La Agencia Española de Protección de Datos ha publicado hasta ahora diferentes documentos destinados a facilitar la adecuación al RGPD de las Administraciones públicas (AAPP), especialmente las Entidades Locales (EELL). Su objetivo es que sirvan como hoja de ruta o hilo conductor de las diferentes actividades necesarias para lograr la adecuada implantación del RGPD en las mismas:

1) Decálogo para la adaptación al RGPD en las Administraciones públicas, consistiendo en una representación secuencial de seis tareas principales y seis actividades paralelas, en 2 páginas de extensión.

2) Guía sectorial de la AEPD: Protección de Datos y Administración Local, consistiendo en una guía que trata conceptos básicos, cómo adecuar el RGPD a los tratamientos y consultas frecuentes planteadas en el ámbito de los Ayuntamientos, con una extensión de 57 páginas.

3) EL NUEVO RGPD Y SU IMPACTO SOBRE LA ACTIVIDAD DE LAS ADMINISTRACIONES LOCALES, documento de 6 páginas, con 15 aspectos a tener en cuenta en la adecuación al RGPD de un Ayuntamiento.

4) EL IMPACTO DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS SOBRE LA ACTIVIDAD DE LAS ADMINISTRACIONES PUBLICAS, análogo al anterior, pero generalizando para cualquier AALL, en 5 páginas y 15 aspectos a tener en cuenta.

Ahora que queda escasamente algo más de un mes para que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sea de aplicación efectiva, no está de más dar un vistazo a las tareas pendientes que muchas AAPP tienen por delante.

La hoja de ruta del RGPD establece dos caminos paralelos para esta correcta adecuación. Por un lado, establece una serie de tareas de análisis como son:

• La necesidad de designar a un Delegado de Protección de Datos o DPD (también conocido como DPO por las siglas de su denominación en inglés), algo preceptivo para las AAPP [Vid. Art. 37.1.a) RGPD], aunque pueden llegar a designar un único DPD el conjunto de varios organismos públicos [Vid. Art. 37.3 RGPD].
• Elaborar el Registro de Actividades de Tratamiento, espina dorsal del nuevo Reglamento, que sustituye a la obligación de registrar ante la Autoridad de Control los ficheros de datos de la Administración [Vid. Art. 30 RGPD]. Debe tenerse en cuenta que los datos deben tratarse de manera lícita, leal y transparente; recogidos con fines determinados, explícitos y legítimos; y obtenerse y conservarse adecuados, pertinentes y exactos [Vid. Art. 5.1 RGPD].
• Analizar la licitud de los tratamientos y su base jurídica. Ésta no únicamente puede basarse en el consentimiento del interesado, sino para el cumplimiento de una obligación legal o para el cumplimiento de una misión basada en el interés público o en el ejercicio de poderes en base a competencias públicas [Vid. Art. 6.1 RGPD]. La ponderación de derechos en base a un interés legítimo no es de aplicación a las AAPP, salvo a sus organizaciones dependientes o vinculadas, sujetas a Derecho privado [Vid. Último párrafo art. 6.1 RGPD].
• Realizar un proceso de apreciación (identificación, análisis y evaluación) de riesgos, determinando claramente aquellos que se consideren inaceptables. Los riesgos a considerar son jurídico/organizativos respecto a la protección de datos y tecnológicos. Para éstos últimos se puede recurrir al proceso de apreciación de riesgos efectuado para dar cumplimiento al Esquema Nacional de Seguridad (ENS) [Vid. Art. 24.1 RGPD].
• Tratar los riesgos inaceptables mediante controles técnicos y/u organizativos que los mitiguen o eviten, verificando que dichas medidas han mitigado el valor del riesgo inicial por debajo del umbral de riesgo inaceptable. A este nuevo valor le llamaremos riesgo residual que, si sigue siendo elevado, deberá seguir mitigándose mediante la aplicación de nuevas medidas. [Vid. Art. 25.2].
• si el tratamiento es de alto riesgo, detallar e implantar un procedimiento para realizar, una evaluación de impacto en la Protección de Datos (EIPD) – conocida como PIA por los anglosajones – [Vid. Art. 35 RGPD]. Si fuera necesario debido al resultado adverso de la EIPD, consultar previamente a realizar el tratamiento con la autoridad de control [Vid. Art. 35 RGPD]. La EIPD también está basada en el riesgo, pero focalizada en determinado tratamiento.

De forma paralela y en un ámbito más operativo, las administraciones públicas tendrán que:

• Revisar y adecuar los formularios de recogida de información, para que la concesión del consentimiento se corresponda con el principio de acción afirmativa del usuario y la información que se le ofrezca, sea lo más clara y concreta posible, aconsejándose en dos capas (la resumida primero y la detallada después) siempre que sea posible.
• Establecer y adecuar los procedimientos de ejercicio de derechos del ciudadano, teniendo en cuenta que con el RGPD aparecen de nuevos [Vid. Arts. 16 a 20 RGPD].
• Elaborar procedimientos varios: acreditar, obtener y revocar el consentimiento, notificar brechas de seguridad de datos personales, etc.
• Valorar de forma efectiva a los proveedores como encargados de tratamiento para asegurar que ofrecen medidas que garanticen el cumplimiento del RGPD, adaptando los contratos de encargado del tratamiento al nuevo Reglamento europeo.
• Elaborar las políticas de protección de datos necesarias para garantizar al ciudadano la confidencialidad de sus datos personales, acompañadas de las medidas de seguridad que determina el ENS.
• Establecer procesos de formación y concienciación del personal de la Administración, en base a una planificación y no a la improvisación.
• Cabe recordar que debido al principio de accountability, o responsabilidad proactiva, todo tiene que quedar evidenciado.

Como vemos, son múltiples las tareas que las Administraciones públicas tienen por delante para la preparación y cumplimiento de lo previsto por el RGPD, pudiendo apoyarse en el ENS en todas aquellas medidas que corresponda.

El Sector público tiene en la Administración electrónica un aliado imprescindible para ofrecer un servicio más eficiente y de mayor calidad a los ciudadanos.

Con el gran volumen de información que gestionan las AAPP se hace imprescindible que los servicios soportados por los sistemas de información estén bien definidos, se comuniquen entre sí y permitan la interoperabilidad con sistemas de otras administraciones.

A pesar de todo, los servicios online no tienen que ser implantados con vistas a ofrecer únicamente una imagen de modernidad, sino para obtener una serie de ventajas como puede ser la agilidad, el servicio 24 horas o cualquier otro requisito que se haya estudiado con antelación.

Por ejemplo, la implantación de servicios Cloud porque “está de moda” o porque “otros ayuntamientos lo hacen”, sin un adecuado análisis de las necesidades y requerimientos por parte de la Administración que los contrata, puede suponer un error difícil de subsanar y justificar. De la misma forma, el argumento del ahorro de costes, que realmente existe, tampoco puede ser el único motivo para implantar servicios Cloud.

Uno de los servicios en la Nube más habituales es el relacionado con la gestión de backup remoto. Si bien la implantación de estas herramientas es fundamental para cualquier organización, es necesario plantearse una serie de cuestiones a fin de poder dimensionar bien el servicio, evitando encontrarnos con una estructura que no puede hacer frente a las necesidades reales de backup.

Pensemos que las copias de seguridad se contemplan en la medida de seguridad [mp.info.9] del Esquema Nacional de Seguridad (ENS), que señala “Se realizarán copias de seguridad que permitan recuperar datos perdidos, accidental o intencionadamente, con una antigüedad determinada”. Está claro que esa antigüedad la marcará el Análisis de Impacto en el Negocio (BIA, por sus siglas en inglés) que hayamos efectuado previamente, aunque únicamente el ENS obliga su realización para sistemas de categoría MEDIA o ALTA.

En relación a las copias de seguridad, el ENS sigue diciendo “Estas copias poseerán el mismo nivel de seguridad que los datos originales en lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se considerará la conveniencia o necesidad, según proceda, de que las copias de seguridad estén cifradas para garantizar la confidencialidad”.
Aquí es donde vemos que deben tenerse en cuenta muchos aspectos a la hora de elegir una solución de backup remoto en el Cloud, siendo una Administración pública quién contrata:

• ¿Tenemos bien definida, identificada e inventariada la información que vamos a respaldar?
• ¿Disponemos de un procedimiento que me permita actualizar los elementos a copiar en función de los cambios que se produzcan en las aplicaciones y las bases de datos?
• ¿Qué periodicidad va a tener la copia, y por qué? ¿Cada día, cada semana, cada hora…?
• Si son incrementales en un ciclo semanal ¿Cuánto tiempo puedo necesitar para una restauración total?
• ¿Durante cuánto tiempo voy a almacenar las diferentes copias realizadas (período de retención)? ¿Tengo definido el tiempo de vida válido?
• ¿Almacenaré copias mensuales o anuales, por ejemplo, con mayor período de retención?
• ¿Tengo establecidas alertas en caso de fallo del proceso de copias? ¿Quién las recibe y cómo debe actuar?
• ¿Tengo establecidos procedimientos para las pruebas de restauración y los llevo a la práctica?
• ¿Tengo establecidos procedimientos para la restauración y recuperación en caso de fallos o perdida de información real?
• ¿Existen acuerdos de prestación de servicios que regulen como se realizan y almacenan las copias?
• ¿Las copias contienen datos personales? ¿Dónde se almacenan realmente las copias? ¿Se almacenan fuera de la Unión Europea? ¿Soy consciente de que puede significar una Transferencia Internacional de Datos (TID)?
• ¿Tengo suscrito un contrato de Encargado del Tratamiento con el proveedor? ¿Está redactado acorde con el art. 28 RGPD, ahora qué pronto será de aplicación el nuevo Reglamento General Europeo?
• ¿La información que almacena en servicios online está cifrada?  El canal de comunicaciones a través de internet, ¿es seguro?

Como se puede ver en esta lista que no pretende ser exhaustiva, la realización de copias de seguridad remotas para una Administración pública no consiste simplemente en contratar un servicio adecuado y económico, sino que es fundamental definir correctamente las necesidades funcionales y de seguridad, cómo se va a llevar a cabo y saber si la ejecución es conforme a lo previsto por las diferentes normativas en materia de privacidad (RGPD) y Seguridad (ENS) que, para las AAPP, son indisociables en calidad de garantes de los derechos fundamentales de los ciudadanos en el ámbito de sus competencias.

La noticia sobre la filtración de más de 50 millones de cuentas de usuario de Facebook, es sin duda, la más importante de la semana. No solamente por la trascendencia de la fuga de información y su afectación a tantos usuarios, sino por las repercusiones que está tiene sobre la plataforma.

Responsables o no de los contenidos que alberga, Facebook ha estado en el punto de mira de la influencia en la campaña electoral de 2016. La cosa tiene miga, puesto que ante el clamor de políticos melifluos, se ha erigido el extremismo como el discurso que más cala. Para ello, la consultora que trabajó con Trump utilizó una aplicación que recopilaba los datos. Se llamaba thisisyourdigitallife («esta es tu vida digital», en español), un proyecto del profesor universitario Aleksandr Kogan, de la Universidad de Cambridge.

Por tanto, la brecha de seguridad ha dejado en evidencia la debilidad de los sistemas de control y ha supuesto para la red social unas perdidas de miles de millones de dolares en la bolsa.

¿Será el momento de tomar nuevas decisiones trascendentales tanto para Facebook cómo para el futuro de la seguridad en esta red social?

Más información en http://www.lavanguardia.com/tecnologia/20180319/441655204177/facebook-cambridge-analytica-filtracion.html

 

 

Qué la tecnología web es una herramienta fundamental para las administraciones públicas, es algo que nadie se atrevería a poner en duda. Hoy vamos a comentar un aspecto relacionado con la presencia online de las AAPP que, aunque aparentemente pueda parecer secundario, sí que tiene una gran importancia en lo que se refriere al objetivo final de la misma: prestar servicio al ciudadano, por lo que este artículo vamos a orientarlo a la accesibilidad, aunque al final repasaremos determinada legislación relevante respecto a las páginas Web en la Administración.

La accesibilidad tiene como principal objetivo lograr que el mayor número posible de personas, tengan disponibles los contenidos de una determinada web. En el caso de las administraciones públicas, esto es especialmente crítico, pues a través de estas webs los ciudadanos y usuarios de los diferentes servicios, pueden acceder a recursos e información que pueden ser fundamentales para ellos: tramites con la administración, denuncias, información sobre obras y licitaciones, etc.

Por ello, la administración pública debería considerar una serie de recursos que permiten especificar cuáles son los requisitos que deben cumplir las páginas Web disponibles en Internet, Intranets y otro tipo de redes para que, de esta forma, puedan ser utilizados por la mayor parte de las personas, incluyendo personas con discapacidad y personas de edad avanzada, de forma autónoma o mediante las ayudas técnicas pertinentes. Los principales recursos de accesibilidad serían:

• Norma UNE 139803:2012, sobre requisitos de accesibilidad para contenidos en la web. Es una norma española que destaca tres niveles de requisitos de accesibilidad para los contenidos en la Web, diferentes requisitos de conformidad y acaba con un repaso a técnicas de accesibilidad y fallos relacionados. En su “Anexo A” hace referencia a lo previsto en las Pautas de Accesibilidad para el Contenido Web WCAG2.0 (traducida al español por la Fundación Sidar) del Consorcio de la Web(W3C).
• UNE-EN 301549 V1.1.2, de diciembre de 2015, Requisitos de accesibilidad de productos y servicios TIC aplicables a la contratación pública en Europa es una norma que representa una base para que los compradores públicos puedan identificar requisitos funcionales a la hora de hacer sus adquisiciones referidas a productos y servicios TIC, junto a los procedimientos de prueba y metodología de evaluación de cada requisito de accesibilidad. También sirve a los fabricantes y proveedores de la Administración para que los empleen dentro de sus procesos de diseño, desarrollo y control de calidad. Su contenido es aplicable a cualquier desarrollo TIC, desde un teléfono móvil, hasta ordenadores, pasando por páginas web.
• WAI-ARIA Accessible Rich Internet Applications
  WAI-ARIA, aprobada la versión 1.0 en marzo del 2014 y cuya última versión 1.1 es de Diciembre de 2017, es una recomendación internacional que define cómo hacer el contenido y las aplicaciones webs más accesibles para personas con discapacidad. Proporciona importantes pautas para el desarrollo de contenido dinámico y para interfaces de usuario avanzadas desarrolladas mediante AJAX, HTML, Javascript y tecnologías relacionadas.

Los comentados serán, entre otros muchos, los principales recursos de adscripción voluntaria que las administraciones públicas tendrán a la hora de desarrollar y poner a disposición de los usuarios la información en entornos web que, hoy por hoy, se ha convertido en el principal punto de contacto para los ciudadanos: desde una sencilla Web que únicamente permite realizar consultas, hasta una completa Sede Electrónica que permite efectuar todo tipo de trámites.

Para verificar el cumplimiento de estas y otras normativas en materia de accesibilidad la administración ha creado el Observatorio de Accesibilidad, que tiene como principal objetivo el ayudar a las AAPP a configurar y controlar el grado de cumplimiento de los criterios de accesibilidad en los portales web.

Este observatorio cumple diversos cometidos, como serían:

• El desarrollo de estudios periódicos sobre el cumplimiento de las diferentes políticas de accesibilidad.
• Poner a disposición de las administraciones evaluaciones online sobre la accesibilidad de los diferentes sitios web que administran.
• Crear y publicar documentación y guías informativas relacionadas con sus funciones y,
• Crear y mantener una comunidad donde se reúnan los principales actores de la accesibilidad y compartan experiencias.

De esta forma, se controla y garantiza que los usuarios tengan siempre disponible la información que la administración genera, siendo una de las principales vías para dar cumplimiento continuado a la ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (LTBG). Pensemos que las AAPP deben de garantizar que la implantación de la Sociedad de la Información y del Conocimiento se desarrolle de forma armónica, garantizando la igualdad de oportunidades de los ciudadanos en el acceso a la información pública y a los nuevos servicios digitales, procurando que ningún colectivo social quede excluido. Esto viene refrendado por el art. 38.5 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), que señala: “La publicación en las sedes electrónicas de informaciones, servicios y transacciones respetará los principios de accesibilidad y uso de acuerdo con las normas establecidas al respecto, estándares abiertos y, en su caso, aquellos otros que sean de uso generalizado por los ciudadanos”.

Tampoco debemos olvidarnos de la ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, de la legislación vigente en materia de protección de datos -a partir del 25 de mayo de 2018 el Reglamento (UE) 2016/679 (RGPD)-, del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica, especialmente en su medida de seguridad [mp.s.2] referida a la protección de servicios y aplicaciones Web y, en determinados casos, el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

El RGPD plantea muchas novedades y exigencias para las Administraciones públicas. Una de ellas, también obligada para las organizaciones pertenecientes al Sector privado, es la necesidad de comunicar a las Autoridades de Control determinadas violaciones de la seguridad de los datos personales, como se dispone en el art. 33 RGPD.

Es importante recalcar que únicamente debe notificarse a la Autoridad de Control si la violación afecta a datos personales, no cualquier violación de seguridad como algunos han llegado a manifestar. De ahí que sea tan importante tener bien inventariados los datos de naturaleza personal que trata la organización. Está claro que, por competencias, las Administraciones públicas tratan cantidades ingentes de datos personales de los ciudadanos en tanto que personas físicas, por lo que están más expuestas a que, caso de producirse una brecha de seguridad, esta afecte a datos de carácter personal y deba de notificarse. Añadiré que no solo debe haberse producido dicha violación de datos personales, sino que además ha de constituir un riesgo para los derechos y libertades de las personas físicas afectadas.

Surge, no obstante, una duda respecto al Sector público. Hasta ahora, con la LOPD actual, los ficheros debían registrarse en la Autoridad de Control central (AEPD) si eran de organizaciones pertenecientes al Sector privado, o en las Autoridades de Control Autonómicas (AVPD y APDCAT) si eran de organizaciones pertenecientes al Sector público y existían tales Agencias en su comunidad.  ¿Se aplicará el mismo criterio respecto a las notificaciones de violaciones de seguridad de datos personales, o deberán notificarse siempre a la AEPD? Téngase en cuenta que el art. 56 RGPD sobre competencia de la autoridad de control principal está pensado para dirimir la competencia entre Autoridades de Control de diferentes Estados miembros y no dentro de un mismo Estado.

En cuanto a los afectados por dichas violaciones, según dispone el art. 34 RGPD, se les deberá también comunicar, sin dilación indebida, la violación de sus datos personales, siempre que ésta entrañe un alto riesgo para sus derechos y libertades. Por desgracia “alto riesgo” es un término jurídico indeterminado que diferentes grupos consultivos y autoridades de control deberán ir clarificando.

El plazo máximo de comunicación está establecido en el artículo 33.1 del RGPD:
“Artículo 33. Notificación de una violación de la seguridad de los datos personales a la autoridad de control
1.En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella…”
El contenido y formato de la notificación a la Autoridad de control, según se determina en el art. 33.3 RGPD, deberá contener como mínimo:
“(…)
describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
describir las posibles consecuencias de la violación de la seguridad de los datos personales;
describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos”.

Caso de tener que notificarla a los afectados, además de a la Autoridad de control correspondiente, el contenido mínimo a comunicarles es el correspondiente a los tres últimos puntos anteriores.

Ésta, junto a muchas de las nuevas obligaciones del RGPD, hacen que cobre importancia la responsabilidad activa (muy conocida en inglés como accountability), por la cual, el responsable del tratamiento, tenga tiene la obligación de establecer medidas de seguridad técnica adecuadas para evitar cualquier tipo de incidencia de seguridad y, si esta llega a producirse, minimizar el riesgo. Además, prever los procedimientos o protocolos de actuación necesarios para evaluar sin dilación las brechas identificadas y cumplir con el deber de notificación a la Autoridad de Control, y a los afectados, de ser necesario por el impacto de la violación de datos personales.

Pese a lo que el ciudadano pueda percibir, el concepto de Administración Electrónica o e-Administración es un concepto mucho más amplio y va mucho más allá de la simple implantación de medidas tecnológicas en los diversos sectores que componen la Administración pública.

La e-Administración, en realidad, es un proyecto que busca no solamente hacer 100% tecnológica y accesible a la Administración pública para el ciudadano, sino que además supone una estrategia a largo plazo donde se busca la mejora de la productividad del funcionario mediante la simplificación de procesos que tradicionalmente han demostrado ser tediosos.

La e-Administración no es, por tanto, la búsqueda del escenario ideal de “oficina sin papel”, sino un nuevo entorno en el que se busca que la relación entre administrador y administrado sea más ágil y directa, con independencia del canal de comunicación empleado.

Para poder hablar de Administración Electrónica, pues, debemos considerar los siguientes aspectos:

• La orientación al servicio. El desarrollo de cualquier proyecto de e-Administración no puede ir desligado de la orientación del mismo a la prestación de servicios a la ciudadanía y, por tanto, se tienen que incluir todos aquellos trámites que comúnmente se requieren, de forma conjunta, para determinado servicio en el formato tradicional. No sería comprensible para el usuario realizar un trámite online de forma parcial, y que la presentación de un cierto documento requerido para completarlo debiera realizarse de forma presencial. Tampoco que, para un mismo servicio público, del conjunto de trámites necesarios algunos pudieran ser online y otros presenciales obligatoriamente.

• Un adecuado backoffice. Pese a que el objetivo de este tipo de proyecto no es el despliegue de tecnología por sí misma, sino el usar esa tecnología para facilitar la relación con el ciudadano, es innegable que, sin un adecuado trasfondo tecnológico, eso no sería posible. Se trata pues de analizar convenientemente las necesidades y requerimientos para que el sistema tecnológico sea el adecuado y no un lastre que frene la innovación.

• Respeto de los derechos. No solamente entendido como los derechos inherentes a cada persona en su relación con la administración, como puede ser la privacidad y protección de sus datos personales, sino los denominados ciberderechos que recogen, entre otros, la capacidad de los usuarios al libre acceso y expresión a través de Internet, con independencia de las tecnologías concretas empleadas por éstos. La e-administración no debe discriminar según el tipo de terminal desde el que interactúe el usuario, preservando la autodeterminación tecnológica del ciudadano.

• La interoperabilidad. La e-Administración debe garantizar a los usuarios que su información será accesible por cualquier estamento de la administración pública (del estado, autonómica, local, etc.), sin tener necesidad de aportar la misma información a estamentos distintos ya que éstos también deben poder interactuar entre sí.

• La disponibilidad. La sociedad en que vivimos demanda a las empresas estar siempre disponibles para cualquier tipo de gestión. No sería comprensible para el usuario un horario de venta limitado para una tienda online. En el caso de la e-Administración, estamos en el mismo escenario. Los usuarios demandan poder interactuar con la Administración en cualquier momento, independientemente del día de la semana que sea y la hora.

• El ahorro de tiempo. El tiempo es un bien escaso para los usuarios y, por tanto, los trámites que se realicen a través de medios electrónicos deben suponer un ahorro de tiempo para estos usuarios. Se deben implantar procedimientos sencillos y ágiles que sean transparentes al usuario y le hagan percibir el ahorro de tiempo.

• La facilidad de acceso. La e-Administración debe estar preparada para acceder a ella a través de múltiples canales: in-situ, a través de un ordenador portátil, una tablet, un smartphone, etc. Cada vez más los usuarios se relacionan entre ellos y con las empresas a través de sus teléfonos móviles, por tanto, no tiene sentido limitar el acceso a ciertos dispositivos o a determinados sistemas operativos.

• Cumplimiento del ENS. Por descontado, cualquier proyecto de e-Administración llevará implícito el cumplimiento del Esquema Nacional de Seguridad a fin de garantizar a los usuarios la seguridad de los servicios públicos y de la información de los ciudadanos gestionada por ellos. La razón de ser del ENS es precisamente asegurar los servicios públicos prestados o que se apoyen en medios electrónicos. Para ello aporta, entre otras muchas ventajas, una gestión de riesgos, la prevención y la recuperación ante desastres y un compromiso de evaluación y mejora continua de los procedimientos y medidas de seguridad implantadas en la organización.

Como hemos podido ver, la implantación de un modelo de e-Administración no es simplemente dotarse de una estructura con recursos técnicos, sino que se requiere asumir el cambio de escenario que representa y saber adecuarse plenamente a esta nueva situación que la ciudadanía demanda.

Las ciberamenazas no son algo que se centra en el sector privado, sino que las Administraciones públicas también están sujetas a estos riesgos.

A modo de ejemplo, el Equipo de Respuesta de Ciberincidentes del Centro Criptológico Nacional (CCN-CERT) gestionó en el año 2016 un total de 20.940 ciberincidentes, detectados principalmente en el sector público y en empresas consideradas de interés estratégico para España, lo que supone un 14,5% más que en 2015. De ellos, el 3,6% fueron considerados por el equipo de expertos del CERT Gubernamental Nacional como muy altos o críticos, en función del grado de peligrosidad determinado por el tipo de amenaza, origen del atacante, perfil del atacado, número o tipología de los sistemas afectados, impacto…

La Administración pública, debido a sus competencias, es gestora de un gran volumen de datos, en muchos casos críticos, y con afectación a toda la ciudadanía dentro de sus competencias. Esa realidad la convierte en el blanco perfecto para ciberdelincuentes organizados, siendo la elaboración y desarrollo de políticas de seguridad bien dimensionadas el escudo ideal para evitar estas amenazas. Para crear una política de seguridad adecuada, es fundamental conocer cuáles son los principales riesgos a los que están sujetas las AAPP. Veamos algunos de ellos:

• PUESTO DE TRABAJO. Las principales fugas de seguridad se podrían evitar si el puesto de trabajo del funcionario, o personal laboral colaborador, estuviera bloqueado al abandonar temporalmente el puesto, estuviese fuera del acceso de terceros sin autorización o si no tuviera a disposición de otros documentos con información sensible como correos, contraseñas, etc.

• DISPOSITIVOS. El departamento de IT de las AAPP tiene que determinar cuáles son los requerimientos en materia de dispositivos móviles que requieren los usuarios y establecer normativa, configuraciones, modelos y bloqueos adecuados. No se debe permitir a los usuarios que puedan instalar aplicaciones que no tengan el visto bueno de los responsables de seguridad.

• USO DE EQUIPOS NO CORPORATIVOS. Cualquier uso y acceso a la información ha de realizarse siempre desde dispositivos controlados y nunca desde equipos públicos o particulares del empleado público. En caso de acceder a correo o información corporativa desde un equipo particular, nunca hay que descargar información.

• FUGAS DE INFORMACIÓN. La información más débil es la que se encuentra en soporte papel. No es conveniente desechar documentación en los contenedores de la vía pública, por lo que lo ideal sería destruirla con algún medio mecánico o suscribir un acuerdo con una organización certificada para la destrucción confidencial de documentos. Hay que confirmar siempre si el receptor de la información que vamos a enviar o trasladar, es el propietario o interesado para la misma. Nunca hay que facilitar información si no podemos confirmar quién la va a recibir. Esto es aplicable a información digital o en papel.

• GESTIÓN DE CREDENCIALES. Las políticas de acceso a la información siempre tienen que venir acompañadas de la validación de las credenciales como usuario y su contraseña. Para determinados sistemas será necesario un doble factor de autenticación basado, por ejemplo, en algo que se sabe (una contraseña) y algo que se tiene (un SMS, un token, un certificado digital, etc.). Las contraseñas deberán actualizarse de forma periódica y nunca estar en lugares visibles donde un tercero no interesado, puede tener acceso, según procedimientos y normativa interna claros, por escrito y dados a conocer.

• PROTECCIÓN DEL PERÍMETRO. El acceso a los servicios vía web, debería limitarse a aquellos que son necesarios para el puesto de trabajo y la labor del empleado público. Firewalls, servidores proxy, filtros de contenido y dispositivos IPS/IDS ayudarán técnicamente a proteger la red interna

• CORREO ELECTRÓNICO. Cualquier correo que se reciba sin que se pueda certificar el origen o a su emisor, debe ser eliminado. Por tanto, cualquier correo sospechoso tiene que ser eliminado para evitar el acceso de virus y otro malware. Se ha de evitar participar en cadenas de correos que puedan tener como fin, recopilar datos de otros usuarios. Antes de enviar información adjunta por correo electrónico fuera del perímetro, se deben eliminar los metadatos que no sean necesarios y cifrarla si corresponde a su clasificación.

• CONTINUIDAD DE LA INFORMACIÓN. Elaborar y seguir una política de backups es fundamental para la seguridad de las AAPP. El departamento de IT debe establecer políticas de salvaguarda de la información que garanticen que toda la información se copie y pueda ser recuperada en un plazo de tiempo suficiente según se ha estudiado previamente en un BIA o análisis de impacto para los diferentes servicios públicos prestados a la ciudadanía. Si la implementación práctica será mediante replicación a una ubicación remota en tiempo real o mediante un backup en cintas diario, es consecuencia del referido BIA aprobado por los responsables de los servicios y la información que estos tratan.

• COMUNICACIONES SEGURAS. Cuando sea necesario enviar información fuera del centro de trabajo, este traslado tendrá que realizarse de forma segura, cifrando la información si viaja en dispositivos extraíbles o asegurando el canal, mediante VPN o https, si lo hace a través de internet.

• SEGURIDAD PERSONAL. La principal garantía para la seguridad de una organización, son sus usuarios. Por tanto, estos tendrán que estar formados y concienciados de modo que estén preparados para detectar cualquier evento que crean que pueda poner en riesgo la seguridad de la información de su departamento o de la AAPP, notificando inmediatamente la incidencia a través de los canales y protocolos establecidos.

A este decálogo podríamos añadir muchas más medidas de protección hasta alcanzar las 75 que determina el Esquema Nacional de Seguridad (ENS), siendo éste un marco normativo obligatorio que persigue asegurar los servicios prestados por las Administraciones públicas y los datos que trata. Para mayor garantía de los ciudadanos, se requiere una certificación acreditada que, una vez obtenida se mostrará en la página Web del organismo que la ha obtenido en forma de sello que enlaza con el certificado acreditativo correspondiente.

Para terminar, únicamente poner de manifiesto que gran parte de los riesgos a los que está sometida una AAPP, se pueden evitar con el conocimiento básico de seguridad alcanzado por los usuarios, y sus buenas prácticas a la hora de llevar a cabo su trabajo diario, apoyados por los mecanismos de seguridad y monitorización de TI. Tan importante es la tecnología de seguridad como el factor humano. En consecuencia, podemos concluir que la seguridad es cosa de todos y, en el caso de la Administración pública, para todos.

A partir del próximo 25 de mayo, el Reglamento General de Protección de Datos de la Unión Europea (RGPD) será de aplicación efectiva, simultáneamente en todos los países de la Unión, tras su entrada en vigor el pasado año 2016.

Como es de suponer las Administraciones Públicas no son ajenas al cambio que va a suponer esta nueva Normativa y en su calidad de Responsables, Corresponsables o Encargados del Tratamiento, se verán obligadas a actualizar sus procedimientos de gestión para adecuarse a lo previsto por el RGPD.

Para todas las organizaciones va a suponer un cambio significativo en la forma en que se gestiona la información de naturaleza personal y no lo va a ser menos para las AAPP. Este impacto se va a ver reflejado especialmente en los siguientes aspectos:

1. Se verán obligadas a identificar claramente y con precisión las finalidades y la base jurídica de los tratamientos de datos que lleven a cabo.

2. Referido al anterior punto, habrá que identificar el interés del tratamiento en el marco del interés público o el ejercicio de los poderes y competencias que les son propias.

3. Será fundamental la revisión del otorgamiento del consentimiento por parte de los ciudadanos a las diferentes AAPP para que éste se adecue correctamente a lo previsto por el RGPD.

4. La información sobre el ejercicio de derechos que las AAPP ofrezcan a los ciudadanos destinatarios de los diferentes servicios públicos, tendrá que ser revisada para que, tal como prevé el RGPD, esta sea “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”. Por tanto, será necesario revisar los clausulados informativos en todas las áreas de trabajo de la Administración.

5. El ejercicio de derechos, tendrá que ser llevado a cabo a través de mecanismos que garanticen estos derechos y sean fácilmente accesibles a los ciudadanos.

6. Las AAPP tendrán que ser muy cuidadosas en la selección de proveedores que vayan a prestar servicios como encargados del tratamiento, o puedan tener acceso a datos personales, pues el RGPD prevé que estos terceros ofrezcan garantías sobre los tratamientos realizados, igual que ya viene ocurriendo ahora.

7. Deberá mantenerse a disposición de las autoridades de control un Registro de las Actividades de Tratamiento, donde se recojan todos los tratamientos relacionados con datos personales, indicándose para cada uno de ellos, qué información personal se gestiona y las medidas de seguridad establecidas. Éste tendrá que estar siempre actualizado.

8. Será necesario realizar una evaluación de impacto en la protección de datos (EIPD) para aquellos tratamientos que entrañen riesgo para los derechos y libertades de los ciudadanos, consistiendo en un análisis de riesgo que focaliza en determinado tratamiento, o conjunto homogéneo de ellos, para prever posibles incidencias y diseñar acciones de tratamiento que mitiguen los riesgos evaluados como inaceptables. Si aun así el resultado de la EIPD no es favorable, se elevará consulta previa a la AEPD antes de arriesgarse a implantar el tratamiento evaluado.
9. En el diseño tanto de nuevos servicios a la ciudadanía, como de trámites administrativos, deberán aplicarse los principios de seguridad desde el diseño y por defecto.

10. Se deberán establecer mecanismo de respuesta rápida ante las incidencias y violaciones de seguridad que puedan afectar a los datos personales. En un máximo de 72 horas, se deberá comunicar cualquier brecha de seguridad a las autoridades de control. Cuando la violación de seguridad entrañe un grave riesgo para los derechos y libertades de los ciudadanos, ésta se comunicará adicionalmente a los interesados.

11. Se establece la obligatoriedad de implantar la figura del Delegado de Protección de Datos, que ejercerá el control de las políticas de seguridad y será el interlocutor entre la autoridad de control y la organización pública, de una parte, y entre ésta y los ciudadanos o afectados por los tratamientos, de otra, informando y gestionando respecto las posibles consultas o incidencias.

12. Como afirma la AEPD en su circular de diciembre de 2017, en el caso de las Administraciones públicas la aplicación de medidas de seguridad estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad (ENS). Asimismo, en el proyecto de nueva LOPD, se señala que el ENS incluirá las medidas que deban implantarse en caso de tratamientos de datos de carácter personal. No obstante, cabe recordar que para cumplir con las disposiciones del RGPD, además de las medidas correspondientes a seguridad, deben incluirse las específicas jurídico-organizativas de protección de datos.

Con este serie de tres artículos pretendemos abordar la problemática específica que se les plantea a las organizaciones pertenecientes al Sector Privado que, de una manera u otra, se encuentran obligadas por las disposiciones del Esquema Nacional de Seguridad (ENS).

Se basa en la experiencia práctica adquirida auditando y certificando la conformidad respecto a las disposiciones del ENS a diferentes organizaciones de esta naturaleza. Me permito apuntar posibles soluciones generalistas ante algunas cuestiones suscitadas durante la Certificación de Conformidad, que siempre deben ser tomadas con las correspondientes cautelas ante el caso particular.

Jamás un artículo de ámbito general debe sustituir a la labor de asesoramiento que realizan consultoras especializadas.

1. Ámbito de aplicación del ENS (sujetos obligados). Fundamentos jurídicos.

Por un lado, el ENS se encuentra legislado mediante el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y modificado posteriormente por el Real Decreto 951/2015, de 23 de octubre. Su ámbito subjetivo de aplicación se determina en el artículo 2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP) que, focalizando en el sector privado señala en su apartado 1 “La presente Ley se aplica al sector público que comprende: (…) d) El sector público institucional”, continuando en el apartado 2 “El sector público institucional se integra por: (…) b) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades administrativas”.

Vemos así que las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas adoptan la condición de sujeto obligado por el ENS, a todos los efectos.

Por otro lado, el capítulo “VII. Soluciones y servicios prestados por el sector privado” de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad [1], dispone que “cuando los operadores del Sector Privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del ENS, deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en esta Instrucción Técnica de Seguridad para las entidades públicas. Será responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el ENS y posean las correspondientes Certificaciones de Conformidad”.

Es un requisito que ya se está viendo materializado en los pliegos de condiciones para los diferentes concursos públicos, con la solicitud de los correspondientes Certificados de Conformidad como condición ineludible de contratación.

Vemos así que los proveedores de las Administraciones Públicas, con incidencia relevante en los servicios prestados por éstas, adoptan también la condición de sujeto obligado por el ENS, a todos los efectos.

2. Doble vía de obligación para organizaciones pertenecientes al Sector Privado.

Hemos deducido, a partir de los fundamentos jurídicos anteriores, que las organizaciones pertenecientes al Sector Privado pueden estar obligadas por el ENS, en igual medida que las pertenecientes al Sector Público, dependiendo de:

• Si son sujetos obligados, al encontrarse vinculadas o dependientes de las Administraciones Públicas.
• Si proporcionan soluciones, o prestan servicios, directamente a algún sujeto obligado por el ENS, ya sea Admiración Pública u organización vinculada o dependiente.

2.1 Operadores pertenecientes al Sector Privado que prestan servicios o proveen soluciones

Hemos visto a partir de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad la obligación inferida a los operadores del Sector Privado que presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del ENS por ser relevantes pasa los servicios públicos ofrecidos a la ciudadanía.

Un caso particular, bastante habitual en la práctica, son las cadenas de subcontratación de proveedores, en la que un proveedor presta servicios a otro que a su vez se encuentra en la situación del último punto anterior. En este escenario, todos los proveedores que forman parte de la cadena deben estar Certificados de Conformidad respecto a las disposiciones del ENS (Para categoría de sistemas MEDIA y ALTA).

Una alternativa, si uno de ellos todavía no está en posesión de la correspondiente certificación de conformidad acreditada, impidiendo de facto la certificación de las demás organizaciones que dependen de ella, consiste en que la entidad de certificación lo audite por cuenta de quién desea certificarse y no puede debido a que su proveedor no lo está. Viene a ser algo así como una auditoría de certificación (tercera parte) con formato de auditoría de proveedor (segunda parte).

Pongamos un ejemplo para aclarar conceptos: Imaginemos un desarrollador de software que trabaja para la Administración mediante su plataforma imaginaria “GESPADM”. Dicha plataforma se entrega en modalidad SaaS de prestación de servicios en la Nube, que se apoya en un tercer proveedor de IaaS. Si el desarrollador de “GESPADM” desea certificarse, pero el proveedor de IaaS no dispone de la certificación de conformidad con el ENS, deberá acordar con ambos -su proveedor de IaaS y la entidad de certificación- que se extienda el alcance de la auditoría también al proveedor de IaaS, aunque éste no opte de momento a la certificación.

Este proceder es común para proveedores en España, pero algo bastante más difícil de materializar para proveedores en otros países del mundo.

2.2 Entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas

Como se detalla en la Guía de Centro Criptológico Nacional “CCN-STIC-830 Ámbito de aplicación del Esquema Nacional de Seguridad” [2] hay que tener especial consideración, por suscitar posibles dudas, con las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas, siendo como son sujetos obligados por el RD 3/2010:

• Las entidades de derecho privado pertenecientes al Sector Público Institucional, como pueden ser RENFE, AENA, INCIBE o TMB, entre muchas otras.
• Las entidades de derecho privado vinculadas o dependientes de las comunidades autónomas, como TVC Multimedia SL, Ciudad de las Artes y las Ciencias SA, Televisión Autonómica de Aragón, Empresa Municipal de Servicios de Tres Cantos SA o Circuito de Jerez SA, entre muchas otras. El ENS les será de aplicación cuando ejerzan potestades administrativas por atribución directa o delegación, de acuerdo a la legislación autonómica aplicable, así como en cuanto a su régimen de patrimonio y en materia de responsabilidad patrimonial ante terceros por el funcionamiento de sus servicios, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por ésta.
• Las entidades de derecho privado vinculadas o dependientes de la Administración de las entidades locales, como pueden ser la Empresa Municipal de Transportes de Madrid SA, Barcelona de Serveis Municipals SA o Centro de Informática Municipal de Bilbao SA, entre muchas otras, en las materias en que les sea de aplicación la normativa presupuestaria, contable, de control financiero, de control de eficacia y contratación, de acuerdo a lo dispuesto por la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, así como en el ejercicio de las funciones públicas que les hayan sido atribuidas estatutariamente, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por esta.
• Las entidades de derecho privado y fundaciones, como son RTVE, Fundación del Teatro Real, Empresa Nacional de Residuos Radiactivos SA, entre otras, en la medida que están sujetas a las normas de la Ley de Régimen Jurídico del Sector Público que específicamente se refieran a las mismas y, en todo caso, cuando ejerzan potestades administrativas.

En próximas semanas abordaremos un próximo artículo de esta serie en el que hablaremos sobre el concepto de servicio y de Sistema.