Consulta Ajuntament: Esquema Nacional de Seguretat (ENS)

PREGUNTA

D'acord amb el que disposa el Reial Decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica i el que estableix la vigent Llei 40/2015, d'1 d'octubre, de règim jurídic del Sector Públic, els ajuntaments que estiguin adaptats a l'Esquema Nacional de Seguretat (ENS), es trobarien protegits també d'acord amb el que preveu el GDPR?

Pel que fa a la consulta anterior, incidint sobre l'Esquema Nacional de Seguretat, quines similituds i/o diferències tindrien en relació amb el GDPR que fa a les administracions públiques? és a dir, els Ajuntaments complirien amb la Protecció de Dades en relació amb l'estructura tècnica i organitzativa, mesures de seguretat, anàlisi de riscos, avaluació d'impacte, etc. si disposen únicament de l'Esquema Nacional de Seguretat?

RESPOSTA

El Reial Decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica -RD 3 / 10-, a què es refereix l'article 156.2 de la Llei 40/2015, d'1 d'octubre, de règim jurídic del Sector Públic -LRJSP-, estableix la política de seguretat en la utilització de mitjans electrònics que permeti una protecció adequada de la informació. Precisament el RD 3/10, modificat pel RD 951/2015, de 23 d'octubre, fixa els principis bàsics i requisits mínims, així com les mesures de protecció a implantar en els sistemes de l'Administració, i promou l'elaboració i difusió de guies de seguretat de les tecnologies de la informació i les comunicacions (STIC) per part de Centre Criptològic Nacional per a facilitar un millor compliment d'aquests requisits mínims. Per tant, es tracta d'establir un marc referencial en aquesta matèria que serveixi de suport perquè el personal de l'Administració dugui a terme la tasca de proporcionar seguretat als sistemes de les Tecnologies de la Informació i el Coneixement -TIC- sota la seva responsabilitat.

L'article 11.1 RD 3/10 disposa que "Tots els òrgans superiors de les administracions públiques han de disposar formalment de la seva política de seguretat que articuli la gestió continuada de la seguretat, que serà aprovada pel titular de l'òrgan superior corresponent." Per la seva banda, l'apartat 2 de l'esmentat art. 11 disposa que "als efectes indicats en l'apartat anterior, es consideraran òrgans superiors, els responsables directes de l'execució de l'acció ... local ... d'acord amb el que estableix la ... Llei 7/1985, de 2 d' abril, reguladora de les bases del Règim Local. Els municipis podran disposar d'una política de seguretat comuna elaborada per la Diputació, Cabildo, Consell Insular o òrgan unipersonal corresponent d'aquelles altres corporacions de caràcter representatiu a les quals correspongui el govern i l'administració autònoma de la província o, si s'escau, a l'entitat comarcal corresponent a la qual pertanyen." De conformitat amb el que disposa l'article 21.1.a) de la Llei 7/1985, de 2 d'abril, Reguladora de les Bases de Règim Local -LRBRL-, l'Alcalde és el President de la Corporació i ostenta, entre altres, la atribució de dirigir el govern i l'administració municipal.

Així doncs, correspon a l'Alcaldia l'adopció i aprovació de la política de seguretat de l'Ajuntament, o en el supòsit de delegació competencial de l'article 21.3 LRBRL a la Junta de Govern Local.

Per la seva banda, la pròpia LRBRL no ve a concretar la manera que han d'adoptar els diferents actes i resolucions emanats dels diferents òrgans municipals, però entenem que en tractar-se de resolucions que afecten l'esfera jurídica dels tercers, i que innoven el ordenament jurídic amb vocació de permanència, tindria la consideració de norma reglamentària (no d'acte administratiu) amb efectes ad intra, dirigida a regular els seus serveis, instal·lacions o les seves relacions d'ocupació o, efectes ad extra, per a regular les relacions externes amb els ciutadans, de manera que serà el normal que aquestes polítiques siguin elaborades bé com Decrets de l'Alcaldia o bé com Acords de la Junta de Govern Local.

Exposat l'anterior, de necessari coneixement per a la resolució de el supòsit, procedim a la resposta a les qüestions plantejades:

L'objectiu de l'ENS i del GDPR és l'assegurament de la informació la gestió s'encomana per Llei a les Administracions Públiques, amb la diferència que l'ENS ve a englobar l'anàlisi de TOTA la informació i el GDPR se centra en el tractament de la informació de caràcter personal. Per tant, mentre l'ENS engloba tota la informació, la informació relativa a les dades de caràcter personal seria una part d'aquest tot (ENS) i que afectaria únicament a la informació relativa a les dades de caràcter personal.

La Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals, destaca en la seva "Disposició addicional primera. Mesures de seguretat a l'àmbit del sector públic", el següent:

"1. L'Esquema Nacional de Seguretat inclourà les mesures que s'hagin d'implantar en cas de tractament de dades personals per evitar la seva pèrdua, alteració o accés no autoritzat, adaptant els criteris de determinació de el risc en el tractament de les dades al que estableix l'article 32 del GDPR.

2. Els responsables enumerats en l'article 77.1 d'aquesta llei orgànica d'aplicar als tractaments de dades personals les mesures de seguretat que corresponguin de les previstes en l'Esquema Nacional de Seguretat, així com impulsar un grau d'implementació de mesures equivalents a les empreses o fundacions vinculades als mateixos subjectes a dret privat.

En els casos en què un tercer presti un servei en règim de concessió, encomana de gestió o contracte, les mesures de seguretat es correspondran amb les de l'Administració pública d'origen i s'ajustaran a l'Esquema Nacional de Seguretat."

La Guia sectorial de l'AEPD de “Protecció de dades i Administració Local” diu al seu ap. 2.4.2 “Implementació de mesures de seguretat” que "… el que preveu l'Esquema Nacional de Seguretat és aplicable a qualsevol informació de les administracions públiques sense distinció de el suport en què es trobi, per la qual cosa pel que fa a les mesures de seguretat es refereix, aquest esquema és conforme a l'enfocament de risc del GDPR i es constitueix en una eina vàlida per a la gestió de el risc i l'adopció de les mesures de seguretat en les citades Administracions."

Tot i això, el propi ENS, remet a la normativa de protecció de dades, així l'article 27 ens diu "Quan un sistema al que afecti el present Reial decret manegi dades de caràcter personal li és aplicable el que disposa la Llei Orgànica 15/1999, de 13 de desembre, i normativa de desenvolupament, sense perjudici dels requisits que estableix l'Esquema Nacional de seguretat." i, en termes semblants, també en el seu Annex 2n, ens diu que "Quan el sistema tracti dades de caràcter personal, s'estarà al que disposa la Llei Orgànica 15/1999, de 13 de desembre, i normes de desenvolupament, sense perjudici de complir, a més, les mesures establertes per aquest Reial decret."

D'altra banda, analitzant l'ENS com a opció de certificació del GDPR hem de destacar que no existeix en l'actualitat un mecanisme de certificació vàlid en els termes disposats en els Considerants 77 i 100 GDPR, ni en el que disposa l'art. 42.2 GDPR, que ens permetés demostrar el compliment per part de les Administracions Públiques del GDPR, el que sí es pot afirmar és que l'ENS constitueix una eina eficient en la garantia de la seguretat dels serveis i la informació que manegen les Administracions Públiques, mitjançant la garantia de les diferents dimensions de la "seguretat", aquestes són, la de disponibilitat, integritat, confidencialitat, autenticitat i traçabilitat de la informació i els serveis que gestionin les administracions. Al GDPR s'incideix més en les dimensions de confidencialitat i integritat de la informació, tot i que es abasti a la resta de les dimensions.

Finalment, cal destacar també a favor de l'ENS que la seva avaluació ha estat certificada per l'ENAC (Agència Nacional d'Acreditació) i pot establir-se en aquest punt una relació amb l'article 43 GDPR, de manera que podríem concloure que disposant l'ENS d'un mecanisme de certificació podria acceptar-se el mateix com a garantia de compliment del GDPR.

CONCLUSIONS

L'Alcaldia o la Junta de Govern Local són els òrgans competents per a l'adopció i aprovació de la política de seguretat de l'Ajuntament.

El que preveu l'Esquema Nacional de Seguretat és aplicable a qualsevol informació de les administracions públiques sense distinció de el suport en què es trobi, per la qual cosa pel que fa a les mesures de seguretat es refereix, aquest esquema és conforme a l'enfocament de risc del GDPR i es constitueix en una eina vàlida per a la gestió de el risc i l'adopció de les mesures de seguretat en les citades Administracions.

En l'àmbit de les administracions públiques, incloent l'Administració Local, és aplicable a el tractament de dades que disposa l'Esquema Nacional de Seguretat.

L'anterior és el que tenim a bé informar, no obstant, l'anterior opinió se sotmet a una altra millor fundada en Dret, sent que l'òrgan competent de l'Administració, amb superior criteri, resoldrà el que sigui procedent.