El RIS: Reglamento Interno de Seguridad

El Reglamento Interno de Seguridad (RIS) es una herramienta que ha devenido necesaria para el gobierno de cualquier institución o empresa que utilice medios de tratamiento de la información en soporte digital, audiovisual, o informático.

Nuestro Código Civil regula, en los artículos 1.902, 1.903 y 1.904, la responsabilidad de los que tienen personas a su cargo en materia de daños y perjuicios provocados por sus dependientes.
Desde el 23 de diciembre de 2010, se ha añadido la responsabilidad penal de las instituciones o empresas tipificada en el artículo 31bis del Código Penal.
De este modo, las instituciones y empresas han adquirido responsabilidad sobre el uso de las nuevas tecnologías porque los dependientes tratan la información usando las nuevas tecnologías (TIC)y éstas han de reunir las condiciones adecuadas para que el responsable de la empresa pueda controlar y, sobre todo, gestionar su uso.

No es función de los administradores dedicarse a controlar cómo utilizan las TIC los empleados, pero sí que han de responder del mal uso que éstos hagan de aquellas.

Habida cuenta de que también se han tipificado los delitos de descubrimiento y revelación de secretos a través de las TIC, modificando el contenido del artículo 197 del Código Penal, es obvio que las instituciones y empresas han de articular algún modo de poder defender su interés frente a las posibles acciones irregulares de los empleados cuando usan los medios, sistemas o programas de la institución o de la empresa.

El Reglamento Interno de Seguridad
El RIS puede ser un instrumento técnico-jurídico adecuado para garantizar los derechos de los trabajadores, de sus empleadores y de la empresa o institución a la que se deben. De este modo, el RIS habría de regular 3 ámbitos fundamentales de la actividad de la institución o empresa:

  • Derechos de las personas.
  • Derechos de la institución o empresa.
  • Uso de los soportes que tratan la información.

Configuraión del RIS
El RIS se compone de dos cuerpos normativos que recogen los tres ámbitos a regular:

  • El Manual de Funciones
    Es un documento que recoge los derechos y obligaciones de todas las personas implicadas en el tratamiento de la información y de los datos de una institución o empresa. Recoge, igualmente, el modo en que las personas han de usar la información y los soportes que la contienen en el ámbito de sus funciones. Además, se recoge el sistema sancionador por el que se regulan: tanto el expediente informativo, como el propiamente sancionador, en los casos de incumplimiento.En el manual de funciones, se refleja la jerarquía de las personas en el ámbito de la institución o empresa, así como todos sus privilegios y la composición de sus identificadores para acceder, tanto a los soportes lógicos y/o digitales, como a los informáticos o audiovisuales.En la regulación de los accesos y el control de tratamiento, se aplican, además, todas las disposiciones normativas que regulan la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos y el reglamento que la desarrolla (Real Decreto 1720/2007).
  • El Maestro Informático.Es un documento que, a modo de “manual de instrucciones”, fija el uso exacto de los soportes que contengan, o puedan contener, información, sea del tipo que fuere.En el maestro informático se destacan los derechos y obligaciones de las personas cuando tratan información usando el soporte informático, por lo que, todo el sistema de seguridad se basa en la identificación del usuario y en la carga de la responsabilidad asignada a su identificador y, en su caso, a la IP desde donde opere.Asimismo, se regulan los requisitos que han de cumplir los soportes y lugares donde se encuentran, con el fin de garantizar el acceso autorizado e impedir el que no lo está.El maestro informático también incluye las instrucciones de gestión de programas (software). En materia de gestión de programas, el maestro informático distingue dos grupos:a)El grupo de programas de gestión, propiamente dicha.
    Regula el uso y el tratamiento de los programas que utiliza la institución o empresa para gestionar la información. Generalmente, se trata del sistema operativo, programas de administración de empresa y, en los centros especializados de tratamiento con finalidades docentes, sanitarias y análogas, los de gestión de información sensible que afecta a las personas. Normalmente, el acceso a estos programas también está controlado mediante claves asignadas a las personas autorizadas previamente.b)El grupo de programas de seguridad.
    Está formado por una serie de aplicativos y programas que sirven para garantizar el acceso autorizado y evitar accesos no consentidos al sistema de tratamiento de la información de la institución o empresa.

Los Protocolos
El RIS, en sí mismo, no sería un instrumento práctico si no se acompaña de los protocolos o instrumentos de aplicación práctica de los estándares y normas contenidas, tanto en el manual de funciones, como en el maestro informático.
Básicamente, los protocolos están divididos en tres grupos:

  • Protocolos de consentimiento: regulan la forma de obtener permisos para tratar la información. Cuando se trata de personas, se aplica la normativa prevista en la LOPD y en la LSSI. Cuando se trata de relaciones civiles o mercantiles, se aplica el Código Civil y la normativa reguladora de los contratos y del derecho de los consumidores.
    En todos los casos, en los protocolos, además de aplicarse la citada normativa, se diseñan los formularios e impresos que ha de cumplimentar la institución o empresa para legitimar el uso de la información que pretende tratar.
  • Protocolos de circulación: regulan el control de la entrada y/o salida de la información mediante registros. Esto se hace atribuyendo a los responsables y encargados, procesos de constancia de entradas y salidas, así como de los destinos de todas ellas.
  • Protocolos de archivo y destrucción: regulan el modo en que la información ha de ser tratada tras su uso para los fines que exigieron su recogida. Se trata de procesos que regulan la forma de conservar la información y, cuando ya no es necesaria, la forma de destruirla.

Recommended Posts