Professional Documents
Culture Documents
Directrices
Requisitos de
seguridad y acceso
Modelo de Gestin de Documentos y
Administracin de Archivos (MGD) para
la Red de Transparencia y Acceso a la
Informacin (RTA)
Versin: 1.0
Fecha: diciembre de 2014
G06/D01/O
Coordinadores
Beatriz Franco Espio
Ricard Prez Alczar
Equipo
Blanca Desantes Fernndez
Francisco Fernndez Cuesta
Javier Requejo Zalama
De los textos: sus autores
Este documento se encuentra en fase borrador. Ni la RTA ni los autores se hacen responsables de un
mal uso de esta informacin
G06/D01/O
MODELO DE GESTIN DE
DOCUMENTOS Y ADMINISTRACIN
DE ARCHIVOS
G01/G
POLTICA DE
GESTIN DE
DOCUMENTOS
Y ARCHIVOS
G02/G
GOBIERNO
ABIERTO Y
TRANSPARENCIA
G07/O
G04/O
G03/G
ADMINISTRACIN
ELECTRNICA
CONTROL
INTELECTUAL Y
REPRESENTACIN
G05/O
G06/O
VALORACIN
CONTROL DE
ACCESO
CONTROL
FSICO Y
CONSERVACIN
G08/0
GUA DE
SERVICIOS DE
ARCHIVO
G06/D01/O
1. Presentacin y objetivos
1.1. Finalidad
1.2. Alcance y contenido
1.3. Documentos relacionados
2. Requisitos de seguridad y acceso: metodologa para su anlisis y sistematizacin
2.1. Cuestiones preliminares
2.2. Recopilacin de los instrumentos que gobiernan el acceso y la seguridad de la
informacin
2.3. Clasificacin de las categoras de informacin susceptibles de proteccin y las
cuestiones de seguridad vinculadas a las mismas
2.4. Vinculacin de los requisitos de acceso y seguridad con las series
documentales
2.5. Plasmacin en las herramientas funcionales del sistema. Aprobacin de la
tabla de acceso y seguridad, y mecanismos de revisin
3. Cuadro de compromisos de cumplimiento
4. Trminos y referencias
4.1. Glosario
4.2. Referencias
4.3. Bibliografa
G06/D01/O
1.
Presentacin y objetivos
1.1. Finalidad
Permite definir de forma racional los controles de acceso y medidas de seguridad del
sistema de gestin de documentos, adaptndose a las necesidades de cada tipo de
contenidos, y cumplir de forma eficiente con las exigencias legales y los cdigos de
buenas prcticas internacionales. Todo ello puede redundar, adems, en un aumento
de la confianza en el servicio de archivo, en el sistema de transparencia y en las
instituciones pblicas en general.
G06/D01/O
Por ltimo, este proceso puede permitir identificar y proponer mejoras en la calidad
del diseo de los documentos pblicos. Al ampliar y profundizar los anlisis de
identificacin de las series, se puede advertir la existencia de datos susceptibles de
proteccin excesivos o irrelevantes para documentar adecuadamente la actividad o
proceso que evidencian.
G06/D01/O
G06/O
G07/O
2.
G06/D01/O
Recopilar las fuentes jurdicas y polticas que han de gobernar el acceso y la seguridad
de la informacin presente en los documentos de la organizacin
Aprobar la tabla de acceso y seguridad y plasmar sus requisitos en las herramientas del
sistema.
rdenes y disposiciones judiciales. Ello incluye las rdenes sobre secreto judicial en
procesos especficos y, sobre todo, la jurisprudencia encargada de interpretar la
aplicacin de las restricciones al acceso.
G06/D01/O
G06/D01/O
buenas prcticas en esta materia, los Principios Globales sobre Seguridad Nacional y
Derecho de Acceso a la Informacin (Principios de Tshwane) de la Open Society Justice
Initiative (2013, pp. 19-20), se puede distinguir:
a)
10
G06/D01/O
11
G06/D01/O
Por otro lado, resulta conveniente tambin, de cara a una correcta definicin de cada una de
las categoras, identificar y tener en cuenta los distintos contenidos que son o han de ser
objeto de publicidad activa por disposicin expresa de la ley. En este sentido, la LMI llama la
atencin sobre estos supuestos para modular la aplicacin de las restricciones al acceso por
razones de inters privado (art. 40.a).
Finalmente, habra que identificar, a partir de las fuentes recopiladas en la fase anterior, las
cuestiones de seguridad de la informacin que afectan a la organizacin y establecer, en la
medida de lo posible, una vinculacin inicial entre los requisitos identificados y las categoras
de informacin definidas. En concreto, en este momento se debern definir:
Reglas, controles y requisitos de mayor nivel, para proteger los activos ms sensibles
de la organizacin.
En relacin con esto ltimo, se realizar, para cada una de las categoras de
informacin definidas, una primera vinculacin con un nivel de seguridad
determinado. En este sentido, se tendrn en cuenta los requisitos o controles
especiales que la normativa vigente aplicable asocia especficamente a determinadas
categoras, como la informacin clasificada o los datos personales sensibles.
CATEGORA DE INFORMACIN
PLAZO
NORMA
PU01
12 aos
LMI, art.40.b.1 y 2
PU02
12 aos
LMI, art.40.b.5
PU04
12 aos
LMI, art.40.b.7
PU05
12 aos
LMI, art.40.b.8
PU07
12 aos
PR01
NA
LMI, art.40.a.2
PR02
Patentes
NA
LMI, art.40.a.3
12
G06/D01/O
PR03
Derechos de autor
NA
LMI, art.40.a.3
PR04
Secretos comerciales
NA
LMI, art.40.a.3
PR05
NA
DP01
NA
LMI, art.40.a.1
DP02
NA
LMI, art.40.a.1
2.4. Vinculacin de los requisitos de acceso y seguridad con las series documentales
El eje central de esta metodologa lo constituye el anlisis del contenido de las
series desde la perspectiva de los requisitos de acceso y seguridad, identificando
las categoras de informacin susceptibles de proteccin que recoge cada una de
ellas y estableciendo al efecto los controles de seguridad apropiados.
Para aplicar a los documentos los requisitos de confidencialidad identificados en la fase
anterior, se tomar como unidad bsica de anlisis la serie documental. Cuando el sistema
contemple agrupaciones documentales de nivel inferior a la serie (subseries) que presenten
diferencias significativas en lo referido al contenido informativo susceptible de proteccin, se
emplearn dichas agrupaciones menores. La vinculacin de los requisitos de acceso y
seguridad con series documentales determinadas requiere un conocimiento exhaustivo de las
mismas, por lo que ser necesario acudir a los repertorios o inventarios de series (La Torre y
Martn-Palomino 2000, p. 22; Serra 2013, p. 4) o cualquier otro instrumento que recoja el
anlisis de identificacin (vanse las Directrices G05/D01/O Identificacin y clasificacin) o
informacin descriptiva pormenorizada de cada serie documental, as como cuando sea
necesario, a la propia documentacin. Dichos instrumentos se enriquecern, a su vez, con los
resultados de este proceso. As mismo, se tendrn en consideracin los anlisis de series
paralelas o con contenidos equivalentes elaborados por otras organizaciones del mismo
contexto legal y reglamentario.
Este anlisis se puede descomponer en las siguientes tareas:
13
G06/D01/O
Descripcin
Datos sobre la salud: enfermedades padecidas,
discapacidades
Datos sobre infracciones y sanciones administrativas
Datos de identificacin: nombre y apellidos, fecha y
lugar de nacimiento, fotografa, nmero de la seguridad
social
Datos econmicos: cuanta de las retribuciones
ordinarias y extraordinarias
Datos de filiacin y estado civil: cnyuge, nombre de los
padres, datos de identificacin de sus descendientes
Datos acadmicos y de capacitacin: titulaciones,
formacin recibida
Frecuencia
Frecuentes
Excepcionales
Muy frecuentes
Frecuentes
Frecuentes
Frecuentes
Asignar a cada serie unos controles de acceso y uso acordes al nivel de seguridad
correspondiente a las categoras de informacin que contienen. Cuando una serie
contenga categoras de informacin a las que, por prescripcin legal, les corresponda
un determinado nivel de seguridad, se les asignar dicho nivel por defecto, sin
perjuicio de que puedan asignrseles niveles de seguridad ms altos tras una
evaluacin de impacto y anlisis de riesgos. Dichos anlisis de riesgos resultan
especialmente tiles para determinar los requisitos y controles necesarios para cada
serie, en especial cuando estos no vengan definidos legal o reglamentariamente.
Los anlisis de riegos son una tarea fundamental en la implantacin de sistemas de
gestin de la seguridad de la informacin. En palabras de Gmez y Andrs (2012, p.
46), constituyen una tarea crucial y, en muchos casos, la ms laboriosa, por cuanto
exige valorar una gran cantidad de parmetros desde mltiples puntos de vista, y suele
implicar a multitud de personas que deben llegar a un consenso en sus valoraciones.
Existen diversas metodologas o marcos de trabajo para el anlisis de riesgos en
seguridad de la informacin por ejemplo, en los pases de habla hispana se encuentra
ampliamente difundido MAGERIT, en la actualidad por su tercera versin (Espaa
2012)-. En general, todas ellas parten de una evaluacin de los activos de informacin,
para proponer una lista de posibles amenazas, unas vulnerabilidades que habr que
considerar y unos baremos para ponderar la probabilidad y el impacto que ocasionara
en la organizacin que la amenaza se convirtiera en realidad. A partir de estos
parmetros, se pueden obtener unos valores de riesgo de los distintos activos de
informacin (en nuestro caso, de las series documentales) con los que conseguiremos
una imagen dnde radican los mayores riesgos en nuestra organizacin y, por lo tanto,
en qu puntos hay que incrementar el esfuerzo, dnde tendremos que aplicar medidas
o mejorar las existentes (Gmez y Andrs 2012, p. 47). Se recomienda que los
modelos avanzados o con un alto grado de madurez asignen los niveles de seguridad
(y, con ellos, los controles pertinentes) a partir de anlisis de riesgos.
14
G06/D01/O
A un nivel ms bsico, se pueden definir a partir de una evaluacin bsica del nivel de
impacto. Un punto de partida para esta evaluacin es el que se propone a continuacin:
-
Valor
Categoras de informacin
4
3
Medio
Bsico
Establecer reglas de control de acceso: por ltimo, se establecern para cada serie
unas reglas que definan qu usuarios (agrupados en grupos y roles) pueden realizar
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia
y Acceso a la Informacin (RTA)
15
G06/D01/O
acciones sobre los documentos, y qu tipo de acciones pueden realizar (Serra 2013, p.
6). Estas reglas permitirn vincular la tabla de acceso y seguridad con el registro de
permisos de usuario, definido en las Directrices G07/D03/O - Restricciones y controles
de acceso. De esta forma, la gestin del proceso de acceso consistira, bsicamente,
en aplicar a cada documento las condiciones de acceso correspondientes a su clase
de acuerdo con la tabla de acceso y seguridad; y permitir a cada usuario el acceso y
uso de los mismos de acuerdo con dichas condiciones y los permisos que tienen
asignados en el registro de permisos de usuario (Fernndez 2011, p. 170).
16
G06/D01/O
metadatos referidos a los requisitos de acceso y seguridad forman parte del grupo o categora
de metadatos de uso (ISO 23081-2:2009, 9.3).
Ha de tenerse en cuenta, finalmente, que tanto la relacin de las distintas categoras de
proteccin como las medidas asociadas a la misma son elementos dinmicos, que varan en
funcin de la consideracin social de los mismos, los cambios legislativos o reglamentarios, y el
avance en su definicin por parte de la doctrina jurdica, los precedentes administrativos y la
jurisprudencia. El seguimiento continuo de estas cuestiones permite la actualizacin de los
distintos instrumentos en que se plasman los resultados del anlisis de accesibilidad legal y
reglamentaria y los controles derivados de los mismos, garantizando, con ello, un
cumplimiento ptimo de las obligaciones legales y compromisos ticos del archivo.
17
G06/D01/O
Compromisos
1.1
1.2
1.3
Identificar
los
requisitos
de
seguridad de la informacin que
afectan
a
la
organizacin,
clasificarlos por niveles y vincularlos
con las categoras de informacin
definidas
18
G06/D01/O
1.4
Identificar
las
categoras
de Analizar el contenido de las series desde la
informacin
susceptibles
de perspectiva de los requisitos de acceso y
proteccin que contiene cada serie seguridad. Este anlisis se realizar sobre los
documental
repertorios, inventarios de series o cualquier
otro instrumento que recoja un anlisis de
identificacin o informacin descriptiva
pormenorizada de cada serie documental, as
como, cuando sea necesario, sobre la propia
documentacin. As mismo, se tendrn en
consideracin los anlisis de series paralelas
o con contenidos equivalentes elaborados
por otras organizaciones del mismo contexto
legal y reglamentario
Se indicarn las categoras presentes en cada
serie, describindose de forma somera los
distintos contenidos de cada categora, as
como la frecuencia de su aparicin
1.5
1.6
1.7
1.8
19
G06/D01/O
1.9
20
G06/D01/O
4.
Trminos y referencias
4.1. Glosario
21
G06/D01/O
OPEN SOCIETY JUSTICE INITIATIVE (OSJI). 2013. The Global Principles on National Security and
the Right to Information (Tshwane Principles) [en lnea]. Nueva York: Open Society
Foundations. [Consulta: 15 diciembre 2014]. Disponible en:
http://www.opensocietyfoundations.org/sites/default/files/global-principles-nationalsecurity-10232013.pdf
ORGANIZACIN DE ESTADOS AMERICANOS (OEA). 2010a. Ley Modelo Interamericana sobre
Acceso a la Informacin Pblica [en lnea]. AG/RES. 2607 (XL-O/10). [Consulta: 15 diciembre
2014]. Disponible en: http://www.oas.org/dil/esp/AG-RES_2607-2010.pdf
ORGANIZACIN DE ESTADOS AMERICANOS (OEA). 2010b. Comentarios y gua de
implementacin para la Ley Modelo Interamericana sobre Acceso a la Informacin [en lnea].
CP/CAJP-2841/10.
[Consulta:
15
diciembre
2014].
Disponible
en:
http://www.oas.org/es/sla/ddi/docs/AG-RES_2841_XL-O-10_esp.pdf
ORGANIZACIN DE ESTADOS AMERICANOS (OEA). 2013. Acceso a la informacin pblica y
proteccin de datos personales [en lnea]. AG/RES. 2811 (XLIII-O/13). [Consulta: 15 diciembre
2014]. Disponible en: http://www.oas.org/es/sla/ddi/docs/AG-RES_2811_XLIII-O-13_esp.pdf
XXXI CONFERENCIA INTERNACIONAL DE AUTORIDADES DE PROTECCIN DE DATOS. 2009.
Estndares Internacionales sobre Proteccin de Datos Personales y Privacidad: Resolucin de
Madrid [en lnea]. Madrid: Agencia Espaola de Proteccin de Datos. [Consulta: 15 diciembre
2014]. Disponible en:
http://www.agpd.es/portalwebAGPD/canaldocumentacion/conferencias/common/pdfs/31_co
nferencia_internacional/estandares_resolucion_madrid_es.pdf
4.3. Bibliografa
CENTRO DE ARCHIVOS Y ACCESO A LA INFORMACIN PBLICA (CAinfo). 2012. Seguridad
nacional y acceso a la informacin en Amrica Latina: estado de situacin y desafos [en lnea].
Documento preparado por Centro de Archivos y Acceso a la Informacin Pblica (CAinfo) con
la asistencia tcnica del Centro de Estudios para la Libertad de Expresin y Acceso a la
informacin (CELE) de la Facultad de Derecho de la Universidad de Palermo, Argentina.
Montevideo:
CAinfo.
[Consulta:
15
diciembre
2014].
Disponible
en:
http://www.palermo.edu/cele/pdf/NS-AI.pdf
DAVARA FERNNDEZ DE MARCOS, I. 2011. Hacia la estandarizacin de la proteccin de datos
personales. Propuesta sobre una tercera va o tertium genus internacional. Madrid: La Ley.
FERNNDEZ CUESTA, F. 2011. Proteccin de datos en archivos pblicos: introduccin a su
estudio [en lnea]. HERNNDEZ OLIVERA, L. (dir.). Trabajo Grado de Salamanca, Universidad de
Salamanca. [Consulta: 15 diciembre 2014]. Disponible en: http://hdl.handle.net/10366/111529
GMEZ, R. [et. al.]. 2010. Metodologa y gobierno de la gestin de riesgos de tecnologas de la
informacin. Revista de Ingeniera [en lnea], 31, pp. 109-118. [Consulta: 15 diciembre 2014].
Disponible en: http://www.redalyc.org/articulo.oa?id=121015012006
22
G06/D01/O
GMEZ FERNNDEZ, L.; ANDRS LVAREZ, A. 2012. Gua de aplicacin de la Norma UNEISO/IEC 27001 sobre seguridad de sistemas de informacin para PYMES. 2 ed. Madrid: AENOR.
LA TORRE MERINO, J. L.; MARTN-PALOMINO Y BENITO, M. 2000. Metodologa para la
identificacin y valoracin de fondos documentales. Madrid: Ministerio de Educacin, Cultura y
Deporte. Escuela Iberoamericana de Archivos: Experiencias y materiales.
ORENGA, L.; SOLER, J. 2010. Com es fa un Quadre de Seguretat i Accs? [presentacin en
lnea]. Material docente del curso homnimo celebrado los das 10 y 17 de noviembre de 2010
en Tarragona y Barcelona, para la Associaci d'Arxivers de Catalunya. [Consulta: 15 diciembre
2014]. Disponible en:
http://www.slideshare.net/JoanSolerJimnez/com-es-fa-un-quadre-de-seguretat-i-accs
SCARENSI, M. J. 2014. La legislacin archivstica y el acceso a la informacin en Amrica Latina.
En: TORRES, N. (comp.). Hacia una poltica integral de gestin de la informacin pblica. Todo
lo que siempre quisimos saber sobre archivos (y nunca nos animamos a preguntarle al acceso a
la informacin) [en lnea]. Buenos Aires: Centro de Estudios en Libertad de Expresin y Acceso
a la Informacin (CELE); Universidad de Palermo, pp. 109-154. [Consulta: 15 diciembre 2014].
Disponible en: http://www.palermo.edu/cele/pdf/Hacia_una_politica_integral-kk.pdf
SERRA SERRA, J. 2013. Una interpretacin metodolgica de la norma ISO 15489 para la
implantacin de un sistema de gestin de documentos. En: Jornadas Ibricas de Arquivos
Municipais: Polticas, Sistemas e Instrumentos nos Arquivos Municipais, 04 e 05 de Junho 2013
[en lnea]. Lisboa: Arquivo Municipal. [Consulta: 15 diciembre 2014]. Disponible en:
http://arquivomunicipal.cm-lisboa.pt/fotos/editor2/j_serra.pdf
TORRES, N. (comp.). [2013]. Acceso a la informacin y datos personales: una vieja tensin,
nuevos desafos [en lnea]. Buenos Aires: Centro de Estudios en Libertad de Expresin y Acceso
a la Informacin (CELE). [Consulta: 15 diciembre 2014]. Disponible en:
http://www.palermo.edu/cele/pdf/DatosPersonales_Final.pdf
23