994/1999 Errege Dekretua, ekainaren 11koa; horren bitartez, datu pertsonalak dituzten fitxategi automatizatuen segurtasun-neurriak ezartzeko Erregelamendua onartu da.

EAO,151 zk., ekainaren 25ekoa, 24241 or.

Espainiako Konstituzioaren 18.4 artikuluak ezartzen duenez, “legeak informatikaren erabilera mugatuko du, herritarren ohorea, eta norberaren nahiz senitartekoen bizitza pribatua, eta horien guztien eskubideen egikaritza osoa bermatzeko”.

Datu pertsonalen tratamendu automatizatua arautzen duen urriaren 29ko 5/1992 Lege Organikoaren 9. artikuluan ezartzen denez, fitxategiaren arduradunak datu pertsonalen segurtasuna bermatzeko eta datuok alteratu, galdu, edo baimendu gabeko tratamendu edo hedapena saihesteko neurri tekniko eta antolaketazkoak hartu beharko ditu, teknologiaren egoera, gordetako datuen izaera eta giza ekintzaren, ingurune fisikoaren zein naturaren ekintzatik datorren zer arriskuren mende dauden kontuan izanda; bestela, 43.3.h) artikuluan ezarritakoaren arabera, eta legeak berak arlo horretan jasotakoari jarraituz, arau-hauste larria egingo da, baldin eta, datu pertsonalak dauzkaten fitxategiak, lokalak, programak edo ekipoak izanda, erregelamendu bidez ezarritako beharrezko segurtasun-neurriak jartzen ez badira.

Hala ere, Legea arauen bitartez garatu ez denez, ezinezkoa izan da orain arte erreferentzia-esparrurik izatea, era horretara, arduradunek segurtasun-neurri egokiak sustatzeko modua izan zezaten, eta, horrenbestez, orain arte ezinezkoa izan da Lege Organikoaren oinarri eta abiaburu garrantzitsuenetako bat betearaztea.

Erregelamendu honen bidez, 5/1992 Lege Organikoaren 9. eta 43.3.h) artikuluetan ezarritakoa garatu nahi da; horixe du xede.

Erregelamendu honek neurriak ezartzen ditu, antolamenduari zein arlo teknikoari dagokienez, informazioa isilpean eta ondo babestuta egongo dela bermatzeko, era horretara zainduko baitira gizakien zein familien ohorea eta intimitatea, baita eskubide pertsonalak erabat baliatzeko aukera ere, datuak aldatu, galdu edo baimenik gabe jakinarazi zein erabiltzeko bidea itxita.

Hemen ezarritako segurtasun-neurriak oinarri-oinarrizkoak dira segurtasun-arloan, eta datu pertsonalak dituzten fitxategi guztietan errespetatu beharko dira; dena dela, oinarrizko neurriez gainera, neurri bereziak ere jarri beharko dira, fitxategiko datuek izaera berezia dutelako edo datuek eurek dituzten ezaugarriak halakoxeak direlako babes-maila handiagoa ezartzea komeni denean.

Horrenbestez, Justizia Ministro andreak halaxe proposatuta, Estatu Kontseiluarekin bat, eta Ministroen Kontseiluak 1999ko ekainaren 11n izandako bileran gaia eztabaidatu ondoren,

XEDATU DUT:

Artikulu bakarra.Erregelamendua onartzea

Datu pertsonalak dituzten fitxategi automatizatuen segurtasun-neurriak ezartzeko Erregelamendua onartu da, ondoren erantsitako testuaren arabera.

Azken xedapen bakarra.

Indarrean sartzea

Errege Dekretu hau Estatuko Aldizkari Ofizialean argitaratu eta hurrengo egunean jarriko da indarrean.

DATU PERTSONALAK DITUZTEN FITXATEGI AUTOMATIZATUEN SEGURTASUN-NEURRIAK EZARTZEKO ERREGELAMENDUA

LEHEN KAPITULUA

XEDAPEN OROKORRAK

1. artikulua.- Aplikazio-eremua eta xedeak

Honako Erregelamendu honek beharrezko diren neurri tekniko eta antolaketazkoak ezarri nahi ditu, datu pertsonalen tratamendu automatizatua arautzen duen urriaren 29ko 5/1992 Lege Organikoaren erregimenari lotuta daudela, datu pertsonalen tratamendu automatizatuan parte hartzen duten fitxategi automatizatuak, tratamendu-zentroak, lokalak, ekipoak, sistemak, programak eta pertsonak errespetatu behar duten segurtasuna bermatuta egon dadin.

2. artikulua.- Definizioak

Erregelamendu honen ondorioetarako, definizio hauek hartuko dira oinarri:

Informazio-sistemak:

datu pertsonalak biltzeko eta tratatzeko erabiltzen diren fitxategi automatizatuak, programak, euskarriak eta tresneriak.

Erabiltzailea:

datuak edo baliabideak erabiltzeko baimena duen pertsona edo prozedura.

Baliabidea:

informazio-sistema baten osagai den edozein zati.

Baimendutako sarbideak:

erabiltzaile bati, zenbait baliabide erabili ahal izateko, eman zaizkion baimenak.

Identifikazioa:

erabiltzaile baten identitatea zein den ezagutzeko prozedura.

Autentifikazioa:

erabiltzaile baten identitatea zein den egiaztatzeko prozedura.

Sarbide-kontrola:

identitatea egiaztatutakoan, datuak edo baliabideak atzitzeko baimena ematen duen mekanismoa.

Pasahitza:

Isilpeko informazioa, erabiltzaile baten identitatearen autentifikazioa egiteko erabiltzen dena; karaktere-katea izaten da askotan.

Intzidentzia:

datuen segurtasunean eragiten duen edo eragin dezakeen edozein irregulartasun.

Euskarria:

objektu fisikoa, informazio-sistema batean erabilgarri den edo izan litekeena, eta datuak grabatzeko edo berreskuratzeko balio duena.

Segurtasun-arduraduna:

fitxategi-arduradunak formalki halaxe eman diolako, aplikatu beharreko segurtasun-neurriak koordinatzeko eta kontrolatzeko eginkizuna bere gain duen pertsona (edo pertsonak).

Babes-kopia:

fitxategi automatizatu bateko datuen kopia egitea, datuak berreskuratzeko moduko euskarri batean.

3. artikulua.- Segurtasun-mailak

Eskatu beharreko segurtasun-neurrien sailkapenak hiru maila ditu:

oinarrizko maila, maila ertaina eta goi-maila.

Maila horietatik bat ezarriko da, erabilitako informazioa nolakoa den, informazioa isilpean eta ondo babestuta gordetzeko beharra handiagoa edo txikiagoa den kontuan izanda.

4. artikulua.- Segurtasun-mailak aplikatzea

Izaera pertsonaleko datuak dituzten fitxategi guztietan oinarrizko mailakotzat jotako segurtasun-neurriak bete beharko dira.

Oinarrizko mailako neurriez gainera, maila ertainekoak ere bete beharko dira, baldin eta, 5/1992 Lege Organikoaren 28. artikuluaren arabera funtzionatzen duten fitxategietako datuak badira, Herri Ogasuneko edo finantza-zerbitzuetako datuak badira, edo administrazio-arloko zein arlo penaleko arau-hausteei dagozkienak gordetzen badira fitxategian.

Baldin eta fitxategietan ideologia, erlijioa, sinesmenak, arraza-jatorria, osasuna edo bizitza sexuala xede dituzten datuak gordetzen badira, edota, dagokien pertsonen baimenik gabe, polizia-xedeetarako bildutako datuak gordetzen badira, oinarrizko eta maila ertaineko neurriez gain, goi-mailako segurtasun-neurriak ere bete beharko dira.

Fitxategietan jasotako datu pertsonalen multzoak pertsona baten nortasunari buruzko ebaluazioa lortzeko besteko informazioa ematen badu, 17., 18., 19. eta 20. artikuluetan ezarritako maila ertaineko neurriak bermatu beharko dira.

Arestian azaldutako mailetako bakoitza gutxienez eskatu beharreko maila da, betiere, legeen eta erregelamenduen bidez indarrean dauden xedapenei kalterik egin gabe.

5. artikulua.- Komunikazio-sareen bitartez datuak atzitzea

Datu pertsonalak komunikazio-sareen bitartez atzitzeko orduan eskatu behar diren segurtasun-neurriak, datuak sare lokalaren bidez atzitzeko eskatzen den segurtasun-mailari dagozkion neurrien parekoak izango dira.

6. artikulua.- Fitxategia kokatuta dagoeneko egoitzez kanpoko lan-araubidea

Izaera pertsonaleko datuak fitxategia kokatuta dagoeneko egoitzaz kanpo tratatu behar badira, fitxategiaren arduradunak horretarako baimena eman beharko du berariaz, eta, nolanahi den ere, dena delako fitxategi-motari dagokion segurtasun-maila bermatu beharko da beti.

7. artikulua.- Fitxategi iragankorrak

Erregelamendu honetan ezarritako irizpideen arabera fitxategi bakoitzari dagokion segurtasun-maila bete beharko dute fitxategi iragankorrek.

Fitxategi iragankor oro ezabatu egin behar da, sortu zuten horretarako eta bere xedeak betetzeko beharrezko izateari uzten dionean.

II. KAPITULUA

OINARRIZKO MAILAKO SEGURTASUN-NEURRIAK

8. artikulua.- Segurtasun-dokumentua

Fitxategiaren arduradunak segurtasun-arautegia sortu eta ezarriko du agiri baten bidez, izaera pertsonaleko datu automatizatuak eta informazio-sistemak atzitzeko modua duten langile guztiek nahitaez bete dezaten.

Agiri horrek, gutxienez, honako argibide hauek bilduko ditu bere baitan:

a) Agiriaren aplikazio-eremua; babestutako baliabideak zein diren azaldu behar da zehatz.

b) Erregelamendu honetan eskatutako segurtasun-maila bermatzeko ezarriko diren neurriak, arauak, prozedurak, jarraibideak eta estandarrak.

c) Langileen betekizunak eta betebeharrak.

d) Datu pertsonalak biltzen dituzten fitxategien egitura eta datu horiek tratatzen dituzten informazio-sistemen deskribapena.

e) Intzidentziei buruzko jakinarazpen-, kudeaketa- eta erantzun-prozedura.

f) Datuei buruzko babes- eta berreskurapen-kopiak egiteko prozedurak.

Agiria eguneratuta egon beharko da beti eta uneoro, eta, informazio-sisteman edo antolamenduan kontuan hartzeko moduko aldaketak gertatzen diren bakoitzean, berrikusi egin beharko da beti.

Agiriaren edukia egokitu egin beharko zaie, beti eta uneoro, izaera pertsonaleko datuen segurtasun-arloan unean-unean indarrean dauden xedapenei.

9. artikulua.- Langileen betekizunak eta betebeharrak

Izaera pertsonaleko datuak eta informazio-sistemak atzitzeko modua duten pertsonetako bakoitzak izango dituen betekizunak eta betebeharrak argi azalduta eta dokumentatuta egongo dira, betiere, 8.2.c) artikuluan ezarritakoaren arabera.

Fitxategiaren arduradunak hartu beharreko neurri guztiak hartuko ditu langileek segurtasun-neurriak ondo ezagut ditzaten, batez ere, bakoitzak bete beharreko betekizunei dagokienez, eta, neurriok bete ezean, izan ditzaketen ondorioen berri izan dezaten.

10. artikulua.- Intzidentzien erregistroa

Intzidentziei buruzko jakinarazpen- eta kudeaketa-prozedurak erregistroa izango du nahitaez, eta honako hauek jaso beharko dira bertan: intzidentzia nolakoa izan den, noiz gertatu den, jakinarazpena nork egin duen, jakinarazpena nori egin zaion, eta intzidentziaren ondorioak.

11. artikulua.- Identifikazioa eta autentifikazioa

Fitxategiaren arduradunak eguneratuta izan behar du informazio-sisteman sartzeko baimena duten erabiltzaileen zerrenda bat, eta sarbidean erabiltzaile horiek erabili beharreko identifikazio- eta autentifikazio-prozedurak ere ezarri behar ditu.

Autentifikazio-mekanismo hori pasahitzetan oinarritzen denean, pasahitz horiek esleitzeko, banatzeko eta biltzeko prozedura bat ere ezarri behar da, pasahitzak ondo babestuta eta isilpean gordeta egon daitezen.

Pasahitzak aldian-aldian aldatu behar dira, segurtasun-agirian horretarako ematen diren epeak errespetatuta, eta, indarrean dauden bitartean, inork ez ulertzeko moduko sistema batean egongo dira jasota.

12. artikulua.- Sarbide-kontrola

Erabiltzaileek beren zereginak betetzeko behar dituzten datuak eta baliabideak atzitzeko, horretarako bakarrik balio izan behar du sarbide-baimenak.

Fitxategiaren arduradunak mekanismoak ezarri behar ditu, erabiltzaile batek baimenduta dituenez bestelako daturik edo baliabiderik erabiltzeko modurik izan ez dezan.

Erabiltzaileetako bakoitzari emandako sarbide-baimena ere jakinarazi behar da, Erregelamendu honetako 11.1 artikuluan adierazitako erabiltzaile-zerrenda horretan.

Segurtasun-agirian berariaz horretarako baimena duten langileek eta horiek bakarrik izango dute datuei eta baliabideei buruzko sarbide-baimena emateko, aldatzeko edo kentzeko ahalmena, betiere, fitxategiaren arduradunak ezarritako jarraibideen arabera.

13. artikulua.- Euskarrien kudeaketa

Datu pertsonalak jasota dituzten euskarri informatikoek beti eman behar dute beren informazio-mota identifikatu eta datuak inbentarioan jaso ahal izateko aukera; era berean, segurtasun-agiriaren arabera baimena duten langileentzat bakarrik, sarbide murriztua duen leku batean egon behar dute gordeta.

Datu pertsonalak jasota dituzten euskarri informatikoak fitxategiaren kokagune den egoitzaz kanpora atera ahal izateko, fitxategiaren arduradunak eta berak bakarrik eman beharko du horretarako baimena.

14. artikulua.- Babes- eta berreskurapen-kopiak

Fitxategiaren arduradunak egiaztatu beharko du ea datuei buruzko babes- eta berreskurapen-kopiak egiteko prozedurak ondo definituta dauden eta ea modu egokian aplikatzen diren.

Datuei buruzko babes-kopiak egiteko eta datuak berreskuratzeko ezarrita dauden prozedurek bermatu egin behar dute datuak galdu edo suntsitu aurre-aurreko unean zeuden hartantxe utziko dituztela berriz ere.

Gutxienez, astean behin egin beharko dira babes-kopiak; salbuespen izango da denbora-tarte horretan inongo daturik eguneratzen ez bada.

III. KAPITULUA

MAILA ERTAINEKO SEGURTASUN-NEURRIAK

15. artikulua.- Segurtasun-agiria

Segurtasun-agiriak, Erregelamendu honetako 8. artikuluan ezarritakoaz gainera, hauek ere jaso beharko ditu bere baitan: segurtasun-arduradunaren edo -arduradunen identifikazioa; agirian ezarritakoa modu egokian betetzen ari dela egiaztatzeko aldian behin egin beharreko kontrolak; eta euskarri bat suntsitu edo berrerabili behar denerako aintzakotzat hartu beharreko neurriak.

16. artikulua.- Segurtasun-arduraduna

Fitxategiaren arduradunak segurtasun-arduradun bat edo batzuk izendatuko ditu, segurtasun-agirian zehaztutako neurriak koordinatzeko eta kontrolatzeko.

Izendapen horrek, ordea, ez du inola ere esan nahi Erregelamendu honen arabera fitxategiaren arduradunari dagokion ardura beste inoren eskuetan uzten denik.

17. artikulua.- Auditoretza

Gutxienez bi urtean behin, kanpo zein barne-auditoretza egin beharko da datuei buruzko informazio-sistemak eta tratamendu-instalazioak aztertzeko, era horretara, egiaztatuta gera dadin Erregelamendu hau, eta datu-segurtasunaren arloan indarrean diren jarraibideak zein prozedurak betetzen direla.

Auditoretzak egindako txostenak irizpena eman behar du erabilitako neurriak eta kontrolak Erregelamendu honi egokitzen zaizkion, akatsak eta hutsuneak antzeman behar ditu, eta egoera zuzentzeko edo osatzeko beharrezko diren neurriak proposatu behar ditu.

Era berean, txostenak datuak, gertakariak eta oharrak ere jakinarazi behar ditu, emandako irizpenak eta egindako proposamenak zertan oinarritzen diren erakusteko.

Horretarako eskumena duen segurtasun-arduradunak aztertu behar ditu auditoretzaren txostenak, eta, ondoren, fitxategiaren arduradunari jakinaraziko dizkio ondorioak, egoera zuzentzeko hartu beharreko neurriak har ditzan; Datuak Babesteko Bulegoak eskuragarri izango ditu txosten horiek.

18. artikulua.- Identifikazioa eta autentifikazioa

Fitxategiaren arduradunak mekanismoren bat ezarriko du informazio-sisteman sartzen ahalegindu den erabiltzaile oro inolako zalantzarik gabe eta modu pertsonalizatuan identifikatu ahal izateko, eta, erabiltzaileak sartzeko baimena izanez gero, hori egiaztatu ahal izateko.

Informazio-sisteman, baimenik izan gabe, behin eta berriz sartzen ahalegintzeko aukera ere murriztu egin behar da.

19. artikulua.- Sarbide fisikorako kontrola

Segurtasun-agiriaren arabera baimena duten langileak, horiek bakarrik sartu ahal izango dira datu pertsonalak jasota dituzten informazio-sistemak kokatuta daudeneko egoitzetan.

20. artikulua.- Euskarrien kudeaketa

Euskarri informatikoen sarrera-erregistroa osatzeko sistema bat ezarri behar da, era horretara, zuzenean zein zeharka, honako argibide hauen berri izan ahal izateko: euskarri-mota, eguna eta ordua, igorlea, euskarri-kopurua, beren baitako informazio-mota, igorpen-mota, eta, behar bezalako baimena duela, euskarria jasotzeaz arduratuko den pertsona.

Modu berean, euskarri informatikoen irteera-erregistroa osatzeko sistema bat ezarri behar da, era horretara, zuzenean zein zeharka, honako argibide hauen berri izan ahal izateko: euskarri-mota, eguna eta ordua, jasotzailea, euskarri-kopurua, beren baitako informazio-mota, igorpen-mota, eta, behar bezalako baimena duela, euskarria igortzeaz arduratuko den pertsona.

Euskarri bat suntsitu edo berrerabili behar denean, zerrendatik behin-betiko kendu aurretik, hartu beharreko neurri guztiak hartuko dira, euskarri horretan jasotako informazioa geroago inork berreskuratzea erabat ezinezkoa izan dadin.

Euskarriak, mantentze-lanak direla-eta, fitxategiak kokatuta daudeneko egoitzetatik kanpora atera behar badira, hartu beharreko neurri guztiak hartuko dira, euskarri horietan jasotako informazioa geroago inork bidegabe berreskuratzea erabat ezinezkoa izan dadin.

21. artikulua.- Intzidentzien erregistroa

Horrez gainera, 10. artikuluan araututako erregistroan, datuak berreskuratzeko jarraitutako prozedurak ere jaso behar dira, honako hauek adierazita: prozedura burutu zuen pertsona, berreskuratutako datuak, eta, hala badagokio, berreskurapen-prozeduran eskuz grabatu behar izan diren datuak.

Beharrezkoa izango da fitxategiaren arduradunak idatziz baimena ematea, datuak berreskuratzeko prozedurak burutu ahal izateko.

22. artikulua.- Probak nola egin

Datu pertsonalak jasota dituzten fitxategiak badira, informazio-sistemak ezarri edo aldatu aurretik egiten diren probetan ez da benetako daturik erabiliko; salbuespena egin liteke tratatutako fitxategi-mota horri dagokion segurtasun-maila bermatuta badago.

IV. KAPITULUA

GOI-MAILAKO SEGURTASUN-NEURRIAK

23. artikulua.- Euskarrien banaketa

Datu pertsonalak dituzten euskarriak banatu behar direnean, datu horiek enkriptatu egin beharko dira, edo, bestela, beste edozein mekanismo erabili beharko da, garraio-denboran informazio hori inork ulertzeko edo manipulatzeko modurik izan ez dezan.

24. artikulua.- Sarbideen erregistroa

Atzipen bakoitzetik, gutxienez, argibide hauek gordeko dira: erabiltzailearen identifikazioa, atzipen-eguna eta –ordua, atzitutako fitxategia, atzipen-mota, eta atzipena baimendu edo ukatu egin den.

Atzipena baimendutakoa izan bada, beharrezkoa izango da atzitutako erregistroa identifikatzeko besteko informazioa gordetzea.

Aurreko paragrafoetan zehaztutako datuen erregistroa bideratzeko mekanismoak zuzenean kontrolpean izango ditu beti horretan eskumena duen segurtasun-arduradunak; ez da inoiz utzi behar, inola ere ez, mekanismo horiek indargabetzen.

Erregistroan jasotako datuak gordetzeko epea, gutxienez, bi urtekoa izango da.

Horretarako eskumena duen segurtasun-arduradunak aldian behin aztertu beharko ditu erregistroan jasotako kontrol-informazioa, eta txostena egingo du azterketa horietaz eta antzemandako arazoez, gutxienez, hilean behin.

25. artikulua.- Babes- eta berreskurapen-kopiak

Babes-kopia bat eta datuak berreskuratzeko prozeduren kopia bat gorde beharko dira, datuen tratamendurako tresneria informatikoak daudeneko lekuan ez, beste nonbait, eta, nolanahi den ere, Erregelamendu honetan agindutako segurtasun-neurriak bete beharko dira beti.

26. artikulua.- Telekomunikazioak

Telekomunikazio-sareen bitartez datu pertsonalak transmititu behar direnean, datu horiek enkriptatu egin beharko dira, edo, bestela, beste edozein mekanismo erabili beharko da, informazio hori beste inork ulertzeko edo manipulatzeko modurik izan ez dezan.

V. KAPITULUA

ARAU-HAUSTEAK ETA ZEHAPENAK

27. artikulua.- Arau-hausteak eta zehapenak

Erregelamendu honetan adierazitako segurtasun-neurriak bete gabe utziz gero, titulartasun pribatuko fitxategiak direnean, zehapena ezarriko da, 5/1992 Lege Organikoaren 43. eta 44. artikuluetan ezarritakoaren arabera.

Aurreko lerrokadan adierazitako zehapenak ezartzeko jarraitu behar den prozedura ekainaren 20ko 1332/1994 Errege Dekretuan dago jasota; izan ere, Errege Dekretu horren bitartez garatu ziren datu pertsonalen tratamendu automatizatua arautzen duen urriaren 29ko 5/1992 Lege Organikoaren zenbait alderdi.

Herri Administrazioen ardurapean dauden fitxategiak direnean, prozedurari eta zehapenei dagokienez, 5/1992 Lege Organikoaren 45. artikuluan ezarritakoa hartuko da oinarri.

28. artikulua.- Arduradunak

Fitxategi-arduradunek, baldin eta 5/1992 Lege Organikoaren zehapen-erregimenari lotuta badaude, beharrezko diren neurri guztiak hartu beharko dituzte antolamendu zein teknika aldetik, Erregelamendu honetan ezarritakoaren arabera datu pertsonalen segurtasuna erabat bermatuta egon dadin.

VI. KAPITULUA

DATUAK BABESTEKO BULEGOKO ZUZENDARIAREN ESKUMENAK

29. artikulua.- Datuak Babesteko Bulegoko zuzendariaren eskumenak

Datuak Babesteko Bulegoko zuzendariak eskumen hauek izango ditu, 5/1992 Lege Organikoaren 36. artikuluan ezarritakoari jarraituz:

Hala dagokionean, datuen tratamendu automatizatuak 5/1992 Lege Organikoaren printzipioei egokitzeko beharrezko diren jarraibideak emateko eskumena, betiere, beste erakunde batzuen eskumenei ezer kendu gabe.

Datu pertsonalen tratamenduaren amaiera eta fitxategien deuseztapena agintzeko eskumena, Erregelamendu honetan jasotako segurtasun-neurriak betetzen ez direnean.

XEDAPEN IRAGANKORRA

Xedapen Iragankor Bakarra. Neurriak ezartzeko epeak

Erregelamendu hau indarrean sartzen denerako martxan dauden informazio-sistemak badira, Erregelamendu honetan jasotako segurtasun-neurriak, oinarrizko mailakoak, sei hilabeteko epean jarri beharko dira martxan; maila ertainekoak, berriz, urtebeteko epean; eta goi-mailako segurtasun-neurriak, azkenik, bi urteko epean abiarazi beharko dira.

Erregelamendu hau indarrean sartu orduko martxan dauden informazio-sistemak diren modukoak direlako, Erregelamendu honetan jasotako segurtasun-neurrietakoren bat ezartzea teknologia aldetik ezinezkoa denean, sistema horiek egokitzeko eta segurtasun-neurriak ezartzeko epea, gehienez ere, hiru urtekoa izango da, Erregelamendu hau indarrean sartzen denetik kontatzen hasita.