Normativa: Nacional
Resolución de 14 de septiembre de 2018, del Instituto Nacional de la Seguridad Social, por la que se establecen las prescripciones técnicas necesarias para el desarrollo y aplicación de la "Tarjeta Social Universal"
(Se incluye Corrección de errores de la Resolución de 14 de septiembre de 2018, del Instituto Nacional de la Seguridad Social, por la que se establecen las prescripciones técnicas necesarias para el desarrollo y aplicación de la "Tarjeta Social Universal". BOE núm. 241, de 5 de octubre de 2018)
BOE núm. 228, de 20 de septiembre de 2018
Ministerio de Trabajo, Migraciones y Seguridad Social
Referencia: BOE-A-2018-12766
Resolución de 14 de septiembre de 2018, del Instituto Nacional de la Seguridad Social, por la que se establecen las prescripciones técnicas necesarias para el desarrollo y aplicación de la "Tarjeta Social Universal".
TEXTO
La Tarjeta Social Universal es un sistema de información creado por la disposición adicional centésima cuadragésima primera de la Ley 6/2018, de 3 de julio, de Presupuestos Generales del Estado para el año 2018, destinado a mejorar y coordinar las políticas de protección social impulsadas por las diferentes administraciones públicas.
Constituye un fichero con datos de carácter personal que incluye la información actualizada correspondiente a todas las prestaciones sociales contributivas, no contributivas y asistenciales de contenido económico, reconocidas a los ciudadanos y financiadas con cargo a recursos de carácter público. Además recoge una información paramétrica y actualizada sobre determinadas situaciones subjetivas, y ofrece, en base a dicha información, funcionalidades y utilidades a las distintas administraciones públicas, así como a aquellas entidades afectadas que colaboren con el sistema.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, obliga a los responsables de los ficheros, así como a los encargados del tratamiento de datos, a la adopción de medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), representa la continuación de la ley orgánica anterior, por la que el responsable del fichero pasa a llamarse responsable del tratamiento y adquiere más poder y, a la vez, más obligaciones de asistencia a los titulares del dato y a una seguridad activa.
Por otra parte, el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, obliga a los responsables de los sistemas de información a clasificar sus sistemas y aplicar, en consecuencia, y de acuerdo con un análisis de los riesgos de seguridad, las medidas de seguridad necesarias que combatan dichos riesgos.
El texto refundido de la Ley General de la Seguridad Social, aprobado por Real Decreto Legislativo 8/2015, de 30 de octubre, en su artículo 77, dispone que los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones tienen carácter reservado y sólo podrán utilizarse para los fines encomendados a las distintas entidades gestoras y servicios comunes de la Seguridad Social, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión o comunicación tenga por objeto alguno de los que expresamente se enumeran en dicho artículo.
La disposición adicional centésima cuadragésima primera de la Ley 6/2018, de 3 de julio, de Presupuestos Generales del Estado para el año 2018, por la que se crea la Tarjeta Social Universal prevé su desarrollo reglamentario, actualmente en tramitación.
A su vez la disposición final cuadragésima sexta del mismo texto establece que, sin perjuicio de la entrada en vigor de la disposición adicional centésima cuadragésima primera al día siguiente de la publicación de la Ley de Presupuestos Generales del Estado, la efectividad práctica de la puesta en funcionamiento del Sistema de Tarjeta Social Universal se producirá a los tres meses de la fecha anterior.
En virtud de lo anterior, esta Dirección General, en uso de las atribuciones que tiene conferidas, resuelve:
Primero.
1. Aprobar las prescripciones técnicas necesarias para el desarrollo y aplicación de la «Tarjeta Social Universal».
2. Ordenar su publicación en el «Boletín Oficial del Estado».
Segundo.
La presente Resolución entra en vigor a partir del día siguiente a su publicación en el «Boletín Oficial del Estado».
Prescripciones técnicas necesarias para el desarrollo y aplicación de la Tarjeta Social Universal
I. Objeto y responsabilidad
Las presentes prescripciones técnicas tienen por objeto establecer los requisitos necesarios para el desarrollo de la administración, gestión y mantenimiento del sistema de la Tarjeta Social Universal (en adelante, el sistema), así como para asegurar su funcionamiento e interoperabilidad.
El responsable del tratamiento del sistema será el Instituto Nacional de la Seguridad Social.
La persona titular de la Subdirección General de Gestión de Prestaciones, como responsable de dicho tratamiento, adoptará las medidas de gestión y organización que sean necesarias para asegurar la confidencialidad, seguridad e integridad de los datos, así como las conducentes a hacer efectivas las garantías, obligaciones y derechos reconocidos en la legislación sobre protección de datos.
II. Ámbito de aplicación
Las presentes prescripciones técnicas serán de aplicación a:
a) Los órganos y organismos públicos de la Administración General del Estado, de las Administraciones de las Comunidades Autónomas y Ciudades Autónomas de Ceuta y Melilla, y de las Administraciones que integran la Administración Local, obligadas a transmitir la información que conforma el Registro de Prestaciones Sociales Públicas así como aquellas otras que participen en el sistema de la Tarjeta Social Universal.
b) Las mutuas colaboradoras con la Seguridad Social.
c) Las entidades del sector privado vinculadas o dependientes de las Administraciones Públicas.
d) Las empresas colaboradoras en la gestión de la Seguridad Social.
III. Administradores y usuarios
1. En la Dirección General del Instituto Nacional de la Seguridad Social corresponde al titular de la Subdirección General de Gestión de Prestaciones, bajo la dirección, planificación y control de la Dirección General, ejercer las funciones de administrador ejecutivo, siendo responsable de las normas y planes de actuación que se establezcan en materia de seguridad y confidencialidad de la información.
El Administrador ejecutivo nombrará varios Administradores, que serán los responsables de autorizar a los usuarios del sistema, en la Dirección General del Instituto Nacional de la Seguridad Social, así como del control de las autorizaciones de acceso al sistema por las entidades externas.
En las direcciones provinciales los Administradores del sistema serán los Directores provinciales, que podrán designar a dos Administradores más, siendo todos ellos los responsables de autorizar a los usuarios de la dirección provincial, vigilando la aplicación de las normas y planes de actuación establecidos en materia de seguridad y confidencialidad de la información.
2. Las entidades externas que tengan autorización de acceso al sistema deberán contar con uno o varios Administradores, que serán los responsables de designar a sus propios usuarios, controlando que las autorizaciones se limiten al ámbito exclusivo y concreto de sus funciones como gestores del sistema.
La designación de los Administradores, así como cualquier modificación de los mismos, deberá comunicarse al Instituto Nacional de la Seguridad Social de acuerdo con la información publicada al efecto, en www.seg-social.es.
3. La Gerencia de Informática de la Seguridad Social, de acuerdo con las competencias que le son atribuidas en la disposición adicional segunda del Real Decreto 903/2018, de 20 de julio, por el que se desarrolla la estructura orgánica del Ministerio de Trabajo, Migraciones y Seguridad Social:
Dispondrá de un registro de administradores y usuarios permanentemente actualizado.
Establecerá el soporte técnico con los mecanismos de seguridad necesarios para la autorización y autenticación de los usuarios al sistema.
Se entiende por autorización el permiso para el acceso al sistema y por autenticación la comprobación de la identidad del usuario que accede al mismo.
Cada usuario contará con una credencial para el acceso al sistema compuesta de un código de acceso y una contraseña elegida por el usuario. Esta credencial es personal e intransferible. Todos sus accesos quedarán registrados y referenciados a estas credenciales.
Cada organismo recordará periódicamente a sus administradores y usuarios que están obligados al cumplimiento de la normativa en materia de protección de datos y a hacer un buen uso de la información a la que tienen acceso.
Cuando un usuario lleve más de tres meses sin conectarse al sistema, su permiso de acceso podrá ser cancelado, siendo necesario para reactivarlo la intervención del Administrador.
Los usuarios que accedan al sistema de información y los auditores se regirán por lo dispuesto en la Orden de 17 de enero de 1996, sobre control de accesos al sistema informático de la Seguridad Social.
IV. Auditorías de accesos y Ámbito
El Instituto Nacional de la Seguridad Social, en cumplimiento de las obligaciones que adquiere como responsable del tratamiento a efectos de la legislación de protección de datos de carácter personal y del Esquema Nacional de Seguridad, deberá someter el sistema a auditorías periódicas que verifiquen el cumplimiento de las medidas de índole técnica y organizativa necesarias para garantizar su seguridad. A estos efectos, establecerá los mecanismos necesarios de revisión del uso de la información almacenada en el sistema.
El Instituto Nacional de la Seguridad Social definirá en cada momento, en colaboración con la Gerencia de Informática de la Seguridad Social, las características de las herramientas y aplicaciones que sean necesarias para el desarrollo de las funciones de auditoría, control de accesos y seguimiento de rastros de actividad de los usuarios en su acceso al sistema, así como la determinación de los perfiles que podrán tener los diferentes usuarios según las funciones que realicen: Administradores, usuarios y auditores.
Las Administraciones Públicas, Organismos y Entidades Públicas que se incorporen al sistema, deberán aceptar los procedimientos de auditoría previstos por el Instituto Nacional de la Seguridad Social y aplicarlos al personal usuario de los mismos, en las mismas condiciones técnicas y organizativas que el Instituto Nacional de la Seguridad Social efectúa respecto de su personal autorizado.
Cada usuario será responsable de todos los accesos que se realicen mediante el uso de su contraseña personal y del código de acceso que se le haya facilitado como medio de autorización. A tal fin deberá mantener la custodia y secreto de la mencionada contraseña, así como vigilar posibles usos ajenos, denunciando cualquier transgresión.
Cada Administrador, usuario y auditor tendrá un solo código para la realización de los accesos que tenga permitidos.
La competencia para la realización de las auditorias corresponde a:
A) Los Administradores de auditorías de categoría máxima de la Dirección General del Instituto Nacional de la Seguridad Social como responsables del sistema de auditorías (titular de la Dirección General como Administrador de categoría máxima de los tratamientos y el titular de la Secretaría General como unidad competente de análisis, propuesta y desarrollo de actuaciones en materia de control y evaluación de los servicios).
B) Los órganos competentes en el Sistema Nacional de Auditorías (Auditor Delegado Nacional y Unidad Nacional de Auditorías, dependientes de la Secretaría General del Instituto Nacional de la Seguridad Social).
C) Los órganos de control en materia de auditorías en la Dirección General del Instituto Nacional de la Seguridad Social (titulares de la Secretaría General y las Subdirecciones Generales como administradores de auditorías de sus respectivas unidades).
D) Los órganos de control en materia de auditorías en las direcciones provinciales del Instituto Nacional de la Seguridad Social (titulares de las Direcciones Provinciales).
E) Los órganos de control en materia de auditorías en las Administraciones Públicas y entidades externas (Responsables, designados por las Administraciones públicas y entidades externas).
Se establecen las siguientes limitaciones:
a) En la Dirección General del Instituto Nacional de la Seguridad Social el ámbito de la auditoría debe coincidir con el total de usuarios en servicio.
A criterio de los titulares de la Secretaría General y las Subdirecciones Generales, como administradores de auditorías y bajo su coordinación, puede designarse más de un auditor cuando se considere oportuno por razón del volumen de usuarios o por estar la unidad estructurada en subdepartamentos.
b) En las direcciones provinciales del Instituto Nacional de la Seguridad Social el ámbito de la auditoría coincide con el total de usuarios destinados en las mismas. A criterio del titular de la Dirección Provincial, como administrador de auditorías y bajo su coordinación, podrán designarse dos o más Auditores Delegados provinciales para asumir las funciones de auditoría del personal de la Dirección Provincial, si éste es numeroso.
c) Las Administraciones Públicas y entidades externas deben ser siempre auditadas de forma independiente al personal del Instituto Nacional de la Seguridad Social, por sus responsables o personas que les sustituyan.
V. Usos indebidos
Se considerará uso indebido el acceso al sistema que obedezca a objetivos que difieran de la gestión concreta, atribuida al órgano o unidad en la que se encuadre el usuario responsable del acceso efectuado.
Tendrán además, la consideración de usos indebidos las siguientes actuaciones:
a) El acceso al sistema con la finalidad de obtener información de los titulares de los datos no requerida por la gestión encomendada.
b) Crear bases de datos paralelas a la del sistema.
c) Hacer uso de los datos del sistema para otra finalidad sin la autorización expresa y por escrito del Instituto Nacional de la Seguridad Social.
Los órganos directivos de la Seguridad Social y de las entidades externas son los responsables directos de comunicar inmediatamente al Instituto Nacional de la Seguridad Social, de acuerdo con el procedimiento que se establezca, los usos indebidos que se hayan producido.
La detección de accesos no justificados o improcedentes, el uso indebido de datos, la utilización ilícita de las transacciones o cualquier otro tipo de anomalía, motivará la adopción con carácter inmediato de las medidas pertinentes, pudiendo dar lugar a la exigencia de las responsabilidades a las que se refieren los apartados 2 y 3 del artículo 77 del texto refundido de la Ley General de la Seguridad Social.
En todo caso, cuando se observe el uso indebido, el responsable del tratamiento dará inmediato traslado de los hechos a la Agencia Española de Protección de Datos.
Madrid, 14 de septiembre de 2018.–La Directora General del Instituto Nacional de la Seguridad Social, M.ª Gloria Redondo Rincón.
Los textos consolidados no tienen validez oficial y no sustituyen a los publicados en los diarios oficiales, que son los únicos instrumentos que dan fe de su autenticidad