REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS
AUTOMATIZADOS QUE CONTENGAN DATOS DE CARCTER PERSONAL
(RD994/1999) CAPTULO I. Disposiciones Generales. Art!"#$ 1.- mbito de aplicacin y fines. El presente Reglamento tiene por objeto establecer las medidas de ndole tcnica y organizativas necesarias para garantizar la segridad !e deben renir los fic"eros atomatizados# los centros de tratamiento# locales# e!ipos# sistemas# programas y las personas !e intervengan en el tratamiento atomatizado de los datos de car$cter personal sjetos al rgimen de la %ey &rg$nica '()**+# de +* de octbre# de Reglacin del ,ratamiento -tomatizado de los Datos de car$cter personal.
Art!"#$ %.- Definiciones. - efectos de este Reglamento# se entender$ por. ).- /istema de informacin. 0onjnto de fic"eros atomatizados# programas# soportes y e!ipos empleados para el almacenamiento y tratamiento de datos de car$cter personal. +.- 1sario. /jeto o proceso atorizado para acceder a datos o recrsos. 2.- Recrso. 0al!ier parte componente de n sistema de informacin. 3.- -ccesos atorizados. -torizaciones concedidas a n sario para la tilizacin de los diversos recrsos. '.- 4dentificacin. 5rocedimiento de reconocimiento de la identidad de n sario. 6.- -tenticacin. 5rocedimiento de comprobacin de la identidad de n sario. 7.- 0ontrol de acceso. 8ecanismo !e en fncin de la identificacin ya atenticada permite acceder a datos o recrsos. 9.- 0ontrase:a. 4nformacin confidencial# frecentemente constitida por na cadena de caracteres# !e pede ser sada en la atenticacin de n sario. *.- 4ncidencia. 0al!ier anomala !e afecte o pdiera afectar a la segridad de los datos. );.- /oporte. &bjeto fsico ssceptible de ser tratado en n sistema de informacin y sobre el cal se peden grabar o recperar datos. )).- Responsable de segridad. 5ersona o personas a las !e el responsable del fic"ero "a asignado formalmente la fncin de coordinar y controlar las medidas de segridad aplicables. )+.- 0opia del respaldo. 0opia de los datos de n fic"ero atomatizado en n soporte !e posibilite s recperacin. Art!"#$ &.- <iveles de segridad. ).- %as medidas de segridad e=igibles se clasifican en tres niveles. b$sico# medio y alto. +.- Dic"os niveles se establecen atendiendo a la natraleza de la informacin tratada# en relacin con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la informacin.
Art!"#$ 4.- -plicacin de los niveles de segridad. ).- ,odos los fic"eros !e contengan datos de car$cter personal deber$n adoptar las medidas de segridad calificadas de nivel b$sico. +.- %os fic"eros !e contengan datos relativos a la comisin de infracciones administrativas o penales# >acienda 5?blica# servicios financieros y a!ellos fic"eros cyo fncionamiento se rija por el articlo +9 de la %ey &rg$nica '()**+# deber$n renir# adem$s de las medidas de nivel b$sico# las calificadas como de nivel medio. 2.- %os fic"eros !e contengan datos de ideologa# religin# creencias# origen racial# sald o vida se=al as como los !e contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deber$n renir# adem$s de las medidas de nivel b$sico y medio# las calificadas como de nivel alto. 3.- 0ando los fic"eros contengan n conjnto de datos de car$cter personal sficientes !e permitan obtener na evalacin de la personalidad del individo deber$n garantizar las medidas de nivel medio establecidas en los artclos )7# )9# )* y +;. '.- 0ada no de los niveles descritos anteriormente tienen la condicin de mnimos e=igibles# sin perjicio de las disposiciones legales o reglamentarias especficas vigentes.
Art!"#$ '.- -cceso a datos a travs de redes de comnicaciones. %as medidas de segridad e=igibles a los accesos a datos de car$cter personal a travs de redes de comnicaciones deber$n garantizar n nivel de segridad e!ivalente al correspondiente a los accesos en modo local.
Art!"#$ (.- Rgimen de trabajo fera de los locales de la bicacin del fic"ero. %a ejeccin de tratamiento de datos de car$cter personal fera de los locales de la bicacin del fic"ero deber$ ser atorizada e=presamente por el responsable del fic"ero y# en todo caso# deber$ garantizarse el nivel de segridad correspondiente al tipo de fic"ero tratado.
Art!"#$ ).- @ic"eros temporales. ).- %os fic"eros temporales deber$n cmplir el nivel de segridad !e les corresponda con arreglo a los criterios establecidos en el presente Reglamento. +.- ,odo fic"ero temporal ser$ borrado na vez !e "aya dejado de ser necesario para los fines !e motivaron s creacin. CAPTULO II. 8edidas de /egridad de <ivel A$sico Art!"#$ *.- Docmento de segridad. ).- El responsable del fic"ero elaborar$ e implantar$ la normativa de segridad mediante n docmento de obligado cmplimiento para el personal con acceso a los datos atomatizados de car$cter personal y a los sistemas de informacin. +.- El docmento deber$ contener# como mnimo# los sigientes aspectos. a.- mbito de aplicacin del docmento con especificacin detallada de los recrsos protegidos. b.- 8edidas# normas# procedimientos# reglas y est$ndares encaminados a garantizar el nivel de segridad e=igido en este Reglamento. c.- @nciones y obligaciones del personal. d.- Estrctra de los fic"eros con datos de car$cter personal y descripcin de los sistemas de informacin !e los tratan. e.- 5rocedimiento de notificacin# gestin y respesta ante las incidencias. f.- %os procedimientos de realizacin de copias de respaldo y de recperacin de los datos. 2.- El docmento deber$ mantenerse en todo momento actalizado y deber$ ser revisado siempre !e se prodzcan cambios relevantes en el sistema de informacin o en la organizacin del mismo. 3.- El contenido del docmento deber$ adecarse# en todo momento# a las disposiciones vigentes en materia de segridad de los datos de car$cter personal.
Art!"#$ 9.- @nciones y obligaciones del personal. ).- %as fnciones y obligaciones de cada na de las personas con acceso a los datos de car$cter personal y a los sistemas de informacin estar$n claramente definidas y docmentadas# de acerdo con lo previsto en el artclo 9.+.cB +.- El responsable del fic"ero adoptar$ las medidas necesarias para !e el personal conozca las normas de segridad !e afecten al desarrollo de ss fnciones as como las consecencias en !e pdiera incrrir en caso de incmplimiento.
Art!"#$ 1+.- Registro de incidencias. El procedimiento de notificacin y gestin de incidencias contendr$ necesariamente n registro en el !e se "aga constar el tipo de incidencia# el momento en !e se "a prodcido# la persona !e realiza la notificacin# a !in se le comnica y los efectos !e se "bieran derivado de la misma.
Art!"#$ 11.- 4dentificacin y atenticacin. ).- El responsable del fic"ero se encargar$ de !e e=ista na relacin actalizada de sarios !e tengan acceso atorizado al sistema de informacin y de establecer procedimientos de identificacin y atenticacin para dic"o acceso. +.- 0ando el mecanismo de atenticacin se base en la e=istencia de contrase:as e=istir$ n procedimiento de asignacin# distribcin y almacenamiento !e garantice s confidencialidad e integridad. 2.- %as contrase:as se cambiar$n con la periodicidad !e se determine en el docmento de segridad y mientras estn vigentes se almacenar$n de forma ininteligible.
Art!"#$ 1%.- 0ontrol de acceso. ).- %os sarios tendr$n acceso atorizado ?nicamente a a!ellos datos y recrsos !e precisen para el desarrollo de ss fnciones. +.- El responsable del fic"ero establecer$ mecanismos para evitar !e n sario peda acceder a datos o recrsos con derec"os distintos de los atorizados. 2.- %a relacin de sarios a la !e se refiere el artclo )).) de este Reglamento contendr$ el acceso atorizado para cada no de ellos. 3.- E=clsivamente el personal atorizado para ello en el docmento de segridad podr$ conceder# alterar o anlar el acceso atorizado sobre los datos y recrsos# conforme a los criterios establecidos por el responsable del fic"ero.
Art!"#$ 1&.- Gestin de soportes. ).- %os soportes inform$ticos !e contengan datos de car$cter personal deber$n permitir identificar el tipo de informacin !e contienen# ser inventariados y almacenarse en n lgar con acceso restringido al personal atorizado para ello en el docmento de segridad. +.- %a salida de soportes inform$ticos !e contengan datos de car$cter personal# fera de los locales en los !e est bicado el fic"ero# ?nicamente podr$ ser atorizada# por el responsable del fic"ero.
Art!"#$ 14. - 0opias de respaldo y recperacin. ).- El responsable de fic"ero se encargar$ de verificar la definicin y correcta aplicacin de los procedimientos de realizacin de copias de respaldo y de recperacin de los datos. +.- %os procedimientos establecidos para la realizacin de copias de respaldo y para la recperacin de los datos deber$n garantizar s reconstrccin en el estado en !e se encontraban al tiempo de prodcirse la prdida o destrccin.
2.- Deber$n realizarse copias de respaldo# al menos semanalmente# salvo !e en dic"o periodo no se "biera prodcido ningna actalizacin de los datos. CAPTULO III. 8edidas de /egridad de <ivel 8edio
Art!"#$ 1'.- Docmento de segridad. El documento de seguridad deber contener, adems de lo dispuesto en el artculo 8 del presente Reglamento, la identificacin del responsable o responsables de seguridad, los controles peridicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento y las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado.
Art!"#$ 1(.- Responsable de segridad. El responsable del fic"ero designar$ no o varios responsables de segridad encargados de coordinar y controlar las medidas definidas en el docmento de segridad. En ning?n caso esta designacin spone na delegacin de la responsabilidad !e corresponde al responsable del fic"ero de acerdo con este Reglamento.
Art!"#$ 1).- -ditora. ).- %os sistemas de informacin e instalaciones de tratamiento de datos se someter$n a na aditora interna o e=terna# !e verifi!e el cmplimiento del presente Reglamento# de los procedimientos e instrcciones vigentes en materia de segridad de datos# al menos# cada dos a:os. +.- El informe de aditora deber$ dictaminar sobre la adecacin de las medidas y controles al presente Reglamento# identificar ss deficiencias y proponer las medidas correctoras o complementarias necesarias. Deber$# igalmente# inclir los datos# "ec"os y observaciones en !e se basen los dict$menes alcanzados y recomendaciones propestas. 2.- %os informes de aditora ser$n analizados por el responsable de segridad competente# !e elevar$ las conclsiones al responsable del fic"ero para !e adopte las medidas correctoras adecadas y !edar$n a disposicin de la -gencia de 5roteccin de Datos.
Art!"#$ 1*.- 4dentificacin y atenticacin. ). El responsable del fic"ero establecer$ n mecanismo !e permita la identificacin de forma ine!voca y personalizada de todo a!el sario !e intente acceder al sistema de informacin y la verificacin de !e est$ atorizado. +. /e limitar$ la posibilidad de intentar reiteradamente el acceso no atorizado al sistema de informacin.
Art!"#$ 19.- 0ontrol de acceso fsico.
E=clsivamente el personal atorizado en el docmento de segridad podr$ tener acceso a los locales donde se encentren bicados los sistemas de informacin con datos de car$cter personal.
Art!"#$ %+.- Gestin de soportes.
).- Deber$ establecerse n sistema de registro de entrada de soportes inform$ticos !e permita# directa o indirectamente# conocer el tipo de soporte# la fec"a y "ora# el emisor# el n?mero de soportes# el tipo de informacin !e contienen# la forma de envo y la persona responsable de la recepcin !e deber$ estar debidamente atorizada. +.- 4galmente# se dispondr$ de n sistema de registro de salida de soportes inform$ticos !e permita# directa o indirectamente# conocer el tipo de soporte# la fec"a y "ora# el destinatario# el n?mero de soportes# el tipo de informacin !e contienen# la forma de envo y la persona responsable de la entrega !e deber$ estar debidamente atorizada. 2.- 0ando n soporte vaya a ser desec"ado o retilizado# se adoptar$n las medidas necesarias para impedir cal!ier recperacin posterior de la informacin almacenada en l# previamente a !e se proceda a s baja en el inventario. 3.- 0ando los soportes vayan a salir fera de los locales en !e se encentren bicados los fic"eros como consecencia de operaciones de mantenimiento# se adoptar$n las medidas necesarias para impedir cal!ier recperacin indebida de la informacin almacenada en ellos.
Art!"#$ %1.- Registro de incidencias.
).- En el registro reglado en el artclo ); deber$n consignarse# adem$s# los procedimientos realizados de recperacin de los datos# indicando la persona !e eject el proceso# los datos restarados y # en s caso# ! datos "a sido necesario grabar manalmente en el proceso de recperacin. +.- /er$ necesaria la atorizacin por escrito del responsable del fic"ero para la ejeccin de los procedimientos de recperacin de los datos.
Art!"#$ %%.- 5rebas con datos reales.
%as prebas anteriores a la implantacin o modificacin de los sistemas de informacin !e traten fic"eros con datos de car$cter personal no se realizar$n con datos reales# salvo !e se asegre el nivel de segridad correspondiente al tipo de fic"ero tratado CAPTULO I,. 8edidas de /egridad de <ivel -lto
Art!"#$ %&.- Distribcin de soportes. %a distribcin de los soportes !e contengan datos de car$cter personal se realizar$ cifrando dic"os datos o bien tilizando cal!ier otro mecanismo !e garantice !e dic"a informacin no sea inteligible ni maniplada drante s transporte.
Art!"#$ %4.- Registro de accesos. ).- De cada acceso se gardar$n# como mnimo# la identificacin del sario# la fec"a y "ora en !e se realiz# el fic"ero accedido# el tipo de acceso y si "a sido atorizado o denegado. +.- En el caso de !e el acceso "aya sido atorizado# ser$ preciso gardar la informacin !e permita identificar el registro accedido. 2.- %os mecanismos !e permiten el registro de los datos detallados en los p$rrafos anteriores estar$n bajo el control directo del responsable de segridad competente sin !e se deba permitir# en ning?n caso# la desactivacin de los mismos. 3.- El perodo mnimo de conservacin de los datos registrados ser$ de dos a:os. '.- El responsable de segridad competente se encargar$ de revisar peridicamente la informacin de control registrada y elaborar$ n informe de las revisiones realizadas y los problemas detectados al menos na vez al mes.
Art!"#$ %'.- 0opias de respaldo y recperacin. Deber$ conservarse na copia de respaldo y de los procedimientos de recperacin de los datos en n lgar diferente de a!l en !e se encentren los e!ipos inform$ticos !e los tratan cmpliendo en todo caso# las medidas de segridad e=igidas en este Reglamento.
Art!"#$ %(.- ,elecomnicaciones. %a transmisin de datos de car$cter personal a travs de redes de telecomnicaciones se realizar$ cifrando dic"os datos o bien tilizando cal!ier otro mecanismo !e garantice !e la informacin no sea inteligible ni maniplada por terceros. CAPTULO ,. 4nfracciones y /anciones Art!"#$ %).- 4nfracciones y sanciones.
).- El incmplimiento de las medidas de segridad descritas en el presente Reglamento ser$ sancionado de acerdo con lo establecido en los artclos 32 y 33 de la %ey &rg$nica '()**+# cando se trate de fic"eros de titlaridad privada. El procedimiento a segir para la imposicin de la sancin a la !e se refiere el p$rrafo anterior ser$ el establecido en el Real Decreto )22+()**3# de +; de jnio# por el !e se desarrollan determinados aspectos de la %ey &rg$nica '()**+# de +* de octbre# de Reglacin del ,ratamiento -tomatizado de los Datos de 0ar$cter 5ersonal. +.- 0ando se trate de fic"eros de los !e sean responsables las -dministraciones 5?blicas se estar$# en canto al procedimiento y a las sanciones# a lo dispesto en el artclo 3' de la %ey &rg$nica '()**+.
Art!"#$ %*.- Responsables.
%os responsables de los fic"eros# sjetos al rgimen sancionador de la %ey &rg$nica '()**+# deber$n adoptar las medidas de ndole tcnica y organizativas necesarias !e garanticen la segridad de los datos de car$cter personal en los trminos establecidos en el presente Reglamento CAPTULO ,I. 0ompetencias del Director de la -gencia de 5roteccin de Datos
Art!"#$ %9.- 0ompetencias del Director de la -gencia de 5roteccin de Datos.
El Director de la -gencia de 5roteccin de Datos podr$# de conformidad con lo establecido en el artclo 26 de la %ey &rg$nica '()**+. ).- Dictar# en s caso y sin perjicio de las competencias de otros rganos# las instrcciones precisas para adecar los tratamientos atomatizados a los principios de la %ey &rg$nica '()**+. +.- &rdenar la cesacin de los tratamientos de datos de car$cter personal y la cancelacin de los fic"eros cando no se cmplan las medidas de segridad previstas en el presente Reglamento DISPOSICI-N TRANSITORIA .NICA . 5lazos de 4mplantacin de las 8edidas En el caso de sistemas de informacin !e se encentren en fncionamiento a la entrada en vigor del presente Reglamento# las medidas de segridad de nivel b$sico previstas en el presente Reglamento deber$n implantarse en el plazo de seis meses desde s entrada en vigor# las de nivel medio en el plazo de n a:o y las de nivel alto en el plazo de dos a:os. 0ando los sistemas de informacin !e se encentren en fncionamiento no permitan tecnolgicamente la implantacin de algna de las medidas de segridad previstas en el presente Reglamento# la adecacin de dic"os sistemas y la implantacin de las medidas de segridad deber$n realizarse en el plazo m$=imo de tres a:os a contar desde la entrada en vigor del presente Reglamento.