El Informe 0318/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda varias cuestiones relacionadas con el acceso al Sistema de Registros Administrativos de Apoyo a la Actividad Judicial por parte de los funcionarios de los Juzgados de Penal e Instrucción. Este acceso debe realizarse conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de Desarrollo, aprobado por el Real Decreto 1720/2007.
El informe destaca la importancia de implementar las medidas de seguridad previstas en el Real Decreto 1720/2007, especialmente las del artículo 103.1 y 104. Se define al «usuario» como la persona física que accede al fichero y al «perfil de usuario» como el tipo de información y acciones que este puede realizar. Cada usuario debe tener un acceso controlado y exclusivo, evitando el uso compartido de contraseñas.
El artículo 91 del Real Decreto 1720/2007 regula el control de acceso, estableciendo que los usuarios solo pueden acceder a los recursos necesarios para el desarrollo de sus funciones. El responsable del fichero debe mantener una relación actualizada de usuarios y perfiles, y establecer mecanismos para evitar accesos no autorizados. Además, solo el personal autorizado puede conceder, alterar o anular el acceso a los recursos.
El Real Decreto 95/2009, de 6 de febrero, regula el acceso general a la información contenida en el Sistema de Registros. Según este decreto, solo los órganos judiciales y la policía judicial, a través de funcionarios autorizados, pueden acceder a la información de los Registros Centrales. Este acceso está limitado a las inscripciones no canceladas y se realiza conforme a las disposiciones legales vigentes.
El informe subraya que cada usuario debe tener una identificación exclusiva y secreta, y se deben implementar procedimientos que garanticen la seguridad y confidencialidad en el otorgamiento de identificación y autenticación. Las contraseñas deben cambiarse periódicamente y almacenarse de forma ininteligible.
Para el tratamiento de datos sensibles, como los contenidos en el Registro Central de Protección a las Víctimas de Violencia Doméstica, se deben aplicar medidas de seguridad de nivel alto. Esto incluye la creación de un Registro de accesos, donde se guarden detalles de cada intento de acceso, incluyendo la identificación del usuario, la fecha y hora, el fichero accedido, y si el acceso fue autorizado o denegado.
Finalmente, todas estas medidas deben recogerse en un documento de seguridad, que detallará las medidas técnicas y organizativas para garantizar la protección de los datos. Este documento debe ser de obligado cumplimiento para el personal con acceso a los sistemas de información y debe incluir aspectos como el ámbito de aplicación, las medidas de seguridad, las funciones del personal, y los procedimientos de notificación y respuesta ante incidencias.