A utilización dos sistemas informáticos e de comunicacións é actualmente un elemento imprescindible de calquera organización. Ir incorporando os avances que se estean a producir na materia debe ser o horizonte das administracións públicas modernas; neste sentido, a Administración da Comunidade Autónoma de Galicia vén, nos últimos anos, estendendo a rede informática propia facéndoa chegar a todas as súas dependencias administrativas. Así mesmo proporciona medios e recursos electrónicos, informáticos, telemáticos e de telefonía fixa e móbil como instrumentos de traballo para o desempeño da súa actividade laboral, co fin de garantir a dilixencia e eficiencia no seu desempeño ás persoas que lle prestan servizo.

O avanzado estado e crecente uso destes recursos, a posibilidade da súa integración e interacción e os riscos que estes avances implican para a seguridade dos sistemas e da información, especialmente no referente á protección de datos de carácter persoal e á intimidade das persoas, fai necesario definir unha política de uso e utilización destes recursos.

Neste escenario, cómpre desenvolver unha cultura de seguridade corporativa que promova o uso máis eficiente e seguro dos sistemas, redes de comunicacións e equipamento responsabilidade da Administración da Comunidade Autónoma de Galicia. Todo iso dentro das facultades de autoorganización que lle corresponden para a ordenación dos seus recursos humanos e materiais co fin de acadar unha maior eficiencia e eficacia na prestación dos servizos públicos.

A utilización das tecnoloxías da información e as comunicacións terá as limitacións establecidas pola Constitución e o resto do ordenamento xurídico, respectando o pleno exercicio dos dereitos recoñecidos, e especialmente o dereito fundamental á protección de datos de carácter persoal nos termos establecidos pola Lei orgánica 15/1999, de protección de datos de carácter persoal, e polas demais leis específicas que regulan o tratamento da información e nas súas normas de desenvolvemento.

Na súa virtude, en uso das facultades atribuídas pola Lei 1/1983, do 22 de febreiro, reguladora da Xunta e da súa Presidencia, por proposta do conselleiro de Presidencia, Administracións Públicas e Xustiza, e logo de deliberación do Consello da Xunta de Galicia na súa reunión do día dezaoito de setembro de dous mil oito,

DISPOÑO:

Artigo 1º.-Obxecto e finalidade.

1. Este decreto ten por obxecto regular as normas de utilización dos sistemas de información e de comunicacións, fixos e móbiles, de que dispón a Administración da Comunidade Autónoma de Galicia, e establecer os dereitos e as obrigas das persoas usuarias destes sistemas no relativo á súa seguridade e bo uso.

2. A finalidade desta norma é conseguir o mellor aproveitamento das tecnoloxías da información e as comunicacións na actividade administrativa, así como garantir a protección da información das persoas e das empresas, nas súas relacións coa Administración da Comunidade Autónoma de Galicia.

Artigo 2º.-Definicións.

Para os efectos desta norma, a definición dos conceptos que aparecen nela é a seguinte:

Sistemas de información: conxunto de compoñentes que forman un todo destinado a obter, procesar, rexistrar ou distribuír información, independentemente do soporte en que estea almacenada.

Redes de comunicacións: infraestruturas de telecomunicacións destinadas ao transporte da información entre sistemas.

Rede corporativa da Xunta de Galicia: rede de comunicacións coordinada polo Centro de Xestión de Rede da Dirección Xeral de Calidade e Avaliación das Políticas Públicas.

Recursos informáticos: calquera parte compoñente dun sistema de información ou rede de comunicacións.

Aplicación informática: programa ou conxunto de programas informáticos que teñen por obxecto o tratamento electrónico da información.

Código malicioso: instrucións de programación que actúan nun sistema de información sen consentimento do persoal de soporte técnico.

Soporte: calquera medio físico (papel, CD-ROM, fitas magnéticas, etc.) utilizado para almacenar información.

Monitorización: observación e rexistro automático dos accesos á información ou dos parámetros das comunicacións con fins estatísticos ou de seguridade.

Persoa usuaria: toda persoa física autorizada para a utilización dos sistemas de información, redes e dispositivos de comunicación da Administración da Comunidade Autónoma de Galicia, sexan ou non empregados públicos, e con independencia da natureza da súa relación xurídica con ela.

Persoal de soporte técnico: persoal das unidades informáticas dos distintos departamentos da Xunta de Galicia que desempeñan funcións de asesoría técnica, execución, proposta, coordinación e supervisión dos plans de informatización.

Política de seguridade corporativa: conxunto de normas e procedementos que establecen o compromiso da Administración da Comunidade Autónoma de Galicia para a xestión da seguridade da información.

Centro de seguridade informática: grupo de traballo dentro da Dirección Xeral de Calidade e Avaliación das Políticas Públicas encargado da xestión e coordinación da seguridade corporativa dos sistemas de información da Administración da Comunidade Autónoma de Galicia.

Artigo 3º.-Ámbito de aplicación.

1. Esta norma será de aplicación a todas as persoas que presten servizos para a Administración da Comunidade Autónoma de Galicia e utilicen para o desempeño das súas funcións os sistemas de información ou as redes de comunicacións propiedade da Administración autonómica.

2. O contido deste decreto será de aplicación na utilización do equipamento informático e de comunicacións, fixo e móbil, incluíndo calquera dispositivo posto á disposición das persoas que prestan servizos para a Administración autonómica.

Artigo 4º.-Órganos responsables.

1. As secretarías xerais designarán, dentro de cada departamento da Xunta de Galicia, o órgano que será responsable dos sistemas da súa propiedade e de establecer os medios tecnolóxicos que precisan as persoas ao seu servizo, así como de velar polo correcto funcionamento das infraestruturas e do equipamento informático e de comunicacións de que dispoñan. Naqueles casos en que as ditas atribucións xa estean asignadas regulamentariamente a un órgano, non será preciso esta designación.

2. Estes órganos, co apoio do persoal de soporte técnico, son os competentes para velar polo cumprimento das normas contidas neste decreto. Corresponderalle a eles asegurarse de que os equipamentos se utilizan axeitadamente e atendendo á finalidade a que están destinados.

Para o mellor cumprimento destas atribucións sobre os sistemas, cada departamento da Xunta de Galicia deberá designar unha persoa como responsable de seguridade. As persoas designadas deberán comunicar, dentro do seu ámbito, as normas, procedementos e políticas de seguridade para o seu coñecemento polo persoal, así como impulsar a súa implantación.

3. Conforme o Decreto 21/1999, do 5 de febreiro, polo que se regula a utilización da rede internet pola Administración da Comunidade Autónoma de Galicia, correspóndelle á Consellería da Presidencia, Administracións Públicas e Xustiza a planificación e xestión da rede corporativa da Xunta de Galicia.

Artigo 5º.-Órganos de coordinación.

Son órganos de coordinación:

a) A Comisión de Informática da Xunta de Galicia, regulada polo Decreto 290/1992, do 8 de outubro.

b) A Dirección Xeral de Calidade e Avaliación das Políticas Públicas da Consellería de Presidencia, Administracións Públicas e Xustiza.

c) O Comité de Seguridade dos Sistemas de Información da Xunta de Galicia. É un órgano colexiado, adscrito á Consellería de Presidencia, Administracións Públicas e Xustiza, formado polas persoas responsables de seguridade dos distintos departamentos da Xunta de Galicia, que ten como obxectivo definir a política de seguridade corporativa. Este comité estará coordinado e asesorado pola dirección xeral competente a través do Centro de Seguridade Informática. O seu réxime básico de funcionamento regularase por orde da Consellería de Presidencia, Administracións Públicas e Xustiza.

Artigo 6º.-Utilización do equipamento informático e de comunicacións.

1. A Administración da Comunidade Autónoma de Galicia porá á disposición dos empregados públicos os equipamentos informáticos e dispositivos de comunicacións, tanto fixos como móbiles, necesarios para o desenvolvemento da súas funcións.

A Administración da Comunidade Autónoma de Galicia porá á disposición das persoas xurídicas ou físicas que, sen ter a condición de empregados públicos, lle presten servizos, os equipamentos informáticos e dispositivos de comunicacións, tanto fixos como móbiles, necesarios para o desenvolvemento das súas funcións, nos termos establecidos nos contratos e convenios en que se formalice a relación xurídica entre estas e aquela.

2. As persoas usuarias deberán empregar o equipamento exclusivamente para o exercicio das súas funcións. Queda prohibido alterar, sen a debida autorización, calquera dos compoñentes dos equipos e dispositivos de comunicación.

3. Salvo autorización expresa do órgano competente, as persoas usuarias só poderán usar os equipos aprobados pola Administración da Comunidade Autónoma de Galicia e non poderán conectar aos equipos outros periféricos ou agregar compoñentes distintos dos que teñan instalados. Estas operacións só as poderá realizarse o persoal de soporte técnico.

4. As persoas usuarias en ningún caso poderán acceder fisicamente ao interior dos seus equipos e deberán facilitarlle ao persoal de soporte técnico o acceso a estes equipos para labores de reparación, instalación ou mantemento. Este acceso limitarase unicamente ás accións necesarias para resolver os problemas que este poida encontrar no uso dos recursos informáticos e de comunicacións e finalizará unha vez resoltos estes. Se o persoal de soporte técnico detectase calquera anomalía que indicase a realización de usos ilícitos dos recursos, poñerao en coñecemento do órgano responsable.

5. Cando os medios informáticos ou de comunicacións proporcionados pola Administración da Comunidade Autónoma de Galicia estean asociados ao desempeño dun determinado posto ou funcións, a persoa que os teña asignados terá que devolvelos inmediatamente ao órgano responsable cando finalice a súa vinculación co dito posto ou funcións.

Artigo 7º.-Instalación dos sistemas de información e as aplicacións informáticas.

1. Unicamente o persoal de soporte técnico, autorizado polo órgano responsable, poderá instalar as aplicacións necesarias nos equipos informáticos ou nos terminais de comunicacións e realizar a configuración necesaria nos sistemas operativos.

2. Os equipos deberán cumprir as medidas de seguridade aprobadas pola Administración da Comunidade Autónoma de Galicia e definidas por medio da política de seguridade corporativa dos sistemas de información. En ningún caso se desactivará o software antivirus, as súas actualizacións, ou calquera outro mecanismo de seguridade instalado neles.

3. Está prohibida a execución ou instalación de calquera tipo de software que puidese prexudicar o correcto funcionamento dos sistemas ou equipos da Administración da Comunidade Autónoma de Galicia, que poida outorgar, eliminar ou modificar dereitos de acceso á información ou aos sistemas ou que poida considerarse ofensivo ou atentatorio contra os dereitos constitucionais.

4. Prohíbese a reprodución, modificación, transformación, cesión, comunicación ou uso fóra do ámbito da Administración da Comunidade Autónoma de Galicia dos programas e aplicacións informáticas instaladas nos equipos que pertencen á Administración autonómica, sen a súa debida autorización.

5. Non se poderá instalar ou utilizar software que non dispoña da licenza correspondente ou que a súa utilización non se adecue á lexislación vixente.

6. En ningún caso se poderán borrar ou desinstalar as aplicacións informáticas da Administración da Comunidade Autónoma de Galicia e só se utilizarán aquelas para as que se teña autorización.

Artigo 8º.-Utilización da información xestionada polos sistemas.

1. Toda a información contida nos sistemas de almacenamento da Administración da Comunidade Autónoma de Galicia ou que circule polas súas redes de comunicacións, debe ser utilizada cunha finalidade estritamente profesional, para o desenvolvemento das funcións que cada persoa ten encomendadas.

2. Calquera tratamento da información almacenada nos sistemas da Administración da Comunidade Autónoma de Galicia deberá cumprir a normativa vixente, con especial cautela no que respecta á propiedade intelectual, o control fronte a virus e demais códigos maliciosos e a protección de datos de carácter persoal.

3. No caso da información de carácter persoal, debe terse en conta o sinalado na normativa vixente en materia de protección de datos de carácter persoal, debendo extremarse as precaucións no uso da dita información e empregando as medidas técnicas e organizativas reguladas na normativa asociada.

4. O persoal ten deber de sixilo e confidencialidade respecto da información a que teña acceso por razón das súas funcións, e limitarase a empregala para o estrito cumprimento das tarefas encomendadas.

Artigo 9º.-Acceso á información.

1. As persoas usuarias terán autorizado o acceso unicamente a aquela información e recursos que precisen para o desenvolvemento das súas funcións. O acceso á información contida nos sistemas da Administración da Comunidade Autónoma de Galicia estará restrinxido a aquelas persoas posuidoras da correspondente autorización, que será persoal e intransferible, e composta polo menos dun identificador e dun contrasinal.

2. Os órganos responsables dos sistemas establecerán os mecanismos axeitados para evitar que as persoas poidan acceder ou modificar datos sen autorización. Exclusivamente o persoal de soporte técnico, conforme os criterios establecidos polo responsable de cada un dos sistemas de información, poderá conceder, alterar ou anular a autorización de acceso aos datos e recursos.

3. Non se poderán obter dereitos de acceso á información distintos aos autorizados, nin se utilizará o identificador doutra persoa, aínda que se dispoña de permiso desta, salvo indicación expresa e puntual do órgano responsable da dita información ou recurso. Con este fin, as unidades de persoal dos distintos departamentos da Xunta de Galicia comunicarán ao servizo de informática todos os cambios que se produzan nos postos de traballo.

4. As persoas ao servizo da Administración da Comunidade Autónoma de Galicia deberán velar pola seguridade dos datos a que teñan acceso polas tarefas do seu posto de traballo, especialmente os confidenciais ou de carácter persoal.

5. Por motivos de seguridade, a Administración da Comunidade Autónoma de Galicia poderá monitorizar os accesos á información contida nos seus sistemas, cumprindo os requisitos que para o efecto estableza a normativa vixente.

Artigo 10º.-Acceso ás redes de comunicacións.

1. A conexión á rede corporativa da Xunta de Galicia será facilitada pola Dirección Xeral de Calidade e Avaliación das Políticas Públicas no uso das competencias atribuídas no decreto de estrutura orgánica da Consellería de Presidencia, Administracións Públicas e Xustiza.

2. Non se poderá conectar a esta rede de comunicacións ningún dispositivo por medios distintos aos definidos e autorizados polo Centro de Xestión de Rede da dita dirección xeral.

3. No caso daquelas redes de comunicacións da Administración da Comunidade Autónoma de Galicia xa xestionadas por outras consellerías, a conexión a eles será facilitada polo órgano responsable de cada unha delas.

Artigo 11º.-Acceso a internet.

1. A Administración da Comunidade Autónoma de Galicia proverá de conexión a internet as persoas ao seu servizo cunha finalidade exclusivamente profesional.

2. O equipo que teña acceso a internet, a través das redes de comunicación xestionadas pola Administración da Comunidade Autónoma de Galicia, deberá dispoñer de software de protección fronte a virus e demais códigos maliciosos.

3. Os datos de conexión e tráfico serán monitorizados e gardarase un rexistro durante o tempo que establece a normativa vixente en cada suposto. En ningún caso esta retención de datos afectará o segredo das comunicacións.

4. As conexións a sitios web que conteñan material ofensivo ou software malicioso serán bloqueadas, salvo excepcións debidamente autorizadas.

Artigo 12º.-O servizo de mensaxaría corporativo.

1. A Administración da Comunidade Autónoma de Galicia proverá de servizo de mensaxaría as persoas ao seu servizo cunha finalidade exclusivamente profesional.

2. Por razóns de seguridade e rendemento, os órganos responsables do servizo poderán monitorizar o servizo de mensaxaría corporativa. Esta monitorización non será nunca selectiva ou discriminatoria senón que será realizada de forma sistemática ou aleatoria e sen vulneración da intimidade persoal nin do segredo das comunicacións.

3. Aquelas contas en que se detecte un uso inadecuado, que se definirá no documento de política de seguridade corporativa, poderán ser bloqueadas ou suspendidas temporalmente. En ningún caso, se poderá utilizar o servizo de mensaxaría para:

a) A difusión de mensaxes ofensivas ou discriminatorias.

b) O uso da conta de correo corporativo para expresar opinións persoais en foros temáticos fóra do ámbito das administracións.

c) A difusión masiva non autorizada; subscrición indiscriminada a listas de correo ou calquera ataque co obxecto de impedir ou dificultar o servizo de correo.

Artigo 13º.-As incidencias de seguridade.

1. Cando unha persoa usuaria detecte calquera incidencia ou anomalía de seguridade que poida comprometer o bo uso e funcionamento dos sistemas de información, deberá informar a persoa responsable de seguridade do seu departamento ou o Centro Único de Atención a Usuarios dependente da dirección xeral competente.

2. Nos casos de incidencias ou avarías que se produzan nos equipos conectados á rede corporativa da Xunta de Galicia non resoltas satisfactoriamente, deberá darse conta á dirección xeral competente.

Artigo 14º.-Deberes das persoas usuarias.

1. As persoas que prestan servizos á Administración da Comunidade Autónoma de Galicia, ademais de cumprir coas medidas indicadas neste decreto relativas ao equipamento informático e de comunicacións, ás aplicacións informáticas, á información e ao uso dos servizos corporativos, son responsables do bo uso dos medios electrónicos, informáticos, telemáticos e de comunicacións, fixos e móbiles, postos á súa disposición para as actividades propias das funcións que desenvolven.

2. Non se poderá acceder aos recursos informáticos e telemáticos para desenvolver actividades que persigan ou teñan como consecuencia:

a) A degradación dos servizos.

b) A destrución ou modificación non autorizada da información de xeito premeditado.

c) A violación da intimidade, do segredo das comunicacións e do dereito á protección de datos persoais.

d) A deterioración intencionada do traballo doutras persoas.

e) O uso dos sistemas de información para fins alleos aos da Administración.

f) Incorrer en actividades ilícitas de calquera tipo.

g) Danar intencionadamente os recursos informáticos da Administración da Comunidade Autónoma de Galicia ou doutras institucións.

h) Instalar ou utilizar software que non dispoña da licenza correspondente.

3. Para garantir uns mínimos de seguridade no equipamento asignado, deberase:

a) Utilizar e gardar en segredo o contrasinal que protexe a conta de acceso, responsabilidade directa da persoa usuaria. Esta debe pechar a súa conta ao final de cada sesión ou cando deixa desatendido o equipo, co fin de que non poida ser usado por terceiras persoas.

b) Revisar de forma periódica os seus ordenadores, eliminando calquera virus, programa ou ficheiro que poida causar danos a outro equipos da rede ou outras actuacións que contraveñan a lexislación vixente.

c) No caso de que o seu equipo conteña información importante que non estea gardada nun servidor, realizar copias de seguridade periódicas para garantir a súa dispoñibilidade.

4. As persoas usuarias, no exercicio das súas funcións, deberán colaborar co órgano competente en materia de seguridade dos sistemas de información e seguir as súas recomendacións e, en particular, as do Centro de Seguridade Informática, en aplicación da política de seguridade corporativa definida polo Comité de Seguridade dos Sistemas de Información da Xunta de Galicia.

5. Tamén estarán obrigadas ao cumprimento daquel outras medidas adicionais que especifiquen os órganos responsables dos sistemas.

Artigo 15º.-Inspección.

1. A Administración da Comunidade Autónoma de Galicia, mediante os medios tecnolóxicos e persoais que estime oportuno, revisará periódica e puntualmente, por razóns de seguridade e de calidade do servizo, o estado dos equipos, dispositivos e redes de comunicacións da súa responsabilidade, así como a súa correcta utilización, co obxecto de verificar o seu correcto funcionamento, eficiencia e o cumprimento das medidas e protocolos de seguridade establecidos na lexislación vixente.

2. A dirección xeral competente en materia de seguridade corporativa velará polo cumprimento da presente normativa e informará o Comité de Seguridade dos Sistemas de Información da Xunta de Galicia sobre os incumprimentos ou deficiencias de seguridade observados, co obxecto de que tomen as medidas oportunas.

3. Os servizos para os que se detecte un uso inadecuado ou que non cumpran os requisitos de seguridade, que se definirán no documento de política de seguridade corporativa, poderán ser bloqueados ou suspendidos temporalmente para aquelas contas en que se detecte un dano para os dos sistemas de información e de comunicacións. O servizo restablecerase cando a causa da súa degradación desapareza.

Artigo 16º.-Responsabilidade e réxime disciplinario das persoas usuarias que teñan a condición de empregados públicos.

1. A Administración da Comunidade Autónoma de Galicia exixirá dos empregados públicos a responsabilidade en que incorresen por dolo, culpa ou neglixencia graves de que deriven danos e perdas nos seus bens ou dereitos ou indemnizacións para particulares, logo da instrución do procedemento correspondente nos termos previstos na normativa de aplicación.

2. O incumprimento dos deberes e obrigas impostos por este decreto, que sexan constitutivos de infracción disciplinaria, segundo a tipificación efectuada na normativa aplicable, dará lugar á incoación do correspondente procedemento disciplinario que se tramitará conforme o establecido na normativa aplicable aos empregados públicos en función da natureza xurídica do seu vínculo coa Administración. Non obstante o anterior, a incoación dos expedientes e a imposición das sancións requirirá informe previo da Dirección Xeral de Calidade e Avaliación das Políticas Públicas.

Artigo 17º.-Responsabilidade das persoas usuarias que non teñan a condición de empregados públicos.

1. As persoas xurídicas ou físicas que, sen ser empregados públicos, manteñan unha relación contractual coa Administración autonómica serán as responsables dos incumprimentos realizados polo seu persoal no ámbito deste decreto, cando non poida imputárselle directamente a este a responsabilidade pola acción ou omisión cometida.

2. Nos pregos de cláusulas administrativas dos contratos e nos convenios en que se formalicen as relacións xurídicas entre a Administración da Comunidade Autónoma de Galicia e as persoas xurídicas ou físicas que, sen ser empregados públicos, estean incluídas no ámbito de aplicación deste decreto, estableceranse penalizacións económicas polo incumprimento do establecido nel, así como a súa posible resolución.

Disposicións derradeiras

Primeira.-Autorízase a persoa titular da Consellería de Presidencia, Administracións Públicas e Xustiza para ditar as disposicións necesarias para o desenvolvemento deste decreto.

Segunda.-A constitución e posta en funcionamento do Comité de Seguridade dos Sistemas de Información da Xunta de Galicia non xerará aumento dos créditos orzamentarios asignados á consellería a que está adscrito.

Terceira.-Este decreto entrará en vigor aos vinte días da súa publicación no Diario Oficial de Galicia.

Santiago de Compostela, dezaoito de setembro de dous mil oito.

Emilio Pérez Touriño

Presidente

José Luís Méndez Romeu

Conselleiro de Presidencia, Administracións Públicas e Xustiza