915 752 750
aec@aec.es
915 752 750
aec@aec.es
¿Por qué Junio? Porque es un mes en el que se concentran en colegios actuaciones de fin de curso, graduaciones, pero también es el fin de temporada para clubes deportivos, escuelas de música, academias…. Y el momento de realizar esas representaciones y actuaciones, en las que podemos ver el progreso de nuestros hijos, disfrutando del ambiente en el que han estado durante el año escolar.
Eventos en los que se toman fotografías y realizan vídeos de niños, y en los que no solo los centros educativos y organizadores han de poner especial atención, sino también nosotros puesto que en ocasiones esas imágenes no son solo de nuestros hijos.
Los responsables de estos eventos, directores y hasta profesores se ponen nerviosos cuando ven a padres, abuelos, familiares, amigos y personas ajenas al colegio, realizando los vídeos y/o fotografías. ¿Por qué? Porque saben que la imagen del menor es un dato personal, indicamos en uno de los artículos del blog, uso de fotografías en RRSS, para cuyo tratamiento han solicitado el consentimiento de los padres o tutores del menor, conforme al RGPD y, en el caso de Colegios siguiendo instrucciones de su DPD, pero los asistentes a estos actos no disponen de ese consentimiento para realizar el tratamiento. Aunque una posible propuesta será prohibir realizar vídeos o fotografías, no es la única opción que tienen los organizadores.
¿Qué pueden hacer en estos casos? Como señala la AEPD en su Guía para centros educativos: “Cuando los centros educativos organicen y celebren eventos (fiestas de Navidad, fin de curso, eventos deportivos) a los que asistan los familiares de los alumnos, constituye una buena práctica informarles, por ejemplo, al solicitarles la autorización para participar o mediante avisos o carteles, de la posibilidad de grabar imágenes exclusivamente para su uso personal y doméstico (actividades privadas, familiares)”
Para ayudar a los colegios a cumplir con la normativa de privacidad algunas entidades educativas (como Generalitat Valenciana) han publicado directrices entre las que se encuentra un Modelo de cartel de aviso para la captación de imágenes por madres, padres o familiares.
Así pues, ¿los padres pueden realizar grabaciones de vídeo y fotografías en estos casos?
Antes de difundir imágenes de menores tendremos que consultar a sus padres o tutores si podemos publicar aquellas en las que aparezcan. Incluso si esos menores son nuestros hijos/as deberíamos evitar como señala la AEPD el ‘sharenting’, compartir en redes sociales y/o Internet de manera indiscriminada fotos, vídeos, actividades y anécdotas de la vida de nuestros hijos menores.
El Equipo Govertis
Una problemática recurrente en el ámbito universitario es la relativa publicación de las notas de los alumnos. Tradicionalmente, las calificaciones se “colgaban” en el tablón de anuncios de la Universidad, y todo aquel que pasara por allí, ya fuera alumno, progenitor “curioso” o ciudadano anónimo, tenía acceso a las mismas.
Traducido a la normativa de protección de datos, esta publicación supone una comunicación de datos de carácter personal, que debe basarse en una causa de licitud, esto es, uno de los motivos que contempla la Ley para que dicho tratamiento de datos sea válido.
Con la antigua LOPD (Ley Orgánica 15/99, de Protección de Datos), la regla general de licitud era el consentimiento del afectado, salvo excepciones, como que una norma con rango de ley contemplara ese tratamiento concreto. Antes de la entrada en vigor de la Ley Orgánica 4/2007, de 12 de abril de Universidades, esa publicación de notas en los tablones era ilegal, salvo que se hubiera recabado previamente el consentimiento de los estudiantes.
La DA 2ª de la citada Ley Orgánica 4/2007 sí contempló la excepción, y amparó la publicación de las calificaciones de los alumnos sin consentimiento del interesado.
Esta situación no ha cambiado con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la nueva Ley Orgánica 3/2018, de Protección de Datos Personales y Garantías de Derechos Digitales (LOPD-GDD), que incluye entre sus bases de legitimación para tratar los datos el interés público basado en una norma con rango de ley, como es este caso.
Pero no basta, de acuerdo con el RGPD y la LOPD-GDD, que la publicación sea lícita (PRINCIPIO DE LICITUD DEL TRATAMIENTO), sino que también debe cumplir con el resto de principios generales de la norma, como el de TRANSPARENCIA, MINIMIZACIÓN DE DATOS o LIMITACIÓN DEL PLAZO DE CONSERVACIÓN, entre otros. Esto implica que la publicación debe hacerse de modo que suponga la menor injerencia en los derechos y libertades de los interesados, lo que excluye la posibilidad de un conocimiento generalizado de las calificaciones, como en el caso de que se publicara, por ejemplo, en Internet. Por todo esto se recomienda:
Informe AEPD 2019-0030
https://www.aepd.es/es/documento/2019-0030.pdf
Orientación para la aplicación provisional de la DA 7ª de la LOPDGDD
https://www.aepd.es/media/docs/orientaciones-da7.pdf
El Equipo Govertis
El uso y compartición de fotografías en las redes sociales es uno de los aspectos que caracterizan dichas comunidades, bien sea para un uso profesional (Linkedin, Xing) o más personal (Facebook, Twitter, Instagram).
Desde el punto de vista jurídico, el hecho de compartir fotografías en redes sociales tiene diversas implicaciones y puede estar sujeto a diferentes normas que regulan desde la propiedad de la fotografía hasta los aspectos relativos a su contenido, con especial atención al contenido cuando en la fotografía aparecen personas físicas.
Respecto a la propiedad de la imagen, hay que tener en cuenta las disposiciones del Real Decreto legislativo 1/1996 por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (en adelante LPI). Esta ley reconoce una serie de derechos morales y de explotación a los autores de las fotografías, diferenciando en caso de que se consideren obras artísticas, literarias o científicas; o meras fotografías.
Para utilizar en RRSS fotografías de terceros, será necesario ser titular de los derechos necesarios para el uso que se quiere realizar (como por ejemplo un uso comercial o publicitario) y en su caso abonar al titular de los derechos la compensación pactada.
En cuando al contenido, además de que los objetos que aparezcan en la fotografía puedan estar protegidos por la LPI, también podrían estar protegidos por otras normas como la Ley 17/2001 de Marcas, o la Ley 20/2003 de Protección del Diseño Industrial.
Si en el contenido de la fotografía aparecen personas físicas, entran en juego dos marcos normativos de gran relevancia:
La imagen está considerada como un dato personal de acuerdo a la definición de dato personal proporcionada por el art 4 del RGPD, y como tal, cualquier tratamiento que se realice de imágenes de personas identificadas o identificables ha de cumplir con los requisitos, obligaciones y principios del RGPD y su tratamiento deberá estar legitimado por una de las bases de legitimación del art 6 del RGPD.
Respecto a la LO 1/1982, hay que tener en cuenta que el art 7 de esta Ley considera una intromisión ilegítima en la intimidad de las personas “la captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos”, salvo en los siguientes casos:
Por lo que, conforme a esta Ley, para poder captar, reproducir o publicar la fotografía de una persona es necesario que dicho uso esté expresamente autorizado por ley, o que el titular de los derechos hubiera consentido expresamente. (art 2.2 Ley 1/1982).
En conclusión, para utilizar una fotografía en redes sociales, hay que ostentar los derechos de propiedad intelectual, y si aparecen personas físicas identificadas o identificables obtener la cesión de su imagen y cumplir con las obligaciones en materia de protección de datos.
El Equipo Govertis
Cuando hablamos de ciberseguridad no podemos evitar pensar en los ciberataques que han sufrido reconocidas empresas. Y nos preguntamos: ¿Podemos combatir los ciberataques? Aunque existen diferentes tipos de ciberataques que podemos sufrir, la mayoría de ellos se componen de 4 etapas. A continuación hablamos de cada una de las etapas y de las estrategias a seguir en cada una de ellas para reducir el impacto.
Los siguientes controles de seguridad, aplicados en cada etapa de un ataque, puede reducir la exposición de su organización a un ciberataque exitoso.
Forme a todos los usuarios, para que evalúen qué tipo de información incluyen en documentos públicamente disponibles y contenido web.
Los usuarios también deben ser conscientes de los riesgos de hablar de asuntos relacionados con el trabajo en las redes sociales. Y el peligro de ser blanco de ataques de Phishing.
Puede bloquear servicios inseguros o innecesarios, o solo habilitar el acceso a sitios web permitidos.
Puede bloquear correos electrónicos maliciosos y evitar que se descargue código malicioso de sitios web.
Puede evitar que los usuarios utilicen contraseñas poco seguras y bloquear las cuentas después de un número bajo de intentos fallidos.
Restrinja las funcionalidades de los sistemas al mínimo necesario para las operaciones de la empresa, aplíquela sistemáticamente a todos los dispositivos que se utilizan en ella.
Aplique los parches lo antes posible para limitar la exposición a las vulnerabilidades de software conocidas.
Supervise y analice toda la actividad de la red para identificar cualquier actividad maliciosa o inusual.
Protección contra código malicioso en el acceso a internet de la empresa.
Elimine el software innecesario y las cuentas de usuarios creadas por defecto. Asegurase de cambiar las contraseñas predeterminadas y desactivar los servicios configurados por defecto.
Un buen mantenimiento del control de acceso de los usuarios, puede restringir a las aplicaciones, los privilegios y los datos que los usuarios puedan acceder.
El entrenamiento del usuario es extremadamente valioso para reducir las probabilidades de producirse un ataque de ingeniería social.
Un correcto control de los dispositivos conectados a la red interna, puede prevenir el acceso no autorizado a servicios críticos o inseguros.
Una vez que un atacante ha logrado su acceso, es mucho más difícil detectar sus acciones y erradicar su presencia.
Aquí es donde puede ayudar un enfoque más profundo y holístico de la seguridad cibernética.
¿Qué medidas tomas para prevenir los ciberataques?
El Equipo Govertis
El 9 de mayo Telefónica celebró su II Encuentro de Privacidad, en el cual se trató un tema de gran relevancia: cómo ha sido la adaptación a lo largo del último año al nuevo reglamento RGPD y posteriormente a la LOPDGDD.
Como no podía ser de otro modo, el Club DPD participó activamente en esta importante cita con la protección de datos.
El encuentro se celebró en el Auditorio Telefónica, y comenzó con un keynote por parte de Pedro Pablo Pérez, CEO de ElevenPaths.
La primera ponencia corrió a cargo de Jesús Rubí, de la Agencia Española de Protección de Datos, institución cuya presencia no podía faltar a esta cita. El ponente abordó una temática de especial relevancia: qué está pasando con la aplicación real del nuevo Reglamento RGPD. Durante la ponencia resaltó la evolución de las reclamaciones tras la entrada en vigor del nuevo Reglamento.
A continuación, Eduard Chaveli, CEO de Govertis y DPD certificado por el CERPER de la AEC, trajo consigo un titular de especial relevancia: Intentando descifrar una ley difícil de pronunciar. Durante su ponencia Eduard se centró especialmente en los principios de la ley, concretamente en el principio de licitud y envió un mensaje claro a la audiencia: “Pon un DPD en tu vida, es una vida extra”.
Alberto González, gestor del Club DPD de la AEC, moderó una interesante mesa redonda en la que 5 DPDs pudieron compartir su experiencia en la adaptación al cumplimiento del nuevo reglamento durante este año de vigor. Tuvimos el placer de contar con:
La mesa redonda nos dejó varios puntos de vista muy interesantes. Por ejemplo, Nuria Calvo compartió la visión del cambio en Thyssen Krupp, y explicó cómo se pasó de una empresa “gris” a una empresa digital exponiendo varios ejemplos de transformación digital en los que estuvieron implicados los datos personales. Por su parte, Elena Terradillos comentó la necesidad de crear una guía en la que se recoja la actividad sindical, además de subrayar la importancia de dar formación y contar con el apoyo de la organización para el correcto cumplimiento del RGPD.
En el caso de Mutua Maz el desafío era grande, al ser una empresa que trata datos sensibles, así lo expuso Marta Martínez. Mientras que por su parte Iñaki González-Pol explicó el cambio de paradigma que ha supuesto el RGPD para la Administración, y destacó el concepto «volatilidad de las certezas jurídicas”.
Tras finalizar la mesa redonda, José Parada y Jorge García de ElevenPaths expusieron la privacidad como punto de partida del análisis integral de seguridad.
Después de una pausa para el café, pudimos disfrutar de las dos últimas ponencias.
La primera de ellas corrió a cargo de Tatiana Espinosa, Directora Global de Relaciones Laborales de Telefónica, quien presentó la nueva filosofía de la compañía: “Desconectar para reconectar”, en la cual destacó la importancia de la desconexión digital para los empleados, y habló sobre las diferentes prácticas que se están llevando a cabo para hacerlo posible en la compañía.
Por último Helena Pons-Charlet, habló de la ciberseguridad y privacidad, pilares de la transformación digital. Helena destacó el crecimiento de los ciberataques y consiguió que la audiencia reflexionara sobre las amenazas que implica para las organizaciones estar expuestas a los mismos.
Elisabet Iglesias, responsable de negocio de consultoría de ciberseguridad de Telefónica en España, fue la encargada de clausurar este interesante encuentro, y lo hizo destacando los aspectos más relevantes que se trataron durante el mismo.
El II Encuentro de Privacidad de Telefónica fue una cita imprescindible para los profesionales en protección de datos. Como no podía ser de otra manera el Club DPD participó de manera activa en el encuentro, y los miembros del Club disfrutaron de un trato exclusivo, al disponer de las dos primeras filas del auditorio. Además de participar de manera activa en encuentros sobre protección de datos, el Club DPD organiza sus propios encuentros y retransmite vía streaming ponencias de gran relevancia. ¿Te gustaría asistir a sus próximos encuentros? ¡Descubre el Club DPD!
A raíz del Nuevo Reglamento Europeo de Protección de Datos (RGPD), la Asociación Española para la Calidad (AEC) creó el pasado mes de noviembre el Club de Delegados de Protección de Datos con el compromiso de ayudar a los profesionales del sector, a las empresas y a las organizaciones a adaptarse al correcto cumplimiento de la nueva ley.
Ahora la AEC ha dado un paso más para impulsar la calidad y ha creado su nueva web, a través de la cual establece un espacio para que más de 1.400 profesionales y marcas de referencia intercambien experiencias. Aunque la AEC trabaja desde 1961 para mejorar la calidad en España, la recientemente renovada plataforma es una clara muestra de que la asociación mantiene sus valores a la vanguardia, transformando la calidad y creando futuro.
La nueva plataforma es más sencilla de usar, intuitiva y multidispositivo. Además incorpora un formato más moderno que facilita la navegación de los socios por las diferentes áreas.
¿Qué ventajas tiene la nueva web AEC para el Club DPD?
Aunque el Club DPD dispone de sus propios espacios digitales, como un site específico, el blog DPD/DPO de contenidos y una Comunidad privada en Linkedin, la nueva web de la AEC también trae consigo 2 claras ventajas para el Club:
El Club DPD es un espacio privado en el que compartir experiencias, conocimientos e inquietudes, no obstante, formar parte del escaparate de la AEC es una manera dar a conocer el Club y conseguir nuevos profesionales que quieran compartir sus experiencias y conocimientos con el resto de miembros.
Además, la nueva web AEC dispone de un espacio de actualidad en el que hablar sobre los últimos eventos acontecidos que hará que los encuentros realizados en el Club cojan fuerza, brillen más y consigan un mayor número de inscritos.
Aunque en el site del Club DPD se ponen a disposición de los usuarios el Programa Avanzado DPD/DPO y el Programa Superior DPD/DPO, la AEC incluye entre sus opciones de formación una gama completa de cursos de Protección de Datos, de gran interés para los miembros del Club DPD, quienes disponen además de una ventaja especial de un 20% de descuento en formación por pertenecer al Club:
Sin duda el lanzamiento de la nueva web supone un impulso para la Calidad, y trae consigo ventajas para quienes forman parte del Club DPD de la AEC. ¿Ya has visitado la nueva web AEC? ¡Descúbrela!
Una de las cuestiones vitales cuando hablamos de proteger datos de carácter personal es la correcta definición de las responsabilidades que deben asumir cada una de las partes autorizadas para su tratamiento, ya que, estar en uno u otro supuesto, generará obligaciones diferentes.
Quizás, de las responsabilidades principales que se definen en el RGPD, la definición del rol del DPD esté perfectamente delimitada y, de hecho, esta figura ha sido objeto de numerosos artículos en donde se han analizado rigurosamente cada una de las características del mismo. No obstante, en la práctica, debido a la gran casuística existente, a legislaciones sectoriales y al gran volumen de flujo de datos, entrante y saliente, de cada Responsable del Tratamiento, en ocasiones, resulta difícil diferenciar cuando estamos ante un acceso a datos, o ante una cesión, siendo complicado atribuir cada rol mencionado.
Por un lado, ya con anterioridad a la entrada de esta nueva legislación europea, esta era una de las cuestiones ampliamente debatidas. Debido a este hecho, en algunos informes de la Agencia Española de Protección de Datos o “AEPD” se pueden encontrar argumentos que nos ayudan a delimitar, en cada caso concreto, esta diferenciación. En este sentido, especialmente ilustrativo es el Informe Jurídico 0290/2008, en donde se configuraba al Encargado como una parte externa que no tiene control sobre los tratamientos, sino que simplemente trata información para finalidades del Responsable. La característica clave sería que el Encargado debería limitarse a cumplir con las instrucciones del Responsable.
No obstante, por otro lado, a parte de la producción jurisprudencial o doctrinal al respecto que se pudiera consultar, también se debe tener en cuenta el Dictamen 1/2010 del Grupo de Trabajo del Artículo 29 sobre conceptos del Responsable del Tratamiento y el Encargado del Tratamiento. En este documento, después de un análisis pormenorizado del concepto, se refuerza la necesidad del tratamiento de datos por cuenta del Responsable como característica principal que debe tener un Encargado, y establece, como principal punto de distinción para determinar la posición de Responsable, el poder de decisión sobre las finalidades para las que se destinan los datos.
En consecuencia, como ha argumentado la AEPD en alguno de sus informes, “para determinar si nos encontramos en presencia de un Encargado del Tratamiento deberá analizarse si su actividad se encuentra limitada a la mera prestación de un servicio al responsable, sin generarse ningún vínculo entre el afectado y el supuesto encargado. Ello sucederá si la empresa externa no puede en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de la prestación de servicios propiamente dicha, sin utilizar los ficheros generados en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero”. No será considerado, por tanto, como un acceso a datos cuando ese vínculo de poder se rompe, y la tercera empresa que trata datos destina, para otras finalidades, los datos obtenidos. De cualquier forma, el propio Grupo de Trabajo del Artículo 29, en sus conclusiones, reconoce que, aun habiéndose esforzado en la explicación de estos conceptos, será preciso atender a las circunstancias del caso concreto para una correcta definición de responsabilidades y que esta asignación de roles o responsabilidades seguirá planteando dificultades en la práctica, lo que, sin duda, podrá justificar un análisis detallado para lograr una solución adecuada.
Si quieres tener controlado en tu día a día toda la documentación y los procesos necesarios para ejercer tu labor como DPD, completa tu formación con el curso «el día a día del DPD«.
El equipo Govertis
Utilizar software sin actualizaciones hace que sean vulnerables a múltiples amenazas. Los ciberdelincuentes lo saben y han puesto foco en estas herramientas.
READ MORE
El Club DPD de la Asociación Española para la Calidad tiene previsto un total de siete encuentros a lo largo del 2019, y ayer se llevó a cabo el segundo de ellos. El Club DPD, que ya cuenta con 200 miembros, se dio cita para tratar algunas de las temáticas de máxima actualidad en lo que a Protección de Datos se refiere. Algunos de los miembros del Club asistieron en persona a este encuentro y al taller práctico posterior, mientras que el resto de miembros pudo seguir el evento vía streaming. Además, aquellas personas interesadas en las temáticas tratadas pero que no pertenecen al Club DPD, tuvieron la ocasión de seguir vía streaming las dos primeras ponencias.
La primera ponencia de la jornada estuvo en manos de Ofelia Tejerina, abogada, Master en Derecho Informático y Doctora en Derecho Constitucional. Además, fue la ganadora del premio Confilegal 2018 en la categoría LegalTech. Ofelia Tejerina abordó el título X de la LOPD-GDD y la libertad de expresión en relación a otros derechos.
Durante su ponencia analizó el artículo 96 de la nueva ley: derecho al testamento digital. También trató aspectos relacionados de gran interés como la desinformación, la libertad de expresión y la libertad de información. Pero Ofelia tejerina puso especial atención en el derecho de rectificación, e hizo varios apuntes de gran relevancia, como el hecho de que «la veracidad no es la verdad absoluta». No te pierdas la ponencia completa:
Leandro Núñez, abogado y socio de Audens fue el encargado de impartir una interesante ponencia, centrada en la elección y supervisión de los encargados del tratamiento. Leandro Núñez habló de la responsabilidad proactiva y la responsabilidad in vigilando, pero lo que conquistó realmente a la audiencia fue su aportación personal sobre lo que debemos buscar a la hora de elegir un tratamiento, una información muy útil para los asistentes al encuentro. Además, a los largo de su ponencia Leandro Núñez habló sobre la labor del DPD. No te pierdas la ponencia completa:
A partir de esta ponencia se elaboró la infografía ¿Cómo elegir un Encargado del Tratamiento? Una guía con 7 claves para ayudarnos en la decisión.
Aunque cualquiera que estuviera interesado en las temáticas tratadas pudo disfrutar de las ponencias de Ofelia Tejerina y Leandro Núñez, solo los miembros del Club DPD pudieron asistir además al taller práctico impartido por Javier Cao, sobre el análisis de riesgos y las evaluaciones de impacto. Javier Cao llevó a cabo una ponencia de lo más completa en la que evaluó los diferentes aspectos a tener en cuenta en un análisis de riesgos. Además, compartió con su audiencia la fuente de los materiales que utiliza para este tipo de análisis, así como para las evaluaciones de impacto.
Este Insight Exclusivo, así como el resto de encuentros, es una iniciativa del Club DPD de la Asociación Española de la Calidad. Este Club está gestionado por Alberto González, quien organiza los espacios y los pone a disposición de los interesados. Además, para la moderación del encuentro contamos con Eduard Chaveli, CEO de Govertis. Los miembros del Club DPD pueden asistir a estos encuentros, pero para ellos la experiencia no termina una vez que finalizan, porque el Club también pone a su disposición el Club DPD Privado, a través de la red social Linkedin, en el que sus miembros pueden plantear dudas e intervenir en los temas de debate.
¿Te gustaría disfrutar de todas las oportunidades que el Club DPD pone a disposición del público? ¡Apúntate al Club DPD! y mantente a la vanguardia en lo referente a Protección de Datos.
Hace un año aproximadamente publicábamos un artículo en el que hacíamos referencia a la Disposición adicional primera del Proyecto de Ley Orgánica de Protección de Datos relativa a las medidas de seguridad en el ámbito del sector público.
Con la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), los responsables de tratamiento enumerados en el art 77 de la mencionada Ley, -esto es, los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos, los órganos jurisdiccionales, la Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local; los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas; las autoridades administrativas independientes; el Banco de España; las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público; las fundaciones del sector público; las Universidades Públicas; los consorcios y los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales-, deberán aplicar a los tratamientos de datos de carácter personal las medidas de seguridad que correspondan de las previstas en el ENS, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.
Por otro lado, en los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, también se verá obligado a aplicar las medidas de seguridad que se corresponderán con las de la Administración pública de origen que en todo caso deberán ajustarse al Esquema Nacional de Seguridad.
En caso de duda sobre el ámbito de aplicación del ENS, resulta de interés consultar la guía 830 del CCN–STIC.
Su objeto principal es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por requisitos mínimos que permitan una protección adecuada de la información. Podemos enumerar los siguientes:
De acuerdo con el ENS, la adopción de medidas de seguridad deberá ser proporcional a la naturaleza de la información, el sistema y los servicios a proteger mediante la determinación de la categoría del sistema, atendiendo a los riesgos a los que están expuestos.
Medidas de seguridad recogidas en el Anexo II
Así, para saber las medidas de seguridad concretas de carácter organizativo, operacional y de protección de entre las 75 recogidas en el Anexo II que deberemos aplicar al sistema en cuestión, resultará necesario determinar previamente la categoría del sistema (básica, media o alta), en función de la valoración del impacto que tendrá un incidente que afectará a la seguridad de la información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, como dimensiones de seguridad, siguiendo el procedimiento establecido para ello en el Anexo I. Las medidas de seguridad a implantar deberán recogerse en la declaración de aplicabilidad o SOA de la organización.
Se puede obtener más información sobre el ENS, así como acceder a las guías técnicas de seguridad en la página web del CCN CERT.
El Equipo Govertis