Reglamento por el que se regula la protección de los datos de carácter personal

Exposición de motivos

El 18 de junio de 2001 entró en vigor el «Reglamento de Seguridad de los datos de carácter personal que posee en sus sistemas de información automatizados esta Excma. Diputación Provincial del Albacete».
Como su propia denominación indica y tal como señala en su artículo 1º, este Reglamento se promulgó en cumplimiento del Real Decreto 994/1999, de 11 de junio, por el que se aprobaba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contienen datos de carácter personal; limitando, por tanto, su ámbito de aplicación a este tipo de ficheros.
Con posterioridad a la entrada en vigor del citado Real Decreto 994/1999, se aprobó la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal, que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar; incluyendo por tanto en su ámbito de protección no sólo los ficheros automatizados, sino cualquier tipo de ficheros o documentos que incluyan datos de carácter personal con independencia del soporte en el que éstos se contengan.
La preceptiva observancia de las prescripciones de la citada Ley Orgánica, junto con la circunstancia puesta de manifiesto como consecuencia de la aplicación del Reglamento aprobado por esta Diputación Provincial, relativa a que los ficheros automatizados que conteniendo este tipo de datos tienen, por la propia naturaleza de los procedimientos administrativos en los que se utilizan, que ser susceptibles de materializarse en soporte papel; recomiendan la modificación del Reglamento en cuestión procediéndose a una regulación integral de la protección de los datos de carácter personal contenidos en los ficheros y documentos almacenados por la Diputación Provincial de Albacete y sus Organismos Autónomos, con independencia de los soportes utilizados para su tratamiento, si bien diferenciando en su articulado, atendiendo a las especificidades técnicas de los sistemas de seguridad requeridos, las normas relativas a la protección de datos cuando su tratamiento se realiza a través de ficheros automatizados de aquellas otras específicas de la protección de dichos datos cuando estos figuran en documentos en soporte papel.
En consecuencia el presente Reglamento tiene por objeto la protección de los datos de carácter personal contenidos en los ficheros y documentos almacenados por la Diputación Provincial de Albacete y sus Organismos Autónomos, estructúrase en los siguientes Títulos.
Un Título preliminar en el que se delimita el ámbito de aplicación de la norma con una referencia a los principios y conceptos básicos de aplicación a todo el sistema de protección de datos de carácter personal contenidos en los ficheros y documentos almacenados por la Diputación Provincial de Albacete y sus Organismos Autónomos, con independencia de que el tratamiento de los mismos se realice a través de ficheros automatizados o en cualquier otro tipo de soporte.
Un Título Primero dedicado específicamente a la protección del tratamiento de este tipo de datos cuando el mismo se realiza a través de sistemas de información automatizados.
Un Título Segundo en el que se regulan las especialidades del tratamiento de los datos de carácter personal en cualquier otro tipo de soporte y específicamente del tratamiento de los documentos que contiene este tipo de información en soporte papel.
En su virtud, a iniciativa y con el dictamen favorable de la Comisión Auditora del cumplimiento de la Ley de Protección de Datos de Carácter Personal de la Excma. Diputación Provincial de Albacete.

Título Preliminar

Artículo 1.- Se establece este Reglamento de conformidad con lo dispuesto en la Ley Orgánica 15/1999 y en cumplimiento de lo previsto en el Real Decreto 994/1999, resultando de aplicación a todo el personal de la Diputación Provincial de Albacete que manejen documentos en cualquier soporte físico o electrónico que contenga datos de carecer personal.
Artículo 2.- Como complemento a este Reglamento y extendiendo más el detalle de las normas de Seguridad la Diputación de Albacete ha elaborado un Documento de Seguridad que estará permanentemente actualizado y a disposición de los empleados que necesiten consultarlo.
Artículo 3.- El ámbito de aplicación de este Reglamento y el nivel de seguridad que le corresponden a los datos almacenados por esta Diputación Provincial en los ficheros que contengan datos de carácter personal, según lo revisto en la Ley Orgánica 17/1999 y en el R.D. 994/1999 son:

Los ficheros que contengan datos de carácter personal de los que es responsable la Excma. Diputación Provincial de Albacete, independientemente del soporte en el que dichos datos se registran, comprendiendo los sistemas informáticos y archivos en otros soportes documentales, sitos en el Edificio sede de la Diputación de Albacete y de sus centros; así como los de los Organismos Autónomos de Gestión Tributaria e Instituto de Estudios Albacetenses «Don Juan Manuel».

Todo el personal de la Diputación, y de los Organismos Autónomos citados en el punto anterior, que tengan acceso autorizado a los archivos y ficheros que se encuentren en las oficinas a las que están adscritos, independientemente del soporte documental de los mismos.

Artículo 4.- Los recursos que protege este Reglamento, son:
Contabilidad Medio
Honorario por actividades económicas Medio
Registros de facturas Medio
Fichero de Personal Medio
Descuento por afiliación sindical Alto
Datos de minusvalías para IRPF Alto
Libro de Acuerdos y Decretos Medio
Registro General Básico
Inventario Archivo General Básico
Alumnos y Profesores del Conservatorio Básico
Expedientes de Procedimientos Judiciales Alto
Control de presencia Básico
Expedientes de alumnos del conservatorio Alto
Aplicación de Recaudación Provincial Medio
Proced. de Provisión de puestos de trabajo Básico
Personal del S.E.P.E.I Alto
Diputados Provinciales Medio
Historias Clínicas y expedientes de ingreso Alto
Incapacidad laboral de trabajadores Alto
Plan Agrupado de Formación Continua Básico
Actividades culturales y deportivas Básico
Protocolo Básico
Asistencia Infantil Alto
Programa Codex Básico
Registro de Contratistas Básico

Título I: Del tratamiento de los Datos de Carácter Personal en los Ficheros Automatizados.
Artículo 5.- Como normas generales para garantizar el nivel de seguridad exigido en este reglamento se establecen:
Queda terminantemente prohibida la copia o instalación permanente de ficheros que contengan datos de carácter personal en los discos locales (A:, C:, …) de los puestos de trabajo de los usuarios.
Se crea un registro de usuarios con acceso a datos protegidos de carácter personal, que contendrá el nombre del usuario, y los datos a los que puede acceder con esa clave.
Se crea un registro de entrada y salida de soportes informáticos, considerando el correo electrónico como un soporte informático más.
Se crea un registro de incidencias y copias de respaldo de ficheros con datos de carácter personal.
Estos tres registros: de usuarios, en entrada-salida y de incidencias, se incorporarán la Documento de Seguridad, se declaran libros restringidos y su acceso y consulta se regula de conformidad con los artículo 11 y 12 del Real Decreto 994/99.
El «Responsable del Fichero o Tratamiento» que define el artículo 3 de la Ley Orgánica 15/1999 que para nuestro caso es el Pleno de la Corporación, y los «Encargados del Tratamiento» que según el mismo artículo de la misma ley, vendrán especificados en el Anexo I del Documento de Seguridad.
Los puestos de trabajo que estén autorizados a recibir o enviar por medios telemáticos un fichero conteniendo datos de carácter personal, comunicarán al responsable del tratamiento del fichero cuando han recibido o cuando han enviado uno de estos ficheros, para que sea ubicado en el lugar adecuado y sea dado de alta el correspondiente movimiento en el libro de registro de entrada-salida.
Las claves de acceso de los usuarios se cambiarán como mínimo una vez al año.
Artículo 6.- Las funciones y obligaciones del personal usuario de las bases de datos son:
Mantener el secreto de su contraseña.
Velar por la buena claridad de los datos a los que tiene acceso, en especial cumplir con el artículo 4 de la Ley Orgánica 15/1999 sobre la calidad de los datos.
No ceder copias de ficheros con datos protegidos a terceras personas, salvo que esté expresamente autorizado para este fin, en cuyo caso deberá ser registrado en el correspondiente libro.
Si tiene acceso a datos de carácter personal debe establecer un salvapantallas con contraseña.
Comunicar todo tipo de incidencias con los ficheros al responsable del tratamiento, para que tome las medidas de seguridad oportunas y las anote en el correspondiente libro de incidencias.
Artículo 7.- Los ficheros que son objeto de protección son los enumerados en el artículo 4. La estructura de estos ficheros de carácter personal y la descripción de los sistemas de información que lo tratan, se reflejarán, como un apunte inicial, en el libro de incidencias que se ha declarado de acceso restringido ya que este tipo de información técnica puede ser susceptible de romper las normas de seguridad que sobre los ficheros que hayan establecido.
Artículo 8.- Para cumplir con el artículo 19 de R.D. 994/1999, queda restringido el paso de personas:
A la sala de ordenadores (puerta I-10) ubicada en la planta baja del edificio anexo al palacio Provincial por contener los ordenadores servidores de los datos de carácter personal.
Al almacén donde se ubica el armario ígnifugo que contiene las copias de seguridad.
(Puerta I-6), la llave de este armario estará en poder de jefe de Explotación.
Las personas que pueden acceder a estos lugares estarán reflejadas en el Documento de Seguridad.
Artículo 9.- El Pleno de la Corporación, como responsable del fichero, deberá autorizar mediante acuerdo, la salida de soportes informáticos que contengan datos de carácter personal, cuando los destinos sean distintos a los declarados en el Documento de Seguridad, publicados en el B.O.P. correspondiente y comunicados ante la Agencia de Protección de datos.
Artículo 10.- Los responsables de la seguridad de los ficheros que contienen datos de carácter personal recaen en los puestos de trabajo de Técnico de sistemas y en el Jefe de Explotación. De conformidad con el artículo 16 del R.D. 994/1999 esta designación no supone una delegación de la responsabilidad que corresponde al responsable del fichero.
Artículo 11.- Con una periodicidad, como mínimo, de dos años; los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna, que verifique el cumplimiento del presente reglamento. El Pleno como responsable del fichero, designará los miembros técnicos y vocales que componga esta auditoría. Si bien se podrá decidir que se realice una auditoría externa por una empresa especializada.
Artículo 12.- Se limita a cinco veces el número de intentos de conexión de un usuario, con una base de datos que contenga datos de carácter personal. Cuando este hecho se produzca, se dará de alta una línea en el correspondiente libro de incidencias a efectos de tomar las oportunas medidas de seguridad.
Artículo 13.- Para dar cumplimiento a lo establecido en el artículo 21 del R.D. 994/1999, el Pleno, como responsable del fichero podrá adoptar decisión autorizando de modo genérico y con carácter previo cualesquiera procesos de respaldo que fueran necesarios para el correcto funcionamiento de los Servicios Informáticos, siempre que estos respaldos estén motivados por causas técnicas normales. En casos excepcionales será imprescindible la preceptiva autorización previa a la recuperación de datos que se realizará mediante acuerdo plenario, reflejándose siempre estos respaldos en el libro de incidencias.
Artículo 14.- Se procurará que los libros restringidos que se citan en este reglamento estén informatizados, y cuando deban imprimirse para recoger las correspondientes firmas se harán sobre papel numerado y sellado previamente.
Artículo 15.- No se autoriza a los programadores a realizar pruebas con datos reales, cuando un analista y director de proyecto necesite hacerlo, tiene la obligación de eliminar los datos que haya duplicado o convertido inmediatamente después de la prueba, y no modificar jamás los datos originales sin el consentimiento del usuario responsable.
Artículo 16.- A los documentos generados en soporte papel como consecuencia de los procesos que se apliquen a los ficheros automatizados y que además contengan información relativa a Datos de Carácter Personal, no podrán ser utilizados para fines distintos para los que han sido emitidos, deberán ser custodiados por el responsable del tratamiento y se les aplicará la normativa de protección específica del Título II de este Reglamento.
Título II: Del tratamiento de los Datos de Carácter Personal en otros soportes.
Artículo 17.- A efectos de este Reglamento se deben diferenciar las consultas realizadas por los propios interesados en los procedimientos administrativos no finalizados, las consultas internas realizadas por las diferentes unidades productoras de la documentación o por los representantes corporativos y las consultas públicas o externas, es decir las efectuadas por los ciudadanos en general.
Artículo 18.- El acceso a los documentos de carácter nominativo que contengan datos de carácter personal y que formen parte de expedientes contengan datos de carácter personal y que formen parte de expedientes correspondientes a procedimientos administrativos no terminados se regirán por lo establecido en la Ley 30/1992, de 26 de noviembre, de régimen jurídico de las Administraciones Públicas y del Procedimiento Administrativo común y demás normas de general y especial aplicación en las que se regula el régimen jurídico del acceso de los interesados a los expedientes administrativos.
Artículo 19.- Los documentos que contengan datos referentes a la intimidad de las personas y aquellos otros que contengan información relativa a la seguridad, honor, intimidad e imagen de las personas, o sean objeto de algún régimen de protección, sólo podrán ser consultados en los términos establecidos en la legislación estatal y autonómica sobre patrimonio documental, régimen jurídico de las administraciones públicas, propiedad intelectual, protección de datos informáticos y otras aplicables.
Artículo 20.- La entrada a los depósitos de archivo quedará restringida al personal acreditado de la oficina correspondiente donde se guardan los documentos. En ocasiones excepcionales, se podrá permitir a los usuarios la entrada a los depósitos en presencia de personal responsable del archivo correspondiente.
Artículo 21.- Los archivos de oficina y central de esta Diputación Provincial llevarán un libro registro de consultas de la documentación que contenga datos de carácter personal en los que se reflejará el contenido de la «Hoja de Solicitud de Consulta». Estos libros se formalizaran oficialmente mediante el sellado, numerado y rubricado de todas y cada una de sus páginas por el Jefe de Servicio correspondiente. Los libros se custodiaran durante un período de dos años, transcurrido el cual se enviaran al Archivo Central donde podrán ser destruidos.
Las «Hojas de Solicitud de Consulta» cumplimentadas por los usuarios deberán recoger los datos que identifiquen al solicitante, la fecha de solicitud y la descripción precisa de la documentación requerida.
Artículo 22.- Los responsables de los archivos de oficina y central se reservan el derecho a solicitar la presentación del D.N.I. o de cualquier otro documento que permita la identificación del peticionario.
Artículo 23.- Las personas que deseen consultar documentos de archivo que contengan datos de carácter personal de menos de cincuenta años de antigüedad, y obtener copias o fotocopias de ellos, deberán solicitarlo por escrito mediante instancia presentada en el Registro General de la Diputación en la que se acredite su identidad, los motivos de la consulta, el tema y las fechas de los documentos solicitados. Cualquier denegación de consulta deberá realizarse mediante resolución motivada.
Artículo 24.- Si los solicitantes son investigadores que acrediten un interés histórico, científico o cultural relevante podrán acceder a esa documentación, una vez demostrada su finalidad, siempre que se comprometan por escrito a no hacer mención en ella de datos cualitativos que identifiquen a las personas afectadas, respetando su intimidad. La obtención de reproducción de esos documentos estará supeditada a la autorización de los interesados.
Artículo 25.- Los documentos de archivo de la Diputación Provincial de Albacete que contengan datos de carácter personal sólo podrán ser consultados por los servicios administrativos y por los miembros de la Corporación de conformidad con lo previsto en el presente Reglamento y demás normas de general y especial aplicación.
El acceso a estos documentos por parte de los Diputados Provinciales está regulado en el vigente Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Corporaciones Locales, siendo el procedimiento a seguir el establecido en ese texto normativo, en las disposiciones dictadas en el desarrollo de aquél y de conformidad con lo dispuesto en el presente Reglamento.
Artículo 26.- Siempre que se solicite un documento que contenga datos de carácter personal, por parte de una oficina provincial o de un miembro de la Corporación, previamente deberá cumplimentar la «Hoja de Solicitud de Consulta» en la que quede identificado el solicitante, la unidad administrativa a la que pertenece, el documento requerido con su signatura de localización y la fecha de solicitud. Esta petición quedará validada con la firma del interesado.
Artículo 27.- La formalización de la consulta será efectiva con la entrega del documento solicitado y con la devolución de un ejemplar de la hoja de solicitud firmado por la persona que corresponda.
Artículo 28.- En todo caso, en una misma hoja sólo podrá ser solicitado un único documento, que contenga datos de carácter personal, sea simple o compuesto (expediente o registro), por lo que se deberán cumplimentar tantas hojas como documentos requeridos.
Artículo 29.- Si una unidad administrativa necesita consultar documentación que contenga datos de carácter personal, ya custodiada en el Archivo Central generada por otra dependencia deberá obtener autorización de ésta si por su contenido así lo determina el Servicio de Archivo.
Artículo 30.- La responsabilidad en la custodia de los documentos que contengan datos de carácter personal, mientras permanezcan fuera de archivo, corresponde a los peticionarios que solicitan la consulta. Una vez devueltos se deberá firmar el apartado «Devolución» de la «Hoja de Solicitud de Consulta», tanto por el peticionario como por el Archivero-Bibliotecario, o persona en quien delegue. A partir de ese momento de nuevo es el Servicio de Archivo quién asume la responsabilidad de conservación del documento.
Artículo 31.- Los expedientes, libros y otros documentos generados por la Diputación Provincial que contengan datos de carácter personal podrán salir de sus dependencias, además de por consulta interna, para su utilización por los órganos judiciales.
Siempre que se considere preciso se realizará una copia autorizada completa del documento que tenga que salir de las dependencias provinciales por las causas ya descritas.

Disposiciones derogatorias

1. Quedan derogadas todas las normas de igual o inferior rango en lo que contradigan o se opongan a lo dispuesto en el presente Reglamento .
2. Queda derogado expresamente el Reglamento de Seguridad de Datos de Carácter Personal que posee en sus sus sistemas de información automatizados esta Excma. Diputación Provincial, publicado en el Boletín Oficial e la Provincia de fecha 30 de mayo de 2001.
Disposición Final
Este Reglamento entrará en vigor a los 15 días contados a partir de su publicación en el Boletín Oficial de la Provincia.
Albacete, 27 de junio de 2006.- El Presidente, Pedro Antonio Ruiz Santos.