El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el Proyecto de Real Decreto que regula el Esquema Nacional de Seguridad (ENS). Este esquema tiene como objetivo establecer principios, criterios y medidas para garantizar la seguridad en la utilización de medios electrónicos en el ámbito de la administración pública, conforme a la Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos.
El informe destaca la interrelación entre el ENS y la normativa vigente en materia de protección de datos de carácter personal, especialmente la Ley Orgánica 15/1999 y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007. La AEPD subraya que, aunque el ENS se aplica a cualquier tipo de información administrativa, la mayoría de estas informaciones contendrán datos de carácter personal, lo que hace necesario que las medidas de seguridad del ENS sean concurrentes y no excluyentes de las establecidas en la normativa de protección de datos.
El informe detalla varios aspectos críticos:
1. **Concurrencia de Normativas**: Existen áreas en las que las medidas de seguridad del ENS deben complementarse con las del Reglamento de desarrollo de la Ley Orgánica 15/1999. Por ejemplo, en ficheros que contengan datos sensibles como los manejados por la Administración Tributaria o en el ejercicio de la potestad sancionadora, se deben aplicar medidas de seguridad de nivel medio o alto, independientemente de las exigencias del ENS.
2. **Diferencias Técnicas**: En algunos casos, las medidas del ENS y del Reglamento no coinciden plenamente. Por ejemplo, el registro de actividad de los usuarios en el ENS no es exactamente igual al registro de accesos exigido por el Reglamento. En estos casos, las Administraciones Públicas deben cumplir con los requisitos más estrictos.
3. **Documentación y Auditorías**: Las medidas del ENS, como la política de seguridad y las auditorías, deben integrarse con las exigencias del Reglamento. Por ejemplo, la auditoría bianual del ENS puede incluir las medidas de auditoría de seguridad del Reglamento.
4. **Terceros y Contratación**: Cuando terceros accedan a datos de carácter personal, deben cumplir con la normativa de protección de datos, incluyendo las medidas de seguridad y las disposiciones específicas de la Ley de Contratos del Sector Público.
5. **Productos de Seguridad**: Los productos de software utilizados para el tratamiento de datos personales deben incluir información sobre el nivel de seguridad que permiten alcanzar, conforme al Reglamento.
6. **Ficheros No Automatizados**: Las medidas de seguridad del Reglamento también se aplican a ficheros no automatizados que contengan datos personales, independientemente de las medidas del ENS.
El informe concluye proponiendo la inclusión de un nuevo artículo en el Proyecto de Real Decreto para aclarar la aplicación concurrente de las normas de seguridad del ENS y del Reglamento de desarrollo de la Ley Orgánica 15/1999. Este artículo debería especificar que, además de las medidas del ENS, las Administraciones Públicas deben implantar las medidas de seguridad correspondientes al nivel básico, medio o alto exigido por el Reglamento, y que en caso de medidas similares, deben cumplirse los requisitos más estrictos.
Además, se propone una modificación del Reglamento de desarrollo de la Ley Orgánica 15/1999 para extender la excepción de medidas de seguridad de nivel básico a ficheros automatizados que contengan datos especialmente protegidos de forma incidental o accesoria. Esto se debe a la evolución del marco legislativo y el principio de acceso electrónico a los servicios públicos, que permite la presentación de escritos con datos sensibles no relacionados con la finalidad del registro.
En resumen, el informe subraya la necesidad de armonizar las medidas de seguridad del ENS con las exigencias de la normativa de protección de datos, proporcionando claridad y seguridad jurídica a las Administraciones Públicas en la implementación de estas medidas.