Nueva ISO/IEC 27701:2019, integración del RGPD

Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), el pasado 25 de mayo de 2018 y su posterior adaptación a la legislación española con la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) el pasado 5 de diciembre de 2018, se incluyó la posibilidad de ayudar a empresas y organizaciones a verificar que cumplen con las leyes y demostrar el principio de responsabilidad proactiva (art. 24 RGPD) a través de estándares o recomendaciones, así como certificaciones.

Articulo 24.3 RGPD

“La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento”.

Por lo que, el RGPD ha incluido esta posibilidad mediante la incorporación del artículo 42 del RGPD  que señala en su apartado 1 que  “1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.

En este sentido, la International Organization for Standardization, conocida como ISO, junto con la International Electrotechnical Commission o EIC, han creado una serie de estándares de seguridad de la información (la familia 27000). Así, en 2005, la norma ISO 27001 se convirtió en una norma internacional de referencia para gestionar y garantizar la seguridad de la información en empresas y organizaciones. Junto a esta, la norma ISO 27002 proporciona una serie de buenas prácticas para la gestión de la seguridad de la información, abogando por preservar la confidencialidad, integridad y disponibilidad de la misma.

En Agosto de 2019 se ha publicado la “ISO/IEC 27701 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines” que establece, implementa, mantiene y mejora continuamente un Sistema de Gestión de Información de Privacidad (PIMS) y orienta a los controladores y procesadores de PII (Personal Identification Information), específicamente a los directores de información de identificación personal (PII). Este estándar especifica los aspectos sobre privacidad para que la organización genere evidencias de un adecuado cumplimiento de las leyes en materia de privacidad. Para aplicarse necesitamos que la organización previamente disponga de un Sistema de Gestión de Seguridad de la Información (la norma ISO/IEC 27001).

Una de las ventajas que ofrece esta nueva certificación radica en que la organización podrá compatibilizar el cumplimiento en materia de seguridad de la información y privacidad, ya que posibilita integrar la normativa en materia de protección de datos del país donde se implemente y reforzar las medidas técnicas y organizativas, aportando una herramienta de mejora continua y un sistema de gestión integrada. Asimismo, permite la gestión de los controles de privacidad, a fin de reducir el riesgo para los derechos de privacidad de las personas.

Estructura Norma ISO 27701

Respecto a la estructura de esta norma ISO 27701 podemos señalar que:

La norma está compuesta de 8 apartados y 6 anexos.

• Cláusula 5: En esta cláusula se establece la correspondencia con los apartados 4 al 10 de la norma ISO 27001, ampliando los requerimientos sobre protección de la información específicamente para el apartado 4 sobre el contexto organizacional y el apartado 6 relativo a la planificación de la gestión de riesgos, no aportando necesidades adicionales en el resto de los apartados.
• Cláusula 6: Este apartado amplía los requerimientos establecidos en la guía de buenas prácticas ISO 27002 y los controles establecidos en el Anexo A de la ISO 27001. Se amplían los requisitos sobre la protección de la información en algunos controles del 5 al 18, con excepción del control 17 (Seguridad de la información en la continuidad del negocio) donde no se establecen medidas adicionales a las ya existentes.
• Cláusula 7: Determina controles adicionales y la guía de implementación de estos para los propietarios de la Información de identificación personal (PII). En total con 4 objetivos de control y 31 controles.
• Cláusula 8: Este apartado establece controles adicionales y una recomendación de implantación para los encargados de tratar información personal de terceros contratados y la subcontratación de los servicios. En total con 4 objetivos de control y 18 controles.

Adicionalmente, se incluyen los Anexos A y B en los que se establecen los controles de privacidad para responsables y procesadores junto con el Anexo A de ISO/IEC 27001 que incluye los controles para seguridad de la información. Además, varios anexos como el Anexo C que hace referencia a los principios recogidos en ISO/IEC 29100; Anexo D al RGPD, Anexo E a la  ISO/IEC 27018; ISO/IEC 29151 y Anexo F con información sobre la ISO 27001 e ISO 27002.

En el Anexo D se presenta un mapeado de las cláusulas y los artículos del RGPD, haciendo referencia a los principios, el cumplimiento con las bases de legitimación, la obligación de transparencia e información, el ejercicio de los derechos ARSOPL, la evaluación de impacto, notificación a la autoridad de control, designación del Delegado de Protección de Datos (DPD) entre otros. Asimismo, como las exigencias de responsabilidad proactiva, materia de seguridad y las transferencias internacionales de datos personales.

En conclusión,  este estándar es una buena herramienta para implementar e integrar los principios del RGPD en un sistema de gestión de seguridad de la información (SGSI), mejorando las relaciones comerciales y reputacionales de la organización en la que se apliquen.

¿Quieres saber más sobre la Nueva Norma ISO 27701:2019? Apúntate aquí al IV Insight del Club DPD en streaming, en el que Borja Romano, dará la conferencia: “Introducción práctica a la ISO 27701:2019 nuevo estándar internacional de protección de datos.”

El equipo Govertis

TRANSPARENCIA Y PROTECCIÓN DE DATOS EN LA CONTRATACIÓN PÚBLICA

Bien es cierto que, en el ámbito de las Administraciones Públicas el cumplimiento de las obligaciones en materia de transparencia ligadas con las disposiciones en materia de protección de datos, han generado, en la mayoría de los casos, sendas dudas en cuanto al modo de proceder para llevar a cabo el correcto cumplimiento de ambos marcos normativos.

En este supuesto concreto, cuando hablamos de las obligaciones en materia de transparencia estamos haciendo referencia a la Publicidad activa. Es decir, la obligación, por parte de las Administraciones públicas y sus entidades e instituciones dependientes, de publicar de manera permanente determinada información pública exigida por la ley en sus portales de transparencia o sitios web, con el fin de garantizar la transparencia de su actividad. En relación con la cuestión anterior, si acudimos a uno de los principios generales de la Publicidad activa encontraremos que se hace mención expresa de los límites establecidos por la normativa de protección de datos: serán de aplicación a la publicidad activa los límites al derecho de acceso a la información pública legalmente y, especialmente, el derivado de la protección de datos de carácter personal. A este respecto, cuando la información contuviera datos especialmente protegidos, la publicidad solo se llevará a cabo previa disociación de los mismos[1].

Ahora bien, ¿dónde podemos establecer esta frontera entre transparencia y protección de datos? Es decir, ¿qué datos podemos publicar respondiendo a la Publicidad activa? y, a sensu contrario, ¿cuáles no de acuerdo con la protección de datos? No ha sido hasta la reciente Ley Orgánica 3/2018 donde en su disposición adicional séptima “Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos”, se ha establecido una respuesta a esta cuestión que ha generado tanta incertidumbre en el ámbito público. A modo resumen, se establecen reglas para la publicación, por un lado, de actos administrativos, y de otro, de anuncios. La regla general es que en ningún caso se publiquen conjuntamente el nombre (y apellidos) y el documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente, de un mismo interesado.

Deber de transparencia y Protección de datos personales en la contratación pública

El cumplimiento del deber de transparencia también es de aplicación a la contratación pública realizada por la Administración, donde encontramos obligación de dar publicidad a un gran número de actuaciones y de documentos relativos a los procedimientos de contratación pública. Los mismos contienen la identificación de personas físicas, tanto por tratarse de licitadoras o de contratistas, como por ejercer la representación de las personas jurídicas que ocupen aquellas mismas posiciones jurídicas, como por tratarse de personal al servicio de los órganos de contratación.

¿Cómo trasladamos las obligaciones de publicidad activa a la contratación pública?

Para dar respuesta a la cuestión planteada debemos acudir al Dictamen CNS 1/2019 de la Autoridad Catalana de Protección de Datos (APDCAT), así como a la NOTA INFORMATIVA 1/2019. Cumplimiento del deber de transparencia y de la normativa de protección de datos personales en la contratación pública de la Secretaría Técnica de la Junta Consultiva de Contratación Administrativa de la Generalitat de Catalunya, donde encontraremos unas pautas para llevar a cabo el correcto cumplimiento del derecho de protección de datos en materia de contratación pública.

A este respecto, son de especial relevancia en la materia las siguientes pautas señaladas por la Junta Consultiva de Contratación Administrativa de la Generalitat de Catalunya a la hora de realizar la adecuada publicación de la documentación relacionada con la contratación pública[2]:

• Los datos identificativos de personas físicas contenidos en los documentos de los expedientes de contratación pública, o en las firmas electrónicas de estos documentos, deben incluir únicamente:
• Personas licitadoras, adjudicatarias o contratistas: el nombre y los apellidos, sin acompañarlo en ningún caso del DNI.
• Personas trabajadoras públicas que intervienen en los procedimientos de contratación pública por razón del cargo o de las funciones: el nombre, los apellidos, el cargo y los datos de contacto (teléfono, correo electrónico y domicilio de la sede social).
• A este efecto, los documentos de los expedientes de contratación pública que deben ser objeto de publicación:
• No tienen que incluir en el texto el dato relativo al DNI de las personas licitadoras, adjudicatarias o contratistas, como tampoco de las personas trabajadoras públicas que intervienen en los procedimientos de contratación pública por razón del cargo o de las funciones.
• No tienen que incluir en las firmas electrónicas el dato relativo al DNI de las personas licitadoras, adjudicatarias o contratistas, como tampoco de las personas trabajadoras públicas que intervienen en los procedimientos de contratación pública por razón del cargo o de las funciones.
• Previamente a la publicación de los datos de las personas trabajadoras públicas que intervienen en los procedimientos de contratación pública por razón del cargo o de las funciones, hay que haberlas informado a fin de que, en su caso, puedan alegar circunstancias singulares que desaconsejaran que se publiquen sus datos.

En síntesis, es necesario tener en cuenta que, en ningún supuesto donde se publiquen datos de carácter personal como consecuencia de las obligaciones en materia de publicidad activa, se podrán publicar conjuntamente el nombre y apellidos de un interesado junto con su número de DNI, NIE o pasaporte, ni siquiera en la firma electrónica de documentación consecuencia de un proceso de contratación pública.

[1] Artículo 5.3 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

[2] NOTA INFORMATIVA 1/2019. Cumplimiento del deber de transparencia y de la normativa de protección de datos personales en la contratación pública de la Secretaría Técnica de la Junta Consultiva de Contratación Administrativa de la Generalitat de Catalunya, del 15 de julio de 2019.

La importancia de la concienciación en la seguridad de la información

Cuando hablamos de seguridad, instintivamente pensamos en herramientas o procedimientos de seguridad, pero en realidad, la seguridad depende de un factor común a cualquier entidad pública o privada: los empleados.

De su actitud y acciones depende en gran medida el éxito o fracaso de implantar seguridad, ya que éstos son los que gestionan nuestro principal activo: la información (entre la cual se encuentra, por supuesto, los datos de carácter personal).

Por eso, es importante y debe ser recurrente, invertir en la formación y concienciación a los empleados, a fin de desarrollar una cultura de seguridad en la entidad.

Sin pretender ser una lista exhaustiva, debemos insistir en los siguientes aspectos:

• Política de escritorios limpios: mantener la mesa “limpia” de papeles que contengan información sensible.
• Bloqueo del puesto de trabajo.
• Prohibición de instalar software no autorizado.
• No manejar información corporativa en equipos públicos.
• No facilitar información sensible sin verificar quien es el receptor de la misma.
• Destruir físicamente cualquier soporte (papel o digital) que contenga información sensible, no tirarlo a la papelera.
• Atención a las conversaciones que mantener en lugares públicos. Algunas conversaciones se deben mantener a puerta cerrada.
• No apuntar las contraseñas y no compartirlas con terceros.
• Utilizar contraseñas robustas y cambiarlas frecuentemente.
• No abrir correos electrónicos sospechosos.
• Evitar entrar en páginas web no confiables.
• Cerrar despachos, armarios y cajoneras cuando éstos contengan información.
• Evitar extraer información de las instalaciones y en caso de necesitarlo, solicitar la autorización oportuna.
• Cifrar los soportes de almacenamiento externo cuyo objetivo sea contener información.
• Realizar frecuentemente copias de seguridad, o en su defecto, almacenar toda la información en los servidores, para que éstos la realicen.
• Mantener actualizado el antivirus y el sistema operativo.
• No conectar dispositivos no autorizados a la red de la entidad.
• Prestar atención a la normativa y procedimientos de seguridad descritos en la organización.
• Notificar cualquier evento sospechoso relacionado con la seguridad a la mayor brevedad posible.
• En caso de dudas, consultar con el personal de la organización con competencias en seguridad.

Esta concienciación, puede realizarse de diferentes maneras: presencial, online, remisión periódica de boletines, trípticos en zonas comunes… cualquier método es correcto si se consigue que la información llegue al empleado.

Un recurso muy útil en esta materia es el kit de concienciación del Instituto Nacional de Ciberseguridad (INCIBE).

Si quieres saber más sobre la seguridad de la información en el curso «Sistemas de Gestión de la Seguridad de la Información y el cumplimiento del RGPD» conocerás La mejor herramienta para la gestión de riesgos tecnológicos y la protección de los datos personales.

El equipo Govertis

Andalucía asume las competencias en materia de protección de datos personales

Al igual que Cataluña y País Vasco y en su día Madrid (actualmente no cuenta con autoridad de control), Andalucía asume desde el 1 de octubre las competencias en materia de protección de datos.

La plena asunción de esta competencia se ha alargado en el tiempo. La Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía asignó competencias al Consejo de Transparencia y Protección de Datos de Andalucía, pero la plena asunción de las competencias en materia de protección de datos quedó diferida en virtud de la Disposición transitoria tercera del Decreto 434/2015, de 29 de septiembre, por el que se aprueban los Estatutos del Consejo de Transparencia y Protección de Datos de Andalucía.

Posteriormente el Acuerdo de 11 de septiembre de 2018, del Consejo de Gobierno, por el que se determina la asunción de las funciones en materia de protección de datos por el Consejo de la Transparencia y Protección de Datos de Andalucía en su disposición final primera, dio competencia a la persona titular de la Consejería competente en materia de transparencia para dictar las disposiciones y realizar cuantas actuaciones sean necesarias en desarrollo y ejecución de lo dispuesto en el mencionado Acuerdo y, en particular, para dictar la Orden que establezca el inicio del ejercicio de las funciones en materia de protección de datos de carácter personal por el Consejo de Transparencia y Protección de Datos de Andalucía. Esta previsión normativa ha quedado materializada en la Orden de 1 de agosto de 2019, por la que se determina el inicio del ejercicio de las funciones en materia de protección de datos de carácter personal por el Consejo de la Transparencia y Protección de Datos de Andalucía, que establece el 1 de octubre de 2019 cono fecha de inicio de las funciones de protección de datos por parte del Consejo de Transparencia y Protección de Datos de Andalucía.

Al igual que otras autoridades autonómicas, su regulación se encuentra regulada en los artículos 57 y siguientes de la LOPDGDD, quedando su ámbito competencial limitado a los tratamientos de datos personales realizados en el territorio de la comunidad autónoma por parte del sector público:

1. Las autoridades autonómicas de protección de datos personales podrán ejercer, las funciones y potestades establecidas en los artículos 57 y 58 del Reglamento (UE) 2016/679, de acuerdo con la normativa autonómica, cuando se refieran a:
2. a) Tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.
3. b) Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración Autonómica o Local.
4. c) Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonomía.
5. Las autoridades autonómicas de protección de datos podrán dictar, en relación con los tratamientos sometidos a su competencia, circulares con el alcance y los efectos establecidos para la Agencia Española de Protección de Datos en el artículo 55 de esta ley orgánica.

En virtud de esta previsión, los Delegados de Protección de Datos (DPO) de las entidades indicadas anteriormente deberán ser comunicados al Consejo de Transparencia y Protección de Datos (está todavía por ver si para los DPO ya notificados a la Agencia Española de Protección de Datos es necesario volverlos a inscribir en el Registro autonómico o entre ambas autoridades de control van a comunicarse datos) y los ciudadanos podrán presentar cualquier reclamación ante el Consejo de Transparencia y Protección de Datos si el responsable o encargado de tratamiento se encuentran comprendidos dentro de alguna de las entidades mencionadas en el art 57 que acabamos de mencionar.

Finalmente será necesario para estas entidades actualizar la información del art 13 y 14 del RGPD en lo que respecta derecho a presentar una reclamación ante una autoridad de control, puesto que en estos casos la autoridad competente será la andaluza y no la española.

LA IMPORTANCIA DE LA PROTECCIÓN DE DATOS EN LAS RELACIONES LABORALES

Tras la vuelta de las merecidas vacaciones, nos hemos encontrado con varias noticias relacionadas con la protección de datos de carácter personal y el entorno laboral.

Por un lado, la de la nulidad de un despido, que se argumentaba sobre la base de la negación de un trabajador a firmar una normativa de tratamiento de datos personales. Por otro, la sanción de la Agencia Española de Protección de Datos a una empresa por utilizar, para sancionar a un trabajador, imágenes grabadas por otro empleado.

Como es bien sabido, la relación que se produce entre empleadores y empleados comporta un relevante tratamiento de datos, tanto en lo que se refiere a su cantidad como a su sensibilidad. Esto, unido a la conflictividad a la que siempre están expuestas las relaciones laborales, genera una ingente casuística de situaciones que en muchos casos acaban siendo objeto de resoluciones administrativas o judiciales.

Por ello, es muy importante tener en cuenta en la adecuación de una organización a la normativa de protección de datos, todos los procedimientos, políticas y medidas de seguridad relativas al área de personal, ya que está en juego no solo la privacidad de los propios trabajadores, sino también la de todos los clientes, proveedores, contactos, etc. de dicha organización. Y es que, en materia de seguridad, las personas siempre somos el eslabón más débil.

Medidas para la Protección de Datos en Relaciones Laborales

Entre las medidas más importantes a considerar, podemos enumerar las siguientes:

• Principio de transparencia: el trabajador debe conocer el tratamiento que la organización va a hacer de sus datos personales.
• Principio de licitud: la relación contractual que se establece entre empleador y empleado legitima el tratamiento de los datos del trabajador que sea necesario para el desarrollo de la misma. Para finalidades adicionales, como puede ser el uso de su imagen para promocionar la actividad de la empresa, sería necesario el consentimiento.
• Principio de minimización de datos: los empleados solo deberán tener acceso a la información que sea necesaria para el desempeño de sus funciones.
• Deber de secreto: el trabador debe asumir un compromiso de confidencialidad, respecto de la información a la que tenga acceso.
• Principio de seguridad: los empleados deben conocer y cumplir las principales normas de seguridad la organización en cuanto al tratamiento de la información en general, y los datos personales en particular. Es importante detallar las normas de uso de las herramientas informáticas, y clarificar el control que se va a realizar sobre ellas.
• Videovigilancia: en el caso de que se vayan a utilizar los sistemas de videovigilancia para el control laboral, deberá informarse específicamente de este punto al empleado.

EL AUMENTO DEL SECTOR DE LA CIBERSEGURIDAD: CAUSAS Y CONSECUENCIAS

El sector de la ciberseguridad se encuentra en una fase de alto crecimiento y el incremento de su actividad en el mercado global reside, en gran medida, al aumento del uso y la dependencia respecto de las TIC, y consecuentemente, los riesgos inherentes que existen por el uso de éstas. Otro factor que ha determinado el crecimiento del sector es el aumento global de los ciberataques que sufren diariamente compañías de toda índole y las pérdidas económicas como consecuencia de estos incidentes.

En 2018 se batió el récord mundial de ciberataques, superando la cifra de 10.500 millones de incidentes en todo el planeta. El coste promedio anual de brechas de seguridad para una empresa de gran tamaño ha aumentado en los últimos cinco años superando los once millones de dólares e incrementándose desde el año base en un 62%, tal y como se muestra en la siguiente tabla:

Gráfico 1. Coste promedio anual provocado por ciberataques en el mundo. Fuente: elaboración propia a través de datos obtenidos en Accenture (2017)

El sector se halla en un proceso de transformación en el que el desarrollo de la tecnología provoca la necesidad de aplicar herramientas y políticas de seguridad. Este auge se ve representado en el gasto económico en soluciones de ciberseguridad a nivel mundial en los últimos tres años, por los motivos anteriormente mencionados. Prueba fehaciente de la necesidad de las empresas es el gasto mostrado en la siguiente tabla, dividido por segmento de mercado.

El sector se halla en un proceso de transformación en el que el desarrollo de la tecnología provoca la necesidad de aplicar herramientas y políticas de seguridad. Este auge se ve representado en el gasto económico en soluciones de ciberseguridad a nivel mundial en los últimos tres años. Prueba fehaciente de la necesidad de las empresas es el gasto mostrado en la siguiente tabla, dividido por segmento de mercado.

Tabla 1. Gasto en ciberseguridad a nivel mundial por segmento 2017-2019 (datos en millones de dólares). Fuente: Elaboración propia a partir de los datos de España y la Ciberseguridad: hora de remangarse, Revista SIC (2018).

Se trata por tanto de un sector con previsiones favorables en los próximos años materializándose en un crecimiento constante y estable debido al incremento global de ciberataques y las pérdidas económicas que provocan.

¿Necesitas conocer la mejor herramienta para la gestión de riesgos tecnológicos y la protección de los datos personales? En el «curso Sistemas de Gestión de la Seguridad de la Información (ENS e ISO 27001) y el cumplimiento del RGPD» aprenderás todo lo que necesitas.

III Insight del Club DPD: Anonimización, Redes Sociales y ENS

El Club DPD realizó el 18 de julio un nuevo encuentro sobre RGPD y LOPDGDD. En esta ocasión se trataron en abierto dos temáticas de máxima relevancia en el sector: la Anonimización de Datos y la Protección de Datos en Redes Sociales. Además, los miembros del Club DPD disfrutaron también de un taller práctico sobre la implantación del ENS y el RGPD de forma integrada.

Anonimización de datos: aclarando conceptos

La primera de las ponencias corrió a cargo de Francisco González-Calero, Lead Advisor en Govertis Advisory Services y profesor en distintos programas formativos y Másters. Francisco, explicó la diferencia entre la anonimización y seudonimización, destacando que no se trata de sinónimos. Además, explicó cuándo es adecuada la seudonimización y cuándo lo es la anonimización, así como el proceso de esta última. A continuación puedes ver la ponencia completa:

Protección de Datos y Redes Sociales: aspectos prácticos de actualidad

Samuel Parra, jurista experto en Protección de Datos, comenzó su ponencia definiendo el concepto de red social, el cual posteriormente relacionó con los datos personales. Samuel respondió a varias preguntas concernientes a la protección de datos en redes sociales:

• ¿Podemos compartir imágenes sin consentimiento de las personas que aparecen en ellas?
• ¿Sería posible acogernos a la excepción doméstica a la hora de compartir contenidos en redes sociales?
• El titular de perfil en Twitter relativo a una persona física, ¿realiza un tratamiento de datos sometido al RGPD?
• El titular de este perfil de Twitter, ¿podría publicar mensajes de contenido publicitario?
• ¿Puede el empresario, en el marco de un proceso de selección, revisar las redes sociales abiertas de un candidato?
• Administro una Fan Page de Facebook, ¿soy responsable del tratamiento?

Puedes ver la ponencia completa a continuación:

Cómo implantar el ENS y el RGPD de forma integrada

Para finalizar la jornada, David Barrientos, GRC Advisor en Govertis Advisory Services, impartió un taller práctico, exclusivo para los miembros del Club DPD. El taller comenzó con una visión general del cumplimiento integrado del ENS y RGPD. A continuación presentó el plan de proyecto, marcando las fases y actividades que lo componen, así como el rol que juega cada uno de los actores y sus responsabilidades. David hizo especial hincapié en la “fase do”, la “fase check” y la “fase act”.

El Club DPD de la AEC

Este Insight fue el III que ha llevado al Club DPD creado por la Asociación Española para la Calidad. Aunque el encuentro completo se encuentra reservado para los miembros del Club, las dos primeras ponencias se retransmitieron públicamente vía streaming.

¿Te gustaría disfrutar del resto de encuentros del Club DPD completos? ¡Apúntate al Club DPD!

Reglamento Europeo de Ciberseguridad

El pasado 7 de junio fue publicado el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad»).

Propósitos fundamentales del Reglamento Europeo de Ciberseguridad

Este nuevo marco europeo tiene dos propósitos fundamentales.

• Por un lado, establece los objetivos, tareas y aspectos organizativos de ENISA (la Agencia Europea en materia de Ciberseguridad)
• Por otro lado, da soporte al marco para la creación de esquemas europeos de certificación de la ciberseguridad, con el objetivo de garantizar un adecuado nivel de ciberseguridad en los productos, servicios y procesos TIC en la UE.

Impacto del Reglamento Europeo de Ciberseguridad

Este nuevo Reglamento entró en vigor el 27 de junio de 2019 y aunque con menor repercusión mediática que el famoso Reglamento General de Protección de Datos (RGPD), puede tener un impacto muy relevante en el sector tecnológico. Basta leer los considerandos del Reglamento para ver su alcance y cómo supone una apuesta estratégica de la Unión Europea por la ciberseguridad como pilar fundamental para asegurar la resiliencia en la sociedad del siglo XXI.

Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y los ciberataques, requieren unas defensas más sólidas. En el momento en el que las organizaciones se ven inmersas en la transformación digital y se inician los proyectos de despliegue del Internet de las cosas, (IoT o Internet of things), es preciso adoptar todas las medidas necesarias para mejorar la ciberseguridad en la Unión a fin de proteger mejor de las ciberamenazas a las redes y los sistemas de información, las redes de telecomunicaciones y los productos, los servicios y dispositivos digitales utilizados por los ciudadanos, las organizaciones y las empresas, desde las pequeñas y medianas empresas (pymes).

¿Qué determina el Reglamento Europeo de Ciberseguridad?

El Reglamento determina el nuevo papel que debe asumir ENISA y que lo confiere como el actor que va a ser el punto de referencia y conocimiento especializado en la UE.

Las tareas asignadas a ENISA incluyen:

• Contribuir a la elaboración y ejecución de la política y del derecho de la Unión;
• Asistir a la creación de capacidades de ciberseguridad;
• Apoyar la cooperación entre los Estados miembros, las instituciones, órganos y organismos de la Unión y entre las partes interesadas (CERT-UE, red de CSIRT, ejercicios de ciberseguridad, informes sobre la situación de ciberseguridad, respuesta cooperativa);
• Mercado, certificación de la ciberseguridad y normalización;
• Conocimiento e información;
• Sensibilización y educación;
• Investigación e innovación;
• Cooperación internacional.

Otros elementos del Reglamento Europeo de Ciberseguridad

El otro gran elemento que este Reglamento aborda tiene por objetivo la construcción de un entorno que permita acreditar la confianza de productos, servicios y procesos de TIC en materia de ciberseguridad. Para ello, se pretende crear un marco europeo de certificación de la ciberseguridad que persigue un planteamiento armonizado de esquemas europeos de certificación de la ciberseguridad en la UE. Este marco europeo de certificación de la ciberseguridad define un mecanismo para establecer esquemas europeos de certificación de la ciberseguridad, y para confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, dichos productos, servicios y procesos durante todo su ciclo de vida.

La evaluación certificada de la conformidad es el procedimiento por el que se evalúa si se han cumplido los requisitos especificados en relación con un proceso, producto o servicio de TIC. Para llevar a cabo este procedimiento es necesario un tercero independiente, que no sea el fabricante del producto ni el proveedor del producto, servicio o proceso de TIC que está siendo evaluado.

Un certificado europeo de ciberseguridad debe considerarse una confirmación de que la evaluación se ha llevado a cabo de forma apropiada. La evaluación de la conformidad y la certificación no pueden garantizar por sí mismas la ciberseguridad de los productos, servicios y procesos de TIC certificados. Se trata más bien de un procedimiento y una metodología técnica que garantizan que los productos, servicios y procesos de TIC han sido sometidos a ensayo y cumplen determinados requisitos de ciberseguridad establecidos en otro lugar, por ejemplo en las normas técnicas.

Reglamento Europeo de Ciberseguridad y RGPD

Como puede intuirse, este Reglamento Europeo de Ciberseguridad supone un complemento al Reglamento Europeo de Protección de Datos y aclara uno de los aspectos clave que en ambos textos normativos se pretende garantizar: la seguridad por diseño y por defecto. Como vemos, Europa se decanta por el marco de la certificación con dos propuestas claras que deben servir para acreditar la confianza.

• La certificación RGPD (como desarrollo del artículo 42) que permitirá a las Organizaciones acreditar el conjunto de requisitos organizativos, jurídicos y técnicos para poder demostrar un cumplimiento diligente del RGPD.
• La certificación en Ciberseguridad (planteada por este Reglamento) que permitirá demostrar las garantías que ofrecen los productos, servicios y procesos TIC de fabricantes y organizaciones.

Inicialmente ambos entornos de certificación se plantean como un valor diferenciador que permite a las organizaciones una diferenciación de excelencia, pero quizás en el futuro, algunos sectores determinen la obligatoriedad de algunos de estos requisitos vinculado a la criticidad del sector en el que operan. Podemos pensar en el sector salud o la gestión de entornos críticos según los criterios establecidos por la Directiva NIS. Se inicia así el camino necesario para evitar situaciones de gran peligro debido a la altísima dependencia que vamos otorgando a las TIC en la gestión de la sociedad del siglo XXI.

Referencias:

Reglamento Europeo de Ciberseguridad.

• https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32019R0881&from=EN

Agencia Europea de Ciberseguridad (ENISA).

https://www.enisa.europa.eu/

Fuente de la imagen: https://www.enisa.europa.eu/news/enisa-news/the-eu-cybersecurity-act-a-new-era-dawns-on-enisa/@@images/28cf0992-dfa4-40d2-8c9b-d18dd20227e3.png

MEDIDAS DE CONTROL Y VIGILANCIA POR PARTE DE LA ENTIDAD LOCAL

Respecto de si tiene o no potestad de control y vigilancia el empresario o empleador en el ámbito privado, es un tema muy trillado del que se ha hablado en numerosas ocasiones. ¿Pero qué pasa en el ámbito público, concretamente en las entidades locales?

Titularidad de los medios tecnológicos

En primer lugar, partimos de la afirmación, que la titularidad de los medios tecnológicos (correo electrónico, equipos de sobremesa, etc..) es titularidad de la Administración Local siempre y cuando, dichos soportes se hayan puesto a disposición del empleado con la finalidad de desempeño de las funciones encomendadas a este. Son muchos los pronunciamientos de la Agencia Española de Protección de Datos al respecto, resaltamos entre ellos, el Informe 0464/2013.

Legitimación en la adopción de las medidas de control

Asentado lo anterior, debemos analizar la base de legitimación para poder llevar a cabo la adopción de medidas de control por parte de la Entidad local.

En el ámbito público, en primer lugar, debemos diferenciar:

1. Personal laboral: ya sea, fijo por tiempo indefinido o temporal
2. Funcionarios de carrera o interinos.

Por lo que se debe diferenciar la normativa aplicable a ambos supuestos:

1. Para el personal laboral, le sería de aplicación el artículo 20.3 del Estatuto de Trabajadores.

En cuanto a los funcionarios de carrera, dicho control estaría legitimado, en primer lugar atendiendo al  artículo 54 de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público (EBEP), que establece como principio de conducta de los empleados públicos, entre otros, el deber de no utilizar los recursos y bienes públicos en provecho propio, por lo que, los Ayuntamientos, y otros entes públicos, podrían realizar actuaciones de control del ordenador de sus trabajadores con el fin de verificar el cumplimiento de este deber.

En segundo lugar, la Administración como Responsable de Tratamiento, tal y como indica el artículo 32.1 RGPD debe, por un lado, implementar medidas de seguridad en el tratamiento;

<< Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (…)>>

Y por otro, medidas de seguridad de forma integral, tal y como recoge el artículo 5 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica: así como el artículo 41.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. 

Es por ello, que una de las medidas de seguridad que está obligado a adoptar el Responsable, son aquellas medidas de control concretas, para poder preservar la seguridad de los sistemas de información. 

A mayor abundamiento, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales recoge en el artículo 87 el Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral:

“2. El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos (…)

En este punto, la Agencia Catalana de Protección de Datos ya puntualizó, en su Dictamen 49/2009, que el Ayuntamiento, en su condición de “empresario”, también podía ejercer un control cuando tuviera como finalidad verificar el cumplimiento por parte de los trabajadores de sus obligaciones laborales, y lo hace en base al artículo 54 de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público (EBEP), anteriormente referenciado.

Juicio de proporcionalidad, idoneidad y necesidad de las medidas de control

Finalmente, pero no menos importante, el Tribunal Constitucional (TC) considera que el ejercicio de cualquier derecho fundamental consagrado en nuestra Constitución no es de carácter absoluto, sino que se debe contraponer con el ejercicio de otros derechos o bienes jurídicos protegidos, siendo la función de los órganos jurisdiccionales y, en concreto del TC, preservar el equilibrio necesario ante una posible colisión de intereses contrapuestos.

Es por ello, que para que una actividad de control sea conforme a la legislación se respeten los principios de Necesidad, Legitimidad, Proporcionalidad y Seguridad.

Transparencia vs. Protección de Datos para la Publicidad de las Subvenciones y Ayudas Públicas

A los efectos de aplicar el tamiz de la protección de datos personales en la publicidad de las subvenciones y ayudas públicas destinadas a personas físicas, nos encontramos con una serie de disposiciones recogidas de forma dispersa en diferente legislación estatal y, en su caso, autonómica.

Por un lado, nos encontramos con las disposiciones del Real Decreto 130/2019, de 8 de marzo, por el que se regula la Base de Datos Nacional de Subvenciones (BDNS) y la publicidad de las subvenciones y demás ayudas públicas (artículo 7.5), así como la Ley 38/2003, de 17 de noviembre, General de Subvenciones (artículos 18 y 20).

Por otro lado, con la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (artículo 15) y, en su caso, la legislación al respecto que hubiera en la Comunidad Autónoma.

Y, por último, entra en esta conjugación la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (Disposición Adicional Séptima).

Ante el galimatías normativo en lo que respecta a la protección de datos para la publicidad de subvenciones y ayudas públicas, entendemos oportuno aunar los criterios, con los cuales realizar la pertinente publicidad de la subvención o ayuda pública:

No se publicarán las subvenciones o ayudas públicas concedidas a personas físicas cuando:

• Se trate de datos de categoría especial (artículo 9 RGPD) o datos de condenas e infracciones penales (10 RGPD).
• La persona física se encuentre en una situación de protección especial que pueda verse agravada con la cesión o publicación de sus datos personales, en particular, cuando sea víctima de violencia de género o de otras formas de violencia contra la mujer. Así como, cuando son “otorgadas por motivos de vulnerabilidad social” según reza, por ejemplo, la legislación catalana (artículo 15 de la Ley 19/2014, de 29 de diciembre).

No tratándose de datos de categoría especial, atenderemos a:

• Un ejercicio de ponderación, atendiendo a los criterios del artículo 15.3 de la citada Ley 19/2013 y, en su caso, los definidos por la legislación autonómica en transparencia.
• En todo caso, los datos que se publicarían del beneficiario serían Nombre y Apellidos, más cuatro números aleatorios del DNI/Pasaporte/NIE o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse. A estos efectos, véase la “Orientación para la aplicación provisional de la Disposición Adicional Séptima de la LOPD-GDD”

Esta pauta, también podría aplicarse a subvención o ayuda pública que tenga como destinatario, a persona física, en condición de profesional (autónomo o liberal) o empresario individual (comerciante, industrial o naviero).