REAL DECRETO 994/1999, DE 11 DE con la finalidad de preservar el honor, la
JUNIO, POR EL QUE SE APRUEBA EL intimidad personal y familiar y el pleno REGLAMENTO DE MEDIDAS DE ejercicio de los derechos personales frente a su SEGURIDAD DE LOS FICHEROS alteración, pérdida, tratamiento o acceso no AUTOMATIZADOS QUE CONTENGAN autorizado. DATOS DE CARÁCTER PERSONAL Las medidas de seguridad que se establecen se EXPOSICIÓN DE MOTIVOS configuran como las básicas de seguridad que han de cumplir todos los ficheros que El artículo 18.4 de la Constitución Española contengan datos de carácter personal, sin establece que "la ley limitará el uso de la perjuicio de establecer medidas especiales para informática para garantizar el honor y la aquellos ficheros que por la especial naturaleza intimidad personal y familiar de los ciudadanos de los datos que contienen o por las propias y el pleno ejercicio de sus derechos". características de los mismos exigen un grado de protección mayor. La Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de En su virtud, a propuesta de la Ministra de Datos de carácter personal, prevé en su artículo Justicia, de acuerdo con el Consejo de Estado, 9, la obligación del responsable del fichero de y previa deliberación del Consejo de Ministros adoptar las medidas de índole técnica y en su reunión del día 11 de junio de 1999, organizativas que garanticen la seguridad de los datos de carácter personal y eviten su D I S P O N G O: alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la Artículo único. Aprobación del Reglamento. tecnología, la naturaleza de los datos almacenados y los riesgos a que estén Se aprueba el Reglamento de medidas de expuestos, ya provengan de la acción humana o seguridad de los ficheros automatizados que del medio físico o natural, estableciéndose en contengan datos de carácter personal, cuyo el artículo 43.3.h) que mantener los ficheros, texto se inserta a continuación. locales, programas o equipos que contengan datos de carácter personal sin las debidas Disposición final única. Entrada en vigor. condiciones de seguridad que por vía reglamentaria se determinen constituye El presente Real Decreto entrará en vigor el día infracción grave en los términos previstos en la siguiente al de su publicación en el "Boletín propia Ley. Oficial del Estado".
Sin embargo, la falta de desarrollo Dado en Madrid a 11 de junio de 1999.
reglamentario ha impedido disponer de un marco de referencia para que los responsables JUAN CARLOS R. promovieran las adecuadas medidas de seguridad y, en consecuencia, ha determinado La Ministra de Justicia, la imposibilidad de hacer cumplir uno de los más importantes principios de la Ley Orgánica. MARGARITA MARISCAL DE GANTE Y MIRÓN El presente Reglamento tiene por objeto el desarrollo de lo dispuesto en los artículos 9 y 43.3h) de la Ley Orgánica 5/1992. El Reglamento determina las medidas de índole técnica y organizativa que garanticen la confidencialidad e integridad de la información Este documento ha sido descargado de www.belt.es “Portal de los Profesionales de la Seguridad”
REGLAMENTO DE MEDIDAS DE 8. Contraseña: información confidencial,
SEGURIDAD DE LOS FICHEROS frecuentemente constituida por una AUTOMATIZADOS QUE CONTENGAN cadena de caracteres, que puede ser DATOS DE CARÁCTER PERSONAL usada en la autenticación de un usuario. 9. Incidencia: cualquier anomalía que CAPÍTULO I afecte o pudiera afectar a la seguridad de los datos. Disposiciones generales 10. Soporte: objeto físico susceptible de ser tratado en un sistema de información y Artículo 1. Ámbito de aplicación y fines. sobre el cual se pueden grabar o recuperar datos. El presente Reglamento tiene por objeto 11. Responsable de seguridad: persona o establecer las medidas de índole técnica y personas a las que el responsable del organizativas necesarias para garantizar la fichero ha asignado formalmente la seguridad que deben reunir los ficheros función de coordinar y controlar las automatizados, los centros de tratamiento, medidas de seguridad aplicables. locales, equipos, sistemas, programas y las 12. Copia del respaldo. copia de los datos personas que intervengan en el tratamiento de un fichero automatizado en un automatizado de los datos de carácter personal soporte que posibilite su recuperación. sujetos al régimen de la Ley Orgánica 5/1992, de 20 de octubre, de Regulación del Artículo 3. Niveles de seguridad. Tratamiento Automatizado de los Datos de Carácter Personal. 1. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio Artículo 2. Definiciones. y alto. 2. Dichos niveles se establecen A efectos de este Reglamento, se entenderá atendiendo a la naturaleza de la por: información tratada, en relación con la mayor o menor necesidad de 1. Sistemas de información: conjunto de garantizar la confidencialidad y la ficheros automatizados, programas, integridad de la información. soportes y equipos empleados para el almacenamiento y tratamiento de datos de Artículo 4. Aplicación de los niveles de carácter personal. seguridad. 2. Usuario. sujeto o proceso automatizado para acceder a datos o recursos. 1. Todos los ficheros que contengan datos 3.Recurso: Cualquier parte componente de de carácter personal deberán adoptar las un sistema de información. medidas de seguridad calificadas como 4. Accesos autorizados: autorizaciones de nivel básico. concedidas a un usuario para la utilización 2. Los ficheros que contengan datos de los diversos recursos. relativos a la comisión de infracciones 5. Identificación: procedimiento de administrativas o penales, Hacienda reconocimiento de la identidad de un Pública, servicios financieros y aquellos usuario. ficheros cuyo funcionamiento se rija 6. Autenticación: procedimiento de por el artículo 28 de la Ley Orgánica comprobación de la identidad de un 5/1992, deberán reunir, además de las usuario. medidas de nivel básico, las calificadas 7. Control de acceso: mecanismo que en como de nivel medio. función de la identificación ya autenticada 3. Los ficheros que contengan datos de permite acceder a datos o recursos. ideología, religión, creencias, origen Este documento ha sido descargado de www.belt.es “Portal de los Profesionales de la Seguridad”
racial, salud o vida sexual así como los CAPÍTULO II
que contengan datos recabados para fines policiales sin consentimiento de Medidas de seguridad de nivel básico las personas afectadas deberán reunir, además de las medidas de nivel básico y Artículo 8. Documento de seguridad. medio, las calificadas de nivel alto. 4. Cuando los ficheros contengan un 1. El responsable del fichero elaborará e conjunto de datos de carácter personal implantará la normativa de seguridad suficientes que permitan obtener una mediante un documento de obligado evaluación de la personalidad del cumplimiento para el personal con acceso a individuo deberán garantizar las los datos automatizados de carácter medidas de nivel medio establecidas en personal y a los sistemas de información. los artículos 17, 18, 19 y 20. 2. El documento deberá contener, como 5. Cada uno de los niveles descritos mínimo, los siguientes aspectos: anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las a. Ámbito de aplicación del disposiciones legales o reglamentarias documento con especificación específicas vigentes. detallada de los recursos protegidos. b. Medidas, normas, procedimientos, Artículo 5. Acceso a datos a través de redes de reglas y estándares encaminados a comunicaciones. garantizar el nivel de seguridad exigido en este Reglamento. Las medidas de seguridad exigibles a los c. Funciones y obligaciones del accesos a datos de carácter personal a través de personal. redes de comunicaciones deberán garantizar un d. Estructura de los ficheros con datos nivel de seguridad equivalente al de carácter personal y descripción correspondiente a los accesos en modo local. de los sistemas de información que los tratan. Artículo 6. Régimen de trabajo fuera de los e. Procedimiento de notificación, locales de la ubicación del fichero. gestión y respuesta ante las incidencias. La ejecución de tratamiento de datos de f. Los procedimientos de realización carácter personal fuera de los locales de la de copias de respaldo y de ubicación del fichero deberá ser autorizada recuperación de los datos. expresamente por el responsable del fichero y, en todo caso, deberá garantizarse el nivel de • El documento deberá seguridad correspondiente al tipo de fichero mantenerse en todo tratado. momento actualizado y deberá ser revisado siempre Artículo 7. Ficheros temporales. que se produzcan cambios relevantes en el sistema de 1. Los ficheros temporales deberán información o en la cumplir el nivel de seguridad que les organización del mismo. corresponda con arreglo a los criterios establecidos en el presente Reglamento. • El contenido del documento 2. Todo fichero temporal será borrado una deberá adecuarse, en todo vez que haya dejado de ser necesario momento, a las para los fiches que motivaron su disposiciones vigentes en creación. materia de seguridad de los datos de carácter personal. Este documento ha sido descargado de www.belt.es “Portal de los Profesionales de la Seguridad”
Artículo 9. Funciones y obligaciones del 2. El responsable del fichero establecerá
personal. mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos 1. Las funciones y obligaciones de cada distintos de los autorizados. una de las personas con acceso a los datos de carácter personal y a los sistemas de 3. La relación de usuarios a la que se refiere el información estarán claramente definidas y artículo 11.1 de este Reglamento contendrá el documentadas, de acuerdo con lo previsto acceso autorizado para cada uno de ellos. en el artículo 8.2.c). 2. El responsable del fichero adoptará las 4. Exclusivamente el personal autorizado para medidas necesarias para que el personal ello en el documento de seguridad podrá conozca las normas de seguridad que conceder, alterar o anular el acceso autorizado afecten al desarrollo de sus funciones así sobre los datos y recursos, conforme a los como las consecuencias en que pudiera criterios establecidos por el responsable del incurrir en caso de incumplimiento. fichero.
Artículo 10. Registro de incidencias. Artículo 13. Gestión de soportes.
El procedimiento de notificación y gestión de 1. Los soportes informáticos que contengan
incidencias contendrá necesariamente un datos de carácter personal deberán permitir registro en el que se haga constar el tipo de identificar el tipo de información que incidencia, el momento en que se ha producido, contienen, ser inventariados y almacenarse la persona que realiza la notificación, a quién en un lugar con acceso restringido al se le comunica y los efectos que se hubieran personal autorizado para ello en el derivado de la misma. documento de seguridad. 2. La salida de soportes informáticos que Artículo 11. Identificación y autenticación. contengan datos de carácter personal, fuera de los locales en los que esté ubicado el 1. El responsable del fichero se encargará fichero, únicamente podrá ser autorizada de que exista una relación actualizada de por el responsable del fichero. usuarios que tengan acceso autorizado al sistema de información y de establecer Artículo 14. Copias de respaldo y procedimientos de identificación y recuperación. autenticación para dicho acceso. 2. Cuando el mecanismo de autenticación 1. El responsable de fichero se encargará se base en la existencia de contraseñas de verificar la definición y correcta existirá un procedimiento de asignación, aplicación de los procedimientos de distribución y almacenamiento que realización de copias de respaldo y de garantice su confidencialidad e integridad. recuperación de los datos. 3. Las contraseñas se cambiarán con la 2. Los procedimientos establecidos para periodicidad que se determine en el la realización de copias de respaldo y documento de seguridad y mientras estén para la recuperación de los datos deberá vigentes se almacenarán de forma garantizar su reconstrucción en el ininteligible. estado en que se encontraban al tiempo de producirse la pérdida o destrucción. Artículo 12. Control de acceso. 3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en 1. Los usuarios tendrán acceso autorizado dicho período no se hubiera producido únicamente a aquellos datos y recursos que ninguna actualización de los datos. precisen para el desarrollo de sus funciones. Este documento ha sido descargado de www.belt.es “Portal de los Profesionales de la Seguridad”
CAPÍTULO III Artículo 18. Identificación y autenticación.
Medidas de seguridad a nivel medio 1. El responsable del fichero establecerá un
mecanismo que permita la identificación de Artículo 15. Documento de seguridad. forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de El documento de seguridad deberá contener, información y la verificación de que está además de lo dispuesto en el artículo 8 del autorizado. presente Reglamento, la identificación del 2. Se limitará la posibilidad de intentar responsable o responsables de seguridad, los reiteradamente el acceso no autorizado al controles periódicos que se deban realizar para sistema de información. verificar el cumplimiento de lo dispuesto en el propio documento y las medidas que sea Artículo 19. Control de acceso físico. necesario adoptar cuando un soporte vaya a ser desechado o reutilizado. Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a Artículo 16. Responsable de seguridad. los locales donde se encuentren ubicados los sistemas de información con datos de carácter El responsable del fichero designará uno o personal. varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en Artículo 20. Gestión de soportes. el documento de seguridad. En ningún caso esta designación supone una delegación de la 1. Deberá establecerse un sistema de responsabilidad que corresponde al responsable registro de entrada de soportes informáticos del fichero de acuerdo con este Reglamento. que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el Artículo 17. Auditoría. emisor, el número de soportes, el tipo de información que contienen, la forma de envío 1. Los sistemas de información e y la persona responsable de la recepción que instalaciones de tratamiento de datos se deberá estar debidamente autorizada. someterán a una auditoría interna o externa, 2. Igualmente, se dispondrá de un sistema que verifique el cumplimiento del presente de registro de salida de soportes informáticos Reglamento, de los procedimientos e que permita, directa o indirectamente, instrucciones vigentes en materia de seguridad conocer el tipo de soporte, la fecha y hora, el de datos, al menos, cada dos años. destinatario, el número de soportes, el tipo de 2. El informe de auditoría deberá información que contienen, la forma de envío dictaminar sobre la adecuación de las medidas y la persona responsable de la entrega que y controles al presente Reglamento, identificar deberá estar debidamente autorizada. sus deficiencias y proponer las medidas 3. Cuando un soporte vaya a ser correctoras o complementarias necesarias. desechado o reutilizado, se adoptarán las Deberá, igualmente, incluir los datos, hechos y medidas necesarias para impedir cualquier observaciones en que se basen los dictámenes recuperación posterior de la información alcanzados y recomendaciones propuestas. almacenada en él, previamente a que se 3. Los informes de auditoría serán proceda a su baja en el inventario. analizados por el responsable de seguridad 4. Cuando los soportes vayan a salir fuera competente, que elevará las conclusiones al de los locales en que se encuentren ubicados responsable del fichero para que adopte las los ficheros como consecuencia de medidas correctoras adecuadas y quedarán a operaciones de mantenimiento, se adoptarán disposición de la Agencia de Protección de las medidas necesarias para impedir cualquier Datos. Este documento ha sido descargado de www.belt.es “Portal de los Profesionales de la Seguridad”
recuperación indebida de la información 3. Los mecanismos que permiten el registro de
almacenada en ellos. los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable Artículo 21. Registro de incidencias. de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de 1. En el registro regulado en el artículo 10 los mismos. deberán consignarse, además, los procedimientos realizados de recuperación de 4. El período mínimo de conservación de los los datos, indicando la persona que ejecutó el datos registrados será de dos años. proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar 5. El responsable de seguridad competente se manualmente en el proceso de recuperación. encargará de revisar periódicamente la 2. Será necesaria la autorización por información de control registrada y elaborará escrito del responsable del fichero para la un informe de las revisiones realizadas y los ejecución de los procedimientos de problemas detectados al menos una vez al mes. recuperación de los datos. Artículo 25. Copias de respaldo y Artículo 22. Pruebas con datos reales. recuperación.
Las pruebas anteriores a la implantación o Deberá conservarse una copia de respaldo y de
modificación de los sistemas de información los procedimientos de recuperación de los que traten ficheros con datos de carácter datos en un lugar diferente de aquél en que se personal no se realizarán con datos reales, encuentren los equipos informáticos que los salvo que se asegure el nivel de seguridad tratan cumpliendo en todo caso, las medidas de correspondiente al tipo de fichero tratado. seguridad exigidas en este Reglamento.
CAPÍTULO IV Artículo 26. Telecomunicaciones.
Medidas de seguridad de nivel alto La transmisión de datos de carácter personal a
través de redes de telecomunicaciones se Artículo 23. Distribución de soportes realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que La distribución de los soportes que contengan garantice que la información no sea inteligible datos de carácter personal se realizará cifrando ni manipulada por terceros. dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha CAPÍTULO V información no sea inteligible ni manipulada durante su transporte. Infracciones y sanciones
Artículo 24. Registro de accesos. Artículo 27. Infracciones y sanciones.
1. De cada acceso se guardarán, como mínimo, 1. El incumplimiento de las medidas de
la identificación del usuario, la fecha y hora en seguridad descritas en el presente que se realizó, el fichero accedido, el tipo de Reglamento será sancionado de acuerdo con acceso y si ha sido autorizado o denegado. lo establecido en los artículos 43 y 44 de la Ley Orgánica 5/1992, cuando se trate de 2. En el caso de que el acceso haya sido ficheros de titularidad privada. autorizado, será preciso guardar la información que permita identificar el registro accedido. El procedimiento a seguir para la imposición de la sanción a la que se refiere el párrafo anterior Este documento ha sido descargado de www.belt.es “Portal de los Profesionales de la Seguridad”
será el establecido en el Real Decreto Disposición transitoria única. Plazos de
1332/1994, de 20 de junio, por el que se implantación de las medidas. desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de En el caso de sistemas de información que se Regulación del Tratamiento Automatizado de encuentren en funcionamiento a la entrada en los Datos de Carácter Personal. vigor del presente Reglamento, las medidas de seguridad de nivel básico previstas en el • Cuando se trate de ficheros de los presente Reglamento deberán implantarse en el que sean responsables las plazo de seis meses desde su entrada en vigor, Administraciones públicas se las de nivel medio en el plazo de un año y las estará, en cuanto al procedimiento de nivel alto en el plazo de dos años. y a las sanciones, a lo dispuesto en el artículo 45 de la Ley Orgánica Cuando los sistemas de información que se 5/1992. encuentren en funcionamiento no permitan tecnológicamente la implantación de alguna de Artículo 28. Responsables. las medidas de seguridad previstas en el presente Reglamento, la adecuación de dichos Los responsables de los ficheros, sujetos al sistemas y la implantación de las medidas de régimen sancionador de la Ley Orgánica seguridad deberán realizarse en el plazo 5/1992, deberán adoptar las medidas de índole máximo de tres años a contar desde la entrada técnica y organizativas necesarias que en vigor del presente Reglamento. garanticen la seguridad de los datos de carácter personal en los términos establecidos en el presente Reglamento.
CAPÍTULO VI
Competencias del Director de la Agencia de
Protección de Datos
Artículo 29. Competencias del Director de la
Agencia de Protección de Datos.
El Director de la Agencia de Protección de
Datos podrá, de conformidad con lo establecido en el artículo 36 de la Ley Orgánica 5/1992:
1. Dictar, en su caso y sin perjuicio
de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica 5/1992. 2. Ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de los ficheros cuando no se cumplan las medidas de seguridad previstas en el presente Reglamento.