Your World of Legal Intelligence
 European Union | 1-800-335-6202

Commission Implementing Regulation (EU) No 1179/2011 of 17 November 2011 laying down technical specifications for online collection systems pursuant to Regulation (EU) No 211/2011 of the European Parliament and of the Council on the citizens’ initiative

As Enacted Cited authorities 7 Cited in Amendments 1 Related
Vincent
Published date18 November 2011
Subject Mattertelecomunicazioni,telecomunicaciones,télécommunications
Official Gazette PublicationGazzetta ufficiale dell’Unione europea, L 301, 18 novembre 2011,Diario Oficial de la Unión Europea, L 301, 18 de noviembre de 2011,Journal officiel de l’Union européenne, L 301, 18 novembre 2011
L_2011301ES.01000301.xml
18.11.2011 ES Diario Oficial de la Unión Europea L 301/3

REGLAMENTO DE EJECUCIÓN (UE) No 1179/2011 DE LA COMISIÓN

de 17 de noviembre de 2011

por el que se establecen especificaciones técnicas para sistemas de recogida a través de páginas web, de conformidad con el Reglamento (UE) no 211/2011 del Parlamento Europeo y del Consejo sobre la iniciativa ciudadana

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) no 211/2011, del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, sobre la iniciativa ciudadana (1), y, en particular, su artículo 6, apartado 5,

Previa consulta al Supervisor Europeo de Protección de Datos,

Considerando lo siguiente:

(1) El Reglamento (UE) no 211/2011 establece que, cuando las declaraciones de apoyo se recojan a través de páginas web, el sistema utilizado a ese fin debe cumplir determinados requisitos técnicos y de seguridad y debe estar acreditado por la autoridad competente del Estado miembro correspondiente.
(2) Un sistema de recogida a través de páginas web en el sentido de lo dispuesto en el Reglamento (UE) no 211/2011 es un sistema de información compuesto por programas y equipos informáticos, un entorno de alojamiento, unos métodos profesionales y un personal que lleve a cabo la recogida de declaraciones de apoyo.
(3) El Reglamento (UE) no 211/2011 establece los requisitos que deben cumplir los sistemas de recogida a través de páginas web para estar acreditados y dispone que la Comisión debe adoptar especificaciones técnicas para la aplicación de esos requisitos.
(4) El Proyecto de seguridad de aplicaciones web abiertas (OWASP) — «Top 10 2010» presenta una panorámica de los riesgos de seguridad más críticos de las aplicaciones web, así como herramientas para hacer frente a estos riesgos; por consiguiente, las especificaciones técnicas se basan en las conclusiones de este proyecto.
(5) La aplicación de las especificaciones técnicas por parte de los organizadores debe garantizar la acreditación de los sistemas de recogida a través de páginas web por las autoridades de los Estados miembros y contribuir a garantizar la aplicación de las medidas técnicas y organizativas adecuadas necesarias para dar cumplimiento a las obligaciones impuestas por la Directiva 95/46/CE del Parlamento Europeo y del Consejo (2) relativas a la seguridad de las actividades de tratamiento, tanto en el momento del diseño del sistema de tratamiento como en el momento del tratamiento propiamente dicho, con el fin de mantener la seguridad y, con ello, evitar cualquier tratamiento irregular y proteger los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental, la alteración o la difusión o acceso no autorizados sin autorización.
(6) El proceso de acreditación debería facilitarse mediante el uso por parte de los organizadores de los programas informáticos proporcionados por la Comisión de conformidad con el artículo 6, apartado 2, del Reglamento (UE) no 211/2011.
(7) Cuando los organizadores de iniciativas ciudadanas recojan declaraciones de apoyo a través de páginas web deben, como responsables del tratamiento de datos, aplicar las especificaciones técnicas establecidas en el presente Reglamento con el fin de garantizar la protección de los datos personales procesados. Cuando el tratamiento sea efectuado por personal especializado, los organizadores deben velar por que actúe siguiendo únicamente las instrucciones de los organizadores y aplique las especificaciones técnicas establecidas en el presente Reglamento.
(8) El presente Reglamento respeta los derechos fundamentales y observa los principios consagrados en la Carta de los Derechos Fundamentales de la Unión Europea, en particular su artículo 8, que establece que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
(9) Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité contemplado en el artículo 20 de Reglamento (UE) no 211/2011.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Las especificaciones técnicas a que se refiere el artículo 6, apartado 5, del Reglamento (UE) no 211/2011 se recogen en el anexo.

Artículo 2

El presente Reglamento entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en todos los Estados miembros.

Hecho en Bruselas, el 17 de noviembre de 2011.

Por la Comisión

El Presidente

José Manuel BARROSO

(1) DO L 65 de 11.3.2011, p. 1.

(2) DO L 281 de 23.11.1995, p. 31.

ANEXO

1. ESPECIFICACIONES TÉCNICAS DE APLICACIÓN DEL ARTÍCULO 6, APARTADO 4, LETRA a), DEL REGLAMENTO (UE) No 211/2011

Con objeto de evitar la presentación automatizada de una declaración de apoyo utilizando el sistema, el firmante debe pasar por un proceso adecuado de verificación, en consonancia con la práctica actual previa a la presentación de una declaración de apoyo. Un posible proceso de verificación es el uso de un captcha seguro.

2. ESPECIFICACIONES TÉCNICAS DE APLICACIÓN DEL ARTÍCULO 6, APARTADO 4, LETRA b), DEL REGLAMENTO (UE) No 211/2011

Normas de aseguramiento de la información

2.1. Los organizadores deben facilitar documentación que indique que cumplen los requisitos de la norma ISO/IEC 27001, aunque no la hayan adoptado. A tal efecto, deben haber:

a) llevado a cabo una evaluación completa del riesgo que identifique el alcance del sistema, destaque el impacto operativo en caso de que se quebrante el aseguramiento de la información, enumere las amenazas y vulnerabilidades del sistema de información, presente un documento de análisis de riesgo que también indique las contramedidas para evitar estas amenazas y las soluciones que se tomarán si se produce una amenaza y, por último, contenga una lista de mejoras por orden de prioridad;
b) diseñado y aplicado medidas para el tratamiento de riesgos con respecto a la protección de los datos personales y a la protección de la vida privada y familiar y las medidas que se tomarán si se produce un riesgo;
c) identificado por escrito los riesgos residuales;
d) previsto los medios organizativos para mantenerse informados sobre las nuevas amenazas y las mejoras de seguridad.

2.2. Los organizadores deben elegir controles de seguridad basados en el análisis de riesgos mencionado en el punto 2.1, letra a), de entre las siguientes normas:

1) ISO/IEC 27002, o
2) las normas de buenas prácticas (SoGP) del Foro de Seguridad de la Información para abordar los siguientes aspectos:
a) evaluaciones del riesgo (se recomienda la norma ISO/IEC 27005 u otra metodología apropiada y específica de evaluación del riesgo);
b) seguridad física y del entorno;
c) seguridad de los recursos humanos;
d) gestión de las comunicaciones y operaciones;
e) medidas estándar de control de acceso, además de las previstas en el presente Reglamento de Ejecución;
f) adquisición, desarrollo y mantenimiento de sistemas de información;
g) gestión de incidentes de la seguridad de la información;
h) medidas para remediar y mitigar los quebrantamientos de los sistemas de información que den lugar a la destrucción, accidental o ilícita, la pérdida accidental, la alteración o la difusión o acceso sin autorización de los datos personales procesados;
i) cumplimiento;
j) seguridad de la red informática (se recomiendan las normas ISO/IEC 27033 o SoGP).

La aplicación de estas normas puede limitarse a las partes de la organización que intervienen en el sistema de recogida a través de páginas web. Por ejemplo, la seguridad de los recursos humanos puede limitarse a las personas que tengan acceso físico o por conexión en red al sistema de recogida a través de páginas web, y la seguridad física y del entorno puede limitarse al edificio o edificios que alojen el sistema.

Requisitos funcionales

2.3. El sistema de recogida a través de páginas web debe consistir en una aplicación basada en la web y creada para recoger declaraciones de apoyo a una iniciativa ciudadana.

2.4. Si la administración del sistema exige diferentes funciones, los distintos niveles de control de acceso se deben establecer según el principio del privilegio mínimo.

2.5. Los elementos accesibles al público deben estar claramente separados de los destinados a efectos administrativos. Ningún control de acceso impedirá leer la información disponible en la zona pública del sistema, incluida la información sobre la iniciativa y el formulario electrónico de declaración de apoyo. Solo debe ser posible firmar en apoyo de una iniciativa a través de esta zona pública.

2.6. El sistema debe detectar e impedir la presentación de declaraciones de apoyo por duplicado.

Seguridad al nivel de la aplicación

2.7. El sistema debe estar protegido de forma...

To continue reading

Request your trial

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT