El Decreto 230/2008 regula las normas de utilización de los sistemas de información y de comunicaciones, fijos y móviles, de los que dispone la Administración de la Comunidad Autónoma de Galicia.
El Decreto Autonómico establece los derechos y los deberes de las personas usuarias de estos sistemas en lo relativo a su seguridad y buen uso.
DECRETO 230/2008, DE 18 DE SEPTIEMBRE, POR EL QUE SE ESTABLECEN LAS NORMAS DE BUENAS PRÁCTICAS EN LA UTILIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN DE LA ADMINISTRACIÓN DE LA COMUNIDAD AUTÓNOMA DE GALICIA.
La utilización de los sistemas informáticos y de comunicaciones es actualmente un elemento imprescindible de cualquier organización. Ir incorporando los avances que se produzcan en la materia debe ser el horizonte de las administraciones públicas modernas; en este sentido, la Administración de la Comunidad Autónoma de Galicia viene, en los últimos años, extendiendo la red informática propia haciéndola llegar a todas sus dependencias administrativas. Asimismo proporciona medios y recursos electrónicos, informáticos, telemáticos y de telefonía fija y móvil como instrumentos de trabajo para el desempeño de su actividad laboral, con el fin de garantizar la diligencia y eficiencia en su desempeño a las personas que le prestan servicio.
El avanzado estado y creciente uso de estos recursos, la posibilidad de su integración e interacción y los riesgos que estos avances conllevan para la seguridad de los sistemas y de la información, especialmente en lo referente a la protección de datos de carácter personal y a la intimidad de las personas, hace necesario definir una política de uso y utilización de estos recursos.
En este escenario, hace falta desarrollar una cultura de seguridad corporativa que promueva el uso más eficiente y seguro de los sistemas, redes de comunicaciones y equipamiento responsabilidad de la Administración de la Comunidad Autónoma de Galicia.
Todo ello dentro de las facultades de autoorganización que le corresponden para la ordenación de sus recursos humanos y materiales en orden a conseguir una mayor eficiencia y eficacia en la prestación de los servicios públicos.
La utilización de las tecnologías de la información y las comunicaciones tendrá las limitaciones establecidas por la Constitución 
y el resto del ordenamiento jurídico, respetando el pleno ejercicio de los derechos reconocidos, y especialmente el derecho fundamental a la protección de datos de carácter personal en los términos establecidos por la Ley orgánica 15/1999 , de protección de datos de carácter personal, y por las demás leyes específicas que regulan el tratamiento de la información y en sus normas de desarrollo.
En su virtud, en uso de las facultades atribuidas por la Ley 1/1983 , de 22 de febrero, reguladora de la Xunta y de su Presidencia, a propuesta del conselleiro de Presidencia, Administraciones Públicas y Justicia, y previa deliberación del Consello de la Xunta de Galicia en su reunión del día dieciocho de septiembre de dos mil ocho, DISPONGO:
Artículo 1.º.-Objeto y finalidad.
1. Este decreto tiene por objeto regular las normas de utilización de los sistemas de información y de comunicaciones, fijos y móviles, de los que dispone la Administración de la Comunidad Autónoma de Galicia, estableciendo los derechos y los deberes de las personas usuarias de estos sistemas en lo relativo a su seguridad y buen uso.
2. La finalidad de la presente norma es conseguir el mejor aprovechamiento de las tecnologías de la información y las comunicaciones en la actividad administrativa, así como garantizar la protección de la información de las personas y de las empresas en sus relaciones con la Administración de la Comunidad Autónoma de Galicia.
Artículo 2.º.-Definiciones.
A efectos de la presente norma, la definición de los conceptos que aparecen en ella es la siguiente:
Sistemas de información: conjunto de componentes que forman un todo destinado a obtener, procesar, registrar o distribuir información, independientemente del soporte en el que esté almacenada.
Redes de comunicaciones: infraestructuras de telecomunicaciones destinadas al transporte de la información entre sistemas.
Red corporativa de la Xunta de Galicia: red de comunicaciones coordinada por el Centro de Gestión de Red de la Dirección General de Calidad y Evaluación de las Políticas Públicas.
Recursos informáticos: cualquier parte componente de un sistema de información o red de comunicaciones.
Aplicación informática: programa o conjunto de programas informáticos que tienen por objeto el tratamiento electrónico de la información.
Código malicioso: instrucciones de programación que actúan en un sistema de información sin consentimiento del personal de soporte técnico.
Soporte: cualquier medio físico (papel, CD-ROM, cintas magnéticas, etc.) utilizado para almacenar información.
Monitorización: observación y registro automático de los accesos a la información o de los parámetros de las comunicaciones con fines estadísticos o de seguridad.
Persona usuaria: toda persona física autorizada para la utilización de los sistemas de información, redes y dispositivos de comunicación de la Administración de la Comunidad Autónoma de Galicia, sean o no empleados públicos, y con independencia de la naturaleza de su relación jurídica con esta.
Personal de soporte técnico: personal de las unidades informáticas de los distintos departamentos de la Xunta de Galicia que desempeñan funciones de asesoría técnica, ejecución, propuesta, coordinación y supervisión de los planes de informatización.
Política de seguridad corporativa: conjunto de normas y procedimientos que establecen el compromiso de la Administración de la Comunidad Autónoma de Galicia para la gestión de la seguridad de la información.
Centro de seguridad informática: grupo de trabajo dentro de la Dirección General de Calidad y Evaluación de las Políticas Públicas encargado de la gestión y coordinación de la seguridad corporativa de los sistemas de información de la Administración de la Comunidad Autónoma de Galicia.
Artículo 3.º.-Ámbito de aplicación.
1. La presente norma será de aplicación a todas las personas que presten servicios para la Administración de la Comunidad Autónoma de Galicia y utilicen para el desempeño de sus funciones los sistemas de información o las redes de comunicaciones propiedad de la Administración autonómica.
2. El contenido de este decreto será de aplicación en la utilización del equipamiento informático y de comunicaciones, fijo y móvil, incluyendo cualquier dispositivo puesto a disposición de las personas que prestan servicios para la Administración autonómica.
Artículo 4.º.-Órganos responsables.
1. Las secretarías generales designarán, dentro de cada departamento de la Xunta de Galicia, a órgano que será responsable de los sistemas de su propiedad y de establecer los medios tecnológicos que necesitan las personas a su servicio, así como de velar por el correcto funcionamiento de las infraestructuras y del equipamiento informático y de comunicaciones de que dispongan. En aquellos casos en que dichas atribuciones ya estén asignadas reglamentariamente a un órgano, no será preciso esta designación.
2. Estos órganos, con el apoyo del personal de soporte técnico, son los competentes para velar por el cumplimiento de las normas contenidas en este decreto. Le corresponderá a ellos asegurarse de que los equipos se utilizan adecuadamente y atendiendo a la finalidad a la que están destinados.
Para el mejor cumplimiento de estas atribuciones sobre los sistemas, cada departamento de la Xunta de Galicia deberá designar a una persona como responsable de seguridad. Las personas designadas deberán comunicar, dentro de su ámbito, las normas, procedimientos y políticas de seguridad para su conocimiento por el personal, así como impulsar su implantación.
3. Conforme al Decreto 21/1999 , de 5 de febrero, por el que se regula la utilización de la red internet por la Administración de la Comunidad Autónoma de Galicia, le corresponde a la Consellería de Presidencia, Administraciones Públicas y Justicia la planificación y gestión de la red corporativa de la Xunta de Galicia.
Artículo 5.º.-Órganos de coordinación.
Son órganos de coordinación:
a) La Comisión de Informática de la Xunta de Galicia, regulada por el Decreto 290/1992, de 8 de octubre.
b) La Dirección General de Calidad y Evaluación de las Políticas Públicas de la Consellería de Presidencia, Administraciones Públicas y Justicia.
c) El Comité de Seguridad de los Sistemas de Información de la Xunta de Galicia. Es un órgano colegiado, adscrito a la Consellería de Presidencia, Administraciones Públicas y Justicia, formado por las personas responsables de seguridad de los distintos departamentos de la Xunta de Galicia, que tiene como objetivo definir la política de seguridad corporativa.
Este comité estará coordinado y asesorado por la dirección general competente a través del Centro de Seguridad Informática. Su régimen básico de funcionamiento se regulará por orden de la Consellería de Presidencia, Administraciones Públicas y Justicia.
Artículo 6.º.-Utilización del equipamiento informático y de comunicaciones.
1. La Administración de la Comunidad Autónoma de Galicia pondrá a disposición de los empleados públicos los equipos informáticos y dispositivos de comunicaciones, tanto fijos como móviles, necesarios para el desarrollo de sus funciones.
La Administración de la Comunidad Autónoma de Galicia pondrá a disposición de las personas jurídicas o físicas que, sin tener la condición de empleados públicos, le presten servicios, los equipos informáticos y dispositivos de comunicaciones, tanto fijos como móviles, necesarios para el desarrollo de sus funciones, en los términos establecidos en los contratos y convenios en los que se formalice la relación jurídica entre estas y aquella.
2. Las personas usuarias deberán emplear el equipamiento exclusivamente para el ejercicio de sus funciones.
Queda prohibido alterar, sin la debida autorización, cualquiera de los componentes de los equipos y dispositivos de comunicación.
3. Salvo autorización expresa del órgano competente, las personas usuarias sólo podrán usar los equipos aprobados por la Administración de la Comunidad Autónoma de Galicia y no podrán conectar a los equipos otros periféricos o agregar componentes distintos de los que tengan instalados. Estas operaciones sólo podrán realizarse por el personal de soporte técnico.
4. Las personas usuarias en ningún caso podrán acceder físicamente al interior de sus equipos y deberán facilitar al personal de soporte técnico el acceso a estos equipos para labores de reparación, instalación o mantenimiento. Este acceso se limitará únicamente a las acciones necesarias para resolver los problemas que este pueda encontrar en el uso de los recursos informáticos y de comunicaciones y finalizará una vez resueltos estos. Si el personal de soporte técnico detectara cualquier anomalía que indicara la realización de usos ilícitos de los recursos, lo pondrá en conocimiento del órgano responsable.
5. Cuando los medios informáticos o de comunicaciones proporcionados por la Administración de la Comunidad Autónoma de Galicia estén asociados al desempeño de un determinado puesto o funciones, la persona que los tenga asignados tendrá que devolverlos inmediatamente al órgano responsable cuando finalice su vinculación con dicho puesto o funciones.
Artículo 7.º.-Instalación de los sistemas de información y las aplicaciones informáticas.
1. Únicamente el personal de soporte técnico, autorizado por el órgano responsable, podrá instalar las aplicaciones necesarias en los equipos informáticos o en los terminales de comunicaciones y realizar la configuración necesaria en los sistemas operativos.
2. Los equipos deberán cumplir las medidas de seguridad aprobadas por la Administración de la Comunidad Autónoma de Galicia y definidas por medio de la política de seguridad corporativa de los sistemas de información. En ningún caso se desactivará el software antivirus, sus actualizaciones o cualquier otro mecanismo de seguridad instalado en ellos.
3. Está prohibida la ejecución o instalación de cualquier tipo de software que pudiera perjudicar el correcto funcionamiento de los sistemas o equipos de la Administración de la Comunidad Autónoma de Galicia, que pueda otorgar, eliminar o modificar derechos de acceso a la información o a los sistemas o que pueda considerarse ofensivo o atentatorio contra los derechos constitucionales.
4. Se prohíbe la reproducción, modificación, transformación, cesión, comunicación o uso fuera del ámbito de la Administración de la Comunidad Autónoma de Galicia de los programas y aplicaciones informáticas instaladas en los equipos que pertenecen a la administración autonómica, sin su debida autorización.
5. No se podrá instalar o utilizar software que no disponga de la licencia correspondiente o que su utilización no se adecue a la legislación vigente.
6. En ningún caso se podrán borrar o desinstalar las aplicaciones informáticas de la Administración de la Comunidad Autónoma de Galicia y sólo se utilizarán aquellas para las que se tenga autorización.
Artículo 8.º.-Utilización de la información gestionada polos sistemas.
1. Toda la información contenida en los sistemas de almacenamiento de la Administración de la Comunidad Autónoma de Galicia o que circule por sus redes de comunicaciones debe ser utilizada con una finalidad estrictamente profesional, para el desarrollo de las funciones que cada persona tiene encomendadas.
2. Cualquier tratamiento de la información almacenada en los sistemas de la Administración de la Comunidad Autónoma de Galicia deberá cumplir la normativa vigente, con especial cautela en lo que respeta a la propiedad intelectual, el control frente a virus y demás códigos maliciosos y la protección de datos de carácter personal.
3. En el caso de la información de carácter personal, debe tenerse en cuenta lo señalado en la normativa vigente en materia de protección de datos de carácter personal, debiendo extremarse las precauciones en el uso de dicha información y empleando las medidas técnicas y organizativas reguladas en la normativa asociada.
4. El personal tiene deber de sigilo y confidencialidad respeto de la información a la que tenga acceso por razón de sus funciones, limitándose a emplearla para el estricto cumplimiento de las tareas encomendadas.
Artículo 9.º.-Acceso a la información.
1. Las personas usuarias tendrán autorizado el acceso únicamente a aquella información y recursos que precisen para el desarrollo de sus funciones. El acceso a la información contenida en los sistemas de la Administración de la Comunidad Autónoma de Galicia estará restringido a aquellas personas poseedoras de la correspondiente autorización, que será personal e intransferible y compuesta al menos de un identificador y de una contraseña.
2. Los órganos responsables de los sistemas establecerán los mecanismos adecuados para evitar que las personas puedan acceder o modificar datos sin autorización.
Exclusivamente el personal de soporte técnico, conforme a los criterios establecidos por el responsable de cada uno de los sistemas de información, podrá conceder, alterar o anular la autorización de acceso a los datos y recursos.
3. No se podrán obtener derechos de acceso a la información distintos a los autorizados, ni se utilizará el identificador de otra persona, aunque se disponga de permiso de esta, salvo indicación expresa y puntual del órgano responsable de dicha información o recurso. Con este fin, las unidades de personal de los distintos departamentos de la Xunta de Galicia comunicarán al servicio de informática todos los cambios que se produzcan en los puestos de trabajo.
4. Las personas al servicio de la Administración de la Comunidad Autónoma de Galicia deberán velar por la seguridad de los datos a los que tengan acceso por las tareas de su puesto de trabajo, especialmente los confidenciales o de carácter personal.
5. Por motivos de seguridad, la Administración de la Comunidad Autónoma de Galicia podrá monitorizar los accesos a la información contenida en sus sistemas, cumpliendo los requisitos que al efecto establezca la normativa vigente.
Artículo 10.º.-Acceso a las redes de comunicaciones.
1. La conexión a la red corporativa de la Xunta de Galicia será facilitada por la Dirección General de Calidad y Evaluación de las Políticas Públicas en uso de las competencias atribuidas en el decreto de estructura orgánica de la Consellería de Presidencia, Administraciones Públicas y Justicia.
2. No se podrá conectar a esta red de comunicaciones ningún dispositivo por medios distintos a los definidos y autorizados por el Centro de Gestión de Red de dicha dirección general.
3. En el caso de aquellas redes de comunicaciones de la Administración de la Comunidad Autónoma de Galicia ya gestionadas por otras consellerías, la conexión a las mismas será facilitada por el órgano responsable de cada una de ellas.
Artículo 11.º.-Acceso a internet.
1. La Administración de la Comunidad Autónoma de Galicia proveerá de conexión a internet a las personas a su servicio con una finalidad exclusivamente profesional.
2. El equipo que tenga acceso a internet, a través de las redes de comunicación gestionadas por la Administración de la Comunidad Autónoma de Galicia, deberá disponer de software de protección frente a virus y demás códigos maliciosos.
3. Los datos de conexión y tráfico serán monitorizados y se guardará un registro durante el tiempo que establece la normativa vigente en cada supuesto. En ningún caso esta retención de datos afectará al secreto de las comunicaciones.
4. Las conexiones a sitios web que contengan material ofensivo o software malicioso serán bloqueadas, salvo excepciones debidamente autorizadas.
Artículo 12.º.-El servicio de mensajería corporativo.
1. La Administración de la Comunidad Autónoma de Galicia proveerá de servicio de mensajería a las personas a su servicio con una finalidad exclusivamente profesional.
2. Por razones de seguridad y rendimiento, los órganos responsables del servicio podrán monitorizar el servicio de mensajería corporativa. Esta monitorización no será nunca selectiva o discriminatoria sino que será realizada de forma sistemática o aleatoria y sin vulneración de la intimidad personal ni del secreto de las comunicaciones.
3. Aquellas cuentas en las que se detecte un uso inadecuado, que se definirá en el documento de política de seguridad corporativa, podrán ser bloqueadas o suspendidas temporalmente. En ningún caso, se podrá utilizar el servicio de mensajería para:
a) La difusión de mensajes ofensivos o discriminatorios.
b) El uso de la cuenta de correo corporativo para expresar opiniones personales en foros temáticos fuera del ámbito de las administraciones.
c) La difusión masiva no autorizada; suscripción indiscriminada a listas de correo o cualquier ataque con el objeto de impedir o dificultar el servicio de correo.
Artículo 13.º.-Las incidencias de seguridad.
1. Cuando una persona usuaria detecte cualquier incidencia o anomalía de seguridad que pueda comprometer el buen uso y funcionamiento de los sistemas de información, deberá informar a la persona responsable de seguridad de su departamento o al Centro Único de Atención a Usuarios dependiente de la dirección general competente.
2. En los casos de incidencias o averías que se produzcan en los equipos conectados a la red corporativa de la Xunta de Galicia no resueltas satisfactoriamente, deberá darse cuenta a la dirección general competente.
Artículo 14.º.-Deber de las personas usuarias.
1. Las personas que prestan servicios a la Administración de la Comunidad Autónoma de Galicia, además de cumplir con las medidas indicadas en este decreto relativas al equipamiento informático y de comunicaciones, a las aplicaciones informáticas, a la información y al uso de los servicios corporativos, son responsables del buen uso de los medios electrónicos, informáticos, telemáticos y de comunicaciones, fijos y móviles, puestos a su disposición para las actividades propias de las funciones que desarrollan.
2. No se podrá acceder a los recursos informáticos y telemáticos para desarrollar actividades que persigan o tengan como consecuencia:
a) La degradación de los servicios.
b) La destrucción o modificación no autorizada de la información de manera premeditada.
c) La violación de la intimidad, del secreto de las comunicaciones y del derecho a la protección de datos personales.
d) El deterioro intencionado del trabajo de otras personas.
e) El uso de los sistemas de información para fines ajenos a los de la Administración.
f) Incurrir en actividades ilícitas de cualquier tipo.
g) Dañar intencionadamente los recursos informáticos de la Administración de la Comunidad Autónoma de Galicia o de otras instituciones.
h) Instalar o utilizar software que no disponga de la licencia correspondiente.
3. Para garantizar unos mínimos de seguridad en el equipamiento asignado, se deberá:
a) Utilizar y guardar en secreto la contraseña que protege la cuenta de acceso, responsabilidad directa de la persona usuaria. Esta debe cerrar su cuenta al final de cada sesión o cuando deja desatendido el equipo, con el fin de que no pueda ser usado por terceras personas.
b) Revisar de forma periódica sus ordenadores, eliminando cualquier virus, programa o fichero que pueda causar daños a otros equipos de la red u otras actuaciones que contravengan la legislación vigente.
c) En el caso de que su equipo contenga información importante que no esté guardada en un servidor, realizar copias de seguridad periódicas para garantizar su disponibilidad.
4. Las personas usuarias, en el ejercicio de sus funciones, deberán colaborar con el órgano competente en materia de seguridad de los sistemas de información y seguir sus recomendaciones y, en particular, las del Centro de Seguridad Informática, en aplicación de la política de seguridad corporativa definida por el Comité de Seguridad de los Sistemas de Información de la Xunta de Galicia.
5. También estarán obligadas al cumplimiento de aquellas otras medidas adicionales que especifiquen los órganos responsables de los sistemas.
Artículo 15.º.-Inspección.
1. La Administración de la Comunidad Autónoma de Galicia, mediante los medios tecnológicos y personales que estime oportunos, revisará periódica y puntualmente, por razones de seguridad y de calidad del servicio, el estado de los equipos, dispositivos y redes de comunicaciones de su responsabilidad, así como su correcta utilización, con el objeto de verificar su correcto funcionamiento, eficiencia y el cumplimiento de las medidas y protocolos de seguridad establecidos en la legislación vigente.
2. La dirección general competente en materia de seguridad corporativa velará por el cumplimiento de la presente normativa e informará al Comité de Seguridad de los Sistemas de Información de la Xunta de Galicia sobre los incumplimientos o deficiencias de seguridad observados, con el objeto de que tomen las medidas oportunas.
3. Los servicios para los que se detecte un uso inadecuado o que no cumplan los requisitos de seguridad, que se definirán en el documento de política de seguridad corporativa, podrán ser bloqueados o suspendidos temporalmente para aquellas cuentas en las que se detecte un daño para los de los sistemas de información y de comunicaciones. El servicio se restablecerá cuando la causa de su degradación desaparezca.
Artículo 16.º.-Responsabilidad y régimen disciplinario de las personas usuarias que tengan la condición de empleados públicos.
1. La Administración de la Comunidad Autónoma de Galicia exigirá de los empleados públicos la responsabilidad en la que incurriesen por dolo, culpa o descuido graves de las que se deriven daños y perjuicios en sus bienes o derechos o indemnizaciones para particulares, previa instrucción del procedimiento correspondiente en los términos previstos en la normativa de aplicación.
2. El incumplimiento de los deberes y obligaciones impuestos por el presente decreto, que sean constitutivos de infracción disciplinaria, según la tipificación efectuada en la normativa aplicable, dará lugar a la incoación del correspondiente procedimiento disciplinario que se tramitará conforme a lo establecido en la normativa aplicable a los empleados públicos en función de la naturaleza jurídica de su vínculo con la Administración. No obstante lo anterior, la incoación de los expedientes y la imposición de las sanciones requerirá informe previo de la Dirección General de Calidad y Evaluación de las Políticas Públicas.
Artículo 17.º.-Responsabilidad de las personas usuarias que no tengan la condición de empleados públicos.
1. Las personas jurídicas o físicas que, sin ser empleados públicos, mantengan una relación contractual con la Administración autonómica, serán las responsables de los incumplimientos realizados por su personal en el ámbito de este decreto, cuando no pueda imputársele directamente a este la responsabilidad por la acción u omisión cometida.
2. En los pliegos de cláusulas administrativas de los contratos y en los convenios en los que se formalicen las relaciones jurídicas entre la Administración de la Comunidad Autónoma de Galicia y las personas jurídicas o físicas que, sin ser empleados públicos, estén incluidas en el ámbito de aplicación de este decreto, se establecerán penalizaciones económicas por el incumplimiento de lo establecido en el mismo, así como su posible resolución.
Disposiciones finales
Primera.-Se autoriza a la persona titular de la Consellería de Presidencia, Administraciones Públicas y Justicia para dictar las disposiciones necesarias para el desarrollo de este decreto.
Segunda.-La constitución y puesta en funcionamiento del Comité de Seguridad de los Sistemas de Información de la Xunta de Galicia no generará aumento de los créditos presupuestarios asignados a la consellería a la que está adscrito.
Tercera.-Este decreto entrará en vigor a los veinte días de su publicación en el Diario Oficial de Galicia.
