Agencia Estatal Boletín Oficial del Estado

El Real Decreto 355/2004, de 5 de marzo, reguló la organización y contenido del Registro central para la protección de víctimas de la violencia doméstica, así como los correspondientes procedimientos de inscripción, cancelación y consulta de información. La finalidad del citado registro es facilitar a los órganos judiciales del orden penal, al Ministerio Fiscal, a la Policía Judicial y a los órganos judiciales del orden civil que conozcan de los procedimientos de familia la información precisa para la tramitación de causas penales y civiles, así como para la adopción, modificación, ejecución y seguimiento de las medidas de protección de dichas víctimas.

Los artículos 5 a 8 del citado Real Decreto establecen que tanto la transmisión de datos a dicho Registro como el acceso a la información en él contenida se llevará a cabo telemáticamente. Por su parte, el apartado 1 de su disposición transitoria primera determina que la comunicación telemática de datos al Registro central constituirá el canal único y obligatorio de transmisión de la información al Registro, una vez entre en vigor el Protocolo general de seguridad informática de los registros de la Administración de Justicia, para cuya aprobación, por orden ministerial, se concede el plazo de tres meses. No obstante, el artículo 7.3 prevé que cuando las circunstancias técnicas impidieran esta transmisión telemática, la misma se realizará mediante la remisión al encargado del Registro de los modelos cumplimentados que se contienen en los anexos I.b y II.b del Real Decreto.

Al amparo de lo dispuesto en estas disposiciones y con observancia a las previsiones de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, esta Orden aprueba el Protocolo general de seguridad informática de los registros de la Administración de Justicia, dando cumplimiento así a lo previsto en la citada Disposición Transitoria. El citado Protocolo se concibe como el conjunto de directrices al que deben ajustarse los documentos de seguridad de los registros gestionados por el Ministerio de Justicia que sirven de apoyo a los órganos jurisdiccionales en el ejercicio de sus funciones.

En su virtud, dispongo:

Primero. Objeto.-Constituye el objeto de esta Orden la aprobación del Protocolo general de seguridad informática de los Registros de la Administración de Justicia, regulando las directrices de seguridad que deberán respetar sus correspondientes documentos de seguridad.

Segundo. Ámbito de aplicación.-El Protocolo general de seguridad informática se aplicará a los registros administrativos gestionados por el Ministerio de Justicia que almacenen y traten datos suministrados por los órganos jurisdiccionales y cuya finalidad sea proporcionar apoyo e información a los juzgados y tribunales en el ejercicio de sus funciones.

A estos efectos, quedan incluidos en el ámbito de aplicación del citado Protocolo los siguientes registros:

a) Registro central para la protección de las víctimas de la violencia doméstica.

b) Registro central de rebeldes civiles.

c) Registro de medidas cautelares en el ámbito penal.

d) Registro de sentencias firmes sobre responsabilidad penal de los menores.

e) Registro central de penados y rebeldes, sin perjuicio de lo dispuesto en el artículo 2.3 d) de la Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

f) Cualesquiera otro que pudiera existir en el futuro y por cuyo contenido y finalidad le fuera de aplicación la Presente Orden.

Tercero. Funciones y obligaciones del personal.

1. El personal afectado por esta normativa se clasifica en dos categorías:

a) Administradores del sistema, encargados de administrar o mantener el entorno operativo del Registro.

b) Usuarios del registro, o personas autorizadas al acceso al mismo.

2. Además del personal anteriormente citado existirán el responsable o los responsables de seguridad, que será el designado o designados por el Responsable del Fichero para coordinar y controlar las medidas de seguridad conforme a lo establecido en el artículo 16 del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

3. En cada uno de los documentos de seguridad relativos al registro de que se trate se describirán individualmente los puestos de trabajo, determinando la categoría a que pertenecen, y las normas de seguridad que deban observar.

4. Deberá mantenerse respecto de cada Registro una relación de los usuarios y administradores del mismo, en la que se especificarán las funciones y obligaciones correspondientes a sus respectivos perfiles.

Se adoptarán las medidas necesarias para que los usuarios y administradores de cada registro conozcan las normas de seguridad, contenidas en el documento de seguridad, que afecten al desarrollo de sus funciones, y las consecuencias que pudieran derivarse de su incumplimiento.

Cuarto. Normas y procedimientos de seguridad.

1. Los locales donde se ubiquen los ordenadores que contengan los ficheros de los Registros serán objeto de especial protección a fin de garantizar la disponibilidad y confidencialidad de los datos protegidos de forma que únicamente podrán acceder a dichos locales las personas autorizadas por el documento de seguridad.

2. Al estar los ficheros ubicados en ordenadores y poder contar con unas conexiones que les comunican con otros ordenadores, a fin de evitar que las personas que conozcan estos entornos accedan a los datos protegidos sin pasar por los procedimientos de control de acceso con los que pueda contar la aplicación, se regulará el uso y acceso al sistema operativo, herramientas o programas de utilidad o al entorno de comunicaciones de forma que se imposibilite el acceso no autorizado a los datos de los ficheros de los Registros.

3. Para el acceso a los Registros de la Administración de Justicia existirá un sistema que permita en todo caso la identificación del usuario y dote al mismo de contraseñas confidenciales y personales que habrán de ser modificadas con la periodicidad que determine el documento de seguridad, limitándose así mismo el número de intentos fallidos de acceso no autorizado al sistema de información.

4. Cualquier incidencia que pueda afectar a la seguridad de los datos contenidos en los Registros, entendida aquella bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos, deberá ser anotada en la forma establecida en los artículos 10 y 21 del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, y demás normativa aplicable al Registro de que se trate.

5. Se deberá garantizar la seguridad en el almacenaje de los soportes informáticos utilizados en la grabación y recuperación de datos, de manera que no sean accesibles a personas no autorizadas y observando, en su caso, las medidas previstas en el artículo 13 del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

En el supuesto de que los medios utilizados permitieran su reutilización, los datos contenidos en aquellos deberán ser previamente borrados o en su caso destruidos a fin de evitar su indebida recuperación. Los soportes de datos desechados, así como los listados o impresos fallidos u obsoletos deberán ser destruidos de forma que los datos no puedan ser recuperados.

Para ello se habilitará un protocolo especial que establezca los mecanismo para esa destrucción.

6. Con carácter general la transmisión de datos por medio de correo electrónico o mediante sistemas de transferencia de ficheros, deberá garantizar su confidencialidad, autenticidad e integridad. Cuando se transmitan datos de carácter personal sometidos a medidas de seguridad de nivel alto a través de redes de telecomunicaciones, deberá cifrarse o utilizar cualquier mecanismo que garantice que la información no sea inteligible ni manipulable por terceros.

7. En los supuestos en que así se exigiera por la normativa aplicable al Registro, el sistema informático que fuera de aplicación al mismo, deberá realizar la anotación de todo acceso que se efectúe, y, en su caso, de los intentos fallidos de acceso que hubieran acontecido así como la información prevista en el artículo 24 del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

8. Deberán cumplirse las demás normas de seguridad que sea exigido observar conforme a lo dispuesto en la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, y en la demás normativa aplicable al Registro de que se trate.

Disposición Transitoria Única. Adecuación de los Documentos de Seguridad al Protocolo General de Seguridad Informática.

Los documentos de seguridad de los Registros de la Administración de Justicia incluidos en el ámbito de aplicación de esta Orden, deberán, en su caso, adecuarse al contenido del Protocolo general de seguridad informática en el plazo de un año desde su entrada en vigor, sin perjuicio de la necesaria implantación de las medidas de seguridad en los plazos previstos en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

Disposición Final Única. Entrada en vigor.-Esta Orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del Estado.

Madrid, a 26 de julio de 2004.

LÓPEZ AGUILAR

Excmo. Sr. Secretario de Estado de Justicia. Ilmo. Sr. Director general de Relaciones con la Administración de Justicia.