Las presentes instrucciones constituyen un marco mínimo que cada Servicio de Bienestar debe implementar para proteger la confidencialidad, integridad y disponibilidad de los activos de información de que dispone respecto a eventuales accesos no autorizados, pérdida o daño, y hacer más efectivo el control interno, con el fin de otorgar un servicio oportuno y de calidad a sus usuarios.

Para estos efectos se entiende por:

1. Activo informático: toda información almacenada en una red y sistema informático que tenga valor para una persona u organización.
2. Autenticación: propiedad de la información que da cuenta de su origen legítimo.
3. Confidencialidad: propiedad que consiste en que la información no es accedida o entregada a individuos, entidades o procesos no autorizados.
4. Disponibilidad: propiedad que consiste en que la información está disponible y es utilizable cuando es requerida por un individuo, entidad o proceso autorizado.
5. Incidente de seguridad de la información: todo evento que perjudique o comprometa la confidencialidad o integridad de la información, disponibilidad o resiliencia de las redes y sistemas de información, o la autenticación de los procesos ejecutados o implementados en las redes y sistemas informáticos.
6. Integridad: propiedad que consiste en que la información no ha sido modificada o destruida sin autorización.
7. Datos de carácter personal o datos personales: el relativo a cualquier información concerniente a personas naturales, identificadas o identificables.
8. Datos sensibles: aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.
9. Registro o banco de datos personales: el conjunto organizado de datos de carácter personal, sea automatizado o no y cualquiera sea la forma o modalidad de su creación u organización, que permita relacionar los datos entre sí, así como realizar todo tipo de tratamiento de datos.
10. Titular de los datos: la persona natural a la que se refieren los datos de carácter personal.
11. Tratamiento de datos: cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma.
12. Responsable del registro o banco de datos: el Servicio de Bienestar que realiza el tratamiento de datos personales dentro del ámbito de su competencia y para el cumplimiento de sus funciones legales, ya sea que lo realice por sí mismo o a través de un encargado.

Los Servicios de Bienestar deberán implementar medidas tendientes a promover una cultura de seguridad de la información y protección de datos personales, centrando sus objetivos en implementar medidas de protección adecuadas y en la preparación para hacer frente a posibles incidentes de seguridad de la información de manera eficaz, y de control interno.

Por lo anterior, el Servicio de Bienestar deberá, al menos, implementar lo siguiente:

1. Medidas técnicas y procedimientos operativos que salvaguarden la confidencialidad, integridad y disponibilidad de los datos de información, mitigando los riesgos de pérdida, manipulación y divulgación no autorizada.
2. Adoptar en forma oportuna y expedita las medidas necesarias para reducir el impacto y propagación de un incidente de seguridad de la información, incluida la restricción de uso o el acceso a sistemas informáticos, si es necesario.
3. Los funcionarios deberán contar con herramientas y recursos necesarios para tomar decisiones informadas y adecuadas en situaciones que afecten la seguridad de la información.
4. Las personas que trabajan en el tratamiento de datos personales o tengan a acceso a éstos, estarán obligadas a guardar secreto sobre los mismos cuando provengan o hayan sido recolectados de fuentes no accesibles al público, como, asimismo, sobre los demás datos y antecedentes relacionados con el banco de datos, obligación que no cesa por haber terminado sus actividades en ese campo.
5. Contar con un plan de contingencia efectivo que permita la rápida recuperación de datos en caso de incidentes de seguridad de la información y protección de datos personales, minimizando el impacto en las operaciones del Servicio de Bienestar.
6. Se considerará que los datos almacenados por el Servicio de Bienestar lo estarán únicamente para garantizar la finalidad por la cual fueron recabados.
7. El personal deberá cambiar al menos una vez al año las claves que utiliza para operar en los diversos sistemas en que opera.
8. Se revisará y actualizará periódicamente la base de datos de cargas familiares vigentes del Servicio, de acuerdo a la "Plataforma Integrada de Asignación Familiar, Subsidio Único Familiar y Regímenes Relacionados" también denominada "PIAS", de manera que sólo se paguen beneficios a quienes realmente cumplen los requisitos para ello, es decir, a quienes se encuentren en calidad de causantes de asignación familiar.
9. Se verificará y actualizará las altas y bajas de los usuarios de los sistemas con los cuales interactúa el Servicio, de manera que los cambios en los sistemas se materialicen el mismo día en que se producen aquellos.
10. Contará con un sistema o plataforma para otorgar, controlar y verificar topes y requisitos de beneficios médicos, subsidios, préstamos y beneficios facultativos, cuando corresponda.
11. Los sistemas de información que utilice el Servicio de Bienestar deberán a su vez contar con propiedades de control de acceso y respaldo, de manera de disminuir la exposición al riesgo de inexactitud y pérdida de la información.
12. A fin que no se vean interrumpidas las operaciones habituales del Servicio de Bienestar, tanto la jefatura del Servicio de Bienestar como el contador, deben contar con personas que los subroguen.
13. Debe adoptar procedimientos que permitan contar con respaldos periódicos de la contabilidad y demás registros e información si los hubiera, manteniendo una copia en poder de la jefatura de Bienestar en un equipo o dispositivo distinto al asignado al Servicio de Bienestar, minimizando los riesgos de pérdida de información.
14. Consignará que los datos sensibles que el Servicio de Bienestar maneja no pueden ser objeto de tratamiento, salvo cuando la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares.
15. Cualquier incidente de seguridad de la información, de acuerdo a la definición que se contiene en la letra f) del numeral dos precedente, deberá ser informado a esta Superintendencia como hecho relevante, de acuerdo a lo dispuesto en el numeral 1. del Título I, Libro III de este Compendio.
16. Contará con un procedimiento que permita verificar que, antes de bonificar por un beneficio, hayan operado los reembolsos de las aseguradoras que el afiliado haya contratado, ejemplo FONASA o ISAPRE y alguna aseguradora privada, de modo que el Servicio de Bienestar sólo bonifique aquella parte que ni el sistema de seguridad social ni la compañía de seguros le hubieren cubierto y sin que la bonificación supere el monto pagado por el afiliado.
17. Deberán verificarse y validarse por el Servicio de Bienestar los montos de aportes y otros descuentos que se efectúan desde las remuneraciones de los afiliados al referido Servicio.
18. Se contará con perfiles de cargo y descripción de funciones para el personal del Servicio de Bienestar, debidamente aprobado por el Consejo Administrativo y con constancia en la respectiva acta.
19. Se formalizará mediante el acto administrativo correspondiente la dupla de giradores del Servicio de Bienestar, así como sus suplentes, todos los cuales, además, contarán con la póliza respectiva.