CIRCULAR EXTERNA 7 DE 2022
(febrero 21)
Diario Oficial No. 51.955 de 21 de febrero de 2022
MINISTERIO DE SALUD Y PROTECCIÓN SOCIAL
PARA: | SECRETARIOS DE SALUD DEPARTAMENTALES, DISTRITALES Y MUNICIPALES O QUIEN HAGA SUS VECES, COORDINADORES DEL PROGRAMA AMPLIADO DE INMUNIZACIONES, ENTIDADES PROMOTORAS DE SALUD, ENTIDADES ADAPTADAS, ADMINISTRADORAS DE PLANES VOLUNTARIOS DE SALUD, ADMINISTRADORAS DE LOS REGÍMENES ESPECIAL Y DE EXCEPCIÓN, E INSTITUCIONES PRESTADORAS DE SERVICIOS DE SALUD Y DEMÁS ENTIDADES O INSTITUCIONES QUE CUENTAN CON USUARIOS DE ACCESO AL APLICATIVO PAIWEB. |
DE: | MINISTRO DE SALUD Y PROTECCIÓN SOCIAL |
ASUNTO: | ASPECTOS POR FORTALECER PARA LA GESTIÓN DE USUARIOS, SEGURIDAD DE LA INFORMACIÓN DEL APLICATIVO PAIWEB 2.0 Y DENUNCIAS POR PRESUNTOS DELITOS EN EL PROCESO DE VACUNACIÓN. |
El Ministerio de Salud y Protección Social, como órgano rector del sector salud, encargado de su dirección, orientación y conducción, de conformidad con lo establecido en el artículo 4o de la Ley 1438 de 2011 y en el marco de las competencias previstas en el Decreto Ley 4107 de 2011, modificado por los Decretos 2562 de 2012 y 1432 de 2016 y atendiendo:
Que el programa ampliado de inmunizaciones PAI cuenta con un aplicativo mediante el cual se realiza el registro nominal de la aplicación de las vacunas de los habitantes del territorio nacional y al cual pueden acceder los prestadores de servicios de salud, las secretarías de salud departamentales, distritales y municipales, las entidades responsables del aseguramiento en salud, entre otras. Los lineamientos para su implementación, operación y sostenimiento se encuentran recogidos en la Circular 044 de 2013.
Que, así mismo, el Gobierno nacional a través del Decreto 109 de 2021, modificado por los Decretos 404, 466, 630, 744 y 1671 todos de 2021, adoptó el plan nacional de vacunación contra el Covid-19, y estableció, en el numeral 20.22 del artículo 20, como responsabilidades de las entidades territoriales departamentales y distritales “Implementar el sistema de información nominal PAIWEB en los prestadores del servicio de salud, que habiliten el servicio de vacunación”.
Que, por su parte, a través de la Resolución 1151 de 2021, modificada por las Resoluciones 1379, 1426, 1738, 1866 y 1887 del mismo año, este Ministerio adoptó los lineamientos técnicos y operativos para la vacunación contra el Covid-19, y en el numeral 2.3.12 del Anexo 1 señala que una de las responsabilidades de los actores es garantizar que los prestadores de servicios den cumplimiento a la citada Circular 044 de 2013 y en el numeral 5.6.1, literal k, establece como actividades del supervisor “evaluar el ingreso de los datos al PAIWEB y reportar cualquier anomalía al respecto”.
Que este Ministerio cuenta con una política general de seguridad de la información que tiene como objetivo “proteger, conservar y asegurar la información del Ministerio de Salud y Protección Social, y las herramientas tecnológicas utilizadas para su generación, procesamiento y disposición, con el fin de preservar la confidencialidad, integridad y disponibilidad frente a amenazas internas o externas, deliberadas o accidentales”.
Que, bajo ese contexto y dado que los usuarios que interactúan con el sistema de información deben consultar o ingresar al aplicativo la información nominal, las dosis aplicadas en los puntos de vacunación habilitados en el país e ingresar los datos personales y las dosis aplicadas de manera particular en el extranjero, es necesario que las instituciones en cada uno de sus niveles, adelanten acciones de control, seguimiento y supervisión que permitan identificar posibles amenazas al Sistema nominal PAIWEB, determinar el nivel de riesgo y proteger al máximo la confidencialidad y seguridad de la información y en consecuencia, corresponde a este Ministerio, impartir las siguientes instrucciones a los destinatarios de la Circular:
1. Recordar que, en el sistema de información PAIWEB 2.0, los usuarios se crean con el número de documento de identidad; por lo tanto, el usuario es único y toda acción realizada en el aplicativo será responsabilidad de la persona que tiene asignado ese documento. De acuerdo con lo anterior, el usuario en el sistema de información de ninguna manera será compartido a otras personas para su uso.
2. Realizar la inactivación de un usuario, por parte del responsable de la administración del sistema de información en cada una de las entidades, en un término no mayor a 2 días siguientes a que se presenten novedades tales como desvinculación laboral o contractual, uso inadecuado del sistema, cambio de área, licencias, vacaciones o cualquier otra que implique que el usuario no está autorizado para ingresar al Sistema. Los casos en donde la desactivación del usuario deba ser realizada por otra institución se deberá solicitar por escrito en un término no mayor a 2 días.
3. Garantizar la actualización permanente de las bases de datos de los usuarios del sistema con el fin de realizar actualización de datos y roles, verificación de permisos, desactivación de usuarios que no requieran acceso al sistema entre otros.
4. Evaluar, de manera permanente por parte del supervisor de cada equipo de vacunación, el ingreso de los datos a PAIWEB y reportar cualquier anomalía a las entidades encargadas.
5. Dar cumplimiento a las políticas generales de seguridad y privacidad de la información del Ministerio de Salud y Protección Social disponible en los siguientes enlaces: https://www.minsalud.gov.co/sites/rid/Lists/BibliotecaDigital/ RIDE/DE/OT/asis05-politica-general-seguridad-informacion.pdf, https://www. minsalud.gov.co/Documents/Politica-de-privacidad-y-confidencialidad-del- MSPS.pdf, así como a la Ley 1581 de 2021 Ley de Protección de Datos.
Adicionalmente y sin perjuicio de la obligación de denunciar prevista en el artículo 67 del Código de Procedimiento Penal, se insta a denunciar cualquier situación que pueda ser identificada como fraudulenta frente al proceso de vacunación: como la venta de certificado digital o carné de vacunación, atendiendo la siguiente ruta:
1. La IPS o punto de vacunación que identifique alguna de estas situaciones en sus inmediaciones, deberá comunicarse con la línea 123 para que se informe a la policía del cuadrante de la situación de riesgo. De igual manera, deberá reportar dicha información a la Entidad Territorial de su jurisdicción para que esta realice el proceso de denuncia ante la Fiscalía General de la Nación y Policía Nacional para lo correspondiente.
2. El punto de vacunación al cual se acerque una persona que haya adquirido presuntamente un certificado de manera irregular y se verifique que la(s) dosis se encuentra(n) registrada(s) en el sistema PAIWEB, tomará los datos del usuario y sacará copia del carné de vacunación, para generar la notificación a la secretaría de salud distrital, municipal o departamental según corresponda, para que esta realice el proceso de denuncia ante la Fiscalía General de la Nación y Policía Nacional. En todo caso se vacunará al usuario, generando el registro en físico e informando al administrador del sistema de información que se realice el seguimiento al proceso de control de cambios requerido según el caso.
3. Las secretarías de salud del orden municipal, distrital o departamental o la entidad que haga sus veces, que reciban la denuncia de las IPS, deberán, desde el rol que tienen de administrador del sistema PAIWEB, realizar todas las acciones que permitan rastrear e identificar el punto desde donde se generó el registro de las dosis de manera irregular, con el fin de notificar a los agentes del sistema involucrados y documentar la información que requieran las autoridades competentes de investigar el hecho.
También, deberán apoyar las labores de policía judicial que se requieran frente a la trazabilidad de la información de las dosis aplicadas y cargadas en el sistema PAIWEB, con base en la información registrada en el presunto certificado o carné adulterado, con el propósito de establecer presuntos responsables de hechos que sean motivo de investigación, y adicionalmente permitir identificar si la información presentada en un carné de vacunación es verdadera o no.
4. De igual forma, en la Mesa Territorial de la jurisdicción se deberá convocar a la Policía Nacional y reportar las diferentes situaciones que se identifiquen en las zonas para que las Autoridades inicien las actuaciones e investigaciones correspondientes.
Con base en las notificaciones emitidas, las entidades competentes definirán de acuerdo con sus lineamientos, las actuaciones correspondientes que permitan la identificación y desarticulación de estructuras criminales dedicadas a la falsificación y expedición fraudulenta del carné o certificado de vacunación frente al plan nacional de vacunación COVID-19, atendiendo que podrían tipificarse en conductas punibles preceptuadas en la Ley 599 del 2000 título IX delitos contra la fe pública - capítulo tercero – de la falsedad en documentos, al igual que del título VII BIS de la protección de la información y de los datos – de los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos, entre otras, según sea el caso en particular.
Publíquese y cúmplase.
Dada en Bogotá, D. C., a 21 de febrero de 2022.
El Ministro de Salud y Protección Social,
Fernando Ruiz Gómez.