Congresos
VI CONGRESO NACIONAL DE DERECHO SANITARIO

 

INTIMIDAD E INFORMATICA RESPONSABILIDADES

CON RESPECTO AL REGLAMENTO DE MEDIDAS DE SEGURIDAD

 

Rosa Mª García Ontoso
Lda. Ciencias Matemáticas, Cálculo Automático
Directora de la Agencia de Protección de Datos de la Comunidad de Madrid


La extensión de las Telecomunicaciones, que han formado parte tradicionalmente de las infraestructuras básicas con capacidad de producir a su alrededor trabajo y riqueza, facilitando la educación, han ayudado enormemente a aumentar el nivel cultural Información y la iniciativa empresarial, siendo por tanto un proyecto de progreso económico y social.

Las llamadas autopistas de la información, según se van ampliando las infraestructuras, van a revolucionar los hábitos de trabajo y a permitir extender la información a todos los profesionales y ciudadanos.

Sin embargo, unido a los Planes de Comunicaciones, con ancho de banda para voz y datos, y en paralelo con ellos, habría que implantar Planes de Seguridad de la Información que permitan establecer desde el nacimiento de un proyecto informático, la clasificación de la información que se va a tratar o a elaborar, en los supuestos de confidencialidad, integridad y disponibilidad.

La aparición de los ordenadores personales, la descentralización de procesos en equipos distribuidos, integrados o no en red, y las redes de área local, han producido una serie de fenómenos, que no solamente afectan al mundo informático, sino también a la propia organización de empresas e instituciones.

El progresivo desarrollo de las técnicas de recogida y almacenamiento de datos de carácter personal, y el acceso a los mismos desde lugares remotos y en apenas unos segundos, a través de las redes de comunicaciones, ha expuesto a la privacidad de las personas a una amenaza potencial antes desconocida.

La Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (la LORTAD), preveía en su Artículo 40.1, que determinadas competencias podrían ser ejercidas por los órganos correspondientes de las Comunidades Autónomas, a los que se garantizaría plena independencia y objetividad en el ejercicio de su cometido.

La Agencia de Protección de Datos de la Comunidad de Madrid, se crea en la Ley 13/1995, de 21 de abril, de regulación del uso de informática en el tratamiento de datos personales por la Comunidad de Madrid, Ley que se modificó por iniciativa de la Consejería de Hacienda el 16 de junio de 1997, para facilitar la puesta en marcha de la Agencia.

En julio de 1997 se nombraron los miembros del Consejo de Protección de Datos, quienes, en su sesión constitutiva y por unanimidad, propusieron al Presidente de la Comunidad de Madrid mi nombramiento como primera Directora de la Agencia. Dicho nombramiento se produjo el 31 de julio de 1997.

Nacía así la primera Agencia Autonómica con una decidida vocación de divulgación y formación para que la cultura de la Protección de Datos, se integre en la vida diaria y cotidiana de todos nosotros.

El derecho a la intimidad, elemento básico para la libertad de las personas, está recogido en diferentes artículos de la Constitución Española de 1978:

En el artículo 18.1: "Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen".

En el artículo 18.4: "La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

En el artículo 10.2: "Las normas relativas a los derechos fundamentales, se interpretarán de conformidad con la Declaración Universal de Derechos Humanos y los tratados y acuerdos internacionales sobre las mismas materias ratificados por España".

La preocupación por esta materia y la regulación del uso de la informática, tan necesaria para que el ciudadano pueda ejercer con efectividad su derecho a conocer para qué se recogen datos suyos de carácter personal, qué se va a hacer con ellos y comprobar que los mismos sean exactos, no era nueva en Europa.

Fue el Estado Alemán de Hesse quien legisló por primera vez en esta materia en 1970.

El 28 de enero de 1982, el Plenipotenciario de España firmó en Estrasburgo el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981.

El citado Convenio se publicó en el Boletín Oficial del Estado el 15 de noviembre de 1985, firmado por Juan Carlos 1, Rey de España:

"Vistos y examinados los veintisiete artículos del Convenio, cumplidos los requisitos exigidos por la Legislación española, vengo en aprobar y ratificar cuanto en él se dispone, prometiendo cumplirlo, observarlo y hacer que se cumpla y observe puntualmente en todas sus partes, a cuyo fin, para su mayor validación y firmeza, mando expedir este Instrumento de Ratificación firmado por Mí, debidamente sellado y refrendado por el Ministro de Asuntos Exteriores".

La Agencia de la Comunidad de Madrid es en este momento la única Agencia autonómica. Entiende su trabajo como un reforzamiento de la Autoridad de Control Nacional, que es la Agencia de Protección de Datos del Estado, y como un apoyo a su trabajo de cohesión y armonización en la aplicación de la Ley en todo el Estado, máxima autoridad por tanto en la materia.

Hay que ser conscientes de las limitaciones que la administración de los sistemas distribuidos objetivamente comportan, frente a una mayor inaccesibilidad de la anterior arquitectura informática de carácter centralizado, es preciso establecer por tanto medidas tanto técnicas como organizativas de los recursos al servicio de la nueva arquitectura de los sistemas de información.

Las normativas de seguridad tratan de establecer las garantías precisas en cuanto a la definición, funcionamiento y explotación de los nuevos Sistemas de Información, de carácter modular y abierto por definición , así como de establecer un sistema de responsabilidad, en cuanto a la salvaguardia de la privacidad de las personas y de la supervivencia de las empresas y organizaciones.

Se hace por tanto imprescindible divulgar, tanto las necesidades de uso de las nuevas tecnologías, como la problemática que plantean en cuanto a su gestión, siendo el tema de seguridad uno de los que hay que abordar, dada la criticidad que tiene hoy en día la información que se transmite, y en la que pueden influir los fallos físicos de los ordenadores, la calidad de las aplicaciones y las condiciones físicas del entorno, como otros factores no siempre voluntarios ni previsibles, que, unas veces proceden de la ignorancia o de la curiosidad, y otras muchas de virus y fallos inducidos en los ordenadores o las redes.

¿Cuáles serían las responsabilidades del informático en la seguridad de la información y los datos de carácter personal?:

Adquirir y desarrollar los productos de software y hardware y las aplicaciones para facilitar la puesta en marcha de la legislación.

. Los Proyectos Informáticos, desde el comienzo de los mismos, desde la fase funcional o de prototipado, tienen que contemplar las medidas del Reglamento de medidas de seguridad recientemente publicado en el BOE (art. 9 y 44 de la Lortad).

. Diseño de impresos y cuestionarios que salen automatizados de las aplicaciones (art.5 de la Lortad).

. Recogida de información para encuestas, destrucción de los cuestionarios, secreto estadístico, Ley General de Estadística.

Caracterización de la información para ver el nivel de seguridad que va a necesitar la información a tratar, dependiendo del nivel de sensibilidad o de confidencialidad de los datos en cada tratamiento que se realice con los mismos.

Contratos de prestación de servicios (art.27 de la Lortad).

El deber de secreto de los administradores de sistemas, redes, bases de datos y personal de desarrollo con acceso a datos de carácter personal (art. 10 de la Lortad).

. Artículos relacionados con documentos y revelación de secretos en el

Código Penal: Art. 26, 197 a 201, 211 a 216. 239, 2485-2521 270, 390 a 4l0, 413 a 4l8.

Legislación que deberían de conocer y tener encima de la mesa los informáticos, relacionadas con la Protección de Datos: Lortad, Directiva Europea de protección de datos y de telecomunicaciones, Ley General de Telecomunicaciones, Ley de Propiedad Intelectual, Código Penal, Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

Para cada sistema de información concreto, en el momento de realizar el estudio funcional se tendrá que tener en cuenta la legislación concreta que haya al respecto Legislación Sanitaria, Tributaria, de Protección Ciudadana, Laboral, Legislación de Firma Electrónica, Ley de Contratos del Estado, futura Directiva de Comercio Electrónico, ....

. Ello va a implicar un reciclaje de los técnicos que ya están trabajando pero que no conocen los temas anteriores.

. Se va a producir previsiblemente un trasvase de técnicos ya formados en otras especialidades informáticas al área de Seguridad Informática y a la de Auditoría Informática, y es una salida segura a todos los Técnicos en Informática de las diferentes carreras universitarias y de formación profesional que están ya estudiando estas especialidades. También es previsible que va a ser necesario un fuerte apoyo de expertos en Derecho Informático.

Algunos artículos del Reglamento de medidas de seguridad que se deben de resaltar son los siguientes:

Artículo 27. Infracciones y sanciones.

1. El incumplimiento de las medidas de seguridad descritas en el presente Reglamento será sancionado de acuerdo con lo establecido en los artículos 43 y 44 de la Ley Orgánica 5/1992, cuando se trate de ficheros de titularidad privada.

El procedimiento a seguir para la imposición de la sanción a la que se refiere el párrafo anterior será el establecido en el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.

Artículo 29. Competencias del Director de la Agencia de Protección de Datos.

El Director de la Agencia de Protección de Datos podrá, de conformidad con lo establecido en el artículo 36 de la Ley Orgánica 5/1992:

1. Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica 5/1992.

2. Ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de los ficheros cuando no se cumplan las medidas de seguridad previstas en el presente Reglamento.

Disposición transitoria única. Plazos de implantación de las medidas.

En el caso de sistemas de información que se encuentren en funcionamiento a la entrada en vigor del presente Reglamento, las medidas de seguridad de nivel básico previstas en el presente Reglamento deberán implantarse en el plazo de seis meses desde su entrada en vigor. las de nivel medio en el plazo de un año y las de nivel alto en el plazo de dos años.

Cuando los sistemas de información que se encuentren en funcionamiento no permitan tecnológicamente la implantación de alguna de las medidas de seguridad previstas en el presente Reglamento, la adecuación de dichos sistemas y la implantación de las medidas de seguridad deberán realizarse en el plazo máximo de tres años a contar desde la entrada en vigor del presente Reglamento.

Adjunto unas tablas de referencia para la aplicación de las medidas de seguridad informática establecidas en el "Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal", elaboradas por la Dirección del Registro y la Inspección de la Agencia de Protección de Datos de la Comunidad de Madrid, para facilitar la puesta en marcha del mismo.

Indice

 

NIVELES DE SEGURIDAD
Nivel Básico Incluyendo algunos de los siguientes tipos de datos, cuando no constituyan un perfil de la persona.

Identificativos

Características personales

Circunstancias sociales

Académicos y profesionales

Empleo y carrera administrativa

Información comercial

Económico-financiera 

Transacciones;

Medidas de seguridad de nivel básico

Nivel Medio. Incluyendo datos del nivel básico que sí conformen un perfil de la persona

Hacienda Pública

Servicios Financieros

Solvencia Patrimonial y crédito

Infracciones penales y administrativas nivel medio

Medidas de seguridad de nivel medio

Nivel Alto. Cuando los datos se recaben para fines policiales y datos especialmente protegidos:

Ideología

Creencias

Religión

Origen racial

Salud

Medidas de seguridad de seguridad nivel alto

 


Art.

MEDIDAS DE SEGURIDAD

NIVELES

B M A
Documento de seguridad      
8.1  El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento, de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal, y a los sistemas de información X X X
8.2  Contenido mínimo del documento de seguridad:      
  Ámbito de aplicación con especificación detallada de los recursos protegidos X X X
  Medidas, normas, procedimientos, reglas y estándares X X X
  Funciones y obligaciones del personal X X X
  Estructura de los ficheros y descripción de los sistemas de información que los tratan X X X
  Procedimiento de notificación, gestión y respuesta ante las incidencias X X X
 

Procedimientos de realización de copias de respaldo y de recuperación de los datos

X X X
15 Además deberá contener:      
 

Identificación del responsable(s) de seguridad

  X X
 

Controles periódicos para verificar el cumplimiento de lo establecido en el documento

  X X
 

Medidas a adoptar en caso de reutilización o desecho de soportes

  X X

Responsable de seguridad

     
16 

El responsable del fichero designará uno o varios responsables de seguridad que coordinarán y controlarán las medidas de seguridad. No supone delegación de la responsabilidad del responsable del fichero

  X X

 

 

MEDIDAS DE SEGURIDAD

NIVELES
B M A

Funciones y obligaciones del personal

     
9.1 Las flunciones y obligaciones de cada una de las personas estarán claramente definidas y documentadas X X X
9.2

El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento

X X X

Registro de incidencias

     
10

El procedimiento de notificación y gestión de incidencias contendrá el tipo, el momento, la persona que notifica, a quién se le comunica y los efectos que se han derivado de la misma

X X X
21.1

El registro consignará los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

  X X
21.2

Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos

  X X

 

Nº Art.

MEDIDAS DE SEGURIDAD

NIVELES

B M A
Identificación y autentificación      
11.1 El responsable del fichero se encargará de que exista una relación actualizada de usuarios con acceso autorizado al sistema de información, con procedimientos de identificación y Autentificación para dicho acceso X X X
11.2 En caso de autenticación con contraseñas, existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad X X X
11.3

Las contraseñas se cambiarán periódicamente y su almacenamiento 3 será de forma ininteligible mientras estén vigentes

X X X
18.1

El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado

  X X
18.2

Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información

  X X

Control de acceso

     
12.1

Los usuarios sólo tendrán acceso autorizado a datos y recursos necesarios para sus funciones.

X X X
12.2

El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a información o recursos con derechos distintos de los autorizados

X X X
12.3

La relación de usuarios contendrá el acceso autorizado para cada uno de ellos.

X X X
12.4

Exclusivamente el personal autorizado podrá conceder, alterar o anular el acceso autorizado, conforme a los criterios establecidos por el responsable del fichero

X X X

 

Nº Art.

MEDIDAS DE SEGURIDAD

NIVELES

B M A

Control de acceso físico

     
19

Exclusivamente el personal autorizado podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información

  X X

Gestión de soportes

     
13.1

Los soportes informáticos permitirán identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado

X X X
13.2

La salida de soportes informáticos que contengan datos de carácter personal, únicamente podrá ser autorizada por el responsable del fichero

  X X
20.1

El registro de entrada de soportes informáticos permitirá conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y el responsable de la recepción que deberá estar debidamente autorizado

  X X
20.2

El registro de salida de soportes informáticos permitirá conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envio y el responsable de la entrega que deberá estar debidamente autorizado

  X X
20.3

Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán, las medidas necesarias para impedir cualquier recuperación posterior de la información con anterioridad a su baja en el inventario

  X X
20.4

Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos

  X X

 

Nº Art.

MEDIDAS DE SEGURIDAD

NIVELES

B M A

Copias de respaldo y recuperación

     
14.1

El responsable del fichero se encargará de verificar la definición y aplicación de los procedimientos de realización de copias de respaldo y recuperación de los datos

X X X
14.2

Los procedimientos de copias de respaldo y recuperación de los datos deberán garantizar su reconstrucción en el estado en el que se encontraban al tiempo de producirse la pérdida o destrucción

X X X
14.3

Copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos

X X X
25

Se conservará una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan

    X
Auditoría      
17.1

Los sistemas de información e instalaciones se someterán a una auditoría interna o externa, que verifique el cumplimiento del Reglamento, los procedimientos e instrucciones, al menos, cada dos años

  X X
17.2

El informe de auditoría dictaminará sobre la adecuación de las medidas y controles, identificará deficiencias y propondrá medidas correctoras o complementarias. Deberá incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas

  X X
17.3

Los informes serán analizados por el responsable de seguridad, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos

  X X

 

Nº Art.

MEDIDAS DE SEGURIDAD

NIVELES

B M A
Pruebas con datos reales      
22 Anteriormente a la implantación o modificación de los sistemas de información, las pruebas a no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado   X X

Distribución de soportes

     
23 La distribución de los soportes se realizará cifrando los datos, o utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada durante su transporte     X

Registro de accesos

     
24.1 De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado     X
24.2

En el caso del acceso autorizado, será preciso guardar la información que permita identificar el registro accedido 

    X
24.3

Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad, sin que se deba permitir, en ningún caso, la desactivación de los mismos

    X
24.4

El período mínimo de conservación de los datos registrados será de 4 dos años

    X
24.5

El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes

    X

Telecomunicaciones

     
26

La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la ¡información no sea inteligible ni manipulada

    X

Indice

 

REAL DECRETO 994/1999. de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

El artículo 18.4 de la Constitución Española establece que «la ley limitará el usa de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».

La Ley Orgánica 5/1992. de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de carácter personal, prevé en su articulo 9, la obligación del responsable del fichero de adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural, estableciéndose en el articulo 43.3.h) que mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinan constituye infracción grave en los términos previstos en la propia Ley.

Sin embargo, la falta de desarrollo reglamentario ha impedido disponer de un marco de referencia para que los responsables promovieran las adecuadas medidas de seguridad y, en consecuencia, ha determinado la imposibilidad de hacer cumplir uno de los más importantes principios de la Ley Orgánica.

El presente Reglamento tiene por objeto el desarrollo de lo dispuesto en los artículos 9 y 43.3.h) de la Ley Orgánica 5/1992. El Reglamento determina las medidas de índole técnica , y organizativa que garanticen la confidencialidad e integridad de la información con la finalidad de preservar el honor, la intimidad personal y familiar y el pleno ejercicio de los derechos personales frente a su alteración, pérdida, tratamiento a acceso no autorizado.

Las medidas de seguridad que se establecen se configuran como las básicas de seguridad que han de cumplir todos los ficheros que contengan datos de carácter personal, sin perjuicio de establecer medidas especiales para aquellos ficheros que por la especial naturaleza de los datos que contienen o por las propias características de los mismos exigen un grado de protección mayor.

En su virtud, a propuesta de la Ministra de Justicia, de acuerdo con el Consejo de Estado, y previa deliberación del Consejo de Ministros en su reunión del día 11 de junio de 1999,

DISPONGO:

Artículo único. Aprobación del Reglamento.

Se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, cuyo texto se inserta a continuación.

Disposición final única. Entrada en vigor.

El presente Real Decreto entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

Dado en Madrid a 11 de junio de 1999.

JUAN CARLOS R.

la Ministra de Justicia

MARGARITA MARISCAL DE GANTE Y MIRÓN

 

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL

 

CAPÍTULO I

Disposiciones generales

Artículo 1. Ámbito de aplicación y fines.

El presente Reglamento tiene por objeto, establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetas al régimen de la Ley Orgánica 511992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.

Artículo 2. Definiciones.

A efectos de este Reglamento, se entenderá por:

Sistemas de información: conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.

Usuario: sujeto, o proceso autorizado para acceder a datos a recursos.

Recurso: cualquier parte componente de un sistema de información.

Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos.

Identificación: procedimiento de reconocimiento de la identidad de un usuario.

Autenticación: procedimiento de comprobación de la identidad de un usuario.

Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.

Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario.

lncidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

Soporte: objeto físico susceptible de se tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos.

Responsable de seguridad: Persona o personas a las que el responsable del fichero ha asignado for- malmente la función de coordinar y controlar las medidas de seguridad aplicables.

Copia del respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.

Artículo 3. Niveles de seguridad.

1.-las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto.

 2.- Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor a menor necesidad de garantizar la confidencialidad y la integridad de la información.

 Artículo 4. Aplicación de los niveles de seguridad.

1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas corno de nivel básico.

2.-Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija Por el artículo 28 de la Ley Orgánica 511992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.

3.-Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así corno los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alta.

4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 1 8, 1 9 y 20.

5. Cada uno de los niveles descritas anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales a reglamentarias especificas vigentes.

Artículo 5. Acceso a datos a través de redes de comunicaciones.

Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.

Artículo 6. Régimen de trabajo fuera de los locales de la ubicación del fichero..

La ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero y, en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.

Artículo 7. Ficheros Temporales.

Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente Reglamento.

Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación.

CAPITULO II

Medidas de seguridad a nivel básico.

Artículo 8. Documento de seguridad.

1 El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a datos automatizados de carácter personal y a los sistemas de información.

2. El documento deberá contener, como mínimo, los siguientes aspectos:  

Ambito de aplicación del documento con especificación detallada de los recursos protegidos.

Medidas, normas. procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.

Funciones y obligaciones del personal.

Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

Procedimiento de notificación, gestión y respuesta ante las incidencias.

Los procedimientos de realización de copias de respaldo y de recuperación de los datos.

3.-El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que cambios relevantes en el sistema de información o en la organización del mismo.

4. El contenido del documento deberá adecuarse, en todo momento a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Artículo 9. Funciones y obligaciones del personal

1.- Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas. de acuerdo con lo previsto en el artículo 8.2 c).

2.- El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Articulo 10. Registro de incidencias.

El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se haya producido, la persona que realiza la notificación , a quién se le comunica y los efectos que se hubieran derivado de la misma.

Artículo 11. Identificación y autenticación.

1.-El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.

2.- Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación distribución y almacenamiento que garantice su confidencialidad e integridad.

3.- las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.

Artículo 12. Control de acceso.

1.- Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.

2.- El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados.

3.- La relación de usuarios a la que se refiere el artículo 11. 1 de este Reglamento contendrá el acceso autorizado para cada uno de ellos

4.-Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero.

Articulo 13. Gestión de soportes.

1. Los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad.

2.- La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicado el fichero, únicamente podrá ser autorizada por el responsable del fichero.

Artículo l4. Copias de respaldo y recuperación.

1.- El responsable de fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

2.- Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

3.-Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

CAPÍTULO III

Medidas de seguridad de nivel medio.

Artículo 15. Documento de seguridad.

El documento de seguridad deberá contener, además de lo dispuesto en el artículo 8 de presente Reglamento, la identificación del responsable o responsables de seguridad, los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento y las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado.

Articulo 16. Responsable de seguridad.

El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento.

Artículo 17. Auditoría.

1.- Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.

2.- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.

3.- Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos.

Artículo 18. Identificación y autenticación.

1.- El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequívoca y personalizado de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

2.- Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

Artículo 19. Control de acceso físico.

Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal.

Artículo 20. Gestión de soportes.

1.-Deberá establecerse un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.

2.- Igualmente, se dispondrá de un sistema de registro de salida de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen , la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.

3.- Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario.

 4. Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos.

Artículo 21 Registro de incidencias.

1.- En el registro regulado en el artículo 10 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

2.- Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.

Artículo22. Pruebas con datos reales.

Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado.

CAPÍTULO IV

Medidas de seguridad de nivel alto

Artículo 23 Distribución de soportes.

La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

Artículo 24. Registro de accesos.

1.- De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

2.-En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

3.-Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo al control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.

4.- El período mínimo de conservación de los datos Registrados será de dos años.

5.- El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.

Arlícuio25. Copias de respaldo y recuperación.

Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.

Artículo 26. Telecomunicaciones.

La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

CAPÍTULO V

Infracciones y sanciones

Artículo27. Infracciones y sanciones.

1.- El incumplimiento de las medidas de seguridad descritas en el presente Reglamento será sancionado de acuerdo con lo establecido en los artículos 43 y 44 de la Ley Orgánica 51 1 992. cuando se trate de ficheros de titularidad privada.

El procedimiento a seguir para la imposición de la sanción a la que se refiere el párrafo anterior será el establecido en el Real Decreto 133211994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/ 1 992. de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.

2.- Cuando se trate de ficheros de los que sean responsables las Administraciones públicas se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artículo 45 de la Ley Orgánica 511992.

Artículo 28. Responsables.

Los responsables de los ficheros, sujetos al régimen sancionador de la ley Orgánica 5/1992, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal en los términos establecidos en el presente Reglamento.

CAPÍTULO VI

Competencias del Director de la Agencia de Protección de Datos

Artículo 29. Competencias del Director de la Agencia de Protección de Datos.

El Director de la Agencia de Protección de Datos podrá, de conformidad con lo establecido en el artículo 36 de la Ley Orgánica 511992:

1.- Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica 5/ 1992.

2.-Ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de los ficheros cuando no se cumplan las medidas de seguridad previstas en el presente Reglamento.

Disposición transitoria única. Plazos de implantación de las medidas.En el caso de sistemas de información que se encuentren en funcionamiento a la entrada en vigor del presente Reglamento, las medidas de seguridad de nivel básico previstas en el presente Reglamento deberán implantarse en el plazo de seis meses desde su entrada en vigor, las de nivel media en el plazo de un año y las de nivel alto en el plazo de dos años.

Cuando los sistemas de información que se encuentren en funcionamiento no permitan tecnológicamente la implantación de alguna de las medidas de seguridad previstas en el presente Reglamento, la adecuación de dichos sistemas y la implantación de las medidas de seguridad deberán realizarse en el plazo máximo de tres años a contar desde la entrada en vigor del presente Reglamento.

Indice

volver al congreso



Pulse para ver el Certificado de Web de Interes Sanitario

Web de Interes Sanitario

RED MEDYNET HONcode SIICSALUD Acreditacion SEAFORMEC