Bs. As., 1/3/2010

VISTO el Expediente Nº S02:0011857/2009 del registro de la DIRECCION NACIONAL DE MIGRACIONES, las Leyes Nº 24.241, Nº 25.326 y Nº 25.506 y sus respectivas reglamentaciones, y

CONSIDERANDO:

Que las presentes actuaciones tienen por objeto la definición de la Política de Intercambio de Información entre diversos organismos y esta DIRECCION NACIONAL.

Que la DIRECCION NACIONAL DE MIGRACIONES en cumplimiento de las funciones asignadas por la Ley 25.871, tiene a su cargo, entre otras, la administración de los Registros Nacionales de Admisión de Extranjeros, Aptitud Migratoria e Ingresos y Egresos de Personas al Territorio Nacional.

Que la DIRECCION NACIONAL DE MIGRACIONES recibe solicitudes de información o peticiones para acceder a sus Bancos de Datos de los más diversos órdenes.

Que a partir de la entrada en vigencia de la Ley Nº 25.326, corresponde ajustar el suministro de la información contenida en los Bancos de Datos de esta DIRECCION NACIONAL, a los términos y condiciones fijados en la referida norma, con vistas a la debida protección de los datos personales.

Que el segundo párrafo del artículo 4º del Anexo I del Decreto Nº 1558 del 29 de noviembre de 2001, reglamentario de la Ley Nº 25.326, expresa que cuando la obtención o recolección de los datos personales fuese lograda por interconexión o tratamiento de archivos, registros, bases o bancos de datos, se deberá analizar la fuente de información y el destino previsto por el responsable o usuario para los datos personales obtenidos.

Que el artículo 9º de la Ley Nº 25.326 impone al responsable o usuario del archivo arbitrar las medidas técnicas y de seguridad que garanticen la confidencialidad de los datos personales, a fin de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

Que el artículo 11 de la norma legal establece como principio general que los datos requeridos sólo pueden ser cedidos previo consentimiento del titular de los mismos, y establece expresamente cuáles son las excepciones que posibilitan el suministro de esa información sin la autorización pertinente.

Que en lo referido a la responsabilidad del cesionario de los datos, el precitado artículo 11, expresa que quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y que éste responderá solidaria y conjuntamente por la observancia de las mismas, ante el organismo de control y el titular de los datos de que se trate.

Que el suministro de datos dentro del régimen de la Ley Nº 25.326 es de carácter restrictivo, y el artículo 17 faculta a los responsables o usuarios de bancos de datos públicos a que, mediante decisión fundada, denieguen el acceso, rectificación o supresión en función de la protección de los derechos e intereses de terceros, de la defensa de la Nación, el orden y la seguridad públicas.

Que en atención a la importancia de los intereses en juego, se impone definir claramente y en orden a la diversidad de datos obrantes en los Bancos de Datos de la DIRECCION NACIONAL DE MIGRACIONES, cuáles son las informaciones susceptibles de ser suministradas, a quiénes pueden ser cedidas y bajo qué condiciones o recaudos.

Que razones de seguridad jurídica exigen que todo requerimiento de intercambio electrónico de información sea formalizado por medio de un convenio modelo, a ser suscripto entre la entidad u organismo requirente y la DIRECCION NACIONAL DE MIGRACIONES, donde se fijen las condiciones del intercambio electrónico de información y se asegure el cumplimiento de los criterios de confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información exigidos por la Ley Nº 25.326.

Que, toda vez que existen usuarios de la información existente en los bancos de datos de la DIRECCION GENERAL DE MIGRACIONES que han sido autorizados con anterioridad a la presente, resulta procedente fijar un plazo para que aquéllos realicen una presentación ante el organismo a fin de adecuarse a las condiciones estipuladas en esta normativa.

Que las Disposiciones DNM Nº 19.057 del 9 de mayo de 2006 y DNM Nº 2268 del 22 de octubre de 2009, reglamentan el funcionamiento del Comité de Seguridad de la Información, el que tiene como una de sus misiones principales la de establecer la coordinación técnica de seguridad de la información, para garantizar la implementación de las políticas de seguridad adoptadas.

Que por el Decreto Nº 378 del 27 de abril de 2005 se impulsa al Estado Nacional a disponer las medidas necesarias para que las comunicaciones se efectúen preferentemente mediante tecnologías informáticas, optimizando para ello la utilización de los recursos electrónicos disponibles.

Que la Decisión Administrativa Nº 669 del 20 de diciembre de 2004, de la JEFATURA DE GABINETE DE MINISTROS, dispone que los organismos del Sector Público Nacional comprendidos en los incisos a) y c) del artículo 8º de la Ley Nº 24.156 y sus modificatorias deberán dictar o adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo.

Que por Resolución Nº 45/05, la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS facultó al Director Nacional de Tecnologías de Información para aprobar la Política de Seguridad Modelo y dictar las normas aclaratorias y complementarias que fueran requeridas a partir de la Decisión Administrativa Nº 669/04.

Que la Disposición Nº 6/05 de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION aprobó la "Política de Seguridad de la Información Modelo" tratando en su Capítulo 10 a la relacionada con el Desarrollo y Mantenimiento de Sistemas, donde se establece la necesidad de fijar controles criptográficos en la transmisión de información fuera del ámbito del organismo.

Que por la Resolución SIGEN Nº 48 del 5 de mayo de 2005 se aprueban las Normas de Control Interno para Tecnología de Información para el Sector Público Nacional, las que establecen que se debe garantizar el cumplimiento de las normas de política de seguridad de la información.

Que la DIRECCION GENERAL TECNICA - JURIDICA de esta DIRECCION NACIONAL, ha tomado la intervención que le compete.

Que la presente medida se dicta de acuerdo a lo establecido en el artículo Nº 29 de la Ley Nº 25.565 y las facultades conferidas en los Decretos Nº 1410 del 3 de diciembre de 1996 y Nº 180 del 28 de diciembre de 2007.

Por ello,

EL DIRECTOR NACIONAL DE MIGRACIONES

DISPONE:

ARTICULO 1º — Apruébase la "POLITICA DE INTERCAMBIO ELECTRONICO DE INFORMACION" que como Anexo I forma parte integrante de la presente.

ARTICULO 2º — Adécuase el suministro de los datos contenidos en los Bancos de Datos de esta DIRECCION NACIONAL, a los términos y condiciones fijados en la Ley Nº 25.326 y el Decreto Nº 1558/01.

ARTICULO 3º — El intercambio con otros organismos o entidades de información existente en los respectivos bancos de datos se hará a condición de reciprocidad, o cuando ello resultare necesario para el ejercicio de funciones propias del Estado, o cuando se tratare del cumplimiento de una obligación legal. En todos los casos, deberá efectuarse la previa evaluación por las áreas competentes de la DIRECCION NACIONAL DE MIGRACIONES de la factibilidad técnica, operativa y económica de tal intercambio.

ARTICULO 4º — Apruébase la "CARTA DE INTENCION DE ASISTENCIA MUTUA PARA EL INTERCAMBIO DE INFORMACION" que será suscripta entre el requirente y la DIRECCION NACIONAL DE MIGRACIONES, que como Anexo II forma parte integrante de la presente.

ARTICULO 5º — Apruébase el CONTENIDO BASICO DEL CONVENIO MODELO, a ser suscripto entre la entidad u organismo requirente y la DIRECCION NACIONAL DE MIGRACIONES, donde se fijan las condiciones obligatorias a que se sujetará el intercambio electrónico de información que como Anexo III forma parte integrante de la presente.

ARTICULO 6º — Establécese un plazo de SESENTA (60) días hábiles administrativos para que las entidades u organismos autorizados con anterioridad a la entrada en vigencia de la presente Disposición, adecuen los mecanismos de intercambio de información a las condiciones aquí estipuladas. En caso de incumplimiento dentro del plazo referido, se procederá a cancelar el permiso otorgado oportunamente.

ARTICULO 7º — En caso de que la DIRECCION NACIONAL DE MIGRACIONES tomara conocimiento de hechos que configuren infracciones a la Disposición DNPDP Nº 7 del 8 de noviembre de 2005, de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, dará inmediata intervención a este último organismo, a efectos de que evalúe las sanciones que corresponda imponer.

ARTICULO 8º — Comuníquese, publíquese, regístrese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y archívese. — MARTIN A. ARIAS DUVAL, Director Nacional de Migraciones, Ministerio del Interior.

ANEXO I

POLITICA DE INTERCAMBIO ELECTRONICO DE INFORMACION

Esta política de intercambio electrónico de información se dicta con el objeto de cumplir con los requerimientos establecidos por la Ley Nº 25.506, la Resolución SIGEN Nº 48/05 y la Disposición ONTI Nº 06/05, normas que tienden a garantizar la integridad y confidencialidad de la información en todo intercambio efectuado por esta DIRECCION NACIONAL DE MIGRACIONES.

Transferencia Masiva de Información

El único medio autorizado para la transferencia masiva de información entre las dependencias de esta Dirección Nacional, así como entre esta última y los organismos externos y/o terceros, es el "Sistema de Acceso por Servicios WEB", en adelante "DNMSERVICES", desarrollado por la DIRECCION DE SISTEMAS.

Hasta tanto se logre implementar el intercambio electrónico de información a través de DNMSERVICES para todo el universo de entidades externas, la entrega y/o recepción podrá realizarse utilizando medios magnéticos u ópticos.

Acceso a información en línea

Se realizará a través de aplicaciones o servicios Web. A estos efectos, la DIRECCION DE SISTEMAS de la DIRECCION NACIONAL DE MIGRACIONES evaluará cada solicitud en particular, con el fin de definir el método de acceso más apropiado.

ANEXO II

CARTA DE INTENCION DE ASISTENCIA MUTUA PARA EL INTERCAMBIO DE INFORMACION

En la Ciudad Autónoma de Buenos Aires, a los... días del mes de .................................... del año 20…., entre la DIRECCION NACIONAL DE MIGRACIONES, representada en este acto por el Sr. Director Nacional ........................................D.N.I. Nro con domicilio en la Avda. Antártida Argentina Nº 1355 de la Ciudad Autónoma de Buenos Aires, en adelante "DNM", por una parte y (ORGANISMO / ENTIDAD) ................................................. representado en este acto por su ........................., Sr. , D.N.I. Nro ................................................., acreditándolo con instrumento que acompaña en este acto y con domicilio en la calle ................... de la CIUDAD AUTONOMA DE BUENOS AIRES, en adelante " .........................................................." por la otra parte, con el objeto de establecer una forma de cooperación en la disponibilidad y uso de la información generada y procesada en sus bases de datos, y a fin de asegurar una eficiente y óptima administración de los recursos, deciden suscribir la presente "CARTA DE INTENCION DE ASISTENCIA MUTUA PARA EL INTERCAMBIO DE INFORMACION" sujeto a las cláusulas que a continuación se transcriben:

PRIMERO: Las partes se comprometen a llevar adelante todas las tramitaciones técnicas, legales y administrativas que resulten necesarias para la suscripción de un Convenio de Cooperación, que permita el intercambio de los datos e información conservada en los sistemas informáticos. Todo ello a fin de mejorar, agilizar o dar mayor seguridad a la operatoria y servicios que correspondieren, sujeto a las normas de seguridad informática, la legislación vigente en la materia y las disposiciones de observancia en cada organismo, tanto en el orden interno como en sus relaciones con entidades externas.

SEGUNDO: La implementación de lo convenido en el presente se ejecutará de acuerdo a los procedimientos que defina la DIRECCION DE SISTEMAS de la DNM.

TERCERO: Las partes definirán el plan de acción, en conjunto, y perfeccionarán el presente acuerdo con la suscripción del convenio definitivo para el intercambio de información. Ambas acciones deberán completarse en el plazo de ................ días hábiles, definiéndose en ese instrumento todas las cuestiones técnicas, legales y administrativas relativas al objeto del mismo.

CUARTO: Vencido el plazo establecido en la cláusula anterior, la presente Carta de Intención quedará sin efecto alguno, no quedando obligaciones pendientes entre las partes.

QUINTO: A todos los efectos legales, las partes se someten a la jurisdicción y competencia de los Tribunales en lo Contencioso Administrativo Federal con asiento en la CIUDAD AUTONOMA DE BUENOS AIRES y constituyen domicilio en los lugares arriba indicados, donde se considerarán válidas todas las notificaciones y emplazamientos judiciales o extrajudiciales que se efectúen.

En prueba de conformidad con las cláusulas precedentes, se suscribe el presente, por las personas y en el lugar y fecha arriba indicados, en dos ejemplares de igual tenor y a un solo efecto.

ANEXO III

CONTENIDO BASICO DEL CONVENIO MODELO

CLAUSULA 1º: Las partes se obligan a garantizar la seguridad de los datos adoptando todas las medidas técnicas y organizativas tendientes a prevenir la adulteración, pérdida, consulta o tratamiento no autorizado de los mismos, permitiendo detectar desviaciones de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

En caso de excesiva utilización de los sistemas por hora ("Ráfaga de Transacciones") el servicio será inmediatamente interrumpido.

Se considerará como mínimo las siguientes medidas:

a) Construir y mantener una Red Segura

1. Instalar y mantener un sistema de protección frente a Internet (firewall) para proteger los datos

2. No utilizar valores por defecto establecidos por el proveedor para passwords del sistema o parámetros de seguridad.

b) Proteger la información

1. Proteger la información almacenada

2. Utilizar controles criptográficos en la transmisión de datos e información sensitiva que viaja a través de redes públicas.

c) Mantener un programa de manejo de vulnerabilidades

1. Usar y actualizar regularmente un software antivirus

2. Desarrollar y mantener sistemas y aplicaciones seguras.

d) Implementar fuertes medidas de control de acceso

1. Restringir el acceso a la información sobre la base de necesidad de negocio

2. Asignar un único indicador para cada persona con acceso al sistema

3. Restringir físicamente el acceso a los datos

e) Monitorear y testear las redes regularmente

1. Rastrear y monitorear todos los accesos a los recursos de la red e información

2. Testear regularmente la seguridad de sistemas y procesos

f) Mantener una política de seguridad de la información

1. Mantener una política que garantice la seguridad de la información.

CLAUSULA 2º: Las partes responderán por toda vulneración al deber de confidencialidad que en forma directa o indirecta implicare la difusión de los datos, que se produjere por consecuencia del accionar negligente, culposo y/o doloso de cualquiera de ellas, de conformidad con la normativa vigente.

CLAUSULA 3º: A los fines de la cláusula anterior, las partes se obligan a notificar a todos los intervinientes del proceso, los alcances técnicos y legales del "Deber de Confidencialidad" y de las responsabilidades consiguientes que su incumplimiento generaría como de las infracciones a que hubiere lugar.

En caso que se tenga conocimiento de la comisión de un delito o violación a este acuerdo y sin perjuicio de las acciones judiciales pertinentes, deberá ser inmediatamente y sin dilación alguna comunicando a la otra parte de modo fehaciente.

Fuera del caso previsto precedentemente el "Deber de Confidencialidad" sólo podrá ser relevado por resolución judicial y/o cuando mediaren razones fundadas relativas a la seguridad pública, defensa nacional o a la salud pública.

CLAUSULA 4º: Cualquiera de las partes deberá notificar en forma inmediata de toda circunstancia que implique adulteración, pérdida, consulta o tratamiento no autorizado, desviación de la información o cualquier otra finalidad extrañas al procedimiento, debiendo esta Administración actuar de igual manera ante similares circunstancias. Dicho deber será independiente de la puesta en marcha de las medidas para regularizar el adecuado tratamiento de los datos personales.

CLAUSULA 5º: Las partes quedan sujetas al régimen establecido en la Disposición DNPDP Nº 7/2005, aprobatoria del régimen de "Clasificación de Infracciones" y "Graduación de Sanciones", aplicables ante la comisión de faltas debidamente comprobadas y violatorias al régimen instituido por la Ley Nº 25.326 y sus disposiciones reglamentarias.

CLAUSULA 6º: Las partes acuerdan que, a todos los efectos legales, la información transferida mediante mecanismos de firma electrónica definidos por la DNM, constituirá plena prueba de las operaciones realizadas a través de los procesos informáticos acordados.

CLAUSULA 7º: Las partes se comprometen a no repudiar la información brindada, ni a desconocer las firmas electrónicas utilizadas por las personas autorizadas, siempre que las transacciones hayan cumplido con los protocolos que los procesos informáticos acordados determinan.

CLAUSULA 8º: Cada una de las partes será responsable de los daños y perjuicios y de las sanciones administrativas y penales previstas en los artículos 31 y 32 de la Ley Nacional de Protección de Datos Personales Nº 25.326 y de su Decreto Reglamentario Nº 1558/01 que se generaren por el repudio injustificado de la información suministrada y/o del desconocimiento de las firmas electrónicas del personal autorizado a tales fines o por la transmisión de datos desactualizados, falsos, impertinentes, obsoletos y/o caducos.

CLAUSULA 9º: A todos los efectos legales, las partes se someten a los Tribunales en lo Contencioso Administrativo Federal, y constituyen domicilio en los lugares arriba indicados, donde se considerarán válidas todas las notificaciones y emplazamientos judiciales o extrajudiciales que se efectúen.

Se firman en prueba de conformidad dos (2) ejemplares de un mismo tenor y a un solo efecto en la ciudad de .......... , a los ...........días del mes de ........del ............año ......... .

e. 05/03/2010 Nº 21567/10 v. 05/03/2010