REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS

AUTOMATIZADOS QUE CONTENGAN DATOS DE CARCTER PERSONAL

(RD994/1999)
CAPTULO I. Disposiciones Generales.
Art!"#$ 1.- mbito de aplicacin y fines.
El presente Reglamento tiene por objeto establecer las medidas de ndole tcnica y
organizativas necesarias para garantizar la segridad !e deben renir los fic"eros
atomatizados# los centros de tratamiento# locales# e!ipos# sistemas# programas y las
personas !e intervengan en el tratamiento atomatizado de los datos de car$cter
personal sjetos al rgimen de la %ey &rg$nica '()**+# de +* de octbre# de
Reglacin del ,ratamiento -tomatizado de los Datos de car$cter personal.

Art!"#$ %.- Definiciones.
- efectos de este Reglamento# se entender$ por.
).- /istema de informacin. 0onjnto de fic"eros atomatizados# programas# soportes y
e!ipos empleados para el almacenamiento y tratamiento de datos de car$cter
personal.
+.- 1sario. /jeto o proceso atorizado para acceder a datos o recrsos.
2.- Recrso. 0al!ier parte componente de n sistema de informacin.
3.- -ccesos atorizados. -torizaciones concedidas a n sario para la tilizacin de
los diversos recrsos.
'.- 4dentificacin. 5rocedimiento de reconocimiento de la identidad de n sario.
6.- -tenticacin. 5rocedimiento de comprobacin de la identidad de n sario.
7.- 0ontrol de acceso. 8ecanismo !e en fncin de la identificacin ya atenticada
permite acceder a datos o recrsos.
9.- 0ontrase:a. 4nformacin confidencial# frecentemente constitida por na cadena de
caracteres# !e pede ser sada en la atenticacin de n sario.
*.- 4ncidencia. 0al!ier anomala !e afecte o pdiera afectar a la segridad de los
datos.
);.- /oporte. &bjeto fsico ssceptible de ser tratado en n sistema de informacin y
sobre el cal se peden grabar o recperar datos.
)).- Responsable de segridad. 5ersona o personas a las !e el responsable del
fic"ero "a asignado formalmente la fncin de coordinar y controlar las medidas de
segridad aplicables.
)+.- 0opia del respaldo. 0opia de los datos de n fic"ero atomatizado en n soporte
!e posibilite s recperacin.
Art!"#$ &.- <iveles de segridad.
).- %as medidas de segridad e=igibles se clasifican en tres niveles. b$sico# medio y
alto.
+.- Dic"os niveles se establecen atendiendo a la natraleza de la informacin tratada#
en relacin con la mayor o menor necesidad de garantizar la confidencialidad y la
integridad de la informacin.

Art!"#$ 4.- -plicacin de los niveles de segridad.
).- ,odos los fic"eros !e contengan datos de car$cter personal deber$n adoptar las
medidas de segridad calificadas de nivel b$sico.
+.- %os fic"eros !e contengan datos relativos a la comisin de infracciones
administrativas o penales# >acienda 5?blica# servicios financieros y a!ellos fic"eros
cyo fncionamiento se rija por el articlo +9 de la %ey &rg$nica '()**+# deber$n renir#
adem$s de las medidas de nivel b$sico# las calificadas como de nivel medio.
2.- %os fic"eros !e contengan datos de ideologa# religin# creencias# origen racial#
sald o vida se=al as como los !e contengan datos recabados para fines policiales
sin consentimiento de las personas afectadas deber$n renir# adem$s de las medidas
de nivel b$sico y medio# las calificadas como de nivel alto.
3.- 0ando los fic"eros contengan n conjnto de datos de car$cter personal
sficientes !e permitan obtener na evalacin de la personalidad del individo
deber$n garantizar las medidas de nivel medio establecidas en los artclos )7# )9# )* y
+;.
'.- 0ada no de los niveles descritos anteriormente tienen la condicin de mnimos
e=igibles# sin perjicio de las disposiciones legales o reglamentarias especficas
vigentes.

Art!"#$ '.- -cceso a datos a travs de redes de comnicaciones.
%as medidas de segridad e=igibles a los accesos a datos de car$cter personal a travs
de redes de comnicaciones deber$n garantizar n nivel de segridad e!ivalente al
correspondiente a los accesos en modo local.

Art!"#$ (.- Rgimen de trabajo fera de los locales de la bicacin del fic"ero.
%a ejeccin de tratamiento de datos de car$cter personal fera de los locales de la
bicacin del fic"ero deber$ ser atorizada e=presamente por el responsable del fic"ero
y# en todo caso# deber$ garantizarse el nivel de segridad correspondiente al tipo de
fic"ero tratado.

Art!"#$ ).- @ic"eros temporales.
).- %os fic"eros temporales deber$n cmplir el nivel de segridad !e les corresponda
con arreglo a los criterios establecidos en el presente Reglamento.
+.- ,odo fic"ero temporal ser$ borrado na vez !e "aya dejado de ser necesario para
los fines !e motivaron s creacin.
CAPTULO II. 8edidas de /egridad de <ivel A$sico
Art!"#$ *.- Docmento de segridad.
).- El responsable del fic"ero elaborar$ e implantar$ la normativa de segridad
mediante n docmento de obligado cmplimiento para el personal con acceso a los
datos atomatizados de car$cter personal y a los sistemas de informacin.
+.- El docmento deber$ contener# como mnimo# los sigientes aspectos.
a.- mbito de aplicacin del docmento con especificacin detallada de los recrsos
protegidos.
b.- 8edidas# normas# procedimientos# reglas y est$ndares encaminados a garantizar el
nivel de segridad e=igido en este Reglamento.
c.- @nciones y obligaciones del personal.
d.- Estrctra de los fic"eros con datos de car$cter personal y descripcin de los
sistemas de informacin !e los tratan.
e.- 5rocedimiento de notificacin# gestin y respesta ante las incidencias.
f.- %os procedimientos de realizacin de copias de respaldo y de recperacin de los
datos.
2.- El docmento deber$ mantenerse en todo momento actalizado y deber$ ser
revisado siempre !e se prodzcan cambios relevantes en el sistema de informacin o
en la organizacin del mismo.
3.- El contenido del docmento deber$ adecarse# en todo momento# a las
disposiciones vigentes en materia de segridad de los datos de car$cter personal.

Art!"#$ 9.- @nciones y obligaciones del personal.
).- %as fnciones y obligaciones de cada na de las personas con acceso a los datos
de car$cter personal y a los sistemas de informacin estar$n claramente definidas y
docmentadas# de acerdo con lo previsto en el artclo 9.+.cB
+.- El responsable del fic"ero adoptar$ las medidas necesarias para !e el personal
conozca las normas de segridad !e afecten al desarrollo de ss fnciones as como
las consecencias en !e pdiera incrrir en caso de incmplimiento.

Art!"#$ 1+.- Registro de incidencias.
El procedimiento de notificacin y gestin de incidencias contendr$ necesariamente n
registro en el !e se "aga constar el tipo de incidencia# el momento en !e se "a
prodcido# la persona !e realiza la notificacin# a !in se le comnica y los efectos
!e se "bieran derivado de la misma.

Art!"#$ 11.- 4dentificacin y atenticacin.
).- El responsable del fic"ero se encargar$ de !e e=ista na relacin actalizada de
sarios !e tengan acceso atorizado al sistema de informacin y de establecer
procedimientos de identificacin y atenticacin para dic"o acceso.
+.- 0ando el mecanismo de atenticacin se base en la e=istencia de contrase:as
e=istir$ n procedimiento de asignacin# distribcin y almacenamiento !e garantice
s confidencialidad e integridad.
2.- %as contrase:as se cambiar$n con la periodicidad !e se determine en el
docmento de segridad y mientras estn vigentes se almacenar$n de forma
ininteligible.

Art!"#$ 1%.- 0ontrol de acceso.
).- %os sarios tendr$n acceso atorizado ?nicamente a a!ellos datos y recrsos !e
precisen para el desarrollo de ss fnciones.
+.- El responsable del fic"ero establecer$ mecanismos para evitar !e n sario
peda acceder a datos o recrsos con derec"os distintos de los atorizados.
2.- %a relacin de sarios a la !e se refiere el artclo )).) de este Reglamento
contendr$ el acceso atorizado para cada no de ellos.
3.- E=clsivamente el personal atorizado para ello en el docmento de segridad
podr$ conceder# alterar o anlar el acceso atorizado sobre los datos y recrsos#
conforme a los criterios establecidos por el responsable del fic"ero.

Art!"#$ 1&.- Gestin de soportes.
).- %os soportes inform$ticos !e contengan datos de car$cter personal deber$n
permitir identificar el tipo de informacin !e contienen# ser inventariados y
almacenarse en n lgar con acceso restringido al personal atorizado para ello en el
docmento de segridad.
+.- %a salida de soportes inform$ticos !e contengan datos de car$cter personal# fera
de los locales en los !e est bicado el fic"ero# ?nicamente podr$ ser atorizada# por
el responsable del fic"ero.

Art!"#$ 14. - 0opias de respaldo y recperacin.
).- El responsable de fic"ero se encargar$ de verificar la definicin y correcta aplicacin
de los procedimientos de realizacin de copias de respaldo y de recperacin de los
datos.
+.- %os procedimientos establecidos para la realizacin de copias de respaldo y para la
recperacin de los datos deber$n garantizar s reconstrccin en el estado en !e se
encontraban al tiempo de prodcirse la prdida o destrccin.

2.- Deber$n realizarse copias de respaldo# al menos semanalmente# salvo !e en
dic"o periodo no se "biera prodcido ningna actalizacin de los datos.
CAPTULO III. 8edidas de /egridad de <ivel 8edio

Art!"#$ 1'.- Docmento de segridad.
El documento de seguridad deber contener, adems de lo dispuesto en el artculo 8 del presente
Reglamento, la identificacin del responsable o responsables de seguridad, los controles
peridicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio
documento y las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o
reutilizado.

Art!"#$ 1(.- Responsable de segridad.
El responsable del fic"ero designar$ no o varios responsables de segridad
encargados de coordinar y controlar las medidas definidas en el docmento de
segridad. En ning?n caso esta designacin spone na delegacin de la
responsabilidad !e corresponde al responsable del fic"ero de acerdo con este
Reglamento.

Art!"#$ 1).- -ditora.
).- %os sistemas de informacin e instalaciones de tratamiento de datos se someter$n a
na aditora interna o e=terna# !e verifi!e el cmplimiento del presente Reglamento#
de los procedimientos e instrcciones vigentes en materia de segridad de datos# al
menos# cada dos a:os.
+.- El informe de aditora deber$ dictaminar sobre la adecacin de las medidas y
controles al presente Reglamento# identificar ss deficiencias y proponer las medidas
correctoras o complementarias necesarias. Deber$# igalmente# inclir los datos#
"ec"os y observaciones en !e se basen los dict$menes alcanzados y
recomendaciones propestas.
2.- %os informes de aditora ser$n analizados por el responsable de segridad
competente# !e elevar$ las conclsiones al responsable del fic"ero para !e adopte
las medidas correctoras adecadas y !edar$n a disposicin de la -gencia de
5roteccin de Datos.

Art!"#$ 1*.- 4dentificacin y atenticacin.
). El responsable del fic"ero establecer$ n mecanismo !e permita la identificacin de
forma ine!voca y personalizada de todo a!el sario !e intente acceder al sistema
de informacin y la verificacin de !e est$ atorizado.
+. /e limitar$ la posibilidad de intentar reiteradamente el acceso no atorizado al
sistema de informacin.

Art!"#$ 19.- 0ontrol de acceso fsico.

E=clsivamente el personal atorizado en el docmento de segridad podr$ tener
acceso a los locales donde se encentren bicados los sistemas de informacin con
datos de car$cter personal.

Art!"#$ %+.- Gestin de soportes.

).- Deber$ establecerse n sistema de registro de entrada de soportes inform$ticos !e
permita# directa o indirectamente# conocer el tipo de soporte# la fec"a y "ora# el emisor#
el n?mero de soportes# el tipo de informacin !e contienen# la forma de envo y la
persona responsable de la recepcin !e deber$ estar debidamente atorizada.
+.- 4galmente# se dispondr$ de n sistema de registro de salida de soportes
inform$ticos !e permita# directa o indirectamente# conocer el tipo de soporte# la fec"a y
"ora# el destinatario# el n?mero de soportes# el tipo de informacin !e contienen# la
forma de envo y la persona responsable de la entrega !e deber$ estar debidamente
atorizada.
2.- 0ando n soporte vaya a ser desec"ado o retilizado# se adoptar$n las medidas
necesarias para impedir cal!ier recperacin posterior de la informacin almacenada
en l# previamente a !e se proceda a s baja en el inventario.
3.- 0ando los soportes vayan a salir fera de los locales en !e se encentren
bicados los fic"eros como consecencia de operaciones de mantenimiento# se
adoptar$n las medidas necesarias para impedir cal!ier recperacin indebida de la
informacin almacenada en ellos.

Art!"#$ %1.- Registro de incidencias.

).- En el registro reglado en el artclo ); deber$n consignarse# adem$s# los
procedimientos realizados de recperacin de los datos# indicando la persona !e
eject el proceso# los datos restarados y # en s caso# ! datos "a sido necesario
grabar manalmente en el proceso de recperacin.
+.- /er$ necesaria la atorizacin por escrito del responsable del fic"ero para la
ejeccin de los procedimientos de recperacin de los datos.

Art!"#$ %%.- 5rebas con datos reales.

%as prebas anteriores a la implantacin o modificacin de los sistemas de informacin
!e traten fic"eros con datos de car$cter personal no se realizar$n con datos reales#
salvo !e se asegre el nivel de segridad correspondiente al tipo de fic"ero tratado
CAPTULO I,. 8edidas de /egridad de <ivel -lto

Art!"#$ %&.- Distribcin de soportes.
%a distribcin de los soportes !e contengan datos de car$cter personal se realizar$
cifrando dic"os datos o bien tilizando cal!ier otro mecanismo !e garantice !e
dic"a informacin no sea inteligible ni maniplada drante s transporte.


Art!"#$ %4.- Registro de accesos.
).- De cada acceso se gardar$n# como mnimo# la identificacin del sario# la fec"a y
"ora en !e se realiz# el fic"ero accedido# el tipo de acceso y si "a sido atorizado o
denegado.
+.- En el caso de !e el acceso "aya sido atorizado# ser$ preciso gardar la
informacin !e permita identificar el registro accedido.
2.- %os mecanismos !e permiten el registro de los datos detallados en los p$rrafos
anteriores estar$n bajo el control directo del responsable de segridad competente sin
!e se deba permitir# en ning?n caso# la desactivacin de los mismos.
3.- El perodo mnimo de conservacin de los datos registrados ser$ de dos a:os.
'.- El responsable de segridad competente se encargar$ de revisar peridicamente la
informacin de control registrada y elaborar$ n informe de las revisiones realizadas y
los problemas detectados al menos na vez al mes.

Art!"#$ %'.- 0opias de respaldo y recperacin.
Deber$ conservarse na copia de respaldo y de los procedimientos de recperacin de
los datos en n lgar diferente de a!l en !e se encentren los e!ipos inform$ticos
!e los tratan cmpliendo en todo caso# las medidas de segridad e=igidas en este
Reglamento.

Art!"#$ %(.- ,elecomnicaciones.
%a transmisin de datos de car$cter personal a travs de redes de telecomnicaciones
se realizar$ cifrando dic"os datos o bien tilizando cal!ier otro mecanismo !e
garantice !e la informacin no sea inteligible ni maniplada por terceros.
CAPTULO ,. 4nfracciones y /anciones
Art!"#$ %).- 4nfracciones y sanciones.

).- El incmplimiento de las medidas de segridad descritas en el presente Reglamento
ser$ sancionado de acerdo con lo establecido en los artclos 32 y 33 de la %ey
&rg$nica '()**+# cando se trate de fic"eros de titlaridad privada.
El procedimiento a segir para la imposicin de la sancin a la !e se refiere el p$rrafo
anterior ser$ el establecido en el Real Decreto )22+()**3# de +; de jnio# por el !e se
desarrollan determinados aspectos de la %ey &rg$nica '()**+# de +* de octbre# de
Reglacin del ,ratamiento -tomatizado de los Datos de 0ar$cter 5ersonal.
+.- 0ando se trate de fic"eros de los !e sean responsables las -dministraciones
5?blicas se estar$# en canto al procedimiento y a las sanciones# a lo dispesto en el
artclo 3' de la %ey &rg$nica '()**+.

Art!"#$ %*.- Responsables.

%os responsables de los fic"eros# sjetos al rgimen sancionador de la %ey &rg$nica
'()**+# deber$n adoptar las medidas de ndole tcnica y organizativas necesarias !e
garanticen la segridad de los datos de car$cter personal en los trminos establecidos
en el presente Reglamento
CAPTULO ,I. 0ompetencias del Director de la -gencia de 5roteccin de Datos


Art!"#$ %9.- 0ompetencias del Director de la -gencia de 5roteccin de Datos.

El Director de la -gencia de 5roteccin de Datos podr$# de conformidad con lo
establecido en el artclo 26 de la %ey &rg$nica '()**+.
).- Dictar# en s caso y sin perjicio de las competencias de otros rganos# las
instrcciones precisas para adecar los tratamientos atomatizados a los principios de
la %ey &rg$nica '()**+.
+.- &rdenar la cesacin de los tratamientos de datos de car$cter personal y la
cancelacin de los fic"eros cando no se cmplan las medidas de segridad previstas
en el presente Reglamento
DISPOSICI-N TRANSITORIA .NICA . 5lazos de 4mplantacin de las 8edidas
En el caso de sistemas de informacin !e se encentren en fncionamiento a la
entrada en vigor del presente Reglamento# las medidas de segridad de nivel b$sico
previstas en el presente Reglamento deber$n implantarse en el plazo de seis meses
desde s entrada en vigor# las de nivel medio en el plazo de n a:o y las de nivel alto
en el plazo de dos a:os.
0ando los sistemas de informacin !e se encentren en fncionamiento no permitan
tecnolgicamente la implantacin de algna de las medidas de segridad previstas en
el presente Reglamento# la adecacin de dic"os sistemas y la implantacin de las
medidas de segridad deber$n realizarse en el plazo m$=imo de tres a:os a contar
desde la entrada en vigor del presente Reglamento.