República de Cuba

Consejo de Estado
Presidencia

Fidel Castro Ruz, Presidente del Consejo de Estado de la República de Cuba

HAGO SABER: Que el Consejo de Estado ha acordado lo siguiente:

POE CUANTO: Los servicios especiales extranjeros dedican cuantiosos recursos, medios
sofisticados y fuerzas cada vez más preparadas en la obtención de informaciones de interés,
lo que hace necesario fortalecer las medidas establecidas para la seguridad y protección de
la información oficial que pudiera ser útil para los planes subversivos y agresivos contra la
República de Cuba.

POR CUANTO: Los cambios que se han producido a partir de la reorganización de los
organismos de la Administración Central del Estado y la creación de las nuevas formas de
relaciones económicas, aconsejan la introducción y puntualización de medidas encaminadas
a lograr una mejor eficiencia en la protección de la información oficial.

POR CUANTO: El desarrollo de las comunicaciones y tecnologías de información en el

país exige, para trasmitir y almacenar información oficial clasificada, la aplicación de
medidas de Protección Criptográfica y de Seguridad Informática, cuyo diseño y aplicación
requieren de una alta especialización y centralización estatal.

POR CUANTO: La Ley número 1246 del Secreto Estatal del 14de mayo de 1973 sobre la
Protección del Secreto Estatal y su Reglamento, puesto en vigor por el Decreto número
3753 del 17 de enero de 1974; el Decreto número 3787 del 23 de septiembre de 1974 que
puso en vigor los Reglamentos Gubernamentales para el Servicio de Cifrado Nacional y
para el Servicio Cifrado Exterior, así como otras disposiciones complementarias en esta
materia, requieren ser adecuadas a las nuevas condiciones y cambios que tienen lugar en el
país, en función de lograr una mayor seguridad y protección de la información oficial.

POR TANTO: El Consejo de Estado, en uso de la atribución que le confiere el Artículo 90,
Inciso c) de la Constitución de la República, resuelve dictar el siguiente:

DECRETO-LEY No. 199

SOBRE LA SEGURIDAD Y PROTECCION DE LA INFORMACION OFICIAL
CAPITULO I
OBJETIVOS Y DEFINICIONES

Artículo 1: El presente Decreto-Ley tiene como objetivo, establecer y regular el Sistema

para la Seguridad y Protección de la Información Oficial, cuyas normas deben
cumplimentar tanto los organismos, entidades o cualquier otra persona natural o jurídica
residente en el territorio nacional, como las representaciones cubanas en el extranjero.

Artculo2: El Sistema para la Seguridad y Protección de la Información Oficial comprende

la clasificación y desclasificación de las informaciones, las medidas de seguridad con los
documentos clasificados, la Seguridad Informática, la Protección Criptográfica, el Servicio
Cifrado y el conjunto de regulaciones, medidas, medios y fuerzas que eviten el
conocimiento o divulgación no autorizados de esta información.

Artículo 3: En el presente Decreto-Ley se emplean, con la acepción que en cada caso se

expresa, los términos y definiciones siguientes:

a) Acceso: Facultad o autorización que se otorga a una persona y que le permite conocer
información oficial clasificada para el ejercicio de sus funciones.

b) Auditoría a la Seguridad Informática: Es el proceso de verificación y control mediante

la investigación, análisis, comprobación y dictamen del conjunto de medidas dirigidas a
prevenir, detectar y responder a acciones que pongan en riesgo la confidencialidad,
integridad y disponibilidad de la información que se procese, intercambie, reproduzca y
conserve por medio de las tecnologías de información.

c) Compartimentación: Acción de dar a conocer lo que competa a cada persona, de

acuerdo al acceso a la información oficial que le sea otorgado.

d) Documento: Cualquier objeto físico capaz de proporcionar información o datos que

puedan ser transferidos del conocimiento de una persona a otra.

e) Entidad: Toda organización administrativa, productiva o de servicios de carácter

estatal, cooperativa, privada o mixta, residente en el territorio nacional, así como las
organizaciones sociales y de masas del país.

f) OCIC: Oficina para el Control de la Información Oficial Clasificada.

g) Plan de Contingencia: Documento básico contenido, dentro del Plan de Seguridad

Informática, mediante el que se establecen las medidas para restablecer y dar
continuidad a los procesos informáticos ante una eventualidad o desastre.

h) Plan de Evacuación, Conservación y Destrucción de la Información Oficial:

Documento básico que establece las medidas organizativas y funcionales para la
evacuación, conservación o destrucción de la información oficial, que por sus
características es necesario preservar o destruir al declararse una situación excepcional
o producirse una catástrofe.

i) Plan de Seguridad Informática: Documento básico que establece los principios

organizativos y funcionales de la actividad de Seguridad Informática en un órgano,
organismo o entidad, a partir de las políticas y conjunto de medidas aprobadas sobre la
base de los resultados obtenidos en el análisis de riesgo previamente realizado.

j) Plan de Seguridad y Protección de la Información Oficial Clasificada: Es el documento

básico que establece el conjunto de medidas organizativas, administrativas, operativas,
preventivas y de control dirigidas a garantizar la seguridad y protección de la
 información oficial clasificada e impedir su conocimiento y obtención por personas no
autorizadas o por los servicios especiales extranjeros.

k) Protección Criptográfica: Proceso de transformación de información abierta en

información cifrada mediante funciones, algoritmos matemáticos sucesiones lógicas de
instrucciones, con el objetivo de su protección ante personas sin acceso a ella.

l) Seguridad Informática: Conjunto de medidas administrativas, organizativas, físicas,

técnicas, legales y educativas dirigidas a prevenir, detectar y responder a las acciones
que puedan poner en riesgo la confidencialidad, integridad y disponibilidad de la
información que se procesa, intercambia, reproduce o conserva por medio de las
tecnologías de información.

m) Señalización: Acción de consignar de forma visible y expresa la categoría de

clasificación o término que le corresponde a la información oficial.

n) Servicio Cifrado: Actividad que se realiza mediante un conjunto de regulaciones,

medidas organizativas y técnicas y medios para la protección criptográfica de la
información oficial clasificada que se tramita o almacena a través de las tecnologías de
información.

o) Tecnologías de información: Medios técnicos de computación o comunicación y sus

soportes de información, que pueden ser empleados para el procesamiento,
intercambio, reproducción o conservación de la información oficial.

CAPITULO II
DE LA AUTORIDAD COMPETENTE

Artículo 4. El Ministerio del Interior es el organismo encargado de regular, dirigir y

controlar la aplicación de la política del Estado y del Gobierno en cuanto a la Seguridad y
Protección de la Información Oficial, y para el cumplimiento de estas funciones tiene las
atribuciones siguientes:
a) dictar normas y procedimientos en materia de Seguridad y Protección de la
Información Oficial;
b) establecer los requisitos para elaborar los Planes de Seguridad Informática, de
Contingencia, de Seguridad y Protección de la Información Oficial Clasificada y de
Evacuación, Conservación y Destrucción de la Información Oficial para Situaciones
Excepcionales y otras que puedan poner en riesgo la seguridad y protección de la
información oficial;
c) certificar aquellas entidades que brinden servicio de Seguridad Informática y
Criptográfica a terceros, así como la utilización, distribución o comercialización, de
herramientas de Seguridad Informática;
d) regular y aprobar la producción de productos criptográficos, la aplicación de los
Sistemas de Protección Criptográfica y la investigación y desarrollo científico en esta
disciplina;
e) realizar inspecciones, auditorías y controles de la Seguridad y Protección a la
Información Oficial, incluyendo la Criptografía y la Seguridad Informática;
f) promover la formación de personal calificado y el desarrollo de la ciencia y tecnología
en materia de Seguridad y Protección a la Información Oficial, la Seguridad
Informática y la Criptografía;
g) realizar las acciones necesarias para cumplir y hacer cumplir los objetivos y funciones
determinadas en el presente Decreto-Ley, tal y como se establece en el artículo 66 de la
Constitución de la República de Cuba.

CAPITULO III
INFORMACION OFICIAL

Artículo 5: La Información Oficial es aquella que posee un órgano, organismo, entidad u

otra persona natural o jurídica residente en el territorio nacional o representaciones cubanas
en el exterior, capaz de proporcionar, directa o indirectamente datos o conocimientos que
reflejen alguna actividad del Estado o reconocida por éste, y que pueda darse a conocer de
cualquier forma perceptible por la vista, el oído o el tacto.

Artículo 5.1: La Información Oficial constituye un bien del órgano, organismo o entidad
que la posea.
Artículo 6: La información Oficial, a los fines de establecer las medidas para su seguridad
y protección, se divide en tres grupos:
a) Clasificada
b) Limitada
c) Ordinaria

SECCION PRIMERA
Información Oficial Clasificada

Artículo 7: La Información Oficial Clasificada es la que posee un órgano, organismo,

entidad u otra persona natural o jurídica, y que requiere de medidas de protección definidas
por la Ley, por contener datos o informaciones cuyo conocimiento o divulgación no
autorizada puede ocasionar daños o entrañar riesgos para el Estado o para su desarrollo
político, militar, económico, técnico, cultural, social o de cualquier otro tipo.

Artículo 8: La Información Oficial Clasificada tiene las categorías de: SECRETO DE

ESTADO, SECRETO Y CONFIDENCIAL.

Artículo 9: La categoría SECRETO DE ESTADO es aquella cuyo conocimiento o

divulgación no autorizada puede poner en peligro la seguridad, integridad, estabilidad o el
funcionamiento del Estado.

Artículo 10: La categoría SECRETO es aquella cuyo conocimiento o divulgación no

autorizada puede causar perjuicios en las esferas política, militar, económica, científica,
técnica, cultural, social o cualquier otra de importancia para el funcionamiento del Estado.
Artículo 11: La categoría CONFIDENCIAL es aquella cuyo conocimiento o divulgación
no autorizada puede ocasionar daños a la producción, los bienes, los servicios y en general
a la gestión de cualquiera de ellos.

Artículo 12: El tratamiento a la información oficial clasificada mediante tecnologías de

información o de comunicación en las representaciones y delegaciones estatales cubanas
fuera del territorio nacional, se rige por medidas especiales de Protección Criptográficas y
Seguridad Informática establecidas y controladas por el Ministerio del Interior.

Artículo 13: Los cargos que requieren acceso a información oficial clasificada son
determinados por el nivel de dirección administrativa facultada para ello.

Artículo 14: El documento que contenga información oficial clasificada deberá tener la
señalización de la categoría que le corresponda, según lo establecido en el artículo 8.

Artículo 15: Toda persona con acceso a información oficial clasificada mantendrá la debida
compartimentación y se responsabilizará con protegerla y no divulgarla sin la autorización
correspondiente.

Artículo 16: La información oficial clasificada no puede ser modificada, alterada o

destruida sin la debida autorización.

SECCION SEGUNDA
Información Oficial Limitada

Artículo 17: La Información Oficial Limitada es aquella que sin poder ser conceptuada
como clasificada, por su importancia o carácter sensible para el objeto social del órgano,
organismo, o entidad u otra persona natural o jurídica que la posee, no resulta conveniente
su difusión pública y debe limitarse su acceso a personas determinadas que no podrán
destruirla, divulgarla ni modificarla sin la correspondiente autorización.

Artículo 18: La Información Oficial Limitada se determina por el Jefe del órgano,
organismo, entidad o persona natural o jurídica que la genera; se señala con el término
LIMITADA, y se establecen medidas para su seguridad y protección.

Artículo 19: Quien tenga acceso a información oficial limitada mantendrá la debida
compartimentación y no podrá divulgarla sin la autorización correspondiente.

SECCION TERCERA
Información Oficial Ordinaria

Artícul0 20: La Información Oficial Ordinaria es aquella que posee un órgano, organismo o
entidad, cuyo conocimiento o divulgación no autorizada no produce daños o riesgos para su
funcionamiento.

CAPITULO IV
Clasificación y Desclasificación de la Información Oficial
 SECCION PRIMERA
De la clasificación y Desclasificación

Artículo 21: La Clasificación es el proceso mediante el cual se determina la categoría

correspondiente a una información oficial, de acuerdo al grado de afectación que su
conocimiento o divulgación no autorizada pueda producir.

Artículo 22: La Desclasificación es el proceso mediante el cual se le suprime la categoría

de clasificación a una información oficial clasificada, al desaparecer los elementos que le
dieron ese carácter.

SECCION SEGUNDA
Comisión Estatal para la Clasificación y Desclasificación de la Información Oficial

Artículo 23: Se crea la Comisión Estatal para la Clasificación y Desclasificación de la

Información Oficial, en lo adelante “la Comisión” la cual elabora y somete a la aprobación
del Comité Ejecutivo del Consejo de Ministros su Reglamento y la Lista General para la
Clasificación y Desclasificación de la Información Oficial, así como ejecuta y controla los
procesos para la clasificación y desclasificación de la información oficial.

Artículo 23.1: Esta Comisión está presidida por el Ministerio del Interior e integrada
además por un representante, de cada órgano o organismo que ocupen cargos de dirección
de Viceministros u otros equivalentes. Los representantes de la Comisión tienen carácter
permanente y son designados por el Jefe del órgano u organismo que representan.

SECCION TERCERA
Lista General para la Clasificación y Desclasificación de la Información Oficial

Artículo 24: La Lista General para la Clasificación y Desclasificación de la Información

Oficial es el documento oficial donde se define el conjunto de asuntos considerados
clasificados en la República de Cuba.

Artículo 25: A la Lista General sólo tienen acceso los Jefes de los órganos, organismos o
entidades del Estado y el personal autorizado por éstos, que por sus funciones así lo
requieran.

Artículo 26: Toda modificación que requiera efectuarse a la Lista General, debe someterse
a consulta de la Comisión Estatal para la clasificación y la desclasificación de la
información oficial, que la elevará al Comité Ejecutivo del Consejo de Ministros, para su
aprobación.

SECCION CUARTA
Lista Interna para la Clasificación y Desclasificación de la Información Oficial

Artículo 27: La Lista Interna para la Clasificación y Desclasificación de la Información

Oficial es el documento oficial contentivo de las informaciones que se generan en cada
órgano, organismo y entidad que constituyen asuntos definidos en la Lista General.
Artículo 28: Cada órgano, organismo o entidad según corresponda elabora su Lista Interna,
la que es aprobada y puesta en vigor por Resolución u otra disposición del Jefe
correspondiente.

Artículo 28.1: A la Lista Interna tienen acceso los dirigentes, funcionarios y personal en
general de los órganos, organismos y entidades que en atención a las funciones que realizan
deben utilizar información oficial.

Artículo 29: Toda modificación que se requiera efectuar a la Lista Interna, cuando afecte la
Lista General, será sometida a consulta de la Comisión, que la elevará al Comité Ejecutivo
del Consejo de Ministros para su aprobación.

CAPITULO V
Responsabilidades de los Organos, Organismos y Entidades

Artículo 30: Los Jefes de órganos, organismos y entidades aseguran, controlan y exigen el
cumplimiento de lo establecido en el Sistema para la Seguridad y Protección de la
Información Oficial.

Artículo 31: Los Jefes de órganos, organismos y entidades en cada instancia están en la
obligación de:
a) educar, preparar y concientizar al personal subordinado en mantener la debida
discreción y compartimentación en cuanto a la Información Oficial Clasificada o
Limitada que conozca en razón de su cargo, así como de cumplir todas las medidas que
se establezcan en materia de Seguridad y Protección de esta información;
b) Ejercer especial control sobre el uso de los medios de computación portátil y soportes
magnéticos, cámaras, cassettes de vídeo y televisión, rollos fotográficos, grabadoras y
cintas fuera de los locales de trabajo, cuando contengan Información Oficial Clasificada
o Limitada;
c) Designar al personal que responde por la dirección, ejecución y control de la seguridad
y protección de la Información Oficial Clasificada y Limitada;
d) Designar una o más personas si se requiere, con la idoneidad adecuada para que
supervise y controle el cumplimiento de las medidas de Seguridad Informática y
Criptográfica establecidas en los lugares donde se procesa, intercambia, reproduce o
conserva información oficial, a través de las tecnologías de información;
e) Garantizar que se proceda, ante la ocurrencia de hechos constitutivos de violaciones del
Sistema para la Seguridad y Protección de la Información Oficial Clasificada o
Limitada, a la aplicación de las medidas correspondientes e informarlo de inmediato al
órgano competente del Ministerio del Interior;
f) Preparar al personal vinculado con la Seguridad y Protección a la Información Oficial y
la Seguridad Informática;
g) Aprobar los Planes de Seguridad Informática, de Contingencia, de Seguridad y
Protección a la Información y de Evacuación, Conservación y Destrucción de la
Información Oficial Clasificada y Limitada.
Artículo 32: El Jefe de cada órgano, organismo o entidad, en correspondencia con el
volumen de la Información Oficial Clasificada, crea la Oficina para el Control de la
Información Clasificada OCIC o designa la persona que se responsabiliza con la
orientación y control del cumplimiento de las medidas para la seguridad y protección a esta
información.

Artículo 33: Los Jefes de órganos, organismos o entidades en cada instancia, son los únicos
facultados para autorizar al personal con acceso a la Información Oficial Clasificada y
Limitada que le competa en cada momento, de acuerdo a las funciones que desempeña.

Artículo 34: El Jefe es el único que puede autorizar dar a conocer Información Oficial
Clasificada generada en su órgano, organismo o entidad procediendo de acuerdo a la
categoría de clasificación que posea la misma.

Artículo 35: Los Jefes de órgano, organismos o entidades, asegurarán que la Información
Oficial Clasificada se trasmita con Protección Criptográfica, y decidirán cuándo, por los
riesgos que su conocimiento pueda producir, deba ser tratada en contactos personales
exclusivamente.

Artículo 36: Los dirigentes administrativos deben incluir en los planes económicos anuales
y perspectivos los recursos financieros y materiales necesarios para la adquisición,
instalación y mantenimiento de las medidas, medios técnicos y físicos requeridos para la
Seguridad y Protección de la Información Oficial.

CAPITULO VI
Protección Criptográfica

Artículo 37: El Ministerio del Interior es el organismo encargado de representar al país en

las relaciones de colaboración científica y tecnológica en la esfera de la Criptografía con
países y organizaciones internacionales.

Artículo 38: Es facultad del Ministerio del Interior autorizar la divulgación, promoción,
elaboración de información, realización de eventos e intercambios de o sobre los sistemas
de Protección Criptográfica. Los intereses que al respecto puedan presentarse serán
coordinados y solucionados con dicho Ministerio.

Artículo 39: Corresponde al Ministerio del Interior autorizar el diseño, producción,

importación y comercialización de sistemas de protección criptográfica y prestación de
estos servicios a órganos, organismos y entidades estatales.

Artículo 40: Corresponde al Ministerio del Interior realizar las actividades de investigación
y desarrollo para el diseño, producción, análisis, evaluación y aprobación de los Sistemas
de Protección Criptográfica y los criptomateriales y de las aplicaciones criptográficas
contenidas en los Sistemas Automatizados o de Comunicaciones.
Artículo 41: La realización de estudios o investigaciones científicas y tecnológicas en
interés de la Criptografía, por parte de personas naturales o jurídicas, se hará por necesidad
y solicitud del Ministerio del Interior, o a iniciativa de aquellas, previa consulta y
aprobación de dicho Ministerio, el que además certificará la aplicación de todo Sistema de
Protección Criptográfica.

Artículo 42: El Ministerio del Interior es el organismo encargado de regular, dirigir y

controlar el Servicio Central Cifrado Internacional del Estado y Gobierno Cubanos.

CAPITULO VII
Seguridad Informática

Artículo 43: En los órganos, organismos o entidades donde se procesa, intercambia,

reproduce o conserva Información Oficial por medio de las tecnologías de información, se
cumplirán las medidas que se requieran para su seguridad y protección, en correspondencia
con las normas y regulaciones emitidas por el Ministerio del Interior.

Artículo 44: Todos los órganos, organismos o entidades donde se procesa, intercambia,
reproduce o conserva Información Oficial por medio de las tecnologías de información
tienen que elaborar, aplicar y mantener actualizados permanentemente los Planes de
Seguridad Informática y de Contingencia, acorde con lo establecido por el Ministerio del
Interior para la seguridad informática, y por el de la Industria Sidero Mecánica y la
Electrónica para la seguridad técnica de los sistemas informáticos.

Artículo 45: El Ministerio del Interior es el organismo competente para realizar Auditoría a
la Seguridad Informática y el facultado para autorizar a otros órganos, organismos o
entidades u otras personas naturales o jurídicas a realizarlas.

Artículo 46: Se prohibe procesar, reproducir o conservar Información Oficial Clasificada

con la categoría Secreto de Estado en las tecnologías de información conectadas en redes
de datos.

Artículo 47: Se prohiben las conductas que se describen a continuación:

a) Crear o diseminar programas malignos.
b) El acceso no autorizado a redes de datos.
c) Conectar tecnologías de información que procesen Información Oficial Clasificada a
redes de datos de alcance global.

Artículo 48: La violación de lo establecido en los artículos 46 y 47 será puesta en

conocimiento de la autoridad administrativa que corresponda a los efectos de la aplicación
de la medida que proceda, sin perjuicio de cualquier otra responsabilidad en que pudiere
haberse incurrido.

Artículo 49: En los órganos, organismos o entidades donde se procesa, intercambia,

reproduce o conserva Información Oficial por medio de las tecnologías de información, se
designa una o más personas en su caso, con la idoneidad requerida para que supervise y
controle el cumplimiento de las medidas de Seguridad Informática establecidas.

CAPITULO VII
Protección Electromagnética

Artículo 50: La Protección Electromagnética tiene como objetivo disminuir el riesgo que
encierra las fugas de señales electromagnéticas contentivas de Información Oficial
Clasificada o Limitada, emitidas por los Sistemas Informáticos durante su explotación.
Comprende locales, medios y circuitos apantallados, sistemas de filtraje de señales,
barreras técnicas y medidas complementarias.

Artículo 51: Los Sistemas de Protección Electromagnética serán desarrollados y

producidos en entidades nacionales autorizadas bajo el cumplimiento de normas y
certificación emitidas por el Ministerio del Interior.

Artículo 52: Las entidades que adquieran tecnologías de información por vías diferentes a
las entidades nacionales autorizadas al efecto deberán, previo a su empleo, solicitar al
Ministerio del Interior su homologación o certificación en relación con la Protección
Electromagnética.

Artículo 53: La aplicación de los Sistemas de Protección Electromagnética en las entidades

estará en correspondencia con los requerimientos de protección a la Información Oficial y
de Seguridad Informática.

DISPOSICIONES ESPECIALES

PRIMERA: Se faculta al Ministerio e las Fuerzas Armadas Revolucionarias para el

desarrollo, reglamentación, aplicación y control de los Sistemas de Protección
Criptográfica y de Seguridad Informática de uso propio.

SEGUNDA: El Ministerio del Interior presentará al Comité Ejecutivo del Consejo de

Ministros, en un plazo de 180 días contados a partir de la fecha de aprobación del presente
Decreto-Ley, la correspondiente propuesta para establecer el sistema de contravenciones en
la materia que por éste se regula.

DISPOSICIONES FINALES

PRIMERA: Se faculta a los Ministerios de las Fuerzas Armadas Revolucionarias y del

Interior, según corresponda, para adecuar en lo que resulte necesario, la aplicación de las
disposiciones establecidas en este Decreto-Ley , en correspondencia con las
particularidades de las funciones, misiones y características de la información de dichos
organismos.

SEGUNDA: El Ministerio del Interior emitirá el Reglamento y demás disposiciones

complementarias del presente Decreto-Ley en un plazo que no exceda los 90 días, contados
a partir de la fecha de su aprobación, y queda facultado para dictar cuantas otras
disposiciones resultan necesarias para su mejor cumplimiento.

TERCERA: Se derogan la Ley número 1246 del Secreto Estatal 14 de Mayo de 1973 y el
Decreto número 3753 del 17 de enero de 1974 que puso en vigor el Reglamento para la
ejecución de la Ley del Secreto Estatal, así como el Decreto número 3787 del 23 de
septiembre de 1974 que puso en vigor los Reglamentos Gubernamentales para el Servicio
Cifrado Nacional y para el Servicio Cifrado Exterior, la Resolución del 25 de Mayo de
1973 del Comandante en Jefe en su condición de Primer Ministro, creando la Comisión
Estatal para la Clasificación y Desclasificación de la Información y cuantas disposiciones
se opongan al cumplimiento del presente Decreto-Ley.

CUARTA: El Sistema para la Seguridad y Protección de la Información Oficial que se

establece, comenzará a regir una vez transcurridos 180 días contados a partir de la
publicación del presente Decreto-Ley en la Gaceta Oficial de la República.
Dado en el Palacio de la Revolución, en la ciudad de La Habana, a los 25 días del mes de
noviembre de 1999.

Fidel Castro Ruz