Real Decreto 994/1999, do 11 de xuño

DERROGADO por Real Decreto 1720/2007, de 21 de decembro.

Real Decreto 994/1999, do 11 de xuño, polo que se aproba o Regulamento de Medidas de Seguridade dos ficheiros automatizados que conteñan datos de carácter persoal. ^{[1] [2]}

O artigo 18.4 da Constitución Española establece que «a lei limitará o uso da informática para que se garanta o honor e maila intimidade persoal e familiar dos cidadáns e o pleno exercicio dos seus dereitos».

A Lei Orgánica 5/1992, do 29 de outubro, de Regulación do Tratamento Automatizado de Datos de carácter persoal, prevé no seu artigo 9, a obligación do responsable do ficheiro de adopta-las medidas de índole técnica e organizativas que garanticen a seguridade dos datos de carácter persoal e eviten a súa alteración, perda, tratamento ou acceso non autorizado, tendo en conta o estado da tecnoloxía, a natureza dos datos almacenados e os riscos a que estén expostos, xa proveñan da acción humana ou do medio físico ou natural, establecéndose no artigo 43.3.h) ^[3] que mante-los ficheros, locais, programas ou equipos que conteñan datos de carácter persoal sen as debidas condicións de seguridade que por vía regulamentaria se determinen constitue infracción grave nos términos previstos na propia Lei.

Non embargante, a falta de desarroio regulamentario impediu dispoñer dun marco de referencia para que os responsables promoveran as adecuadas medidas de seguridade e, en consencuencia, determinou a imposibilidade de facer cumplir un dos máis importantes principios da Lei Orgánica.

O presente Regulamento ten por obxecto o desarroio do disposto nos artigos 9 e 43.3.h) da Lei Orgánica 5/1992. O Regulamento determina as medidas de índole técnica e organizativa que garanticen a confidencialidade e integridade da información coa finalidade de preserva-lo honor, a intimidade persoal e familiar e o pleno exercicio dos dereitos persoais fronte a súa alteración, perda, tratamento ou acceso non autorizado.

As medidas de seguridade que se establecen configúranse como as básicas de seguridade que han de cumprir tódolos ficheiros que conteñan datos de carácter persoal, sen perxuízo de establecer medidas especiais para aqueles ficheiros que pola especial natureza dos datos que conteñen ou polas propias características dos mesmos exixen un grao de protección maior.

Na súa virtude, a proposta da Ministra de Xustiza, de acordo co Consello de Estado, e previa deliberación do Consello de Ministros na súa reunión do día 11 de xuño de 1999,

DISPOÑO:

Artigo único. Aprobación do Regulamento

Apróbase o Regulamento de medidas de seguridade dos ficheiros automatizados que conteñan datos de carácter persoal, o texto do cal se inserta a continuación.

Disposición final única. Entrada en vigor

O presente Real Decreto entrará en vigor o día seguinte o da súa publicación no «Boletín Oficial del Estado».

Dado en Madrid a 11 de xuño de 1999.

JUAN CARLOS R.

A Ministra de Xustiza,

MARGARITA MARISCAL DE GANTE Y MIRÓN

Regulamento de medidas de seguridade dos ficheiros automatizados que conteñan datos de carácter persoal[editar]

CAPÍTULO I: Disposicións xerais[editar]

Artigo 1 Ámbito de aplicación e fins

O presente Regulamento ten por obxecto establece-las medidas de índole técnica e organizativa necesarias para garanti-la seguridade que deben reuni-los ficheiros automatizados, os centros de tratamento, locais, equipos, sistemas, programas e as personas que interveñan no tratamento automatizado dos datos de carácter persoal suxeitos ó réxime da Lei Orgánica 5/1992, do 29 de outubro, de Regulación do Tratamento Automatizado dos Datos de Carácter Persoal.

Artigo 2 Definicións

A efectos deste Regulamento, entenderáse por:

1. Sistemas de información: conxunto de ficheiros automatizados, programas, soportes e equipos empregados para o almacenamento e tratamento de datos de carácter persoal.

2. Usuario: suxeito ou proceso autorizado para acceder a datos ou recursos.

3. Recurso: calquera parte compoñente dun sistema de información.

4. Accesos autorizados: autorizacións concedidas a un usuario para a utilización dos diversos recursos.

5. Identificación: procedemento de recoñecemento da identidade dun usuario.

6. Autenticación: procedemento de comprobación da identidade dun usuario.

7. Control de acceso: mecanismo que en función da identificación xa autenticada permite acceder a datos ou recursos.

8. Contrasinal: información confidencial, frecuentemente constituida por unha cadea de caracteres, que pode ser empregada na autenticación dun usuario.

9. Incidencia: calquera anomalía que afecte ou poidese afectar á seguridade dos datos.

10. Soporte: obxecto físico susceptible de ser tratado nun sistema de información e sobre o cal se poden grabar ou recuperar datos.

11. Responsable de seguridade: persoa ou persoas ás que o responsable do ficheiro asignou formalmente a función de coordinar e controla-las medidas de seguridade aplicables.

12. Copia de respaldo: copia dos datos dun ficheiro automatizado nun soporte que posibilite a súa recuperación.

Artigo 3 Niveis de seguridade

1. As medidas de seguridade esixibles clasifícanse en tres niveis: básico, medio e alto.

2. Ditos niveis establécense atendendo á natureza da información tratada, en relación coa maior ou menor necesidade de garanti-la confidencialidade e a integridade da información.

Artigo 4 Aplicación dos niveis de seguridade

1. Tódolos ficheiros que conteñan datos de carácter persoal deberán adopta-las medidas de seguridade calificadas como de nivel básico.

2. Os ficheiros que conteñan datos relativos á comisión de infraccións administrativas ou penais, Facenda Pública, servizos financeiros e aqueles ficheiros o funcionamento dos cales se rixa polo artigo 28 da Lei Orgánica 5/1992, ^[4] deberán reunir, ademáis das medidas de nivel básico, as calificadas como de nivel medio.

3. Os ficheiros que conteñan datos de ideoloxía, relixión, crenzas, orixe racial, saúde ou vida sexual así como os que conteñan datos recadados para fins policiais sen consentimento das personas afectadas deberán reunir, ademáis das medidas de nivel básico e medio, as calificadas de nivel alto.

4. Cando os ficheiros conteñan un conxunto de datos de carácter persoal suficientes que permitan obter unha evaluación da personalidade do individuo deberán garanti-las medidas de nivel medio establecidas nos artigos 17, 18, 19 e 20.

5. Cada un dos niveis descritos anteriormente teñen a condición de mínimos exixibles, sen prexuízo das disposicións legais ou regulamentarias específicas vixentes.

Artigo 5 Acceso a datos a través de redes de comunicacións

As medidas de seguridade esixibles ós accesos a datos de carácter persoal a través de redes de comunicacións deberán garantizar un nivel de seguridade equivalente ó correspondente ós accesos en modo local.

Artigo 6 Réxime de traballo fóra dos locais da ubicación do ficheiro

A execución de tratamentos de datos de carácter persoal fóra dos locais da ubicación do ficheiro deberá ser autorizada expresamente polo responsable do ficheiro e, en todo caso, deberá garantizarse o nivel de seguridade correspondente ó tipo de ficheiro tratado.

Artigo 7 Ficheiros temporais

1. Os ficheiros temporais deberán cumpri-lo nivel de seguridade que lles corresponda con arreglo ós criterios establecidos no presente Regulamento.

2. Todo ficheiro temporal será borrado unha vez que deixe de ser necesario para os fins que motivaron a súa creación.

CAPÍTULO II: Medidas de seguridade de nivel básico[editar]

Artigo 8 Documento de seguridade

1. O responsable do ficheiro elaborará e implantará a normativa de seguridade mediante un documento de obrigado cumprimento para o persoal con acceso ós datos automatizados de carácter persoal e ós sistemas de información.

2. O documento deberá conter, como mínimo, os seguintes aspectos:

a) Ámbito de aplicación do documento con especificación detallada dos recursos protexidos.

b) Medidas, normas, procedementos, regras e estándares encamiñados a garantiza-lo nivel de seguridade esixido neste Regulamento.

c) Funcións e obrigacións do persoal.

d) Estructura dos ficheiros con datos de carácter persoal e descrición dos sistemas de información que os tratan.

e) Procedemento de notificación, xestión e resposta ante as incidencias.

f) Os procedementos de realización de copias de respaldo e de recuperación dos datos.

3. O documento deberá manterse en todo momento actualizado e deberá ser revisado sempre que se produzan cambios relevantes no sistema de información ou na organización do mesmo.

4. O contido do documento deberá adecuarse, en todo momento, ás disposicións vixentes en materia de seguridade dos datos de carácter persoal.

Artigo 9 Funcións e obrigacións do persoal

1. As funcións e obrigacións de cada unha das persoas con acceso ós datos de carácter persoal e ós sistemas de información estarán claramente definidas e documentadas, de acordo co previsto no artigo 8.2.c).

2. O responsable do ficheiro adoptará as medidas necesarias para que o persoal coñeza as normas de seguridade que afecten ó desenvolvemento das súas funcións así como as consecuencias en que puidese incorrer en caso de incumprimento.

Artigo 10 Rexistro de incidencias

O procedemento de notificación e xestión de incidencias conterá necesariamente un rexistro no que se faga consta-lo tipo de incidencia, o momento en que se produciu, a persoa que realiza a notificación, a quén se lle comunica e os efectos que derivasen da mesma.

Artigo 11 Identificación e autenticación

1. O responsable do ficheiro encargarase de que exista unha relación actualizada de usuarios que teñan acceso autorizado ó sistema de información e de establecer procedementos de identificación e autenticación para dito acceso.

2. Cando o mecanismo de autenticación se base na existencia de contrasinais existirá un procedemento de asignación, distribución e almacenamento que garantice a súa confidencialidade e integridade.

3. Os contrasinais cambiaranse coa periodicidade que se determine no documento de seguridade e mentras estén vixentes almacenaranse de forma inintelixible.

Artigo 12 Control de acceso

1. Os usuarios terán acceso autorizado únicamente a aqueles datos e recursos que precisen para o desenvolvemento das súas funcións.

2. O responsable do ficheiro establecerá mecanismos para evitar que un usuario poida acceder a datos ou recursos con dereitos distintos dos autorizados.

3. A relación de usuarios á que se refiere o artigo 11.1 deste Regulamento conterá o acceso autorizado para cada un deles.

4. Exclusivamente o persoal autorizado para iso no documento de seguridade poderá conceder, alterar ou anula-lo acceso autorizado sobre os datos e recursos, conforme ós criterios establecidos polo responsable do ficheiro.

Artigo 13 Xestión de soportes

1. Os soportes informáticos que conteñan datos de carácter persoal deberán permitir identifica-lo tipo de información que conteñen, ser inventariados e almacenarse nun lugar con acceso restrinxido ó persoal autorizado para iso no documento de seguridade.

2. A saída de soportes informáticos que conteñan datos de carácter persoal, fóra dos locais nos que esté ubicado o ficheiro, únicamente poderá ser autorizada polo responsable do ficheiro.

Artigo 14 Copias de respaldo e recuperación

1. O responsable do ficheiro encargarase de verifica-la definición e correcta aplicación dos procedementos de realización de copias de respaldo e de recuperación dos datos.

2. Os procedementos establecidos para a realización de copias de respaldo e para a recuperación dos datos deberán garanti-la súa reconstrucción no estado en que se atopaban ó tempo de producirse a pérda ou destrución.

3. Deberán realizarse copias de respaldo, polo menos semanalmente, salvo que en dito período non se producise ningunha actualización dos datos.

CAPÍTULO III: Medidas de seguridade de nivel medio[editar]

Artigo 15 Documento de seguridade

O documento de seguridade deberá conter, ademáis do disposto no artigo 8 do presente Regulamento, a identificación do responsable ou responsables de seguridade, os controis periódicos que se deban realizar para verifica-lo cumprimento do disposto no propio documento e as medidas que sexa necesario adoptar cando un soporte vaia ser desechado ou reutilizado.

Artigo 16 Responsable de seguridade

O responsable do ficheiro designará un ou varios responsables de seguridade encargados de coordinar e controla-las medidas definidas no documento de seguridade. En ningún caso esta designación supón unha delegación da responsabilidade que corresponde ó responsable do ficheiro de acordo con este Regulamento.

Artigo 17 Auditoría

1. Os sistemas de información e instalacións de tratamento de datos someteranse a unha auditoría interna ou externa, que verifique o cumprimento do presente Regulamento, dos procedementos e instruccións vixentes en materia de seguridade de datos, polo menos, cada dous anos.

2. O informe de auditoría deberá dictaminar sobre a adecuación das medidas e controis ó presente Regulamento, identifica-las súas deficencias e propoñe-las medidas correctoras ou complementarias necesarias.

Deberá, igualmente, inclui-los datos, feitos e observacións en que se basen os dictámenes alcanzados e recomendacións propostas.

3. Os informes de auditoría serán analizados polo responsable de seguridade competente, que elevará as conclusións ó responsable do ficheiro para que adote as medidas correctoras adecuadas e quedarán a disposición da Axencia de Protección de Datos.

Artigo 18 Identificación e autenticación

1. O responsable do ficheiro establecerá un mecanismo que permita a identificación de forma inequívoca e personalizada de todo aquel usuario que intente acceder ó sistema de información e a verificación de que está autorizado.

2. Limitarase a posibilidade de intentar reiteradamente o acceso non autorizado ó sistema de información.

Artigo 19 Control de acceso físico

Exclusivamente o persoal autorizado no documento de seguridade poderá ter acceso ós locais onde se atopen ubicados os sistemas de información con datos de carácter persoal.

Artigo 20 Xestión de soportes

1. Deberá establecerse un sistema de rexistro de entrada de soportes informáticos que permita, directa ou indirectamente, coñece-lo tipo de soporte, a data e hora, o emisor, o número de soportes, o tipo de información que conteñen, a forma de envío e a persoa responsable da recepción que deberá estar debidamente autorizada.

2. Igualmente, disporase dun sistema de rexistro de saída de soportes informáticos que permita, directa ou indirectamente, coñece-lo tipo de soporte, a data e hora, o destinatario, o número de soportes, o tipo de información que conteñen, a forma de envío e a persoa responsable da entrega que deberá estar debidamente autorizada.

3. Cando un soporte vaia ser desechado ou reutilizado, adoptaranse as medidas necesarias para impedir calquera recuperación posterior da información almacenada nel, previamente a que se proceda á súa baixa no inventario.

4. Cando os soportes vaian saír fóra dos locais en que se atopen ubicados os ficheiros como consecuencia de operacións de mantemento, adoptaranse as medidas necesarias para impedir calquera recuperación indebida da información almacenada neles.

Artigo 21 Rexistro de incidencias

1. No rexistro regulado no artigo 10 deberán consignarse, ademáis, os procedementos realizados de recuperación dos datos, indicando a persoa que executou o proceso, os datos restaurados e, no seu caso, qué datos foron necesarios grabar manualmente no proceso de recuperación.

2. Será necesaria a autorización por escrito do responsable do ficheiro para a execución dos procedementos de recuperación dos datos.

Artigo 22 Probas con datos reais

As probas anteriores á implantación ou modificación dos sistemas de información que traten ficheros con datos de carácter persoal non se realizarán con datos reais, salvo que se asegure o nivel de seguridade correspondente ó tipo de ficheiro tratado.

CAPÍTULO IV: Medidas de seguridade de nivel alto[editar]

Artigo 23 Distribución de soportes

A distribución dos soportes que conteñan datos de carácter persoal realizarase cifrando ditos datos ou ben empregando calquera outro mecanismo que garantice que dita información non sexa intelixible nin manipulada durante o seu transporte.

Artigo 24 Rexistro de accesos

1. De cada acceso se guardarán, como mínimo, a identificación do usuario, a data e hora en que se realizou, o ficheiro accedido, o tipo de acceso e se foi autorizado ou denegado.

2. No caso de que o acceso fose autorizado, será preciso garda-la información que permita identifica-lo rexistro accedido.

3. Os mecanismos que permiten o rexistro dos datos detallados nos parágrafos anteriores estarán baixo o control directo do responsable de seguridade competente sen que se deba permitir, en ningún caso, a desactivación dos mesmos.

4. O período mínimo de conservación dos datos rexistrados será de dous anos.

5. O responsable de seguridade competente encargarase de revisar periódicamente a información de control rexistrada e elaborará un informe das revisións realizadas e os problemas detectados polo menos unha vez ó mes.

Artigo 25 Copias de respaldo e recuperación

Deberá conservarse unha copia de respaldo e dos procedementos de recuperación dos datos nun lugar diferente de aquél en que se atopen os equipos informáticos que os tratan cumprindo en todo caso, as medidas de seguridade esixidas neste Regulamento.

Artigo 26 Telecomunicacións

A transmisión de datos de carácter persoal a través de redes de telecomunicacións realizarase cifrando ditos datos ou ben empregando calquera outro mecanismo que garantice que a información non sexa intelixible nin manipulada por terceiros.

CAPÍTULO V: Infaccións e sancións[editar]

Artigo 27 Infraccións e sancións

1. O incumprimento das medidas de seguridade descritas no presente Regulamento será sancionado de acordo co establecido nos artigos 43 e 44 da Lei Orgánica 5/1992, ^[5] cando se trate de ficheiros de titularidade privada.

O procedemento a seguir para a imposición da sanción á que se refiere o parágrafo anterior será o establecido no Real Decreto 1332/1994, do 20 de xuño, polo que se desenvolven determinados aspectos da Lei Orgánica 5/1992, do 29 de outubro, de Regulación do Tratamento Automatizado dos Datos de Carácter Persoal.

2. Cando se trate de ficheiros dos que sexan responsables as Administracións públicas estarase, en canto ó procedemento e ás sancións, no disposto no artigo 45 da Lei Orgánica 5/1992. ^[6]

Artigo 28 Responsables

Os responsables dos ficheiros, suxetos ó réxime sancionador da Lei Orgánica 5/1992, deberán adopta-las medidas de índole técnica e organizativas necesarias que garanticen a seguridade dos datos de carácter persoal nos termos establecidos no presente Regulamento.

CAPÍTULO VI: Competencias do Director da Axencia de Protección de Datos[editar]

Artigo 29 Competencias do Director da Axencia de Protección de Datos

O Director da Axencia de Protección de Datos poderá, de conformidade co establecido no artigo 36 da Lei Orgánica 5/1992: ^[7]

1. Dictar, se é o caso e sen prexuízo das competencias doutros órganos, as instruccións precisas para adecua-los tratamentos automatizados ós principios da Lei Orgánica 5/1992.

2. Ordea-la cesación dos tratamentos de datos de carácter persoal e a cancelación dos ficheiros cando non se cumpran as medidas de seguridade previstas no presente Regulamento.

Disposición transitoria[editar]

Única Prazos de implantación das medidas

No caso de sistemas de información que se atopen en funcionamento á entrada en vigor do presente Regulamento, as medidas de seguridade de nivel básico previstas no presente Regulamento deberán implantarse (no prazo de seis meses desde a súa entrada en vigor) antes do día 26 de marzo de 2000 ^[8], as de nivel medio no prazo dun ano e as de nivel alto no prazo de (dous) tres anos. ^[9]

Cando os sistemas de información que se atopen en funcionamento non permitan tecnolóxicamente a implantación dalgunha das medidas de seguridade previstas no presente Regulamento, a adecuación de ditos sistemas e a implantación das medidas de seguridade deberán realizarse no prazo máximo de tres anos a contar desde a entrada en vigor do presente Regulamento.

Notas[editar]

1. ^  Este Real Decreto continua en vigor en canto non se opoña á Lei Orgánica 15/1999, do 13 de decembro. Calquera referencia á Lei Orgánica 5/1992, do 29 de outubro entenderase feita á Lei Orgánica 15/1999, do 13 de decembro. Así mesmo, calquera referencia a tratamentos ou ficheiros automatizados entenderase feita tamén a tratamentos ou ficheiros non automatizados.
2. ^  Modificado, en canto que as referencias á Axencia de Protección de Datos deberanse entender realizadas á Axencia Española de Protección de Datos, polo Artigo 79 da Lei 62/2003, do 30 de decembro.
3. ^  O artigo 43.3.h) da Lei Orgánica 5/1992, do 29 de outubro é equivalente ó artigo 44.3.h) da Lei Orgánica 15/1999, do 13 de decembro.
4. ^  O artigo 28 da Lei Orgánica 5/1992, do 29 de outubro é equivalente ó artigo 29 da Lei Orgánica 15/1999, do 13 de decembro.
5. ^  Os artigos 43 e 44 da Lei Orgánica 5/1992, do 29 de outubro son equivalentes ós artigos 44 e 45 da Lei Orgánica 15/1999, do 13 de decembro respectivamente.
6. ^  O artigo 45 da Lei Orgánica 5/1992, do 29 de outubro é equivalente ó artigo 46 da Lei Orgánica 15/1999, do 13 de decembro.
7. ^  O artigo 36 da Lei Orgánica 5/1992, do 29 de outubro é equivalente ó artigo 37 da Lei Orgánica 15/1999, do 13 de decembro.
8. ^  Modificado, en tanto que se amplía o prazo ata o día 26 de marzo de 2000 para implanta-las medidas de seguridade de nivel básico, polo Real Decreto 195/2000, do 11 de febreiro.
9. ^  Modificado, en tanto que se amplía nun ano o prazo para implanta-las medidas de seguridade de nivel alto, pola Resolución do 22 de xuño de 2001 da Subsecretaría do Ministerio de Xustiza.