El sistema informático de la Seguridad Social y las bases de datos que en él se soportan constituyen un elemento básico para la gestión del sistema de la Seguridad Social que debe ser objeto de una especial protección, a fin de que el mismo cumpla los requisitos de disponibilidad, integridad y confidencialidad precisos.
A tal fin, las funciones que se puedan realizar a través del sistema informático de la Seguridad Social han de estar realizadas de forma que, por una parte, faciliten elaboraciones específicas y concretas de gestión y, de otra, establezcan unos sistemas de control en el acceso a la información que salvaguarden la integridad y la confidencialidad de los datos contenidos en el sistema, máxime teniendo en cuenta las obligaciones que, en relación con los ficheros automatizados, se prevén en el artículo 10 de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal.
Por todo ello, y de conformidad con lo dispuesto en el artículo 45.3 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se hace preciso establecer los criterios básicos de regulación de un sistema de control de acceso al sistema informático de la Seguridad Social que tengan en cuenta las orientaciones antes indicadas.
En su virtud, a propuesta de la Secretaría General para la Seguridad Social, en uso de las atribuciones que me han sido conferidas por el Real Decreto 530/1985, de 8 de abril, he tenido a bien disponer:
Artículo 1. Ambito de aplicación.
1. La presente Orden será de aplicación a la información contenida en el «sistema de información de la Seguridad Social» y su correspondiente sistema informático, regulando el uso de dicha información, conforme a las normas y principios de la Ley Orgánica 5/1992, de 29 de octubre, de tratamiento automatizado de los datos de carácter personal.
2. El «sistema de información de la Seguridad Social» está constituido por el conjunto de datos, procedimientos y tratamientos informáticos relativos a las personas físicas y jurídicas comprendidas en el ámbito de aplicación del sistema de la Seguridad Social.
Los soportes informáticos del «sistema de información de la Seguridad Social» están constituidos por las bases de datos, las aplicaciones informáticas para el mantenimiento y explotación de las mismas, la Red de comunicaciones de datos de la Seguridad Social y el sistema de control de accesos y de interconexión, así como todos los ordenadores y terminales instalados en los Servicios Centrales, Direcciones Provinciales, Direcciones y Oficinas Locales, Administraciones, Agencias y Centros de Atención e Información de las Entidades gestoras y Servicios comunes de la Seguridad Social, Instituto Nacional de Empleo y demás órganos dependientes del Ministerio de Trabajo y Seguridad Social, así como cualquier otro organismo público o privado, empresas, profesionales o personas con acceso autorizado.
Artículo 2. Principios de configuración de la seguridad del «sistema de información de la Seguridad Social».
La configuración de la seguridad del «sistema de información de la Seguridad Social» tendrá como finalidad la consecución de los siguientes objetivos:
a) Confidencialidad, de manera que se asegure que la información está disponible solamente para aquellos usuarios que estén debidamente autorizados para acceder a la misma y que se utiliza exclusivamente por aquéllos para sus cometidos concretos de gestión, en la forma, tiempo y condiciones determinados en la autorización respectiva.
b) Integridad, garantizando que únicamente los usuarios autorizados, y en la forma y con los límites de la autorización, puedan crear, utilizar, modificar o suprimir la información.
c) Disponibilidad, de forma que los usuarios autorizados tengan acceso a la información en la forma y cuando lo requieran para los exclusivos cometidos de la gestión encomendada.
Artículo 3. Sistema de control de acceso al «sistema de información de la Seguridad Social».
El acceso a la información contenida en el «sistema de información de la Seguridad Social» deberá ser objeto de la implantación de los correspondientes controles. En tal sentido:
a) Se asignará a cada usuario el perfil de las posibilidades de acciones que puede realizar, que estará restringido al ámbito exclusivo y concreto de sus funciones como gestor del sistema.
b) Todos los usuarios autorizados a acceder al sistema deberán quedar identificados y autentificados, de forma que en todo momento pueda conocerse el usuario y los motivos por los que se accedió a la correspondiente información contenida en el sistema.
c) Con periodicidad al menos mensual se efectuarán auditorías de las operaciones realizadas por cada usuario.
d) La administración de las autorizaciones y asignación de perfiles se efectuará por la Entidad gestora, Servicio común u organismo responsable, pudiendo delegarse en cada una de ellas las autorizaciones de forma jerárquica y en el ámbito de sus competencias funcionales.
Artículo 4. Administración del sistema de seguridad del «sistema de información de la Seguridad Social».
1. La Gerencia de Informática de la Seguridad Social será la entidad encargada y responsable del diseño, construcción y mantenimiento del sistema informático de confidencialidad para el seguimiento y control de los accesos a la información disponible.
Asimismo, la Gerencia de Informática de la Seguridad Social realizará la distribución de las aplicaciones entre las Entidades gestoras y Tesorería General de la Seguridad Social, de acuerdo con la responsabilidad funcional de cada una de ellas y conforme a las directrices del respectivo Director general, manteniendo el inventario de las transacciones implementadas.
2. La administración de los perfiles correspondientes se llevará a cabo por la Entidad gestora o Servicio común respectivo, en cuanto sea responsable de las funciones de gestión a realizar.
A tal finalidad, la Gerencia de Informática de la Seguridad Social mantendrá el inventario de transacciones informáticas que, a efectos de autorización y control, sean responsabilidad de cada una de las Entidades gestoras y Servicios comunes de la Seguridad Social.
Artículo 5. Autorización.
1. La administración del sistema se basará en la asignación de perfiles de autorización a los distintos usuarios de acuerdo con las funciones desempeñadas por los mismos.
2. La Gerencia de Informática de la Seguridad Social realizará la autorización inicial de acceso a cada aplicación a los Administradores de categoría máxima de la Entidad gestora o Servicio común responsable de la misma.
3. Solamente podrán ser facultados para la asignación de nuevas autorizaciones de acceso al sistema, como Administradores de categoría máxima, los Directores generales de las Entidades gestoras y Tesorería General de la Seguridad Social, el Director general de Informática y Estadística del Ministerio de Trabajo y Seguridad Social y el Gerente de Informática de la Seguridad Social, quienes podrán designar un suplente a tales efectos.
4. Los Directores generales citados en el párrafo anterior y el Gerente de Informática de la Seguridad Social podrán delegar la asignación de nuevas autorizaciones de acceso y estos Administradores podrán autorizar accesos y transacciones en usuarios de jerarquía inferior, hasta un máximo de cuatro niveles de autorizaciones, concretando las aplicaciones a cuyo acceso se extiende la autorización. Los Administradores del primer nivel podrán, a su vez, designar un suplente que les sustituya a los efectos previstos en este número.
5. Cada uno de los Administradores a que se refieren los números anteriores se responsabilizará de la asignación de los perfiles de autorización a cada usuario, que deberán corresponderse con las necesidades concretas de gestión, y vigilará la correcta utilización de las autorizaciones concedidas.
En el ámbito de sus respectivas competencias y funciones, los Directores generales de las Entidades gestoras y Servicios comunes de la Seguridad Social, a los que corresponde la titularidad de los datos disponibles en los ficheros automatizados, serán responsables de su utilización, en lo que respecta a la gestión que cada uno de ellos tiene encomendada, conforme a lo previsto en el apartado d), artículo 3 de la Ley Orgánica 5/1992, de 29 de octubre.
6. En el plazo de un mes, a partir de la entrada en vigor de la presente Orden, se procederá a revisar las autorizaciones de acceso a la información del sistema, de acuerdo con los criterios contenidos en la misma, debiendo quedar sin efecto, a partir de la indicada fecha, cuantas autorizaciones hubiesen sido efectuadas con anterioridad y no hubieran sido confirmadas en dicho plazo.
Artículo 6. Utilización de la información.
1. Cada usuario, debidamente autorizado, adquiere el compromiso de utilización de las transacciones informáticas con los fines exclusivos de gestión para los que ha sido autorizado.
2. Todo acceso al «sistema de información de la Seguridad Social» deberá estar relacionado con un objetivo concreto de gestión encomendado al usuario, y siempre que el mismo haya sido previamente autorizado para la realización de la correspondiente transacción.
3. Cada usuario será responsable de todos los accesos que se realicen mediante el uso de su contraseña personal y del código de acceso que se le haya facilitado como medio de autorización.
A tal fin deberá mantener la custodia y secreto de la mencionada contraseña, así como vigilar, mediante el sistema de auditoría que esté establecido al efecto, posibles usos ajenos denunciando cualquier transgresión.
Cada usuario o Administrador tendrá un solo código para la realización de los accesos o transacciones que tenga permitidos.
4. El acceso a la información de la Seguridad Social por un usuario no autorizado, la realización de transacciones informáticas que no estén relacionadas con un objetivo concreto de gestión, la asignación de perfiles de utilización a otras personas para el uso de transacciones no necesarias para la gestión que tienen encomendada, o la revelación o falta de diligencia en la custodia y secreto de su contraseña de acceso darán lugar a la exigencia de las responsabilidades administrativas o de otra naturaleza en que se hubiese podido incurrir y, en concreto, la establecida en el título VII de la Ley Orgánica 5/1992, de 29 de octubre.
En el supuesto de que las actuaciones señaladas hubiesen sido cometidas por un funcionario público, las mismas podrán dar lugar a la incoación del oportuno expediente disciplinario a tenor de lo previsto en el apartado f), letra i), del artículo 7.º del Reglamento de Régimen Disciplinario de los Funcionarios de la Administración del Estado, aprobado por Real Decreto 33/1986, de 10 de enero.
De igual modo, las conductas señaladas en los párrafos anteriores darán lugar a la supresión de la autorización previamente concedida.
Artículo 7. Auditoría del sistema.
1. Los Administradores de categoría máxima indicada en el punto 3 del artículo 5 de la presente Orden, a través de la auditoría del sistema, vigilarán el estricto uso de las autorizaciones de acceso que se hayan otorgado y adoptarán, en su caso, las medidas correctoras que estimen oportunas, exigiendo las responsabilidades pertinentes en cada caso, de conformidad con lo previsto en el artículo anterior.
2. Con una periodicidad no superior a un mes se procederá a la revisión y al análisis de los rastros de auditoría proporcionados por el sistema, a fin de verificar la utilización correcta de la información y garantizar la pronta detección del uso indebido de los datos contenidos en la misma.
3. Por la Gerencia de Informática de la Seguridad Social se establecerán los procedimientos y se implantarán las herramientas que faciliten el análisis e interpretación de los rastros de auditoría proporcionados por el sistema, así como la rápida detección de las situaciones anómalas o indiciarias de accesos indebidos a datos personales.
Artículo 8. Otras medidas.
Por los responsables de las distintas entidades y organismos incluidos en el sistema de seguridad se implantarán las medidas que eviten la salida no autorizada de soporte de datos (listados, soportes magnéticos u otros) fuera de las dependencias de la entidad, así como se supervisará periódicamente su efectivo cumplimiento.
Disposición final primera.
Por la Gerencia de Informática de la Seguridad Social se procederá a la modificación de los programas, aplicaciones y medios existentes para acomodar los mismos a la presente Orden.
Disposición final segunda.
La presente Orden entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».
Disposición final tercera.
Se faculta a las Direcciones Generales de las Entidades gestoras y Servicios comunes de la Seguridad Social para resolver, en el ámbito de sus competencias respectivas, cuantas consultas de índole general puedan plantearse en aplicación de la presente Orden.
Madrid, 17 de enero de 1996.
GRIÑAN MARTINEZ
Ilmos. Sres. Subsecretario de Trabajo y Seguridad Social, Secretario general para la Seguridad Social y Secretario general de Empleo y Relaciones Laborales.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid