EL TRIBUNAL DE JUSTICIA,
Visto el Reglamento de Procedimiento y, en particular, su artículo 190 bis, apartado 5, Considerando lo que sigue:
(1)
Con arreglo a lo dispuesto en el artículo 105, apartados 1 y 2, del Reglamento de Procedimiento del Tribunal General, una parte principal en el litigio puede presentar, espontáneamente o a raíz de una diligencia de prueba adoptada por el Tribunal, documentos o información relacionados con la seguridad de la Unión Europea o de uno o varios de sus Estados miembros o con la gestión de sus relaciones internacionales. Los apartados 3 a 10 de este artículo establecen el régimen procesal aplicable a estos documentos e información.
(2)
Habida cuenta de que los documentos e información de que se trata son delicados y confidenciales, la aplicación del régimen establecido por el artículo 105 del Reglamento de Procedimiento del Tribunal General requiere la creación de un dispositivo de seguridad apropiado que garantice un alto nivel de protección a estos documentos e información.
(3)
A estos efectos, el dispositivo de seguridad debe aplicarse a todos los documentos e información presentados con arreglo al artículo 105, apartados 1 o 2, de dicho Reglamento, que constituyen información clasificada de la Unión Europea o con respecto a los cuales la parte principal que los presenta indica que su comunicación a la otra parte principal perjudicaría a la seguridad de la Unión o de sus Estados miembros o a la gestión de sus relaciones internacionales, incluso en el caso de que tales documentos o información no sean información clasificada de la Unión Europea.
(4)
A fin de garantizar un alto nivel de protección a estos documentos e información, los principios básicos y los estándares mínimos de seguridad para la protección de dichos documentos o información se inspiran en los que se aplican para la protección de la información clasificada SECRET UE/EU SECRET con arreglo a la normativa de las instituciones de la Unión relativa a la protección de la información clasificada de la Unión Europea (ICUE), en particular la adoptada por el Consejo de la Unión Europea, el Parlamento Europeo y la Comisión Europea.
(5)
Los documentos e información presentados con arreglo al artículo 105, apartados 1 o 2, del Reglamento de Procedimiento del Tribunal General se marcarán en el Tribunal de Justicia de la Unión Europea con una marca específica, denominada «FIDUCIA», que determinará el régimen de seguridad que les será aplicable durante todo el procedimiento ante el Tribunal General y, en caso de recurso de casación, ante el Tribunal de Justicia. La colocación y la supresión de la marca FIDUCIA no afectarán a la clasificación de la información que haya sido comunicada al Tribunal General.
(6)
La necesidad de conocer la información FIDUCIA será el principio que guiará el acceso a dicha información.
DECIDE:
Artículo 1
Definiciones
A efectos de la presente Decisión, se entenderá por:
a) «autoridad de seguridad»: la autoridad responsable de la seguridad del Tribunal de Justicia de la Unión Europea designada por este último, la cual podrá delegar, en todo o en parte, la ejecución de las tareas previstas en la presente Decisión;
b) «oficina FIDUCIA»: la oficina del Tribunal de Justicia de la Unión Europea responsable de la gestión de la información FIDUCIA;
c) «poseedor»: la persona debidamente autorizada, con una probada necesidad de conocer la información, que está en posesión de una información FIDUCIA y es, por tanto, responsable de su protección;
d) «documento»: toda información, independientemente de su forma o características físicas;
e) «información»: toda información escrita u oral, independientemente de su soporte o autor;
f) «información clasificada de la Unión Europea» (ICUE): toda información o material al que se haya asignado una clasificación de seguridad de la Unión Europea en virtud de la normativa aplicable en esta materia en el seno de las instituciones de la Unión y comprendido en uno de los grados de clasificación siguientes:
—TRÈS SECRET UE/EU TOP SECRET,
—SECRET UE/EU SECRET,
—CONFIDENTIEL UE/EU CONFIDENTIAL,
—RESTREINT UE/EU RESTRICTED;
g) «información FIDUCIA»: toda información que lleve la marca FIDUCIA;
h) «tratamiento» de una información FIDUCIA: el conjunto de acciones de las que una información FIDUCIA puede ser objeto durante todo el procedimiento ante el Tribunal de Justicia. Este término hace referencia, pues, al registro, consulta, creación, copia, almacenamiento, devolución y destrucción de la información.
Artículo 2
Objeto y ámbito de aplicación
1. La presente Decisión determina los principios básicos y los estándares mínimos de seguridad para la protección de la información FIDUCIA durante el procedimiento ante el Tribunal de Justicia.
2. Estos principios básicos y estándares mínimos de seguridad se aplicarán a toda información FIDUCIA, al igual que a toda utilización, escrita u oral, de la misma y a las copias que, en su caso, de ella se hagan con arreglo a las normas de seguridad establecidas en la presente Decisión.
Artículo 3
Procedimiento de presentación y de devolución Para la aplicación del dispositivo establecido en la presente Decisión:
—la parte principal informará a la Secretaría del Tribunal General del día en que presentará los documentos o la información con arreglo al artículo 105, apartados 1 o 2, del Reglamento de Procedimiento del Tribunal General,
—la parte principal, acompañada por un representante de la Secretaría del Tribunal General, deberá presentar los documentos o la información con arreglo al artículo 105, apartados 1 o 2, de dicho Reglamento en la oficina FIDUCIA durante el horario de apertura al público de la Secretaría,
—la parte principal que haya presentado los documentos o la información con arreglo al artículo 105, apartados 1 o 2, del Reglamento de Procedimiento del Tribunal General deberá recuperarlos en la oficina FIDUCIA en presencia de un representante de la Secretaría del Tribunal General cuando no autorice que sean comunicados a la otra parte con arreglo al artículo 105, apartado 4, de dicho Reglamento, o tan pronto como decida retirarlos conforme a lo dispuesto en el artículo 105, apartado 7, del mismo Reglamento, o tan pronto como expire el plazo establecido en el artículo 56, párrafo primero, del Estatuto del Tribunal de Justicia de la Unión Europea, a menos que dentro de ese plazo se haya interpuesto un recurso de casación,
—si en el plazo establecido en el artículo 56, párrafo primero, del Estatuto del Tribunal de Justicia de la Unión Europea se interpone un recurso de casación contra la resolución del Tribunal General, los documentos e información presentados en ese asunto con arreglo al artículo 105, apartados 1 o 2, del Reglamento de Procedimiento del Tribunal General se pondrán a disposición del Tribunal de Justicia. A estos efectos, tan pronto como el Secretario del Tribunal General sea informado de la existencia de ese recurso de casación, remitirá al Secretario del Tribunal de Justicia un escrito indicándole que los documentos e información de que se trata se ponen a disposición del Tribunal de Justicia. El Secretario del Tribunal General indicará simultáneamente a la autoridad de seguridad que los documentos e información de que se trata deben ponerse a disposición del Tribunal de Justicia, sin proceder a un desplazamiento físico de tales documentos o información. La oficina FIDUCIA registrará esta indicación. La parte principal que haya presentado los documentos o la información de que se trata deberá recuperarlos en la oficina FIDUCIA, en presencia de un representante de la Secretaría del Tribunal de Justicia, en cuanto se produzca la notificación de la resolución que ponga fin al procedimiento de casación, salvo en caso de devolución del asunto al Tribunal General para que este último resuelva,
—en caso de devolución del asunto al Tribunal General, el Tribunal de Justicia pondrá los documentos e información de que se trata a disposición del Tribunal General en cuanto se produzca la notificación de la resolución que ponga fin al procedimiento de casación. A estos efectos, el Secretario del Tribunal de Justicia remitirá un escrito al Secretario del Tribunal General indicándole que los documentos e información de que se trata se ponen a disposición del Tribunal General. El Secretario del Tribunal de Justicia indicará simultáneamente a la autoridad de seguridad que los documentos e información de que se trata deben ponerse a disposición del Tribunal de Justicia, sin proceder a un desplazamiento físico de estos documentos e información. La oficina FIDUCIA registrará esta indicación. La parte principal que haya presentado los documentos o la información de que se trata deberá recuperarlos en la oficina FIDUCIA, en presencia de un representante de la Secretaría del Tribunal General, tan pronto como expire el plazo establecido en el artículo 56, párrafo primero, del Estatuto del Tribunal de Justicia de la Unión Europea, a menos que dentro de ese plazo se haya interpuesto un recurso de casación.
Artículo 4
Marcado FIDUCIA
1. La oficina FIDUCIA atribuirá la marca FIDUCIA a todos los documentos e información presentados conforme a lo dispuesto en el artículo 105, apartados 1 o 2, del Reglamento de Procedimiento del Tribunal General.
2. La oficina FIDUCIA atribuirá también la marca FIDUCIA a toda información que reproduzca, total o parcialmente, el contenido de los documentos e información presentados conforme a lo dispuesto en el artículo 105, apartados 1 o 2, de dicho Reglamento, así como a toda copia de estos documentos e información.
3. La oficina FIDUCIA atribuirá también la marca FIDUCIA a los documentos y registros elaborados por la oficina FIDUCIA en aplicación de la presente Decisión cuya divulgación no autorizada pueda perjudicar a la seguridad de la Unión o de uno o varios de sus Estados miembros o a la gestión de sus relaciones internacionales.
4. La marca FIDUCIA se colocará de manera visible en todas las páginas y soportes de la información FIDUCIA.
5. La colocación y la supresión de la marca FIDUCIA, en las condiciones establecidas en el anexo III, no afectarán a la clasificación de la información que haya sido comunicada al Tribunal General.
Artículo 5
Protección de la información FIDUCIA
1. La protección de la información FIDUCIA será equivalente a la establecida para la ICUE de grado SECRET UE/EU SECRET con arreglo a la normativa aplicable en el seno de las instituciones de la Unión en materia de protección de la ICUE.
2. El poseedor de cualquier información FIDUCIA tendrá la responsabilidad de protegerla de conformidad con la presente Decisión.
Artículo 6
Gestión de los riesgos de seguridad
1. La gestión de los riesgos a que esté expuesta la información FIDUCIA se efectuará mediante un procedimiento de análisis de riesgos, destinado a determinar los riesgos de seguridad conocidos, a establecer medidas de seguridad que permitan reducir los riesgos a un nivel aceptable de conformidad con los principios básicos y los estándares mínimos formulados en la presente Decisión y a aplicar esas medidas. La autoridad de seguridad procederá a una evaluación constante de la eficacia de tales medidas.
2. Las medidas de seguridad para la protección de la información FIDUCIA durante todo el procedimiento ante el Tribunal de Justicia serán medidas adaptadas a la forma en que se presente la información o el material de que se trate y a su volumen, a la estructura de los locales de la oficina FIDUCIA y a su entorno, así como a la amenaza derivada de las actividades malintencionadas o criminales, incluidos el espionaje, el sabotaje y el terrorismo, evaluada a nivel local.
3. El plan de emergencia interno del Tribunal de Justicia de la Unión Europea tendrá en cuenta la necesidad de proteger la información FIDUCIA en caso de emergencia, a fin de prevenir el acceso o la revelación no autorizados y la pérdida de integridad o de disponibilidad de los datos.
4. En el plan de emergencia interno del Tribunal de Justicia de la Unión Europea se incluirán medidas preventivas y de retorno a la situación normal destinadas a limitar las repercusiones de los fallos o incidentes graves en el tratamiento y almacenamiento de la información FIDUCIA.
Artículo 7
Medidas de seguridad relativas a las personas 1. Únicamente podrá concederse acceso a la información FIDUCIA a las personas que:
—necesiten conocerla,
—hayan sido autorizadas a acceder a la información FIDUCIA, sin perjuicio de lo dispuesto en el apartado 2 del presente artículo, y
—hayan sido informadas de sus responsabilidades.
2. Se considerará que los jueces y los abogados generales del Tribunal de Justicia, en virtud de sus funciones, están autorizados a acceder a la información FIDUCIA.
3. En el anexo I se especifica el procedimiento destinado a determinar si un funcionario o agente del Tribunal de Justicia de la Unión Europea, habida cuenta de su lealtad, de su integridad y de su fiabilidad, puede ser autorizado a acceder a la información FIDUCIA.
4. Antes de obtener acceso a la información FIDUCIA y posteriormente a intervalos regulares, todas las personas autorizadas al efecto serán informadas de las responsabilidades que les incumben en materia de protección de la información FIDUCIA conforme a lo dispuesto en la presente Decisión, y reconocerán por escrito tales responsabilidades.
Artículo 8
Seguridad física
1. Se entenderá por «seguridad física» la aplicación de medidas de protección física y técnica para impedir el acceso no autorizado a la información FIDUCIA.
2. Las medidas de seguridad física estarán destinadas a impedir la entrada de intrusos, subrepticia o por la fuerza, en los locales de la oficina FIDUCIA, a disuadir, impedir y detectar los actos no autorizados y a permitir establecer una distinción entre las personas autorizadas o no a acceder a la información FIDUCIA con arreglo al principio de la necesidad de conocer tal información. Estas medidas se determinarán basándose en un procedimiento de gestión de riesgos.
3. Se establecerán medidas de seguridad física para los locales de la oficina FIDUCIA en los que se trate y se almacene la información FIDUCIA. Estas medidas estarán destinadas a garantizar una protección equivalente a la que recibe la ICUE de grado SECRET UE/EU SECRET con arreglo a la normativa aplicable en el seno de las instituciones de la Unión en materia de protección de la ICUE. Ninguna información FIDUCIA podrá almacenarse ni consultarse fuera de los locales de la oficina FIDUCIA creados al efecto en el interior de una zona a su vez de acceso restringido.
4. Para la protección de la información FIDUCIA solo se utilizarán equipos o dispositivos que se ajusten a la normativa aplicable en el seno de las instituciones de la Unión en materia de protección de la ICUE.
5. Las disposiciones de desarrollo del presente artículo figuran en el anexo II.
Artículo 9
Gestión de la información FIDUCIA
1. Se entenderá por «gestión de la información FIDUCIA» la aplicación de las medidas administrativas destinadas a proteger la información FIDUCIA durante todo el procedimiento ante el Tribunal de Justicia, y a controlar tal información con objeto de prevenir y detectar cualquier acto intencional o accidental que pueda comprometerla o hacer que se pierda.
2. Las medidas de gestión de la información FIDUCIA concernirán, en particular, al registro, consulta, creación, copia, almacenamiento, devolución y destrucción de la información FIDUCIA.
3. La oficina FIDUCIA registrará toda información FIDUCIA en el momento en que la reciba y antes de aplicarle cualquier tratamiento.
4. La autoridad de seguridad inspeccionará regularmente los locales de la oficina FIDUCIA.
5. Las disposiciones de desarrollo del presente artículo figuran en el anexo III.
Artículo 10
Protección aplicable al tratamiento electrónico de la información FIDUCIA
1. Los sistemas informáticos y de comunicaciones (ordenadores y periféricos) que se utilicen para tratar la información FIDUCIA estarán situados en los locales de la oficina FIDUCIA y deberán aislarse de cualquier red informática.
2. Se aplicarán medidas de seguridad a fin de proteger los equipos informáticos utilizados para el tratamiento de la información FIDUCIA contra las emisiones electromagnéticas no intencionales que puedan comprometer tal información (medidas de seguridad equivalentes a las aplicadas a la ICUE de grado SECRET UE/EU SECRET con arreglo a la normativa aplicable en el seno de las instituciones de la Unión en materia de protección de la ICUE).
3. Los sistemas informáticos y de comunicaciones deberán ser homologados por la autoridad de seguridad, que verificará que se ajustan a la normativa aplicable en el seno de las instituciones de la Unión en materia de protección de la ICUE.
4. Las disposiciones de desarrollo del presente artículo figuran en el anexo IV.
Artículo 11
Seguridad en caso de intervención exterior
1. Se entenderá por «seguridad en caso de intervención exterior» la aplicación de medidas destinadas a garantizar la protección de la información FIDUCIA por parte de contratistas que deban intervenir en labores de mantenimiento de los sistemas informáticos y de comunicaciones aislados de la red informática o en caso de intervención que requiera un traslado urgente de información FIDUCIA a fin de ponerla en seguridad.
2. La autoridad de seguridad podrá encomendar a contratistas registrados en un Estado miembro el cumplimiento de tareas que, en virtud de su contrato, impliquen o requieran el acceso a la información FIDUCIA.
3. La autoridad de seguridad se asegurará de que, al adjudicar los contratos, se respeten los estándares mínimos de seguridad establecidos en la presente Decisión, que deberán mencionarse en el contrato.
4. Los miembros del personal de un contratista solo podrán acceder a la información FIDUCIA tras ser autorizados al efecto por la autoridad de seguridad basándose en una habilitación personal de seguridad expedida por la Autoridad Nacional de Seguridad o cualquier otra autoridad de seguridad competente con arreglo a las disposiciones legales o reglamentarias nacionales.
5. Las disposiciones de desarrollo del presente artículo figuran en el anexo V.
Artículo 12
Prohibición de transmitir en formato digital, comunicar o intercambiar la información FIDUCIA
1. Ninguna información FIDUCIA será transmitida en ningún caso en formato digital.
2. El Tribunal de Justicia no comunicará ninguna información FIDUCIA ni a las instituciones, órganos, organismos o agencias de la Unión, ni a los Estados miembros, ni a las demás partes del litigio, ni a tercero alguno.
Artículo 13
Infracciones de la seguridad y situaciones que comprometen la información FIDUCIA
1. Se considerará infracción de la seguridad toda acción u omisión de una persona que sea contraria a las normas de seguridad formuladas en la presente Decisión.
2. Se considerará que existe una situación que compromete una información FIDUCIA cuando, a causa de una infracción de la seguridad, tal información sea revelada en todo o en parte a personas que no sean titulares de una autorización o que no se consideren autorizadas.
3. Toda infracción de la seguridad, real o presunta, se comunicará de inmediato a la autoridad de seguridad.
4. Cuando se compruebe que una información FIDUCIA ha sido comprometida o se ha perdido o cuando existan motivos razonables para suponer que así ha ocurrido, la autoridad de seguridad, en estrecha relación con el presidente y con el secretario del Tribunal de Justicia, adoptará todas las medidas oportunas, de conformidad con las disposiciones aplicables, para:
a)informar de ello a la parte principal que presentó la información o los documentos de que se trate;
b)solicitar a la autoridad competente la apertura de una investigación administrativa;
c)evaluar el posible perjuicio causado a la seguridad de la Unión o de uno o varios de sus Estados miembros o a la gestión de sus relaciones internacionales;
d)evitar que se repitan esos hechos, y
e)notificar las medidas adoptadas a las autoridades competentes.
5. Toda persona responsable de una infracción de las normas de seguridad establecidas en la presente Decisión podrá ser objeto de sanciones disciplinarias, de conformidad con las disposiciones aplicables. Toda persona responsable de una situación que haya comprometido una información FIDUCIA o de la pérdida de una información FIDUCIA podrá ser objeto de sanciones disciplinarias o ser perseguida judicialmente, de conformidad con las disposiciones aplicables.
Artículo 14
Organización de la seguridad en el Tribunal de Justicia
1. La oficina FIDUCIA se ocupará de la protección de la información FIDUCIA en aplicación de la presente Decisión.
2. La autoridad de seguridad será responsable de la correcta aplicación de la presente Decisión y, en su condición de tal:
a)aplicará la política de seguridad del Tribunal de Justicia de la Unión Europea y la revisará periódicamente;
b)controlará la ejecución de la presente Decisión por parte de la oficina FIDUCIA;
c)en su caso, hará investigar, conforme a lo establecido en el artículo 13, toda situación que comprometa una información FIDUCIA y toda pérdida de una información FIDUCIA, reales o presuntas;
d)inspeccionará periódicamente las medidas de seguridad destinadas a garantizar la protección de la información FIDUCIA en los locales de la oficina FIDUCIA.
Artículo 15
Modalidades prácticas de ejecución
La autoridad de seguridad adoptará, de acuerdo con el Secretario del Tribunal de Justicia, las modalidades prácticas de ejecución de la presente Decisión.
Artículo 16
Entrada en vigor
La presente Decisión entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Luxemburgo, el 20 de septiembre de 2016.
El Secretario
A. CALOT ESCOBAR
El Presidente
K. LENAERTS
ANEXO I
.
MEDIDAS DE SEGURIDAD RELATIVAS A LAS PERSONAS
1. El presente anexo recoge las disposiciones de desarrollo del artículo 7 de la Decisión.
2. Corresponderá al secretario del Tribunal de Justicia determinar, en lo que le respecta y en la medida en que sea estrictamente necesario, los puestos que requieren acceso a la información FIDUCIA y que exigen, por consiguiente, que los funcionarios y agentes que ocupen tales puestos estén autorizados a acceder a la información FIDUCIA.
3. Con vistas a la concesión de una autorización de acceso a la información FIDUCIA, la oficina FIDUCIA remitirá el cuestionario de seguridad cumplimentado por el funcionario o agente de que se trate a la Autoridad Nacional de Seguridad del Estado miembro del que esa persona sea nacional o a cualquier otra autoridad nacional competente, identificada en la normativa aplicable en el seno de las instituciones de la Unión en materia de protección de la ICUE (en lo sucesivo, «ANS competente»), y solicitará que se realice una investigación de seguridad correspondiente al grado de clasificación SECRET UE/EU SECRET.
4. Una vez concluida la investigación de seguridad, la ANS competente, actuando de acuerdo con las disposiciones legales y reglamentarias vigentes en el Estado miembro de que se trate, comunicará los resultados de la investigación a la oficina FIDUCIA.
5. Cuando al término de la investigación de seguridad, la ANS competente pueda garantizar que no se conoce ningún dato desfavorable que ponga en entredicho la lealtad, la integridad y la fiabilidad del interesado, la autoridad facultada para proceder a los nombramientos (AFPN) competente podrá conceder al interesado la autorización de acceso a la información FIDUCIA.
6. Cuando al término de la investigación de seguridad no sea posible ofrecer la garantía mencionada en el apartado 5, la AFPN informará de ello al interesado. En tal caso, la oficina FIDUCIA, siguiendo las instrucciones de la AFPN, podrá solicitar a la ANS competente todas las aclaraciones complementarias que esta le pueda facilitar, de conformidad con sus disposiciones legales y reglamentarias nacionales. Si se confirman los resultados de la investigación de seguridad, no se concederá al interesado la autorización de acceso a la información FIDUCIA.
7. La autorización de acceso a la información FIDUCIA tendrá una validez de cinco años y será retirada cuando la persona de que se trate deje de ocupar el puesto que requiere acceso a la información FIDUCIA o cuando la AFPN considere que existen razones que justifican la retirada de la autorización.
8. La autorización de acceso a la información FIDUCIA podrá ser renovada siguiendo el procedimiento establecido en los apartados 3 a 5.
9. La oficina FIDUCIA llevará un registro de las autorizaciones de acceso a la información FIDUCIA.
10. Si llegara a conocimiento de la oficina FIDUCIA información sobre el riesgo de seguridad que representa una persona titular de una autorización de acceso a la información FIDUCIA, la oficina FIDUCIA lo notificará a la ANS competente y la AFPN podrá suspenderle el acceso a la información FIDUCIA o retirarle la autorización de acceso a esa información.
11. Por razones de urgencia y tras haber consultado a la ANS competente, la AFPN podrá conceder a funcionarios y agentes una autorización temporal de acceso a la información FIDUCIA, sometida al resultado de las indagaciones preliminares encaminadas a verificar que no se conoce ninguna información desfavorable. Esta autorización temporal será válida hasta que finalice el procedimiento establecido en los apartados 3 a 5, pero su validez no podrá sobrepasar los seis meses a partir de la fecha de presentación de la solicitud de investigación de seguridad ante la ANS competente.
12. Antes de recibir acceso a la información FIDUCIA, las personas autorizadas al efecto seguirán una formación destinada a permitirles asumir sus responsabilidades en el tratamiento de la información FIDUCIA. La autorización de acceso a la información FIDUCIA solo será efectiva una vez que se haya seguido esta formación y se haya reconocido por escrito la responsabilidad asumida.
ANEXO II
.
SEGURIDAD FÍSICA
I. INTRODUCCIÓN
1. El presente anexo recoge las disposiciones de desarrollo del artículo 8 de la Decisión. En él se establecen los requisitos mínimos para la protección física de los locales de la oficina FIDUCIA en los que se trate y se almacene la información FIDUCIA.
2. Las medidas de seguridad física estarán destinadas a impedir el acceso no autorizado a información FIDUCIA:
a)garantizando que la información FIDUCIA se trata y se almacena adecuadamente;
b)permitiendo establecer una distinción entre las personas autorizadas o no a acceder a la información FIDUCIA con arreglo al principio de la necesidad de conocer tal información;
c)disuadiendo, impidiendo y detectando los actos no autorizados, y
d)impidiendo o retrasando la entrada de intrusos, subrepticia o por la fuerza, en los locales de la oficina FIDUCIA.
3. Las medidas de seguridad física se determinarán a partir de una evaluación de las amenazas existentes para la información FIDUCIA. Estas medidas tendrán en cuenta la estructura de los locales de la oficina FIDUCIA y su entorno. La autoridad de seguridad determinará el grado de seguridad que debe alcanzar cada una de las medidas físicas siguientes:
a)barrera perimetral que proteja los límites exteriores de la zona que requiere protección;
b)sistema de detección de intrusiones conectado al puesto de mando y de seguridad del Tribunal de Justicia de la Unión Europea;
c)sistema de control de acceso por medios electrónicos o electromecánicos, manejado por un miembro del personal de seguridad;
d)personal de seguridad formado, supervisado y con autorización de acceso a la información FIDUCIA;
e)sistema de vigilancia vídeo en circuito cerrado, manejado por el personal de seguridad y conectado al sistema de detección de intrusiones y al sistema de control de acceso;
f)iluminación de seguridad que garantice una vigilancia eficaz, directamente o a través de un sistema de vigilancia vídeo;
g)cualquier otra medida apropiada de seguridad física destinada a disuadir o detectar entradas no autorizadas o a prevenir la consulta, la pérdida o el deterioro de la información FIDUCIA.
II. LOCALES DE ALMACENAMIENTO Y DE CONSULTA DE LA INFORMACIÓN FIDUCIA Creación de locales de almacenamiento y de consulta físicamente protegidos
4. Para el almacenamiento y la consulta de la información FIDUCIA se crearán locales de acceso restringido. La información FIDUCIA solo podrá almacenarse y consultarse en los locales de la oficina FIDUCIA, que se ajustarán en todos los aspectos a la normativa aplicable en el seno de las instituciones de la Unión en materia de protección de la ICUE.
5. En el interior de estos locales, la información FIDUCIA se almacenará en armarios de seguridad que se ajustarán igualmente en todos los aspectos a la normativa aplicable en el seno de las instituciones de la Unión en materia de protección de la ICUE.
6. En los locales de la oficina FIDUCIA no podrá introducirse ningún sistema de comunicación (teléfonos u otros dispositivos electrónicos).
7. El local de reunión de la oficina FIDUCIA estará protegido contra las escuchas y será objeto, a intervalos regulares, de inspecciones de seguridad electrónica.
Acceso a los locales de almacenamiento y de consulta
8. El acceso a los locales de la oficina FIDUCIA se controlará mediante una esclusa de entrada a fines de identificación, sometida a vigilancia vídeo.
9. Las personas titulares de una autorización de acceso a la información FIDUCIA y las que se consideren autorizadas podrán acceder a los locales de la oficina FIDUCIA para consultar la información FIDUCIA en las condiciones establecidas en el artículo 7, apartados 1 y 2, de la presente Decisión.
10. Excepcionalmente, la autoridad de seguridad podrá conceder una autorización de acceso a personas no autorizadas cuya intervención en los locales de la oficina FIDUCIA sea indispensable, a condición de que el acceso a estos locales no implique un acceso a la información FIDUCIA, que seguirá estando protegida de la vista en los armarios de seguridad. Dichas personas solo podrán acceder a los locales acompañadas de una persona de la oficina FIDUCIA autorizada para acceder a la información FIDUCIA y bajo la vigilancia permanente de esta.
11. Todo acceso a los locales de la oficina FIDUCIA quedará inscrito en un registro de acceso. La llevanza de este registro de acceso se realizará en un ordenador situado en el interior de los locales. El sistema informático y de comunicaciones utilizado al efecto respetará los requisitos de seguridad establecidos en el artículo 10 de la Decisión y en su anexo IV.
12. Las medidas de protección que rigen la utilización escrita de la información FIDUCIA se aplicarán en caso de utilización oral de dicha información.
III. CONTROL DE LAS LLAVES Y COMBINACIONES EMPLEADAS PARA PROTEGER LA INFORMACIÓN FIDUCIA
13. La autoridad de seguridad establecerá los procedimientos de gestión de las llaves y las combinaciones utilizadas para los locales de la oficina FIDUCIA y para los armarios de seguridad. Estos procedimientos deberán proteger contra los accesos no autorizados.
14. Las combinaciones deberán ser memorizadas por el menor número posible de personas que necesiten conocerlas. Las combinaciones de los armarios de seguridad utilizados para almacenar la información FIDUCIA deberán modificarse:
a)al recibir un nuevo armario;
b)cada vez que se produzca un cambio en el personal que conoce la combinación;
c)en el caso de que se sepa o se sospeche que la información ha quedado comprometida;
d)cuando se realicen operaciones de mantenimiento o de reparación de una cerradura;
e)al menos cada doce meses.
15. El equipamiento técnico destinado a la protección física de la información FIDUCIA se ajustará a la normativa aplicable en el seno de las instituciones de la Unión en materia de protección de la ICUE. La autoridad de seguridad será responsable de la observancia de tales normas.
16. A intervalos regulares se efectuarán operaciones de inspección y de mantenimiento del equipamiento técnico. Para el mantenimiento se tendrán en cuenta los resultados de las inspecciones, con objeto de garantizar un óptimo funcionamiento continuado del equipamiento.
17. En cada inspección deberá reevaluarse la eficacia de las diferentes medidas de seguridad y la del sistema de seguridad en su conjunto.
ANEXO III
.
GESTIÓN DE LA INFORMACIÓN FIDUCIA
I. INTRODUCCIÓN
1. El presente anexo recoge las disposiciones de desarrollo del artículo 9 de la Decisión. En él se establecen las medidas administrativas destinadas a proteger la información FIDUCIA durante todo el procedimiento ante el Tribunal de Justicia, y a controlar tal información con el fin de prevenir y detectar las situaciones en que quede comprometida o se produzca una pérdida deliberada o accidental de la misma.
II. REGISTRO DE INFORMACIÓN FIDUCIA
2. Se creará un registro de información FIDUCIA. La llevanza de este registro corresponderá a la oficina FIDUCIA, que la realizará en un ordenador situado en el interior de sus locales. El sistema informático y de comunicaciones utilizado al efecto respetará los requisitos de seguridad establecidos en el artículo 10 de la Decisión y en su anexo IV.
III. INSCRIPCIÓN DE LA INFORMACIÓN FIDUCIA EN EL REGISTRO
3. A efectos de la presente Decisión, se entenderá por inscripción en el registro por razones de seguridad (en lo sucesivo, «inscripción en el registro») la aplicación de procedimientos que permitan dejar constancia del ciclo de vida de toda información FIDUCIA, incluida su destrucción.
4. La oficina FIDUCIA llevará a cabo la inscripción en el registro de toda información FIDUCIA.
5. La oficina FIDUCIA atribuirá automáticamente la marca FIDUCIA a los documentos e información presentados con arreglo al apartado artículo 105, apartados 1 o 2, del Reglamento de Procedimiento del Tribunal General. La oficina FIDUCIA inscribirá toda información FIDUCIA en el registro de información FIDUCIA.
6. La oficina FIDUCIA elaborará un informe anexo al registro de información FIDUCIA en el que especificará las circunstancias en que recibió la información. A continuación, tal información será tratada del modo establecido en el apartado anterior.
7. La inscripción de la información FIDUCIA en el registro de información FIDUCIA, conforme a lo dispuesto en los apartados 5 y 6, se efectuará sin perjuicio de su registro a efectos procesales, que llevarán a cabo las personas de la Secretaría autorizadas a acceder a la información FIDUCIA.
IV. GESTIÓN DE LA INFORMACIÓN FIDUCIA
Marcado
8. Cuando, con arreglo a lo dispuesto en el artículo 105, apartados 1 o 2, del Reglamento de Procedimiento del Tribunal General, se presente una ICUE o cualquier otra información de la que se afirme que su comunicación perjudicaría a la seguridad de la Unión o de uno o varios de sus Estados miembros o a la gestión de sus relaciones internacionales, la oficina FIDUCIA atribuirá a dicha información la marca FIDUCIA.
9. La marca FIDUCIA se indicará clara y correctamente en cada parte del documento, con independencia de la forma en que se presente la información: en formato papel, en formato audio, en formato electrónico u otros.
Creación de una información FIDUCIA
10. Solo las personas titulares de una autorización de acceso a la información FIDUCIA y las que se consideren autorizadas podrán crear una información FIDUCIA del modo que se especifica en el artículo 4, apartados 2 y 3, de la presente Decisión.
11. Toda información FIDUCIA de nueva creación será inscrita por la oficina FIDUCIA en el registro de información FIDUCIA.
12. Toda información FIDUCIA de nueva creación estará sometida a la totalidad de las normas relativas al tratamiento de información FIDUCIA que se establecen en la presente Decisión y en sus anexos.
Supresión de la marca FIDUCIA
13. La información FIDUCIA perderá su marca en dos supuestos:
a)cuando la parte principal que presentó una información FIDUCIA autorice la transmisión de la misma a la otra parte principal, la información inicialmente transmitida y toda la información creada tomando como base dicha información perderá su marca FIDUCIA;
b)cuando se devuelva una información FIDUCIA a la parte principal que la presentó.
14. La oficina FIDUCIA procederá a la supresión de la marca FIDUCIA e inscribirá tal supresión en el registro de información FIDUCIA.
15. La supresión de la marca FIDUCIA no implicará la desclasificación de la ICUE.
V. COPIAS DE LA INFORMACIÓN FIDUCIA
16. La información FIDUCIA no se copiará, a menos que las copias sean indispensables. En tal caso, realizará las copias la oficina FIDUCIA, que las numerará e inscribirá en el registro.
17. Las copias estarán sujetas a todas las normas relativas al tratamiento de información FIDUCIA que se establecen en la presente Decisión y en sus anexos.
VI. DESTRUCCIÓN DE LA INFORMACIÓN FIDUCIA
18. Cuando unos documentos o información presentados conforme a lo dispuesto en el artículo 105, apartados 1 o 2, del Reglamento de Procedimiento del Tribunal General sean devueltos a la parte principal que los presentó, se destruirá toda la información que reproduzca, total o parcialmente, el contenido de tales documentos o información y las eventuales copias efectuadas.
19. La oficina FIDUCIA llevará a cabo la destrucción de la información FIDUCIA mencionada en el apartado 18, utilizando métodos que se ajusten a la normativa aplicable en el seno de las instituciones de la Unión en materia de protección de la ICUE a fin de impedir su reconstrucción total o parcial.
20. La destrucción de la información FIDUCIA mencionada en el apartado 18 se efectuará en presencia de un testigo que sea titular de una autorización de acceso a la información FIDUCIA.
21. La oficina FIDUCIA levantará acta de la destrucción.
22. El acta de la destrucción se incluirá como anexo en el registro de información FIDUCIA. Se remitirá una copia de la misma a la parte principal que presentó el documento de que se trate.
ANEXO IV
.
PROTECCIÓN APLICABLE AL TRATAMIENTO ELECTRÓNICO DE LA INFORMACIÓN FIDUCIA
1. El presente anexo recoge las disposiciones de desarrollo del artículo 10 de la Decisión.
2. La información FIDUCIA solo podrá tratarse en aparatos electrónicos (ordenadores, impresoras, fotocopiadoras) que no estén conectados a la red informática y que estén situados en los locales de la oficina FIDUCIA.
3. Todos los aparatos electrónicos utilizados para el tratamiento de la información FIDUCIA se ajustarán a la normativa aplicable en el seno de las instituciones de la Unión en materia de protección de la ICUE. La seguridad de estos aparatos deberá garantizarse durante todo su ciclo de vida.
4. Todas las conexiones posibles a internet y a otros dispositivos (LAN, WLAN, Bluetooth, etc.) estarán desactivadas permanentemente.
5. Los ordenadores dispondrán de una protección antivirus apropiada. Las actualizaciones del programa antivirus se efectuarán a través de un CD-ROM o de una memoria USB destinados exclusivamente a este uso.
6. Antes de realizar cualquier operación de mantenimiento se borrarán las memorias de las impresoras y de las fotocopiadoras.
7. Para el tratamiento de las solicitudes de investigación mencionadas en el anexo I únicamente se utilizarán productos criptológicos aprobados con arreglo a la normativa aplicable en el seno de las instituciones de la Unión en materia de protección de la ICUE.
ANEXO V
.
SEGURIDAD EN CASO DE INTERVENCIÓN EXTERIOR
1. El presente anexo recoge las disposiciones de desarrollo del artículo 11 de la Decisión.
2. Los contratistas solo podrán acceder a la información FIDUCIA durante las labores de mantenimiento de los sistemas informáticos y de comunicaciones aislados de la red informática o en caso de intervención que requiera un traslado urgente de información FIDUCIA a fin de ponerla en seguridad.
3. La autoridad de seguridad elaborará unas directrices sobre intervención exterior que regulen, en particular, la habilitación de seguridad del personal de los contratistas y el contenido de los contratos mencionados en este anexo.
4. Se atribuirá una marca FIDUCIA a los documentos relativos a los procedimientos de licitación y al contrato de mantenimiento de los sistemas informáticos y de comunicaciones aislados de la red informática en el caso de que contengan información cuya divulgación no autorizada podría perjudicar a la seguridad de la Unión o de uno o varios de sus Estados miembros o a la gestión de sus relaciones internacionales. El anexo de este contrato relativo a los aspectos de seguridad contendrá disposiciones que obliguen al contratista a respetar los estándares mínimos formulados en la presente Decisión. La inobservancia de esos estándares mínimos podrá ser motivo suficiente para la rescisión del contrato.
5. El contrato relativo a las intervenciones que requieran un traslado urgente de información FIDUCIA a fin de ponerla en seguridad estipulará el número de agentes de seguridad que deben disponer de una habilitación personal de seguridad, sin aportar precisión alguna en cuanto a los procedimientos que se aplicarán. A este contrato no se le atribuirá la marca FIDUCIA.
6. El contratista no podrá subcontratar las actividades definidas en la convocatoria de licitación y en el contrato que impliquen o requieran un acceso a la información FIDUCIA.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid