El presente Reglamento tiene por objeto establecer las medidas de índole técnica y organizativas necesarias para garantizar
la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas,
programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la Ley
Orgánica 5/1992, de 29 de
Octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.
Artículo 2 : Definiciones
A efectos de este Reglamento, se entenderá por:
1. Sistemas de información: conjunto de ficheros automatizados, programas, soportes y
equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.
2. Usuario: sujeto o proceso autorizado para acceder a datos o recursos.
3. Recurso: cualquier parte componente de un sistema de información.
4. Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos.
5. Identificación: procedimiento de reconocimiento de la identidad de un usuario.
6. Autenticación: procedimiento de comprobación de la identidad de un usuario.
7. Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.
8. Contraseña: información confidencial, frecuentemente constituida por una cadena de
caracteres, que puede ser usada en la autenticación de un usuario.
9. Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
10. Soporte: objeto físico susceptible de ser tratado en un sistema informático y sobre el cual se pueden
grabar o recuperar datos.
11. Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función
de coordinar y controlar las medidas de seguridad aplicables.
12. Copia del respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.
Artículo 3. Niveles de seguridad.
Las medidas de seguridad exigibles se clasifican en tres niveles:
básico,
medio y
alto.
Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar
la confidencialidad y la integridad de la información
Artículo 4. Aplicación de los niveles de seguridad.
Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.
Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y
aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992, deberán reunir, además
de las medidas de nivel básico, las calificadas como de nivel medio.
Prestación de servicios de información sobre solvencia patrimonial y crédito. (Art 28 Ley Orgánica 5/1992 )
1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar
automatizadamente datos de carácter personal obtenidos de fuentes accesibles al públicoFicheros cuya consulta puede ser realizada
por cualquier persona. Son exclusivamente: censo promocional, repertorios telefónicos
listas de personas pertenecientes a grupos profesionales, diarios,
Boletines Oficiales y medios de comunicación. o procedentes de informaciones facilitadas por el
afectado o con su consentimiento. Podrán tratarse, igualmente, datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones
dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los afectados respecto de los que
hayan registrado datos de carácter personal en ficheros automatizados, en el plazo de treinta días desde dicho registro, una referencia de los que
hubiesen sido incluidos y se les informará
de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.
3. Sólo se podrán registrar y ceder los datos de carácter personal que sean
determinantes para enjuiciar la solvencia económica de los afectados y que no se refieran, cuando sean adversos, a más de seis años.
4. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados
para fines policiales sin consentimiento de
las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.
5. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la
personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos
17,
18,
19 y
20.
6. Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones
legales o reglamentarias específicas vigentes.
Artículo 5: Acceso a datos a través de redes de comunicaciones.
Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de
comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.
Artículo 6: Régimen de trabajo fuera de los locales de la ubicación del fichero.
La ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá
ser autorizada expresamente por el
responsable del fichero y, en todo caso,
deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.
Artículo 7: Ficheros temporales.
1. Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente Reglamento.
2. Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación.