Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2018-12766

Resolucin de 14 de septiembre de 2018, del Instituto Nacional de la Seguridad Social, por la que se establecen las prescripciones tcnicas necesarias para el desarrollo y aplicacin de la "Tarjeta Social Universal".

TEXTO

La Tarjeta Social Universal es un sistema de informacin creado por la disposicin adicional centsima cuadragsima primera de la Ley6/2018, de3 de julio, de Presupuestos Generales del Estado para el ao2018, destinado a mejorar y coordinar las polticas de proteccin social impulsadas por las diferentes administraciones pblicas.

Constituye un fichero con datos de carcter personal que incluye la informacin actualizada correspondiente a todas las prestaciones sociales contributivas, no contributivas y asistenciales de contenido econmico, reconocidas a los ciudadanos y financiadas con cargo a recursos de carcter pblico. Adems recoge una informacin paramtrica y actualizada sobre determinadas situaciones subjetivas, y ofrece, en base a dicha informacin, funcionalidades y utilidades a las distintas administraciones pblicas, as como a aquellas entidades afectadas que colaboren con el sistema.

La Ley Orgnica15/1999, de13 de diciembre, de Proteccin de Datos de Carcter Personal, obliga a los responsables de los ficheros, as como a los encargados del tratamiento de datos, a la adopcin de medidas de ndole tcnica y organizativa necesarias que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de27 de abril de2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos y por el que se deroga la Directiva95/46/CE (Reglamento general de proteccin de datos), representa la continuacin de la ley orgnica anterior, por la que el responsable del fichero pasa a llamarse responsable del tratamiento y adquiere ms poder y, a la vez, ms obligaciones de asistencia a los titulares del dato y a una seguridad activa.

Por otra parte, el Real Decreto3/2010, de8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, obliga a los responsables de los sistemas de informacin a clasificar sus sistemas y aplicar, en consecuencia, y de acuerdo con un anlisis de los riesgos de seguridad, las medidas de seguridad necesarias que combatan dichos riesgos.

El texto refundido de la Ley General de la Seguridad Social, aprobado por Real Decreto Legislativo8/2015, de30 de octubre, en su artculo77, dispone que los datos, informes o antecedentes obtenidos por la Administracin de la Seguridad Social en el ejercicio de sus funciones tienen carcter reservado y slo podrn utilizarse para los fines encomendados a las distintas entidades gestoras y servicios comunes de la Seguridad Social, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesin o comunicacin tenga por objeto alguno de los que expresamente se enumeran en dicho artculo.

La disposicin adicional centsima cuadragsima primera de la Ley6/2018, de3 de julio, de Presupuestos Generales del Estado para el ao2018, por la que se crea la Tarjeta Social Universal prev su desarrollo reglamentario, actualmente en tramitacin.

A su vez la disposicin final cuadragsima sexta del mismo texto establece que, sin perjuicio de la entrada en vigor de la disposicin adicional centsima cuadragsima primera al da siguiente de la publicacin de la Ley de Presupuestos Generales del Estado, la efectividad prctica de la puesta en funcionamiento del Sistema de Tarjeta Social Universal se producir a los tres meses de la fecha anterior.

En virtud de lo anterior, esta Direccin General, en uso de las atribuciones que tiene conferidas, resuelve:

Primero.

1. Aprobar las prescripciones tcnicas necesarias para el desarrollo y aplicacin de la Tarjeta Social Universal.

2. Ordenar su publicacin en el Boletn Oficial del Estado.

Segundo.

La presente Resolucin entra en vigor a partir del da siguiente a su publicacin en el Boletn Oficial del Estado.

Prescripciones tcnicas necesarias para el desarrollo y aplicacin de la Tarjeta Social Universal

I. Objeto y responsabilidad

Las presentes prescripciones tcnicas tienen por objeto establecer los requisitos necesarios para el desarrollo de la administracin, gestin y mantenimiento del sistema de la Tarjeta Social Universal (en adelante, el sistema), as como para asegurar su funcionamiento e interoperabilidad.

El responsable del tratamiento del sistema ser el Instituto Nacional de la Seguridad Social.

La persona titular de la Subdireccin General de Gestin de Prestaciones, como responsable de dicho tratamiento, adoptar las medidas de gestin y organizacin que sean necesarias para asegurar la confidencialidad, seguridad e integridad de los datos, as como las conducentes a hacer efectivas las garantas, obligaciones y derechos reconocidos en la legislacin sobre proteccin de datos.

II. mbito de aplicacin

Las presentes prescripciones tcnicas sern de aplicacin a:

a) Los rganos y organismos pblicos de la Administracin General del Estado, de las Administraciones de las Comunidades Autnomas y Ciudades Autnomas de Ceuta y Melilla, y de las Administraciones que integran la Administracin Local, obligadas a transmitir la informacin que conforma el Registro de Prestaciones Sociales Pblicas as como aquellas otras que participen en el sistema de la Tarjeta Social Universal.

b) Las mutuas colaboradoras con la Seguridad Social.

c) Las entidades del sector privado vinculadas o dependientes de las Administraciones Pblicas.

d) Las empresas colaboradoras en la gestin de la Seguridad Social.

III. Administradores y usuarios

1. En la Direccin General del Instituto Nacional de la Seguridad Social corresponde al titular de la Subdireccin General de Gestin de Prestaciones, bajo la direccin, planificacin y control de la Direccin General, ejercer las funciones de administrador ejecutivo, siendo responsable de las normas y planes de actuacin que se establezcan en materia de seguridad y confidencialidad de la informacin.

El Administrador ejecutivo nombrar varios Administradores, que sern los responsables de autorizar a los usuarios del sistema, en la Direccin General del Instituto Nacional de la Seguridad Social, as como del control de las autorizaciones de acceso al sistema por las entidades externas.

En las direcciones provinciales los Administradores del sistema sern los Directores provinciales, que podrn designar a dos Administradores ms, siendo todos ellos los responsables de autorizar a los usuarios de la direccin provincial, vigilando la aplicacin de las normas y planes de actuacin establecidos en materia de seguridad y confidencialidad de la informacin.

2. Las entidades externas que tengan autorizacin de acceso al sistema debern contar con uno o varios Administradores, que sern los responsables de designar a sus propios usuarios, controlando que las autorizaciones se limiten al mbito exclusivo y concreto de sus funciones como gestores del sistema.

La designacin de los Administradores, as como cualquier modificacin de los mismos, deber comunicarse al Instituto Nacional de la Seguridad Social de acuerdo con la informacin publicada al efecto, en www.seg-social.es.

3. La Gerencia de Informtica de la Seguridad Social, de acuerdo con las competencias que le son atribuidas en la disposicin adicional segunda del Real Decreto903/2018, de20 de julio, por el que se desarrolla la estructura orgnica del Ministerio de Trabajo, Migraciones y Seguridad Social:

Dispondr de un Registro de Administradores y Usuarios permanentemente actualizado, autorizacin y autenticacin.

Establecer el soporte tcnico con los mecanismos de seguridad necesarios para la autorizacin y autenticacin de los usuarios al sistema.

Se entiende por autorizacin el permiso para el acceso al sistema y por autenticacin la comprobacin de la identidad del usuario que accede al mismo.

Cada usuario contar con una credencial para el acceso al sistema compuesta de un cdigo de acceso y una contrasea elegida por el usuario. Esta credencial es personal e intransferible. Todos sus accesos quedarn registrados y referenciados a estas credenciales.

Cada organismo recordar peridicamente a sus administradores y usuarios que estn obligados al cumplimiento de la normativa en materia de proteccin de datos y a hacer un buen uso de la informacin a la que tienen acceso.

Cuando un usuario lleve ms de tres meses sin conectarse al sistema, su permiso de acceso podr ser cancelado, siendo necesario para reactivarlo la intervencin del Administrador.

Los usuarios que accedan al sistema de informacin y los auditores se regirn por lo dispuesto en la Orden de17 de enero de1996, sobre control de accesos al sistema informtico de la Seguridad Social.

IV. Auditoras de accesos y mbito

El Instituto Nacional de la Seguridad Social, en cumplimiento de las obligaciones que adquiere como responsable del tratamiento a efectos de la legislacin de proteccin de datos de carcter personal y del Esquema Nacional de Seguridad, deber someter el sistema a auditoras peridicas que verifiquen el cumplimiento de las medidas de ndole tcnica y organizativa necesarias para garantizar su seguridad. A estos efectos, establecer los mecanismos necesarios de revisin del uso de la informacin almacenada en el sistema.

El Instituto Nacional de la Seguridad Social definir en cada momento, en colaboracin con la Gerencia de Informtica de la Seguridad Social, las caractersticas de las herramientas y aplicaciones que sean necesarias para el desarrollo de las funciones de auditora, control de accesos y seguimiento de rastros de actividad de los usuarios en su acceso al sistema, as como la determinacin de los perfiles que podrn tener los diferentes usuarios segn las funciones que realicen: Administradores, usuarios y auditores.

Las Administraciones Pblicas, Organismos y Entidades Pblicas que se incorporen al sistema, debern aceptar los procedimientos de auditora previstos por el Instituto Nacional de la Seguridad Social y aplicarlos al personal usuario de los mismos, en las mismas condiciones tcnicas y organizativas que el Instituto Nacional de la Seguridad Social efecta respecto de su personal autorizado.

Cada usuario ser responsable de todos los accesos que se realicen mediante el uso de su contrasea personal y del cdigo de acceso que se le haya facilitado como medio de autorizacin. A tal fin deber mantener la custodia y secreto de la mencionada contrasea, as como vigilar posibles usos ajenos, denunciando cualquier transgresin.

Cada Administrador, usuario y auditor tendr un solo cdigo para la realizacin de los accesos que tenga permitidos.

La competencia para la realizacin de las auditorias corresponde a:

A) Los Administradores de auditoras de categora mxima de la Direccin General del Instituto Nacional de la Seguridad Social como responsables del sistema de auditoras (titular de la Direccin General como Administrador de categora mxima de los tratamientos y el titular de la Secretara General como unidad competente de anlisis, propuesta y desarrollo de actuaciones en materia de control y evaluacin de los servicios).

B) Los rganos competentes en el Sistema Nacional de Auditoras (Auditor Delegado Nacional y Unidad Nacional de Auditoras, dependientes de la Secretara General del Instituto Nacional de la Seguridad Social).

C) Los rganos de control en materia de auditoras en la Direccin General del Instituto Nacional de la Seguridad Social (titulares de la Secretara General y las Subdirecciones Generales como administradores de auditoras de sus respectivas unidades).

D) Los rganos de control en materia de auditoras en las direcciones provinciales del Instituto Nacional de la Seguridad Social (titulares de las Direcciones Provinciales).

E) Los rganos de control en materia de auditoras en las Administraciones Pblicas y entidades externas (Responsables, designados por las Administraciones pblicas y entidades externas).

Se establecen las siguientes limitaciones:

a) En la Direccin General del Instituto Nacional de la Seguridad Social el mbito de la auditora debe coincidir con el total de usuarios en servicio.

A criterio de los titulares de la Secretara General y las Subdirecciones Generales, como administradores de auditoras y bajo su coordinacin, puede designarse ms de un auditor cuando se considere oportuno por razn del volumen de usuarios o por estar la unidad estructurada en subdepartamentos.

b) En las direcciones provinciales del Instituto Nacional de la Seguridad Social el mbito de la auditora coincide con el total de usuarios destinados en las mismas. A criterio del titular de la Direccin Provincial, como administrador de auditoras y bajo su coordinacin, podrn designarse dos o ms Auditores Delegados provinciales para asumir las funciones de auditora del personal de la Direccin Provincial, si ste es numeroso.

c) Las Administraciones Pblicas y entidades externas deben ser siempre auditadas de forma independiente al personal del Instituto Nacional de la Seguridad Social, por sus responsables o personas que les sustituyan.

V. Usos indebidos

Se considerar uso indebido el acceso al sistema que obedezca a objetivos que difieran de la gestin concreta, atribuida al rgano o unidad en la que se encuadre el usuario responsable del acceso efectuado.

Tendrn adems, la consideracin de usos indebidos las siguientes actuaciones:

a) El acceso al sistema con la finalidad de obtener informacin de los titulares de los datos no requerida por la gestin encomendada.

b) Crear bases de datos paralelas a la del sistema.

c) Hacer uso de los datos del sistema para otra finalidad sin la autorizacin expresa y por escrito del Instituto Nacional de la Seguridad Social.

Los rganos directivos de la Seguridad Social y de las entidades externas son los responsables directos de comunicar inmediatamente al Instituto Nacional de la Seguridad Social, de acuerdo con el procedimiento que se establezca, los usos indebidos que se hayan producido.

La deteccin de accesos no justificados o improcedentes, el uso indebido de datos, la utilizacin ilcita de las transacciones o cualquier otro tipo de anomala, motivar la adopcin con carcter inmediato de las medidas pertinentes, pudiendo dar lugar a la exigencia de las responsabilidades a las que se refieren los apartados2 y3 del artculo77 del texto refundido de la Ley General de la Seguridad Social.

En todo caso, cuando se observe el uso indebido, el responsable del tratamiento dar inmediato traslado de los hechos a la Agencia Espaola de Proteccin de Datos.

Madrid, 14 de septiembre de2018.–La Directora General del Instituto Nacional de la Seguridad Social, M. Gloria Redondo Rincn.

Análisis

  • Rango: Resolucin
  • Fecha de disposición: 14/09/2018
  • Fecha de publicación: 20/09/2018
  • Entrada en vigor: 21 de septiembre de 2018.
Referencias posteriores

Criterio de ordenación:

  • CORRECCIN de errores en BOE nm. 241 de 5 de octubre de 2018 (Ref. BOE-A-2018-13580).
Referencias anteriores
  • DE CONFORMIDAD con las disposiciones adicional 141 y final 46 de la Ley 6/2018, de 3 de julio (Ref. BOE-A-2018-9268).
Materias
  • Asistencia social
  • Ficheros con datos personales
  • Instituto Nacional de la Seguridad Social
  • Seguridad Social

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid