Agencia Estatal Boletín Oficial del Estado

La Ley 11/2007 de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, establece que las Administraciones Públicas utilizarán las tecnologías de la información, asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.

Al mismo tiempo, la utilización de dichas tecnologías de la información, se debe ajustar al principio de seguridad en la implantación y utilización de los medios electrónicos, en cuya virtud, se debe exigir al menos el mismo nivel de garantías y seguridad que se requiere para la utilización de medios no electrónicos en la actividad administrativa. Seguridad concebida como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales.

El artículo 42 de la citada Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, marca la política de seguridad en la utilización de los medios electrónicos por las Administraciones Públicas, a través de la creación del Esquema Nacional de Seguridad, que establece los principios básicos y requisitos mínimos que permitan una protección adecuada de la información de la Administración.

La finalidad del Esquema Nacional de Seguridad, desarrollado por el RD 3/2010, de 8 de enero, y modificado por el RD 951/2015, de 23 de octubre, es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas que garantizan la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información, de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas.

A tal fin, entre los requisitos mínimos de seguridad que establece el propio Esquema Nacional de Seguridad se encuentra el Registro de Actividad, el cual recoge los datos mínimos necesarios para gestionar las medidas de seguridad de los sistemas. Los datos recogidos solo serán accesibles por las personas autorizadas, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados.

El Registro de Actividad debe preservar con plenas garantías el derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados. En este sentido, el artículo 18.4 de la Constitución recoge la necesidad de establecer los límites en el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Al mismo tiempo, la información tratada dentro de estos registros de actividad debe verse amparada y protegida teniendo en cuenta los criterios, requisitos y obligaciones estipulados por la Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal y su RD 1720/07, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la citada Ley Orgánica.

La presente disposición ha sido informada por la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.1h de la Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Por todo lo que antecede y en su virtud, a fin de dar cumplimiento a los referidos mandatos legales y de garantizar el ejercicio de derechos constitucionales, dispongo:

Artículo 1. Creación del Fichero de Registros de Actividad de Sistemas de Información del Ministerio de Asuntos Exteriores y de Cooperación.

De conformidad con lo previsto en el artículo 20.1 de la Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal y el artículo 52 del RD 1720/07, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal, se crea el fichero Registros de Actividad de Sistemas de Información del Ministerio de Asuntos Exteriores y de Cooperación que se relaciona en el Anexo I de la presente Orden.

Artículo 2. Titular del fichero Registros de Actividad de Sistemas de Información.

El titular del fichero corresponde a la Subsecretaría del Ministerio de Asuntos Exteriores y de Cooperación, que velará por que se tomen las medidas técnicas y organizativas necesarias para proteger la seguridad, integridad y confidencialidad de los datos de carácter personal, y las conducentes a hacer efectivas las garantías, obligaciones y derechos reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre, y en el Real Decreto 1720/2007, de 21 de diciembre, que desarrolla dicha Ley.

Artículo 3. Derechos de acceso, rectificación, cancelación y oposición.

El ejercicio de los derechos de acceso, rectificación, cancelación y oposición reconocidos a los afectados por la ley Orgánica 15/1999, de 13 de diciembre, de protección de Datos de Carácter Personal, se realizará conforme a lo previsto en la misma y en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Disposición final única. Entrada en Vigor.

La presente Orden entrará en vigor el día siguiente de su publicación en el «Boletín Oficial del Estado».

Madrid, 23 de mayo de 2016.–El Ministro de Asuntos Exteriores y de Cooperación, José Manuel García-Margallo Marfil.

ANEXO I

Creación del Fichero Registros de Actividad de Sistemas de Información

1. Denominación del fichero:

Registros de Actividad de Sistemas de Información.

2. Finalidad y usos previstos:

Inventario, gestión y administración de usuarios de sistemas de información. Análisis de registros de actividad que generan los propios sistemas de información y comunicaciones del Ministerio de Asuntos Exteriores y de Cooperación, al objeto de gestionar los eventos relevantes para la seguridad de la información. Verificación del cumplimiento del marco normativo de seguridad del Ministerio de Asuntos Exteriores y de Cooperación.

3. Origen de los datos:

Colectivo de personas sobre el que se pretende obtener datos o que resulte obligado a suministrarlos: Personal del Ministerio de Asuntos Exteriores y de Cooperación, y personal colaborador externo. Procedencia: El propio interesado.

Procedimiento de recogida de los datos de carácter personal: Datos facilitados por el propio interesado.

4. Estructura básica del fichero:

Descripción detallada de datos: Nombre y Apellidos, DNI, Certificado Electrónico, IP, Identificador único de usuario en los sistemas, Identificación del Puesto de Trabajo, Permisos asignados, Operaciones realizadas, fechas y hora de acceso a los sistemas y a las redes.

Sistema de tratamiento utilizado: Automatizado.

5. Comunicaciones de datos previstas:

No se prevén.

6. Transferencias internacionales de datos:

No se prevén.

7. Órgano responsable del fichero:

Subsecretaría de Asuntos Exteriores y de Cooperación. Dirección General del Servicio Exterior-Subdirección General de Informática, Comunicaciones y Redes.

8. Área ante la que pueden ejercerse los derechos de acceso, rectificación, cancelación y oposición:

Subsecretaría de Asuntos Exteriores y de Cooperación. Plaza de la Provincia 1, CP. 28012 Madrid.

9. Nivel de Seguridad:

En cumplimiento de lo dispuesto en el Título VIII del Real Decreto 1720/2007, de 21 de noviembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se aplicarán a este fichero las medidas de seguridad de nivel Medio.