Art韈ulo 1 Ambito de aplicaci髇 y fines

El presente Reglamento tiene por objeto establecer las medidas de 韓dole t閏nica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de car醕ter personal sujetos al r間imen de la Ley Org醤ica 5/1992, de 29 de octubre, de Regulaci髇 del Tratamiento Automatizado de los Datos de Car醕ter Personal.

Art韈ulo 2 Definiciones

A efectos de este Reglamento, se entender� por:

• 1. Sistemas de informaci髇: conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de car醕ter personal.
• 2. Usuario: sujeto o proceso autorizado para acceder a datos o recursos.
• 3. Recurso: cualquier parte componente de un sistema de informaci髇.
• 4. Accesos autorizados: autorizaciones concedidas a un usuario para la utilizaci髇 de los diversos recursos.
• 5. Identificaci髇: procedimiento de reconocimiento de la identidad de un usuario.
• 6. Autenticaci髇: procedimiento de comprobaci髇 de la identidad de un usuario.
• 7. Control de acceso: mecanismo que en funci髇 de la identificaci髇 ya autenticada permite acceder a datos o recursos.
• 8. Contrase馻: informaci髇 confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticaci髇 de un usuario.
• 9. Incidencia: cualquier anomal韆 que afecte o pudiera afectar a la seguridad de los datos.
• 10. Soporte: objeto f韘ico susceptible de ser tratado en un sistema de informaci髇 y sobre el cual se pueden grabar o recuperar datos.
• 11. Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la funci髇 de coordinar y controlar las medidas de seguridad aplicables.
• 12. Copia del respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperaci髇.

Art韈ulo 3 Niveles de seguridad

1. Las medidas de seguridad exigibles se clasifican en tres niveles: b醩ico, medio y alto.

2. Dichos niveles se establecen atendiendo a la naturaleza de la informaci髇 tratada, en relaci髇 con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la informaci髇.

Art韈ulo 4 Aplicaci髇 de los niveles de seguridad

1. Todos los ficheros que contengan datos de car醕ter personal deber醤 adoptar las medidas de seguridad calificadas como de nivel b醩ico.

2. Los ficheros que contengan datos relativos a la comisi髇 de infracciones administrativas o penales, Hacienda P鷅lica, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el art韈ulo 28 de la Ley Org醤ica 5/1992 , deber醤 reunir, adem醩 de las medidas de nivel b醩ico, las calificadas como de nivel medio.

3. Los ficheros que contengan datos de ideolog韆, religi髇, creencias, origen racial, salud o vida sexual as� como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deber醤 reunir, adem醩 de las medidas de nivel b醩ico y medio, las calificadas de nivel alto.

4. Cuando los ficheros contengan un conjunto de datos de car醕ter personal suficientes que permitan obtener una evaluaci髇 de la personalidad del individuo deber醤 garantizar las medidas de nivel medio establecidas en los art韈ulos 17, 18, 19 y 20.

5. Cada uno de los niveles descritos anteriormente tienen la condici髇 de m韓imos exigibles, sin perjuicio de las disposiciones legales o reglamentarias espec韋icas vigentes.

Art韈ulo 5 Acceso a datos a trav閟 de redes de comunicaciones

Las medidas de seguridad exigibles a los accesos a datos de car醕ter personal a trav閟 de redes de comunicaciones deber醤 garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.

Art韈ulo 6 R間imen de trabajo fuera de los locales de la ubicaci髇 del fichero

La ejecuci髇 de tratamiento de datos de car醕ter personal fuera de los locales de la ubicaci髇 del fichero deber� ser autorizada expresamente por el responsable del fichero y, en todo caso, deber� garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.

Art韈ulo 7 Ficheros temporales

1. Los ficheros temporales deber醤 cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente Reglamento.

2. Todo fichero temporal ser� borrado una vez que haya dejado de ser necesario para los fines que motivaron su creaci髇.

Art韈ulo 8 Documento de seguridad

1. El responsable del fichero elaborar� e implantar� la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de car醕ter personal y a los sistemas de informaci髇.

2. El documento deber� contener, como m韓imo, los siguientes aspectos:

• a) Ambito de aplicaci髇 del documento con especificaci髇 detallada de los recursos protegidos.
• b) Medidas, normas, procedimientos, reglas y est醤dares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
• c) Funciones y obligaciones del personal.
• d) Estructura de los ficheros con datos de car醕ter personal y descripci髇 de los sistemas de informaci髇 que los tratan.
• e) Procedimiento de notificaci髇, gesti髇 y respuesta ante las incidencias.
• f) Los procedimientos de realizaci髇 de copias de respaldo y de recuperaci髇 de los datos.

3. El documento deber� mantenerse en todo momento actualizado y deber� ser revisado siempre que se produzcan cambios relevantes en el sistema de informaci髇 o en la organizaci髇 del mismo.

4. El contenido del documento deber� adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de car醕ter personal.

Art韈ulo 9 Funciones y obligaciones del personal

1. Las funciones y obligaciones de cada una de las personas con acceso a los datos de car醕ter personal y a los sistemas de informaci髇 estar醤 claramente definidas y documentadas, de acuerdo con lo previsto en el art韈ulo 8.2.c).

2. El responsable del fichero adoptar� las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones as� como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Art韈ulo 10 Registro de incidencias

El procedimiento de notificaci髇 y gesti髇 de incidencias contendr� necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificaci髇, a qui閚 se le comunica y los efectos que se hubieran derivado de la misma.

Art韈ulo 11 Identificaci髇 y autenticaci髇

1. El responsable del fichero se encargar� de que exista una relaci髇 actualizada de usuarios que tengan acceso autorizado al sistema de informaci髇 y de establecer procedimientos de identificaci髇 y autenticaci髇 para dicho acceso.

2. Cuando el mecanismo de autenticaci髇 se base en la existencia de contrase馻s existir� un procedimiento de asignaci髇, distribuci髇 y almacenamiento que garantice su confidencialidad e integridad.

3. Las contrase馻s se cambiar醤 con la periodicidad que se determine en el documento de seguridad y mientras est閚 vigentes se almacenar醤 de forma ininteligible.

Art韈ulo 12 Control de acceso

1. Los usuarios tendr醤 acceso autorizado 鷑icamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.

2. El responsable del fichero establecer� mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados.

3. La relaci髇 de usuarios a la que se refiere el art韈ulo 11.1 de este Reglamento contendr� el acceso autorizado para cada uno de ellos.

4. Exclusivamente el personal autorizado para ello en el documento de seguridad podr� conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero.

Art韈ulo 13 Gesti髇 de soportes

1. Los soportes inform醫icos que contengan datos de car醕ter personal deber醤 permitir identificar el tipo de informaci髇 que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad.

2. La salida de soportes inform醫icos que contengan datos de car醕ter personal, fuera de los locales en los que est� ubicado el fichero, 鷑icamente podr� ser autorizada por el responsable del fichero.

Art韈ulo 14 Copias de respaldo y recuperaci髇

1. El responsable de fichero se encargar� de verificar la definici髇 y correcta aplicaci髇 de los procedimientos de realizaci髇 de copias de respaldo y de recuperaci髇 de los datos.

2. Los procedimientos establecidos para la realizaci髇 de copias de respaldo y para la recuperaci髇 de los datos deber� garantizar su reconstrucci髇 en el estado en que se encontraban al tiempo de producirse la p閞dida o destrucci髇.

3. Deber醤 realizarse copias de respaldo, al menos semanalmente, salvo que en dicho per韔do no se hubiera producido ninguna actualizaci髇 de los datos.

Art韈ulo 15 Documento de seguridad

El documento de seguridad deber� contener, adem醩 de lo dispuesto en el art韈ulo 8 del presente Reglamento, la identificaci髇 del responsable o responsables de seguridad, los controles peri骴icos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento y las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado.

Art韈ulo 16 Responsable de seguridad

El responsable del fichero designar� uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ning鷑 caso esta designaci髇 supone una delegaci髇 de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento.

Art韈ulo 17 Auditor韆

1. Los sistemas de informaci髇 e instalaciones de tratamiento de datos se someter醤 a una auditor韆 interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos a駉s.

2. El informe de auditor韆 deber� dictaminar sobre la adecuaci髇 de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deber�, igualmente, incluir los datos, hechos y observaciones en que se basen los dict醡enes alcanzados y recomendaciones propuestas.

3. Los informes de auditor韆 ser醤 analizados por el responsable de seguridad competente, que elevar� las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedar醤 a disposici髇 de la Agencia de Protecci髇 de Datos.

Art韈ulo 18 Identificaci髇 y autenticaci髇

1. El responsable del fichero establecer� un mecanismo que permita la identificaci髇 de forma inequ韛oca y personalizada de todo aquel usuario que intente acceder al sistema de informaci髇 y la verificaci髇 de que est� autorizado.

2. Se limitar� la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informaci髇.

Art韈ulo 19 Control de acceso f韘ico

Exclusivamente el personal autorizado en el documento de seguridad podr� tener acceso a los locales donde se encuentren ubicados los sistemas de informaci髇 con datos de car醕ter personal.

Art韈ulo 20 Gesti髇 de soportes

1. Deber� establecerse un sistema de registro de entrada de soportes inform醫icos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el n鷐ero de soportes, el tipo de informaci髇 que contienen, la forma de env韔 y la persona responsable de la recepci髇 que deber� estar debidamente autorizada.

2. Igualmente, se dispondr� de un sistema de registro de salida de soportes inform醫icos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el n鷐ero de soportes, el tipo de informaci髇 que contienen, la forma de env韔 y la persona responsable de la entrega que deber� estar debidamente autorizada.

3. Cuando un soporte vaya a ser desechado o reutilizado, se adoptar醤 las medidas necesarias para impedir cualquier recuperaci髇 posterior de la informaci髇 almacenada en 閘, previamente a que se proceda a su baja en el inventario.

4. Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptar醤 las medidas necesarias para impedir cualquier recuperaci髇 indebida de la informaci髇 almacenada en ellos.

Art韈ulo 21 Registro de incidencias

1. En el registro regulado en el art韈ulo 10 deber醤 consignarse, adem醩, los procedimientos realizados de recuperaci髇 de los datos, indicando la persona que ejecut� el proceso, los datos restaurados y, en su caso, qu� datos ha sido necesario grabar manualmente en el proceso de recuperaci髇.

2. Ser� necesaria la autorizaci髇 por escrito del responsable del fichero para la ejecuci髇 de los procedimientos de recuperaci髇 de los datos.

Art韈ulo 22 Pruebas con datos reales

Las pruebas anteriores a la implantaci髇 o modificaci髇 de los sistemas de informaci髇 que traten ficheros con datos de car醕ter personal no se realizar醤 con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado.

Art韈ulo 23 Distribuci髇 de soportes

La distribuci髇 de los soportes que contengan datos de car醕ter personal se realizar� cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha informaci髇 no sea inteligible ni manipulada durante su transporte.

Art韈ulo 24 Registro de accesos

1. De cada acceso se guardar醤, como m韓imo, la identificaci髇 del usuario, la fecha y hora en que se realiz�, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, ser� preciso guardar la informaci髇 que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de los datos detallados en los p醨rafos anteriores estar醤 bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ning鷑 caso, la desactivaci髇 de los mismos.

4. El per韔do m韓imo de conservaci髇 de los datos registrados ser� de dos a駉s.

5. El responsable de seguridad competente se encargar� de revisar peri骴icamente la informaci髇 de control registrada y elaborar� un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.

Art韈ulo 25 Copias de respaldo y recuperaci髇

Deber� conservarse una copia de respaldo y de los procedimientos de recuperaci髇 de los datos en un lugar diferente de aqu閘 en que se encuentren los equipos inform醫icos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.

Art韈ulo 26 Telecomunicaciones

La transmisi髇 de datos de car醕ter personal a trav閟 de redes de telecomunicaciones se realizar� cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informaci髇 no sea inteligible ni manipulada por terceros.

Art韈ulo 27 Infracciones y sanciones

1. El incumplimiento de las medidas de seguridad descritas en el presente Reglamento ser� sancionado de acuerdo con lo establecido en los art韈ulos 43 y 44 de la Ley Org醤ica 5/1992 , cuando se trate de ficheros de titularidad privada.

El procedimiento a seguir para la imposici髇 de la sanci髇 a la que se refiere el p醨rafo anterior ser� el establecido en el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Org醤ica 5/1992, de 29 de octubre, de Regulaci髇 del Tratamiento Automatizado de los Datos de Car醕ter Personal.

2. Cuando se trate de ficheros de los que sean responsables las Administraciones p鷅licas se estar�, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el art韈ulo 45 de la Ley Org醤ica 5/1992 .

Art韈ulo 28 Responsables

Los responsables de los ficheros, sujetos al r間imen sancionador de la Ley Org醤ica 5/1992 , deber醤 adoptar las medidas de 韓dole t閏nica y organizativas necesarias que garanticen la seguridad de los datos de car醕ter personal en los t閞minos establecidos en el presente Reglamento.

Art韈ulo 29 Competencias del Director de la Agencia de Protecci髇 de Datos

El Director de la Agencia de Protecci髇 de Datos podr�, de conformidad con lo establecido en el art韈ulo 36 de la Ley Org醤ica 5/1992 :

• 1. Dictar, en su caso y sin perjuicio de las competencias de otros 髍ganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Org醤ica 5/1992 .
• 2. Ordenar la cesaci髇 de los tratamientos de datos de car醕ter personal y la cancelaci髇 de los ficheros cuando no se cumplan las medidas de seguridad previstas en el presente Reglamento.

Disposici髇 transitoria 鷑ica Plazos de implantaci髇 de las medidas

En el caso de sistemas de informaci髇 que se encuentren en funcionamiento a la entrada en vigor del presente Reglamento, las medidas de seguridad de nivel b醩ico previstas en el presente Reglamento deber醤 implantarse en el plazo de seis meses desde su entrada en vigor, las de nivel medio en el plazo de un a駉 y las de nivel alto en el plazo de dos a駉s.

Cuando los sistemas de informaci髇 que se encuentren en funcionamiento no permitan tecnol骻icamente la implantaci髇 de alguna de las medidas de seguridad previstas en el presente Reglamento, la adecuaci髇 de dichos sistemas y la implantaci髇 de las medidas de seguridad deber醤 realizarse en el plazo m醲imo de tres a駉s a contar desde la entrada en vigor del presente Reglamento.

V閍se Res. 22 junio 2001, de la Subsecretar韆, por la que se dispone la publicaci髇 del Acuerdo de Consejo de Ministros por el que se concreta el plazo para la implantaci髇 de medidas de seguridad de nivel alto en determinados sistemas de informaci髇 (獴.O.E.� 25 junio).