El presente Reglamento tiene por objeto establecer las medidas de índole
técnica y organizativas necesarias para garantizar la seguridad que deben
reunir los ficheros automatizados, los centros de tratamiento, locales, equipos,
sistemas, programas y las personas que intervengan en el tratamiento
automatizado de los datos de carácter personal sujetos al régimen de la
Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento
Automatizado de los Datos de carácter personal.
Artículo 2. Definiciones.
A efectos de este Reglamento, se entenderá por:
1. Las medidas de seguridad exigibles se clasifican en tres niveles:
básico, medio y alto.
2. Dichos niveles se establecen atendiendo a la naturaleza de la
información tratada, en relación con la mayor o menor necesidad de
garantizar la confidencialidad y la integridad de la información.
Artículo 4. Aplicación de los niveles de seguridad.
1. Todos los ficheros que contengan datos de carácter personal
deberán adoptar las medidas de seguridad calificadas como de nivel
básico.
2. Los ficheros que contengan datos relativos a la comisión de
infracciones administrativas o penales, Hacienda Pública, servicios
financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo
28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de
nivel básico, las calificadas como de nivel medio.
3. Los ficheros que contengan datos de ideología, religión,
creencias, origen racial, salud o vida sexual, así como los que contengan
datos recabados para fines policiales sin consentimiento de las personas
afectadas deberán reunir, además de las medidas de nivel básico y medio,
las calificadas como de nivel alto.
4. Cuando los ficheros contengan un conjunto de datos de carácter
personal suficientes que permitan obtener una evaluación de la personalidad
del individuo deberán garantizar las medidas de nivel medio establecidas en
los artículos 17, 18, 19 y 20.
5. Cada uno de los niveles descritos anteriormente tienen la condición
de mínimos exigibles, sin perjuicio de las disposiciones legales o
reglamentarias específicas vigentes.
Artículo 5. Acceso a datos a través de redes de
comunicaciones.
Las medidas de seguridad exigibles a los accesos a datos de carácter personal
a través de redes de comunicaciones deberán garantizar un nivel de
seguridad equivalente al correspondiente a los accesos en modo local.
Artículo 6. Régimen de trabajo fuera de los locales de
ubicación del fichero.
La ejecución de tratamiento de datos de carácter personal fuera de los
locales de la ubicación del fichero deberá ser autorizada expresamente por
el responsable del fichero y, en todo caso, deberá garantizarse el nivel de
seguridad correspondiente al tipo de fichero tratado.
Artículo 7. Ficheros temporales.
1. Los ficheros temporales deberán cumplir el nivel de seguridad que
les corresponda con arreglo a los criterios establecidos en el presente
Reglamento.
2. Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación.
1. El responsable del fichero elaborará e implantará la normativa de
seguridad, mediante un documento de obligado cumplimiento para el personal con
acceso a los datos automatizados de carácter personal y a los sistemas de
información.
2. El documento deberá contener, como mínimo, los siguientes aspectos:
3. El documento deberá mantenerse en todo momento actualizado y
deberá ser revisado siempre que se produzcan cambios en el sistema de
información o en la organización.
4 El contenido del documento deberá adecuarse, en todo momento, a las
disposiciones vigentes en materia de seguridad de los datos de carácter
personal.
Artículo 9. Funciones y obligaciones del personal.
1. Las funciones y obligaciones de cada una de las personas con acceso a
los datos de carácter personal y a los sistemas de información estarán
claramente definidas y documentadas, de acuerdo con lo previsto en el
artículo 8.2.(c).
2. El responsable del fichero adoptará las medidas necesarias para que
el personal conozca las normas de seguridad que afecten al desarrollo de sus
funciones así como las consecuencias en que pudiera incurrir en caso de
incumplimiento.
Artículo 10. Registro de incidencias.
El procedimiento de notificación y gestión de incidencias contendrá
necesariamente un registro en el que se haga constar el tipo de incidencia, el
momento en que se ha producido, la persona que realiza la notificación, a
quién se le comunica y los efectos que se hubieran derivado de la misma.
Artículo 11. Identificación y autenticación.
1. El responsable del fichero se encargará de que exista una relación
actualizada de usuarios que tengan acceso al sistema de información y de
establecer procedimientos de identificación y autenticación para dicho
acceso.
2. Cuando el mecanismo de autenticación se base en la existencia de
contraseñas existirá un procedimiento de asignación, distribución y
almacenamiento que garantice su confidencialidad e integridad.
3. Las contraseñas se cambiarán con la periodicidad que se determine
en el documento de seguridad y mientras estén vigentes se almacenarán de
forma ininteligible.
Artículo 12. Control de acceso.
1. Los usuarios tendrán acceso autorizado únicamente a aquellos datos
y recursos que precisen para el desarrollo de sus funciones.
2. El responsable del fichero establecerá mecanismos para evitar que un
usuario pueda acceder a datos o recursos con derechos distintos de los
autorizados.
3. La relación de usuarios a la que se refiere el artículo 11.1 de
este Reglamento contendrá los derechos de acceso autorizados para cada uno de
ellos.
4. Exclusivamente el personal autorizado para ello en el documento de
seguridad podrá conceder, alterar o anular el acceso autorizado sobre los
datos y recursos, conforme a los criterios establecidos por el responsable del
fichero.
Artículo 13. Gestión de soportes.
1. Los soportes informáticos que contengan datos de carácter personal
deberán permitir identificar el tipo de información que contienen, ser
inventariados y almacenarse en un lugar con acceso restringido al personal
autorizado para ello en el documento de seguridad.
2. La salida de soportes informáticos que contengan datos de carácter
personal, fuera de los locales en que esté ubicado el fichero, únicamente
podrá ser autorizada por el responsable del fichero.
Artículo 14. Copias de respaldo y recuperación
1. El responsable de fichero se encargará de verificar la definición
y correcta aplicación de los procedimientos de realización de copias de
respaldo y de recuperación de los datos.
2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
El documento de seguridad deberá contener, además de lo dispuesto en el
articulo 8 del presente Reglamento, la identificación del responsable o
responsables de seguridad, los controles periódicos que se deban realizar
para verificar el cumplimiento de lo dispuesto en el propio documento y las
medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o
reutilizado.
Artículo 16. Responsable de seguridad.
El responsable del fichero designará uno o varios responsables de seguridad
encargados de coordinar y controlar las medidas definidas en el documento de
seguridad. En ningún caso esta designación supone una delegación de la
responsabilidad que corresponde al responsable del fichero de acuerdo con este
Reglamento.
Artículo 17. Auditoría.
1. Los sistemas de información e instalaciones de tratamiento de datos
se someterán a una auditoría interna o externa, que verifique el
cumplimiento del presente Reglamento, de los procedimientos e instrucciones
vigentes en materia de seguridad de datos, al menos, cada dos años.
2. El informe de auditoría deberá dictaminar sobre la adecuación
de las medidas y controles al presente Reglamento, identificar sus deficiencias
y proponer las medidas correctoras o complementarias necesarias. Deberá,
igualmente, incluir los datos, hechos y observaciones en que se basen los
dictámenes alcanzados y recomendaciones propuestas.
3. Los informes de auditoría serán analizados por el responsable
de seguridad competente, que elevará las conclusiones al responsable del
fichero para que adopte las medidas correctoras adecuadas y quedarán a
disposición de la Agencia de Protección de Datos.
Artículo 18. Identificación y autenticación.
1. El responsable del fichero establecerá un mecanismo que permita la
identificación de forma inequívoca y personalizado de todo aquel usuario
que intente acceder al sistema de información y la verificación de que
está autorizado.
2. Se limitará la posibilidad de intentar reiteradamente el acceso no
autorizado al sistema de información.
Artículo 19. Control de acceso físico.
Exclusivamente el personal autorizado en el documento de seguridad podrá
tener acceso a los locales donde se encuentren los sistemas de información
con datos de carácter personal.
Artículo 20. Gestión de soportes.
1. Deberá establecerse un sistema de registro de entrada de soportes
informáticos que permita, directa o indirectamente, conocer el tipo de
soporte, la fecha y hora, el emisor, el número de soportes, el tipo de
información que contienen, la forma de envío y la persona responsable
de la recepción que deberá estar debidamente autorizada.
2. Igualmente, se dispondrá de un sistema de registro de salida de
soportes informáticos que permita, directa o indirectamente, conocer el tipo
de soporte, la fecha v hora, el destinatario, el número de soportes, el tipo
de información que contienen, la forma de envío y la persona responsable
de la entrega que deberá estar debidamente autorizada.
3. Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán
las medidas necesarias para impedir cualquier recuperación posterior de la
información almacenada en él, previamente a que se proceda a su baja en el
inventario.
4. Cuando los soportes vayan a salir fuera de los locales en que
encuentren ubicados los ficheros como consecuencia de operaciones de
mantenimiento, se adoptarán las medidas necesarias para impedir cualquier
recuperación indebida de la información almacenada en ellos.
Artículo 21. Registro de incidencias.
1. En el registro regulado en el artículo 10 deberán consignarse,
además los procedimientos realizados de recuperación de los datos,
indicando la persona que ejecutó el proceso, los datos restaurados y, en su
caso, qué datos ha sido necesario grabar manualmente en el proceso de
recuperación.
2. Será necesaria la autorización por escrito del responsable del
fichero para la ejecución de los procedimientos de recuperación de los
datos.
Artículo 22. Pruebas con datos reales.
Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado.
La distribución de los soportes que contengan datos de carácter personal se
realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo
que garantice que dicha información no sea inteligible ni manipulada durante
su transporte.
Artículo 24. Registro de accesos.
1. De cada acceso se guardarán, como mínimo, la identificación
del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo
de acceso y si ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, será preciso
guardar la información que permita identificar el registro accedido.
3. Los mecanismos que permiten el registro de los datos detallados en los
párrafos anteriores estarán bajo el control directo del responsable de
seguridad sin que se deba permitir, en ningún caso, la desactivación de los
mismos.
4. El periodo mínimo de conservación de los datos registrados
será de dos años.
5. El responsable de seguridad competente se encargará de revisar
periódicamente la información de control registrada y elaborará un
informe de las revisiones realizadas y los problemas detectados al menos una
vez al mes.
Artículo 25. Copias de respaldo y recuperación.
Deberá conservarse una copia de respaldo y de los procedimientos de
recuperación de los datos en un lugar diferente de aquél en que se
encuentren los equipos informáticos que los tratan cumpliendo en todo caso,
las medidas de seguridad exigidas en este Reglamento.
Artículo 26. Telecomunicaciones.
La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
1. El incumplimiento de las medidas de seguridad descritas en el presente
Reglamento será sancionado de acuerdo con lo establecido en los
artículos 43 y 44 de la Ley Orgánica 5/1992, cuando se trate de ficheros
de titularidad privada.
El procedimiento a seguir para la imposición de la sanción a la que se
refiere el párrafo anterior será el establecido en el Real Decreto
1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de
la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento
Automatizado de los Datos de Carácter Personal.
2. Cuando se trate de ficheros de los que sean responsables las
Administraciones Públicas se estará, en cuanto al procedimiento y a las
sanciones, a lo dispuesto en el artículo 45 de la Ley Orgánica 5/1992.
Artículo 28. Responsables.
Los responsables del fichero, sujetos al régimen sancionador de la Ley Orgánica 5/1992, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal en los términos establecidos en el presente Reglamento.
El Director de la Agencia de Protección de Datos podrá, de conformidad con lo establecido en el artículo 36 de la Ley Orgánica 5/1992:
En el caso de sistemas de información que se encuentren en funcionamiento a
la entrada en vigor del presente Reglamento, las medidas de seguridad de nivel
básico previstas en el presente Reglamento deberán implantarse en el plazo
de seis meses desde su entrada en vigor, las de nivel medio en el plazo de un
año y las de nivel alto en el plazo de dos años.
Cuando los sistemas de información que se encuentren en funcionamiento no
permitan tecnológicamente la implantación de alguna de las medidas de
seguridad previstas en el presente Reglamento, la adecuación de dichos
sistemas y la implantación de las medidas de seguridad deberán realizarse
en el plazo máximo de tres años a contar desde la entrada en vigor del
presente Reglamento.