Nota: accede con el siguiente enlace a la Resolución Exenta N°843/2025 de la Subsecretaría de Hacienda que aprueba el Protocolo de gestión y tratamiento de datos personales almacenados por la Secretaría de Gobierno Digital.
Este protocolo tiene como finalidad establecer las directrices, procesos, medidas técnicas y organizativas para garantizar la protección de los datos personales que almacenará la Secretaría de Gobierno Digital (SGD), con ocasión de la operación de la plataforma SIMPLE, en su modalidad de Software como Servicio (SaaS) de conformidad con la Ley N° 19.628 sobre Protección de la Vida Privada, sus modificaciones y demás normativas aplicables.
Los niveles de servicio que ofrecerá la plataforma SIMPLE en su modalidad SaaS corresponderá a un máximo de 10.000 transacciones o trámites por hora.
Cuando una Entidad Usuaria solicite la habilitación de un nuevo proceso de digitalización de servicios, procedimientos y trámites a través de la plataforma SIMPLE, se seguirán las siguientes medidas técnicas y organizativas para su aprobación por parte de la SGD:
a) Formulario y antecedentes: A través de un formulario, el equipo de Digitalización de la SGD solicitará a la entidad requirente:
i) La identificación de la nueva cuenta, cuando se trata de una Entidad Usuaria que no tenga ningún procedimiento, servicio o trámite digitalizado con SIMPLE.
ii) El detalle del proceso a digitalizar.
iii) Las categorías de datos personales que se solicitarán en los campos de información de los procesos que se digitalizarán a través de SIMPLE.
iv) El tipo de dato exacto, su descripción y al menos un ejemplo debidamente anonimizado, para las categorías de datos personales que indiquen correspondan a datos personales sensibles.
b) Evaluación legal: En base a lo informado por la Entidad Usuaria en el formulario, el equipo de Regulación y Normativa de la SGD evaluará la existencia de riesgos legales asociados a la actividad de tratamiento, las categorías de datos personales que se tratarán, el resguardo de los derechos de los titulares de datos personales, así como cualquier otra consideración necesaria de conformidad a la legislación vigente en materia de protección de datos personales.
c) Aprobación final: La Jefatura del equipo de Productos y Servicios de la SGD autorizará la generación de la nueva cuenta en ambiente de Producción, dejando registro de ello en la base de datos productiva de la instancia correspondiente.
Sólo se podrá acceder a los entornos productivos de la plataforma SIMPLE, sus bases de datos, infraestructura, código, las cuentas de las entidades usuarias y/o cualquier otro componente de la plataforma SIMPLE cuando así lo requiera la Entidad Usuaria o cuando sea necesario para el mantenimiento o mejoramiento de la plataforma, sin perjuicio de aquellos casos en que sea necesario acceder a cualquiera de sus componentes en virtud de una solicitud de acceso a la información pública, de conformidad con la Ley N° 20.185 sobre acceso a la información pública o a requerimiento de una autoridad de conformidad con la legislación vigente.
La gestión de accesos se realizará de conformidad con las siguientes medidas técnicas y organizativas: 3.2.1. Accesos a requerimiento de las Entidades Usuarias
Los requerimientos de soporte, resolución de dudas o fallas que la Entidad Usuaria solicité a través de la Mesa de Servicios de la SGD, serán derivadas al equipo de Digitalización o al equipo de Desarrollo de SIMPLE, según corresponda, quienes podrán acceder a las cuentas productivas y a la base de datos para estos fines.
Cuando por necesidades de la plataforma, como, por ejemplo, mantenciones preventivas o trabajos de mejoramiento, el equipo de Digitalización o la célula de Desarrollo de SIMPLE requieran acceder a las cuentas productivas de las entidades usuarias o las bases de datos asociadas a dichas cuentas de la plataforma SIMPLE en modalidad SaaS, se seguirán las siguientes medidas técnicas y organizativas:
a) El equipo de Digitalización o la célula de Desarrollo de SIMPLE, según corresponda, solicitará por correo electrónico al administrador de la cuenta de la Entidad Usuaria, que se haya designado de conformidad con el “Manual de uso de SIMPLE en modalidad SaaS”, indicando:
i) El motivo del acceso.
ii) Las actividades o acciones que se realizarán.
iii) El tiempo en el que se realizarán las actividades o acciones indicadas.
Sólo podrán acceder a los entornos productivos de la plataforma SIMPLE, sus bases de datos, infraestructura, código, las cuentas de las entidades usuarias y/o cualquier otro componente de la plataforma SIMPLE, los siguientes funcionarios(as) de la SGD:
● Un funcionario(a) del equipo de Digitalización, cuando dicho funcionario(a) deba dar respuesta a un requerimiento de la Entidad Usuaria, de conformidad con la sección 3.2.1 del presente protocolo.
● El equipo de Desarrollo de SIMPLE
● Uno o más funcionarios(as) del equipo de Infraestructura o del equipo de Arquitectura, ambos de la Coordinación de Tecnologías de la SGD, cuando sea requerido por necesidades de la plataforma, previa autorización de la jefatura correspondiente.
Cada vez que un miembro de estos equipos acceda a la plataforma SIMPLE deberá registrar en la bitácora de la plataforma:
● La fecha y hora del acceso.
● El nombre o login de usuario del funcionario(a) que realiza el acceso.
● El motivo del acceso.
● Las actividades realizadas.
● Los cambios que se realicen a la plataforma, cuando correspondan.
En caso que cualquiera de los equipos de acceso autorizado requiera el apoyo de personas ajenas a dichos equipos para resolver un requerimiento o actividad particular realizada en la plataforma, deberá solicitar autorización de acceso de las jefaturas correspondientes.
a) Conservación: Los datos e información de trámites cerrados o finalizados se conservarán durante los 7 meses siguientes, contados desde la fecha de cierre o finalización del trámite. Transcurrido este período de conservación, los datos e información se eliminarán de conformidad con la letra c) subsiguiente.
b) Rescate o entrega: Las entidades usuarias podrán extraer, descargar y/o recuperar los datos e información de sus servicios, procedimientos y trámites digitalizados en la plataforma SIMPLE, que se encuentren almacenados en la infraestructura y bases de datos de la SGD en cualquier momento durante el período de conservación señalado.
Los datos, información y archivos asociados quedarán disponibles a las instituciones a través de los métodos de entrega señalados en la sección 3.3.1. del presente protocolo.
Cuando las entidades usuarias no hayan realizado el proceso de rescate a través de los métodos de entrega durante los primeros 6 meses del período de conservación de datos, se enviará un aviso al administrador de la cuenta de la entidad usuaria al comienzo del último mes de conservación y otro durante la última semana de éste.
Adicionalmente, el equipo de Regulación y Normativa de la SGD, previo aviso del equipo de Productos y Servicios gestionará el envío de una comunicación oficial, por medio de un oficio ordinario de la Subsecretaría de Hacienda, a la Jefatura de Servicio de la entidad usuaria al comienzo del último mes de conservación, para los mismos fines
c) Eliminación: Verificada la entrega de datos durante el período de conservación, y/o, transcurrido dicho período todos los datos, información y archivos contenidos en bases de datos como en la infraestructura se eliminarán física y lógicamente de los registros de la SGD, de manera permanente.
a) Proceso de entrega permanente (para pequeños volúmenes de datos): Las entidades usuarias podrán acceder de manera segura y permanente a sus datos a través de la API y módulo de reportes del sitio backend de SIMPLE.
b) Proceso de entrega regular (mensual): Durante el período de 7 meses de conservación de datos las entidades usuarias dispondrán un canal seguro, habilitando mensualmente, de acceso a la descarga del consolidado de transacciones cerradas con una antigüedad mayor o igual a 6 meses, según lo establecido en el proceso de “rescate o entrega” contenido en la sección 3.3. anterior, a través de un servicio de interoperabilidad provisto a través del Nodo PISEE de la SGD.
c) Proceso de entrega del histórico: se realizará por única vez a través de URL dentro de un contenedor cifrado bajo el estándar AES-256 o superior y con un mecanismo de autenticación de usuario y contraseña, personal e intransferible, para el administrador de la cuenta de la entidad usuaria.
Adicionalmente, la SGD adoptará las siguientes medidas técnicas y organizativas:
Toda la información contenida en las bases de datos y sistemas de archivos relacionados a la plataforma SIMPLE se almacenarán de manera cifrada, según el estado de la técnica, bajo el estándar AES-256 o superior.
Salvo especificación en contrario, el control de acceso y de autenticación dentro de la plataforma SIMPLE se realiza mediante Clave Única, la cual cuenta con protocolo de autenticación OAuth 2.0.
Se realizarán auditorías regulares, al menos una vez al año, para verificar que:
a) Las medidas de seguridad y protección desde el diseño y por defecto de los datos personales tratados a través de la plataforma SIMPLE se mantengan efectivas.
b) No existan brechas de ciberseguridad en los sistemas de información, bases de datos y/o infraestructura asociada a la plataforma SIMPLE.
A partir del 1 de diciembre de 2026, estas auditorías se incorporarán al plan anual de trabajo a cargo del Delegado de Protección de Datos, de conformidad con lo establecido en el nuevo artículo 50, letra f) que la Ley N° 21.719 incorporará a la Ley N° 19.628 con su entrada en vigencia.
Se incluirá en las capacitaciones mensuales de la plataforma SIMPLE que realice la SGD, la información suficiente y necesaria para dar a conocer los nuevos procesos de entrega continua de datos y reforzar el conocimiento de los procesos actuales.”