RELACIÓN DEL ESQUEMA NACIONAL DE SEGURIDAD CON LA PROTECCIÓN DE DATOS
EN EL SECTOR PRIVADO
Hasta la aprobación del nuevo Reglamento de Protección de Datos, había sido relativamente fácil conocer las medidas de seguridad que cualquier entidad debía aplicar en su organización.
Esto venía determinado por la sensibilidad de los datos tratados, que podían ser de nivel básico, medio o alto, y dependiendo del sistema utilizado para su gestión (automatizada, manual, o mixta).
Esto cambió radicalmente con el Reglamento Europeo de Protección de Datos (RGPD), ya que no se valora únicamente la sensibilidad del dato, sino que se consideran otras variables y se introducen las “categorías especiales de datos”, donde se consideran entre otros, el volumen de los datos tratados, los tratamientos automatizados que se van a realizar, la existencia de datos de menores, etc.
Asimismo, se introduce el término “Accountability” que tendría su traducción en Responsabilidad proactiva.
En este sentido, el RGPD no facilita un listado de medidas de seguridad, sino que delega esta directriz al Responsable del Tratamiento, el cual, en conocimiento de su organización y basándose en la gestión del riesgo, determinará las medidas de seguridad más adecuadas que deberá adoptar su organización.
Esto también significa que las medidas de seguridad que se están aplicando sobre los sistemas de información, pueden ser suficientes (o no, dependiendo del resultado de la evaluación de impacto en la privacidad), pero en cualquier caso, se va a tener que justificar la elección de dichas medidas, argumentando de forma justificada cómo su aplicación repercute en la gestión del riesgo identificado.
EN EL SECTOR PÚBLICO. ENS
En el caso del sector público, este análisis se simplifica relativamente:
El Esquema Nacional de Seguridad (ENS) incluirá las medidas que deban implantarse en caso de tratamiento de datos de carácter personal, para evitar su perdida, alteración o acceso no autorizado, adaptando los criterios de denominación del riesgo, en el tratamiento de los datos, a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
Con ello se viene a decir que el sector público ya tiene un listado, previamente autorizado, de las medidas de seguridad que tiene que aplicar para proteger los datos de carácter personal: aquellas medidas de seguridad que le son de aplicación son las del Real Decreto 3/2010Vista previa del enlace añadida por la extensión vLex , de 8 de Enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).
Estas medidas de seguridad se encuentran identificadas en el Anexo II del Esquema Nacional de Seguridad (ENS) y se dividen en tres marcos: organizativo, operacional y medidas de protección.
Las medidas de seguridad indicadas son acumulativas, de manera que para los sistemas de información catalogados de nivel bajo, serán de aplicación 40 medidas, para los sistemas de información catalogados de nivel medio, le aplicarán 60, mientras que para los sistemas de información catalogados de nivel alto, le serán de aplicación la totalidad de las medidas, es decir, las 75.
MEDIDAS QUE DEBE APLICAR EL SECTOR PÚBLICO
El Esquema Nacional de Seguridad recoge las medidas que debe aplicar el sector público para cumplir con los requisitos del RGPD en este ámbito
- El CCN-CERT y la AEPD establecen un mecanismo de colaboración para ofrecer a las Administraciones Públicas una referencia de cumplimiento normativo en materia de protección de datos y seguridad.
- El Reglamento General de Protección de Datos (RGPD) establece nuevos requisitos de cumplimiento.
- La herramienta PILAR para las Administraciones Públicas (AAPP) incluye un módulo para facilitar el cumplimiento.
- La obligatoriedad de contar con un registro de actividades de tratamiento, designar un Delegado de Protección de Datos o notificar las quiebras de seguridad en caso de producirse, son algunos de los aspectos recogidos en este módulo.
- La AEPD ha publicado un documento en el que pone de manifiesto que las medidas de seguridad −en el caso de las AAPP− estarán marcadas por los criterios establecidos en el Esquema Nacional de Seguridad.
MEDIDAS APLICABLES EN EL SECTOR PRIVADO
Proveedores externos que proporcionen servicios informáticos a las AA.PP. Por ejemplo: servicios de alojamiento de servidores, servicios cloud computing, etc.
¿deben cumplir con el ENS?
Las medidas de seguridad que deben adoptar los proveedores de servicios no las fija el propio proveedor, sino que serán las determinadas por la Administración contratante, en virtud de la naturaleza de los servicios prestados.
Es responsabilidad de la Administración contratante la suscripción del correspondiente contrato de prestación del servicio (incluyendo, en su caso, los Acuerdos de Nivel de Servicio a los que hubiere lugar), que deberá contener todas las estipulaciones necesarias para dar cumplimiento a lo dispuesto en el ENS, en virtud de la naturaleza del servicio prestado.
Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad.
¿Es necesario que esté certificado o auditado por algún auditor independiente?
Sólo se exige que en las normas técnicas del producto en cuestión aparezca la mención del nivel de seguridad que es capaz de alcanzar el software en cuestión.
No prescribe, por tanto, ninguna auditoría.
Sin embargo, existen productos que se han sometido (o se están sometiendo) al análisis de auditores externos y/o independientes, con la idea de exhibir el resultado de tal auditoría, no sólo en las normas técnicas del producto, sino también en sus páginas web, etc.
DERECHOS ARCOPL (ACCESO, RECTIFICACIÓN, CANCELACIÓN, OPOSICIÓN, PORTABILIDAD Y LIMITACIÓN DEL TRATAMIENTO)
¿Se consideran estos derechos como pertenecientes al ENS?, ¿tienen que estar estos documentos en la Sede, o simplemente pueden estar en una página web de información?
El ejercicio de los derechos ARCOPL es, como su propio nombre indica, un derecho de los ciudadanos.
Por tanto, el ejercicio de tales derechos debe ser objeto del ENS.
Para el ejercicio de los mismos, las AA.PP. suelen usar formularios en formato PDF, en los que se explica cual es el procedimiento que deben seguir los ciudadanos para el ejercicio de tales derechos.
Obsérvese que las medidas de seguridad que serán de aplicación a cada sistema/servicio deben estar ponderadas respecto de los riesgos que la organización asume.
En este caso, toda vez que se trata de una mera información al usuario (información que podrá encontrarse en la Sede Electrónica, como expresión del ejercicio de un derecho) las cautelas que deben tomarse parecen simples:
- asegurar la disponibilidad de la información
- su integridad
- y su autenticidad
Estás dos últimas dimensiones pueden satisfacerse firmando electrónicamente los PDF o incorporándoles un CSV (Código Seguro de Verificación) mediante el cual los interesados puedan verificar su autenticidad mediante la consulta a la página web del organismo.
¿El Responsable de Seguridad del ENS puede ser la misma persona que el Responsable de Seguridad de la LOPDyGDD?
Formalmente nada lo impide.
Debemos hacer constar que ambos perfiles requieren una formación muy específica y diferenciada.
Por ejemplo, el Responsable de Seguridad ENS es un perfil eminentemente tecnológico, mientras que el Responsable de Seguridad LOPDyGDD debe poseer, además, el conocimiento jurídico pertinente).
Por tanto, dándose la circunstancia de que la persona designada goce de la formación adecuada en ambas responsabilidades, no existe inconveniente en que sea la misma persona.
Independientemente de lo anterior, sobre todo en organizaciones de tamaño significativo, debe entenderse como más conveniente que ambos responsables (en el caso de personas físicas) sean distintos, pudiendo formar parte, eso sí, de un Comité de Seguridad de amplio espectro y cuyo titular será el Responsable formal de ambas funciones.
