Consulta Ayuntamiento: Esquema Nacional de Seguridad (ENS)


Manuel Castilleja Toscano     26/11/2020

PREGUNTA

Conforme a lo dispuesto en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y lo establecido en la vigente Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, ¿los Ayuntamientos que estén adaptados al Esquema Nacional de Seguridad (ENS), se encontrarían protegidos también conforme a lo previsto en el GDPR?

En referencia a la consulta anterior, incidiendo sobre el Esquema Nacional de Seguridad, ¿qué similitudes y/o diferencias tendrían en relación con el GDPR respecto a las Administraciones Públicas? es decir, ¿los Ayuntamientos cumplirían con la Protección de Datos en relación con la estructura técnica y organizativa, medidas de seguridad, análisis de riesgos, evaluación de impacto, etc. si disponen únicamente del Esquema Nacional de Seguridad?

RESPUESTA

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica –RD 3/10-, al que se refiere el artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público -LRJSP-, establece la política de seguridad en la utilización de medios electrónicos que permita una protección adecuada de la información. Precisamente el RD 3/10, modificado por el RD 951/2015, de 23 de octubre, fija los principios básicos y requisitos mínimos, así como las medidas de protección a implantar en los sistemas de la Administración, y promueve la elaboración y difusión de guías de seguridad de las tecnologías de la información y las comunicaciones (STIC) por parte del Centro Criptológico Nacional para facilitar un mejor cumplimiento de dichos requisitos mínimos. Por tanto, se trata de establecer un marco referencial en esta materia que sirva de apoyo para que el personal de la Administración lleve a cabo la tarea de proporcionar seguridad a los sistemas de las Tecnologías de la Información y el Conocimiento -TIC- bajo su responsabilidad.

El artículo 11.1 RD 3/10 dispone que "Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente." Por su parte, el apartado 2 del citado art. 11 dispone que "A los efectos indicados en el apartado anterior, se considerarán órganos superiores, los responsables directos de la ejecución de la acción ... local ... de acuerdo con lo establecido en la ... Ley 7/1985, de 2 de abril, reguladora de las bases del Régimen Local. Los municipios podrán disponer de una política de seguridad común elaborada por la Diputación, Cabildo, Consejo Insular u órgano unipersonal correspondiente de aquellas otras corporaciones de carácter representativo a las que corresponda el gobierno y la administración autónoma de la provincia o, en su caso, a la entidad comarcal correspondiente a la que pertenezcan." De conformidad con lo dispuesto en el artículo 21.1.a) de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local -LRBRL-, el Alcalde es el Presidente de la Corporación y ostenta, entre otras, la atribución de dirigir el gobierno y la administración municipal.

Así las cosas, corresponde a la Alcaldía la adopción y aprobación de la política de seguridad del Ayuntamiento, o en el supuesto de delegación competencial del artículo 21.3 LRBRL a la Junta de Gobierno Local.

Por su parte, la propia LRBRL no viene a concretar la forma que han de adoptar los distintos actos y resoluciones emanados de los distintos órganos municipales, pero entendemos que al tratarse de resoluciones que afectan a la esfera jurídica de los terceros, y que innovan el ordenamiento jurídico con vocación de permanencia, tendría la consideración de norma reglamentaria (no de acto administrativo) con efectos ad intra, dirigida a regular sus servicios, instalaciones o sus relaciones de empleo o, efectos ad extra, para regular las relaciones externas con los ciudadanos, por lo que será lo normal que dichas políticas sean elaboradas bien como Decretos de la Alcaldía o bien como Acuerdos de la Junta de Gobierno Local.

Expuesto lo anterior, de necesario conocimiento para la resolución del supuesto, procedemos a la respuesta a las cuestiones planteadas:

El objetivo del ENS y del GDPR es el aseguramiento de la información cuya gestión se encomienda por Ley a las Administraciones Públicas, con la diferencia que el ENS viene a englobar el análisis de TODA la información y el GDPR se centra en el tratamiento de la información de carácter personal. Por tanto, mientras el ENS engloba toda la información, la información relativa a los datos de carácter personal sería una parte de dicho todo (ENS) y que afectaría únicamente a la información relativa a los datos de carácter personal.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, destaca en su "Disposición adicional primera. Medidas de seguridad en el ámbito del sector público", lo siguiente:

"1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del GDPR.

2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad."

La Guía sectorial de la AEPD de “Protección de datos y Administración Local” nos dice en su apdo. 2.4.2 “Implementación de medidas de seguridad” que "… lo previsto en el Esquema Nacional de Seguridad es aplicable a cualquier información de las Administraciones Públicas sin distinción del soporte en el que se encuentre, por lo que en cuanto a las medidas de seguridad se refiere, este esquema es acorde al enfoque de riesgo del GDPR y se constituye en una herramienta válida para la gestión del riesgo y la adopción de las medidas de seguridad en las citadas Administraciones."

A pesar de lo anterior, el propio ENS, remite a la normativa de Protección de Datos, así el artículo 27 nos dice "Cuando un sistema al que afecte el presente real decreto maneje datos de carácter personal le será de aplicación lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema Nacional de Seguridad." y, en parecidos términos, también en su ANEXO 2º, nos dice que "Cuando el sistema trate datos de carácter personal, se estará a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normas de desarrollo, sin perjuicio de cumplir, además, las medidas establecidas por este real decreto."

Por otra parte, analizando el ENS como opción de certificación del GDPR debemos destacar que no existe en la actualidad un mecanismo de certificación válido en los términos dispuestos en los Considerandos 77 y 100 GDPR, ni en lo dispuesto en el art. 42.2 GDPR, que nos permitiera demostrar el cumplimiento por parte de las Administraciones Públicas del GDPR, lo que sí puede afirmarse es que el ENS constituye una herramienta eficiente en la garantía de la seguridad de los servicios y la información que manejen las Administraciones Públicas, mediante la garantía de las distintas dimensiones de la “seguridad”, estas son, la de disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información y los servicios que gestionen las Administraciones. En el GDPR se incide más en las dimensiones de confidencialidad e integridad de la información, aunque se abarque al resto de las dimensiones.

Por último, debe destacarse también a favor del ENS que su evaluación ha sido certificada por la ENAC (Agencia Nacional de Acreditación) y puede establecerse en este punto una relación con el artículo 43 GDPR, por lo que podríamos concluir que disponiendo el ENS de un mecanismo de certificación podría aceptarse el mismo como garantía de cumplimiento del GDPR.

CONCLUSIONES

La Alcaldía o la Junta de Gobierno Local son los órganos competentes para la adopción y aprobación de la política de seguridad del Ayuntamiento.

Lo previsto en el Esquema Nacional de Seguridad es aplicable a cualquier información de las Administraciones Públicas sin distinción del soporte en el que se encuentre, por lo que en cuanto a las medidas de seguridad se refiere, este esquema es acorde al enfoque de riesgo del GDPR y se constituye en una herramienta válida para la gestión del riesgo y la adopción de las medidas de seguridad en las citadas Administraciones.

En el ámbito de las Administraciones públicas, incluyendo la Administración Local, es aplicable al tratamiento de datos lo dispuesto en el Esquema Nacional de Seguridad.

Lo anterior es cuanto tenemos a bien informar, no obstante, la anterior opinión se somete a otra mejor fundada en Derecho, siendo que el órgano competente de la Administración, con superior criterio, resolverá lo procedente.