HFD> Protección
de Datos Personales > Legislación, Documentos y
Proyectos Extranjeros
REAL DECRETO 994 DEl 11 DE
JUNIO de 1999 - REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS
FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER
PERSONAL
(BOE NÚM. 151, 25-6-1999)
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1.Ámbito
de aplicación y fines.
El presente Reglamento tiene por objeto establecer
las medidas de índole técnica y organizativas
necesarias para garantizar la seguridad que deben reunir los
ficheros automatizados, los centros de tratamiento, locales,
equipos, sistemas, programas y las personas que intervengan
en el tratamiento automatizado de los datos de carácter
personal sujetos al régimen de la Ley Orgánica
5/1992, de 29 de octubre, de Regulación del Tratamiento
Automatizado de los Datos de carácter personal.
Artículo 2. Definiciones.
A efectos de este Reglamento, se entenderá
por:
1.- Sistema de información: Conjunto
de ficheros automatizados, programas, soportes y equipos empleados
para el almacenamiento y tratamiento de datos de carácter
personal.
2.- Usuario: Sujeto o proceso autorizado
para acceder a datos o recursos.
3.- Recurso: Cualquier parte componente de
un sistema de información.
4.- Accesos autorizados: Autorizaciones concedidas
a un usuario para la utilización de los diversos recursos.
5.- Identificación: Procedimiento
de reconocimiento de la identidad de un usuario.
6.- Autenticación: Procedimiento de
comprobación de la identidad de un usuario.
7.- Control del acceso: Mecanismo que en
función a la identificación ya autenticada permite
acceder a datos o recursos.
8.- Contraseña: Información
confidencial, frecuentemente constituida por una cadena de
caracteres, que puede ser usada en la autenticación
de un usuario.
9.- Incidencia: Cualquier anomalía
que afecte o pudiera afectar a la seguridad de los datos.
10.- Soporte: Objeto físico susceptible
de ser tratado en un sistema de información y sobre
el cual se pueden grabar o recuperar datos.
11.- Responsable de seguridad: Persona o
personas a las que el responsable del fichero ha asignado
formalmente la función de coordinar y controlar las
medidas de seguridad aplicables.
12.- Copia de respaldo: Copia de los datos
de un fichero automatizado en un soporte que posibilite su
recuperación.
Artículo 3. Niveles
de seguridad.
1.- Las medidas de seguridad exigibles se
clasifican en tres niveles: básico, medio y alto.
2.- Dichos niveles se establecen atendiendo
a la naturaleza de la información tratada, en relación
con la mayor o menor necesidad de garantizar la confidencialidad
y la integridad de la información.
Artículo 4. Aplicación
de los niveles de seguridad.
1.- Todos los ficheros que contengan datos
de carácter personal deberán adoptar las medidas
de seguridad calificadas como de nivel básico.
2.- Los ficheros que contengan datos relativos
a la comisión de infracciones administrativas o penales,
Hacienda Pública, servicios financieros y aquellos
ficheros cuyo funcionamiento se rija por el articulo 28 de
la Ley Orgánica 5/1992, deberán reunir, además
de las medidas de nivel básico, las calificadas como
de nivel medio.
3.- Los ficheros que contengan datos de ideología,
religión, creencias, origen racial, salud o vida sexual
así como los que contengan datos recabados para fines
policiales sin consentimiento de las personas afectadas deberán
reunir, además de las medidas de nivel básico
y medio, las calificadas como de nivel alto.
4.- Cuando los ficheros contengan un conjunto
de datos de carácter personal suficientes que permitan
obtener una evaluación de la personalidad del individuo
deberán garantizar las medidas de nivel medio establecidas
en los artículos 17, 18, 19 y 20.
5.- Cada uno de los niveles descritos anteriormente
tienen la condición de mínimos exigibles, sin
perjuicio de las disposiciones legales o reglamentarias específicas
vigentes.
Artículo 5. Acceso
a datos a través de redes de comunicaciones.
Las medidas de seguridad exigibles a los
accesos a datos de carácter personal a través
de redes de comunicaciones deberán garantizar un nivel
de seguridad equivalente al correspondiente a los accesos
en modo local.
Artículo 6. Régimen
de trabajo fuera de los locales de la ubicación del
fichero.
La ejecución de tratamiento de datos
de carácter personal fuera de los locales de la ubicación
del fichero deberá ser autorizada expresamente por
el responsable del fichero y, en todo caso, deberá
garantizarse el nivel de seguridad correspondiente al tipo
de fichero tratado.
Artículo 7. Ficheros
temporales.
1.- Los ficheros temporales deberán
cumplir el nivel de seguridad que les corresponda con arreglo
a los criterios establecidos en el presente Reglamento.
2.- Todo fichero temporal será borrado
una vez que haya dejado de ser necesario para los fines que
motivaron su creación.
CAPÍTULO II
MEDIDAS DE SEGURIDAD DE
NIVEL BÁSICO
Artículo 8. Documento
de seguridad.
1.- El responsable del fichero elaborará
e implantará la normativa de seguridad mediante un
documento de obligado cumplimiento para el personal con acceso
a los datos automatizados de carácter personal y a
los sistemas de información.
2.- El documento deberá contener,
como mínimo, los siguientes aspectos:
a.- Ámbito de aplicación del
documento con especificación detallada de los recursos
protegidos.
b.- Medidas, normas, procedimientos, reglas
y estándares encaminados a garantizar el nivel de seguridad
exigido en este Reglamento.
c.- Funciones y obligaciones del personal.
d.- Estructura de los ficheros con datos
de carácter personal y descripción de los sistemas
de información que los tratan.
e.- Procedimiento de notificación,
gestión y respuesta ante las incidencias.
f.- Los procedimientos de realización
de copias de respaldo y de recuperación de los datos.
3.- El documento deberá mantenerse
en todo momento actualizado y deberá ser revisado siempre
que se produzcan cambios relevantes en el sistema de información
o en la organización del mismo.
4.- El contenido del documento deberá
adecuarse, en todo momento, a las disposiciones vigentes en
materia de seguridad de los datos de carácter personal.
Artículo 9. Funciones
y obligaciones del personal.
1.- Las funciones y obligaciones de cada
una de las personas con acceso a los datos de carácter
personal y a los sistemas de información estarán
claramente definidas y documentadas, de acuerdo con lo previsto
en el artículo 8.2.c)
2.- El responsable del fichero adoptará
las medidas necesarias para que el personal conozca las normas
de seguridad que afecten al desarrollo de sus funciones así
como las consecuencias en que pudiera incurrir en caso de
incumplimiento.
Artículo 10. Registro
de incidencias.
El procedimiento de notificación y
gestión de incidencias contendrá necesariamente
un registro en el que se haga constar el tipo de incidencia,
el momento en que se ha producido, la persona que realiza
la notificación, a quién se le comunica y los
efectos que se hubieran derivado de la misma.
Artículo 11. Identificación
y autenticación.
1.- El responsable del fichero se encargará
de que exista una relación actualizada de usuarios
que tengan acceso autorizado al sistema de información
y de establecer procedimientos de identificación y
autenticación para dicho acceso.
2.- Cuando el mecanismo de autenticación
se base en la existencia de contraseñas existirá
un procedimiento de asignación, distribución
y almacenamiento que garantice su confidencialidad e integridad.
3.- Las contraseñas se cambiarán
con la periodicidad que se determine en el documento de seguridad
y mientras estén vigentes se almacenarán de
forma ininteligible.
Artículo 12. Control
de acceso.
1.- Los usuarios tendrán acceso autorizado
únicamente a aquellos datos y recursos que precisen
para el desarrollo de sus funciones.
2.- El responsable del fichero establecerá
mecanismos para evitar que un usuario pueda acceder a datos
o recursos con derechos distintos de los autorizados.
3.- La relación de usuarios a la que
se refiere el artículo 11.1 de este Reglamento contendrá
el acceso autorizado para cada uno de ellos.
4.- Exclusivamente el personal autorizado
para ello en el documento de seguridad podrá conceder,
alterar o anular el acceso autorizado sobre los datos y recursos,
conforme a los criterios establecidos por el responsable del
fichero.
Artículo 13. Gestión
de soportes.
1.- Los soportes informáticos que
contengan datos de carácter personal deberán
permitir identificar el tipo de información que contienen,
ser inventariados y almacenarse en un lugar con acceso restringido
al personal autorizado para ello en el documento de seguridad.
2.- La salida de soportes informáticos
que contengan datos de carácter personal, fuera de
los locales en los que esté ubicado el fichero, únicamente
podrá ser autorizada, por el responsable del fichero.
Artículo 14.Copias
de respaldo y recuperación.
1.- El responsable de fichero se encargará
de verificar la definición y correcta aplicación
de los procedimientos de realización de copias de respaldo
y de recuperación de los datos.
2.- Los procedimientos establecidos para
la realización de copias de respaldo y para la recuperación
de los datos deberán garantizar su reconstrucción
en el estado en que se encontraban al tiempo de producirse
la pérdida o destrucción.
3.- Deberán realizarse copias de respaldo,
al menos semanalmente, salvo que en dicho periodo no se hubiera
producido ninguna actualización de los datos.
CAPÍTULO III
MEDIDAS DE SEGURIDAD DE
NIVEL MEDIO
Artículo 15. Documento
de seguridad.
El documento de seguridad deberá contener,
además de lo dispuesto en el artículo 8 del
presente Reglamento, la identificación del responsable
o responsables de seguridad, los controles periódicos
que se deban realizar para verificar el cumplimiento de lo
dispuesto en el propio documento y las medidas que sea necesario
adoptar cuando un soporte vaya a ser desechado o reutilizado.
Artículo 16. Responsable
de seguridad.
El responsable del fichero designará
uno o varios responsables de seguridad encargados de coordinar
y controlar las medidas definidas en el documento de seguridad.
En ningún caso esta designación supone una delegación
de la responsabilidad que corresponde al responsable del fichero
de acuerdo con este Reglamento.
Artículo 17. Auditoria.
1.- Los sistemas de información e
instalaciones de tratamiento de datos se someterán
a una auditoría interna o externa, que verifique el
cumplimiento del presente Reglamento, de los procedimientos
e instrucciones vigentes en materia de seguridad de datos,
al menos, cada dos años.
2.- El informe de auditoria deberá
dictaminar sobre la adecuación de las medidas y controles
al presente Reglamento, identificar sus deficiencias y proponer
las medidas correctoras o complementarias necesarias. Deberá,
igualmente, incluir los datos, hechos y observaciones en que
se basen los dictámenes alcanzados y recomendaciones
propuestas.
3.- Los informes de auditoría serán
analizados por el responsable de seguridad competente, que
elevará las conclusiones al responsable del fichero
para que adopte las medidas correctoras adecuadas y quedarán
a disposición de la Agencia de Protección de
Datos.
Artículo 18. Identificación
y autenticación.
1. El responsable del fichero establecerá
un mecanismo que permita la identificación de forma
inequívoca y personalizada de todo aquel usuario que
intente acceder al sistema de información y la verificación
de que está autorizado.
2. Se limitará la posibilidad de intentar
reiteradamente el acceso no autorizado al sistema de información.
Artículo 19. Control
de acceso físico.
Exclusivamente el personal autorizado en
el documento de seguridad podrá tener acceso a los
locales donde se encuentren ubicados los sistemas de información
con datos de carácter personal.
Artículo 20. Gestión
de soportes.
1.- Deberá establecerse un sistema
de registro de entrada de soportes informáticos que
permita, directa o indirectamente, conocer el tipo de soporte,
la fecha y hora, el emisor, el número de soportes,
el tipo de información que contienen, la forma de envío
y la persona responsable de la recepción que deberá
estar debidamente autorizada.
2.- Igualmente, se dispondrá de un
sistema de registro de salida de soportes informáticos
que permita, directa o indirectamente, conocer el tipo de
soporte, la fecha y hora, el destinatario, el número
de soportes, el tipo de información que contienen,
la forma de envío y la persona responsable de la entrega
que deberá estar debidamente autorizada.
3.- Cuando un soporte vaya a ser desechado
o reutilizado, se adoptarán las medidas necesarias
para impedir cualquier recuperación posterior de la
información almacenada en él, previamente a
que se proceda a su baja en el inventario.
4.- Cuando los soportes vayan a salir fuera
de los locales en que se encuentren ubicados los ficheros
como consecuencia de operaciones de mantenimiento, se adoptarán
las medidas necesarias para impedir cualquier recuperación
indebida de la información almacenada en ellos.
Artículo 21. Registro
de incidencias.
1.- En el registro regulado en el artículo
10 deberán consignarse, además, los procedimientos
realizados de recuperación de los datos, indicando
la persona que ejecutó el proceso, los datos restaurados
y en su caso, qué datos ha sido necesario grabar manualmente
en el proceso de recuperación.
2.- Será necesaria la autorización
por escrito del responsable del fichero para la ejecución
de los procedimientos de recuperación de los datos.
Artículo 22. Pruebas
con datos reales.
Las pruebas anteriores a la implantación
o modificación de los sistemas de información
que traten ficheros con datos de carácter personal
no se realizarán con datos reales, salvo que se asegure
el nivel de seguridad correspondiente al tipo de fichero tratado.
CAPÍTULO IV
MEDIDAS DE SEGURIDAD DE
NIVEL ALTO
Artículo 23. Distribución
de soportes.
La distribución de los soportes que
contengan datos de carácter personal se realizará
cifrando dichos datos o bien utilizando cualquier otro mecanismo
que garantice que dicha información no sea inteligible
ni manipulada durante su transporte.
Artículo 24.Registro
de accesos.
1.- De cada acceso se guardarán, como
mínimo, la identificación del usuario, la fecha
y hora en que se realizó, el fichero accedido, el tipo
de acceso y si ha sido autorizado o denegado.
2.- En el caso de que el acceso haya sido
autorizado, será preciso guardar la información
que permita identificar el registro accedido.
3.- Los mecanismos que permiten el registro
de los datos detallados en los párrafos anteriores
estarán bajo el control directo del responsable de
seguridad sin que se deba permitir, en ningún caso,
la desactivación de los mismos.
4.- El período mínimo de conservación
de los datos registrados será de dos años.
5.- El responsable de seguridad competente
se encargará de revisar periódicamente la información
de control registrada y elaborará un informe de las
revisiones realizadas y los problemas detectados al menos
una vez al mes.
Artículo 25. Copias
de respaldo y recuperación.
Deberá conservarse una copia de respaldo
y de los procedimientos de recuperación de los datos
en un lugar diferente de aquél en que se encuentren
los equipos informáticos que los tratan cumpliendo
en todo caso, las medidas de seguridad exigidas en este Reglamento.
Artículo 26. Telecomunicaciones.
La transmisión de datos de carácter
personal a través de redes de telecomunicaciones se
realizará cifrando dichos datos o bien utilizando cualquier
otro mecanismo que garantice que la información no
sea inteligible ni manipulada por terceros.
CAPÍTULO V
INFRACCIONES Y SANCIONES.
Artículo 27. Infracciones
y sanciones.
1.- El incumplimiento de las medidas de seguridad
descritas en el presente Reglamento será sancionado
de acuerdo con lo establecido en los artículos 43 y
44 de la Ley Orgánica 5/1992, cuando se trate de ficheros
de titularidad privada.
El procedimiento a seguir para la imposición
de la sanción a la que se refiere el párrafo
anterior será el establecido en el Real Decreto 1332/1994,
de 20 de junio, por el que se desarrollan determinados aspectos
de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación
del Tratamiento Automatizado de los Datos de Carácter
Personal.
2.- Cuando se trate de ficheros de los que
sean responsables las Administraciones Públicas se
estará, en cuanto al procedimiento y a las sanciones,
a lo dispuesto en el artículo 45 de la Ley Orgánica
5/1992.
Artículo 28. Responsables.
Los responsables de los ficheros, sujetos
al régimen sancionador de la Ley Orgánica 5/1992,
deberán adoptar las medidas de índole técnica
y organizativas necesarias que garanticen la seguridad de
los datos de carácter personal en los términos
establecidos en el presente Reglamento.
CAPÍTULO VI
COMPETENCIAS DEL DIRECTOR
DE LA AGENCIA DE PROTECCIÓN DE DATOS
Artículo 29.Competencias
del Director de la Agencia de Protección de Datos.
El Director de la Agencia de Protección
de Datos podrá, de conformidad con lo establecido en
el artículo 36 de la Ley Orgánica 5/1992:
1.- Dictar, en su caso y sin perjuicio de
las competencias de otros órganos, las instrucciones
precisas para adecuar los tratamientos automatizados a los
principios de la Ley Orgánica 5/1992.
2.- Ordenar la cesación de los tratamientos
de datos de carácter personal y la cancelación
de los ficheros cuando no se cumplan las medidas de seguridad
previstas en el presente Reglamento.
DISPOSICIÓN TRANSITORIA
ÚNICA
PLAZOS DE IMPLANTACIÓN
DE LAS MEDIDAS
En el caso de sistemas de información
que se encuentren en funcionamiento a la entrada en vigor
del presente Reglamento, las medidas de seguridad de nivel
básico previstas en el presente Reglamento deberán
implantarse en el plazo de seis meses desde su entrada en
vigor, las de nivel medio en el plazo de un año y las
de nivel alto en el plazo de dos años.
Cuando los sistemas de información
que se encuentren en funcionamiento no permitan tecnológicamente
la implantación de alguna de las medidas de seguridad
previstas en el presente Reglamento, la adecuación
de dichos sistemas y la implantación de las medidas
de seguridad deberán realizarse en el plazo máximo
de tres años a contar desde la entrada en vigor del
presente Reglamento.
|
