B
BOPA·CHAT
Decret 170/2023, del 19-4-2023, d’aprovació del Reglament de videoidentificació.
71 versions

Decret 170/2023, del 19-4-2023, d’aprovació del Reglament de videoidentificació.

Evolució d'aquest article a través de totes les versions de la llei.

v1ModificacióVigentBOPA 03505325 d’abr. del 2023

Requisits de seguretat

Decret 170/2023, del 19-4-2023, d’aprovació del Reglament de videoidentificació.

  1. Cal disposar d’un model de gestió contínua del risc que inclogui una anàlisi de riscos específica, que es revisa amb una periodicitat mínima anual i, en tot cas, sempre que es produeixi un canvi en el sistema, en els procediments organitzatius, en l’estat de la tecnologia, o en qualsevol altre aspecte que pugui influir en el perfil de risc del procediment d’identificació.

Aquesta anàlisi té en compte la naturalesa, l’àmbit, el context i les finalitats del tractament de les dades personals, així com els riscos de diversa probabilitat i gravetat per als drets i les llibertats de les persones físiques, d’acord amb el que exigeix la normativa de protecció de dades personals.

  1. Cal fer una avaluació d’impacte en la protecció de dades personals quan de l’anàlisi realitzada resulti probable que el tractament suposa un alt risc per als drets i les llibertats de les persones, d’acord amb el que preveu la normativa esmentada.
  2. Cal adoptar mesures tècniques i organitzatives addicionals a les indicades en aquest Reglament quan el resultat de l’anàlisi de riscos efectuada així ho requereixi. En tot cas, en relació amb les dades de caràcter personal, cal adoptar les mesures tècniques i organitzatives apropiades, segons el que estableix l’LQDP, així com a la resta de la normativa sobre protecció de dades personals.

Aquestes mesures s’actualitzen immediatament quan es tingui coneixement de vulnerabilitats que puguin donar lloc a bretxes de seguretat.

  1. Cal avaluar i documentar les característiques de seguretat del conjunt del sistema, incloent-hi tots els elements substantius de la plataforma d’identificació, els canals de comunicació i la generació i conservació de proves produïdes durant el procés d’identificació.
  2. Cal ubicar els servidors i l’equipament que formin part dels sistemes d’informació que suporten el procés d’identificació en llocs protegits, amb accés restringit al personal autoritzat. S’han de controlar els accessos de manera que només es pugui accedir per les entrades previstes i vigilades, i s’ha d’identificar tot el personal que accedeixi a aquestes estades, i registrar les entrades i les sortides.

Si els servidors es troben ubicats en un país tercer, cal garantir que es compleixin els requisits establerts al capítol cinquè de l’LQDP, així com a la resta de la normativa sobre protecció de dades personals.

  1. Es pot emprar, indistintament, un producte d’identificació remota per vídeo que compleixi:

    • a) Els requisits mínims de seguretat indicats a l’annex F.11 de la Guia de seguretat de les TIC CCNSTIC-140, del Centre Criptològic Nacional de l’Estat espanyol, de categoria alta. El prestador qualificat ha de seguir les indicacions de configuració i ús segur del producte.
    • b) El conjunt de requisits per a proveïdors de serveis de verificació d’identitat remota (PVID) publicat per l’ANSSI de l’Estat francès.

  2. En cas que el personal involucrat en el procés de videoconferència desenvolupi la seva activitat en la modalitat de treball a distància, cal garantir de la mateixa manera la seguretat del procés, de la informació i la protecció de dades de conformitat amb la normativa aplicable.