gobierno de Datos e Información y se dictan otras disposiciones para el funcionamiento del sistema.

EL CONTRALOR GENERAL DE LA REPÚBLICA,

en ejercicio de sus facultades constitucionales y legales, y

CONSIDERANDO:

Que el artículo 119 de la Constitución Política preceptúa que la Contraloría General de la República, como órgano de control, tiene a su cargo la vigilancia de la gestión fiscal y el control de resultado de la administración;

Que el artículo 267 de la Constitución Política, modificado por el artículo 1o del Acto Legislativo número 04 de 2019, determina que la vigilancia y el control fiscal son una función pública que ejercerá la Contraloría General de la República, la cual vigila la gestión fiscal de la administración y de los particulares o entidades que manejen fondos o bienes públicos, en todos los niveles administrativos y respecto de todo tipo de recursos públicos. La vigilancia de la gestión fiscal del Estado incluye el seguimiento permanente al recurso público, sin oponibilidad de reserva legal para el acceso a la información por parte de los órganos de control fiscal;

Que la Ley 1581 de 2012 tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política. Así mismo, el artículo 6o, literal e), y el artículo 10, literal a), de la ley, exceptúan la prohibición de tratamiento de datos sensibles cuando este tenga una finalidad histórica, estadística o científica, a condición de que se adopten las medidas conducentes a la supresión de identidad de los titulares, y que la autorización del titular no será necesaria cuando se trate de información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o cuando los datos sean de naturaleza pública. Posibilidad de acceso a esa información que reitera el artículo 13, literal b), de la misma norma;

Que los artículos número 26 y 27 del Decreto número 1377 de 2013 indican que los responsables del tratamiento de datos personales deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y sus normas reglamentarias, las cuales deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio;

Que el artículo 136 de la Ley 1955 de 2019 dispuso que la Contraloría General de la República para el cumplimiento de sus funciones, tendrá acceso sin restricciones a los sistemas de información o bases de datos de las entidades públicas y privadas que dispongan o administren recursos y/o ejerzan funciones públicas. Para ello, la reserva legal de información o documentos no le será oponible y se entenderá extendida exclusivamente para su uso en el marco de sus funciones constitucionales y legales. Cada entidad deberá disponer de lo necesario para garantizar el suministro oportuno y en tiempo real de la información requerida por la Contraloría General de la República;

Que por mandato del artículo 3o, literal k), del Decreto número 403 de 2020, la inoponibilidad en el acceso a la información es un principio de la vigilancia y control fiscal, en virtud del cual “(...): los órganos de control fiscal podrán requerir, conocer y examinar, de manera gratuita, todos los datos e información sobre la gestión fiscal de entidades públicas o privadas, exclusivamente para el ejercicio de sus funciones sin que re sea oponible reserva alguna”;

Que según lo dispuesto en el artículo 90 del Decreto número 403 de 2020, “(...) el acceso a los sistemas de información o bases de datos de las entidades públicas y privadas que dispongan o administren recursos y/o ejerzan funciones públicas, por parte de la Contraloría General de la República y demás órganos de control fiscal, no podrá impedirse o limitarse con el argumento del carácter reservado o clasificado de la información. Los funcionarios de los órganos de control fiscal estarán obligados a guardar la reserva y la confidencialidad de la información que tenga dicho carácter, en los términos de las Leyes 1712 de 2014 y 1581 de 2012 y las normas que las modifiquen, adicionen o sustituyan”;

Que la finalidad del acceso por parte de la Contraloría General de la República a los sistemas de información o bases de datos de las entidades públicas y de las entidades privadas que dispongan o administren recursos y/o ejerzan funciones públicas, en los cuales pueden existir datos personales, es exclusivamente para utilizar la información en los fines y propósitos de la vigilancia y control fiscal, por disposición del artículo 89 del Decreto número 403 de 2020;

Que entre las funciones de la Dirección de Información, Análisis y Reacción Inmediata se encuentra la de dirigir la formulación de políticas, planes, programas, proyectos y procedimientos relacionados con el acceso, acopio, custodia, seguridad, uso, análisis y aprovechamiento de datos e información, que contribuyan a incrementar la eficiencia, eficacia y resultados con valor agregado de las acciones de vigilancia y control fiscal, con el apoyo de la Unidad de Seguridad y Aseguramiento Tecnológico e Informático y la Oficina de Sistemas e Informática en lo que corresponda; conforme lo indica el articulo 42

A, ordinal 1, del Decreto número 267 de 2000, adicionado por el artículo 3o del Decreto número 2037 de 2019;

Que de acuerdo con lo establecido por el artículo 128, inciso 5, de la Ley 1474 de 2011, es función de la Unidad de Seguridad y Aseguramiento Tecnológico e Informático prestar apoyo profesional y técnico para la formulación y ejecución de las políticas y programas de seguridad de los servidores públicos, de los bienes y de la información de la entidad y promover la celebración de convenios con entidades u organismos nacionales e internacionales para garantizar la protección de las personas al servicio de la Contraloría General de la República;

Que el parágrafo 1 del artículo 1o del Decreto número 2037 de 2019 prescribe que la Unidad de Seguridad y Aseguramiento Tecnológico e Informático cumplirá las finalidades y funciones señaladas en el artículo 128 de Ley 1474 de 2011 y los lineamientos que expida el Contralor General de la República para el desarrollo de las mismas;

Que el numeral 4 del artículo 35 del Decreto número 267 de 2000 establece como función del Contralor General de la República la de dirigir como autoridad superior las labores administrativas y de vigilancia fiscal de las diferentes dependencias de la Contraloría General de la República, en concordancia con la autonomía administrativa que le atribuye a la entidad el artículo 6o ibídem;

Que la Contraloría General de la República se propuso en el Plan Estratégico 2018-2022 “Una Contraloría para Todos”, en el Objetivo Estratégico 1, satisfacer la necesidad de “fortalecer la gobernanza interna a través de las interacciones y acuerdos entre el control fiscal macro y micro en el nivel central y regional, para hacer más efectivo el control fiscal, la vigilancia y control del recurso público”, a través de estrategias como las de “optimizar el uso de la información macroeconómica, sectorial y micro para dar contexto al control fiscal micro y macro”, de cuya ejecución se espera obtener como productos una “herramienta tecnológica única como repositorio y gestor de información, que permita capturar, organizar y tabular información micro y macro para la toma de decisión” oportuna e “implementar el gobierno de datos y datos abiertos en la CGR”;

Que en el Objetivo Estratégico 2, en procura de “vigilar la gestión fiscal con un control efectivo y articulado entre los macroprocesos misionales”, se propone “emitir alertas tempranas sobre la gestión fiscal con base en el análisis de la información que genera el centro de control y monitoreo del recurso público” (hoy Dirección de Información, Análisis y Reacción Inmediata, DIARI).

Por su parte, en el Objetivo Estratégico 5, se propone “habilitar las capacidades y servicios tecnológicos para impulsar la transformación digital de la entidad por medio de la práctica de arquitectura empresarial”, lo cual se pretende obtener con la estrategia de “implementar soluciones tecnológicas que permitan la interoperabilidad, el intercambio de información en tiempo real y de forma segura, en toda la organización y con sus socios estratégicos”; al tiempo que se busca “integrar los diferentes sistemas de información para facilitar la optimización de los procesos, la adaptación de los cambios y el suministro de información de manera oportuna”;

Que la Unidad de Seguridad y Aseguramiento Tecnológico e Informático lidera el macroproceso Gestión de Riesgo, Seguridad y Continuidad del Negocio, que tiene por objetivo gestionar riesgos, seguridad, crisis, continuidad y emergencias, para reducir la exposición o vulnerabilidad de la Entidad frente a los eventos que puedan afectar el logro de sus objetivos, y tiene a su cargo la administración del Sistema de Gestión de Seguridad, creado por la Resolución Organizacional número OGZ-0531 de 2016, que entre otros tiene por objeto las políticas relativas a la seguridad de personas, bienes e información;

Que es función del Comité de Seguridad, como instancia directiva del Sistema de Gestión de Seguridad, determinar la pertinencia de las políticas y programas de seguridad y, de ser procedente, recomendar su adopción por parte del Contralor General de la República, según lo establece el artículo 4o, ordinal 1, de la Resolución Organizacional número OGZ-0758-2020; disposición que modificó el artículo 4o de la Resolución Organizacional número OGZ-0531-2016;

Que por Resolución Organizacional número OGZ-0765-2020 se designó a la Unidad de Seguridad y Aseguramiento Tecnológico e Informático como Oficial de Protección de Datos Personales en la Contraloría General de la República y se fijaron sus funciones en esa materia;

Que por Resolución Organizacional número OGZ-0768-2020 se creó el Sistema de Gestión y Gobierno de Datos e Información de la Contraloría General de la República, en virtud del cual la entidad pretende identificar necesidades y fuentes de información, mediante la estandarización, recolección, procesamiento, análisis y validación de esta, y generar valor público a través del uso inteligente y la gestión del conocimiento sobre los datos e información organizacionales. Por tanto, este sistema otorga importancia a los procedimientos relacionados con Gestión de Información a nivel de la entidad, y conforma la autoridad necesaria para promover el cumplimiento de las políticas, procesos y lineamientos a ser establecidos; tal como se establece en la definición del sistema en el “Marco conceptual y metodológico para el funcionamiento del Sistema de Gestión y Gobierno de Datos e Información de la Contraloría General de la República”, página 8;

Que el Sistema de Gestión y Gobierno de Datos e Información es administrado por el Comité de Gobierno de Datos e Información, cuyo rol y responsabilidades están enunciados en el “Marco conceptual y metodológico para el funcionamiento del Sistema de Gestión y Gobierno de Datos e Información de la Contraloría General de la República”.

Así, se le atribuye las funciones de “Aprobar y/o actualizar las políticas y lineamientos relacionados con el gobierno de datos, datos abiertos y gestión de información en la Entidad, adicionales a las especificadas en el presente documento”; “Aprobar los planes de acción para desarrollar las estrategias relacionadas con el gobierno de datos y gestión de información en la Entidad”; “Aprobar los parámetros sobre la forma de solicitar y procesar la información interna y externa...” (“Marco conceptual y metodológico para el funcionamiento del Sistema de Gestión y Gobierno de Datos e Información de la Contraloría General de la República”, página 17);

Que para la Contraloría General de la República el Sistema de Gestión y Gobierno de Datos e Información se constituye en un habilitador para el fortalecimiento de la capacidad institucional relacionada con la gestión y aprovechamiento de la información, que le permitirá ejercer la autoridad y control para el tratamiento de datos e información relevante para el ejercicio de su misión;

Que en el artículo 7o de la Resolución Organizacional número OGZ-0768-2020 se estableció que las funciones del Comité de Seguridad en materia de formulación de políticas y programas de seguridad de la información son aquellas referidas exclusivamente al tratamiento de datos personales. Mientras que las funciones del Comité de Gestión y Gobierno de Datos e información comprenden todos los aspectos relacionados con el gobierno de datos, datos abiertos y gestión de información en la entidad, excepto el tratamiento de datos personales;

Que el alcance funcional definido en el artículo 7o de la Resolución Organizacional número OGZ-0768-2020, respecto del Comité de Seguridad, no es consecuente con el ámbito de competencia que se deriva del Sistema de Gestión de Seguridad y del proceso de Gestión Integral de Segundad, por cuanto la seguridad de la información no se limita a la confidencialidad, involucrada en el tratamiento de datos personales, sino que también incluye la integridad y la disponibilidad de los sistemas de información. Al tiempo que debe supervisar el funcionamiento idóneo de los mecanismos básicos de seguridad, como la autenticación, la autorización y la administración de los sistemas de información; la eficacia de los protocolos de seguridad implementados, las actividades implementadas enfocadas a controlar o mitigar los riesgos identificados por las instancias competentes, acorde con la Resolución número 791 del 28 de octubre de 2021 y la respuesta a incidentes;

Que, si bien el Comité de Gobierno de Datos e Información está facultado para formular políticas sobre la seguridad de los datos y la información, en tanto la seguridad es componente del gobierno de datos; esta facultad delimita las funciones del Comité de Seguridad en materia de seguridad de la información. En este sentido, la causa de la necesidad de derogar el artículo 7o de la Resolución número 768 de 2020 radica no en la misionalidad de cada comité, sino en la interpretación que de este artículo 7 se desprende, sugiriendo así una diferencia de concepto con respecto a la Resolución número OGZ- 0531 de 2016, en relación con la potestad en cabeza de la USATI para la formulación de políticas de seguridad para la CGR y ponerlas a consideración del Comité de Seguridad. El numeral 4.1.7. del “Marco conceptual y metodológico para el funcionamiento del Sistema de Gestión y Gobierno de Datos e Información de la Contraloría General de la República”, señala que la supervisión de procesos de gobierno de seguridad estará a cargo del Comité de Seguridad, de acuerdo con la Resolución Organizacional número OGZ- 0531-2016, sin restricción alguna;

Que el Contralor General de la República cuenta con facultades para reglamentar los objetivos, la integración y las funciones de los consejos, comités, comisiones y juntas establecidas por las disposiciones legales y reglamentarias correspondientes, tanto para los órganos de creación legal como para los que él decida conformar para suplir las necesidades del servicio, según lo autoriza el artículo 76 del Decreto número 267 de 2000;

Que el artículo 20 del Decreto ley 267 de 2000 establece como objetivos de los órganos de coordinación y asesoría, servir de instancia de consulta, coordinación y evaluación de los asuntos para los cuales fueron creados;

Que es función común de las dependencias de la Contraloría General de la República dirigir, coordinar y controlar el desarrollo de las funciones que cumplen las dependencias y servidores a su cargo, en observancia de los principios que regulan la función administrativa y el principio de unidad de gestión, tal como lo preceptúa el artículo 72A, ordinal 1, del Decreto número 267 de 2000, adicionado por el artículo 22 del Decreto número 2037 de 2019;

En mérito de lo expuesto,

RESUELVE:

ARTÍCULO 1o. Derogar el artículo 7o de la Resolución Organizacional número OGZ-0768 de 2020, por la cual se crea el Sistema de Gestión y Gobierno de Datos e Información de la Contraloría General de la República, se conforma el Comité de Gobierno de Datos e Información y se dictan otras disposiciones para el funcionamiento del sistema.

ARTÍCULO 2o. Las demás disposiciones contenidas en la Resolución Organizacional número OGZ-0768 de 2020 continúan vigentes y sin modificaciones.

ARTÍCULO 3o. La presente resolución rige a partir de la fecha de su publicación.

Comuníquese, publíquese y cúmplase.

Dada en Bogotá, D. C., a 19 de abril de 2022.

El Contralor General de la República,

Carlos Felipe Córdoba Larrarte.