El Esquema Nacional de Seguridad como mecanismo de certificación del reglamento europeo de protección de datos

Por: Carlos GALÁN CORDERO
Diario La Ley, Nº 5, Sección Ciberderecho, 17 de Marzo de 2017, Editorial Wolters Kluwer

Resumen
El objetivo de este trabajo es presentar y justificar —desde los puntos de vista jurídico y técnico— el Esquema Nacional de Seguridad, regulado por Real Decreto 3/2010, de 8 enero, como un mecanismo idóneo para satisfacer las recomendaciones de certificación recogidas en el RGPD.

 

I. INTRODUCCIÓN

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento General de Protección de Datos o RGPD, en adelante) será de plena aplicación el 25 de mayo de 2018, y con ello surgirán nuevos deberes y obligaciones que los responsables y encargados de tratamiento de protección de datos de las entidades obligadas, tanto públicas como privadas, deberán satisfacer. Una nueva norma jurídica que, lejos de prescribir soluciones finalistas, pone el acento en la problemática jurídica de fondo —la privacidad y sus riegos— y, como respuesta a tal problemática, en el ejercicio responsable de sus obligados.

La exhibición pública de la conformidad con lo dispuesto en el RGPD alienta la conveniencia de utilizar Mecanismos de Certificación y Distintivos de Conformidad que, por este motivo, se erigen en elementos de la mayor importancia.

El objetivo de este trabajo es presentar y justificar —desde los puntos de vista jurídico y técnico— el Esquema Nacional de Seguridad [ENS, en adelante, regulado por Real Decreto 3/2010, de 8 enero (LA LEY 630/2010) (1) ] como un mecanismo idóneo para satisfacer las recomendaciones de certificación recogidas en el RGPD.

 

II. LA «RESPONSABILIDAD ACTIVA» EN EL RGPD

El RGPD dibuja un elemento esencial: la que puede denominarse como «responsabilidad activa»; esto es, la obligación de las organizaciones de anticiparse a los ciberincidentes —accidentales o deliberados— que razonablemente pudieran ocurrir, haciendo uso de una metodología que conduzca a la adopción de un conjunto de medidas adecuadas que aseguren —también, razonablemente— que están en condiciones de cumplir con los principios, derechos y garantías que el RGPD establece.

Tal conjunto de medidas pueden dividirse en medidas tecnológicas y medidas no-tecnológicas, comprendiéndose entre estas últimas las medidas políticas, jurídicas, organizativas y formativas, entre otras, que poseen, cuando menos, la misma importancia que las medidas tecnológicas.

El RGPD otorga tal responsabilidad activa al Responsable y al Encargado del tratamiento (este último en caso de que el Responsable le haya conferido la gestión del tratamiento de datos de carácter personal). Estas dos figuras ya aparecían en la Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), de Protección de Datos de Carácter Personal.

Fig. 1 Medidas de seguridad y ciclo de vida de un ciberincidente

Como muestra la Figura 1, las medidas de seguridad que finalmente se adopten deben estar dirigidas a tratar cada una de las tres fases de desarrollo de un ciberincidente: la prevención (antes), la detección (durante) y la respuesta (después).

El concepto «Seguridad de la Información» ha evolucionado significativamente en los últimos años, desde una concepción meramente reactiva (en el que se aplican las medidas de seguridad que se consideran oportunas, en un momento dado), hasta llegar a un modelo basado en la mejora continua, que exige revisiones constantes [como el utilizado en al ciclo PDCA, Plan-Do-Check-Act (2) ].

El elemento central de esta nueva metodología lo constituye el Análisis de Riesgos («Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos», según dispone el RD 3/2010 (LA LEY 630/2010)). De un correcto análisis de riesgos se desprenderá el conjunto de medidas (tecnológicas y no tecnológicas) que deben aplicarse al sistema de información de que se trate, atendiendo a los activos a proteger, sus vulnerabilidades, las amenazas a las que están expuestos, la probabilidad de que tales amenazas se materialicen y, finalmente, el impacto que tendrían tales materializaciones.

Esto es lo que parece indicar el artículo 32.1 del RGPD, cuando señala:

«Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) «La seudonimización y el cifrado de datos personales».»

Es decir, tratar los datos personales de manera tal que ya no puedan atribuirse a un sujeto sin utilizar información adicional, siempre que esa información adicional figure por separado.

b) «La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.»

Que enuncian las denominadas «dimensiones de la seguridad», de un Sistema de Información esto es: la confidencialidad («propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados»); la integridad («propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada»); la disponibilidad [«propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren» (3) ] y la resiliencia (entendida como la capacidad de un sistema de información de sobreponerse a un ciberincidente) (4) .

«La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.»

Hace referencia a la capacidad de un organismo para acceder a la información necesaria, aún cuando ese sistema de información haya sido víctima de algún tipo de ciberincidente.

c) «Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.»

Que hace necesario establecer un procedimiento para la evaluación permanente de las medidas de seguridad que se hubieren adoptado.

De la misma manera, el artículo 32.2 deja claro que, a la hora de evaluar la seguridad del sistema de información, se pondrá especial atención a los riesgos a los que puede verse sometido, como, por ejemplo, la destrucción, pérdida o deterioro de la información, o la comunicación no autorizada, situaciones todas ellas ligadas a las antedichas dimensiones de la seguridad.

Incidiendo en el concepto de «responsabilidad activa» al que hemos aludido en los artículos 32.1 y 32.2, el RGPD contempla una serie de exigencias adicionales, a saber:

  • Protección de Datos desde el diseño, lo que significa que el proceso de desarrollo de software debe contemplar la seguridad de la información tratada.
  • Protección de Datos por defecto, consiste en aplicar todas las medidas necesarias para garantizar que la información almacenada en el sistema no es puesta en peligro, intentando reducir al máximo la superficie de ataque.
  • Medidas de Seguridad, lo que significa adoptar las medidas de seguridad que sean necesarias en relación con los riesgos razonables a los que el sistema de información está expuesto.
  • Mantenimiento de un Registro de Tratamientos, consiste en saber a cada momento quien puede hacer qué y mantener actualizado de forma permanente ese registro.
  • Evaluaciones de Impacto sobre la protección de datos, lo que implica la realización de análisis periódicos en relación con las consecuencias que tendrían los ciberincidentes.
  • Nombramiento de Delegado de Protección de Datos, una nueva figura, entre cuyas obligaciones destaca la de cooperar con las «autoridades de control» (la AEPD, en España), informar y asesorar a los Responsables y Encargados del tratamiento de sus obligaciones, supervisar el cumplimiento de la legislación de referencia y de la política corporativa.
  • Notificación de violaciones de la seguridad de los datos, en virtud de la cual cada organismo deberá notificar todos aquellos incidentes en los que se haya podido ver afectada la información de carácter personal que trate.
  • Promoción de Códigos de Conducta y Esquemas de Certificación, posibilitando que las organizaciones utilicen tales herramientas como garantía de conformidad con lo dispuesto en el RGPD.

A estas últimas herramientas, los Mecanismos de Certificación, dedicamos los siguientes epígrafes.

 

III. LOS MECANISMOS DE CERTIFICACIÓN EN EL RGPD

La conveniencia de disponer de mecanismos de certificación en relación con las obligaciones emanadas del RGPD queda especialmente clara en la redacción del Considerando 100, que señala:

«A fin de aumentar la transparencia y el cumplimiento del presente Reglamento, debe fomentarse el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes.»

No es este el único fragmento del texto europeo que alienta la adopción de tales mecanismos de certificación. Así, el art. 24.3 del RGPD señala que «La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento».

Para obtener una evaluación satisfactoria (Certificación) conforme a un mecanismo de evaluación y certificación concreto, será necesario realizar un previo análisis de riesgos y, en base a los resultados obtenidos, aplicar una serie de medidas tendentes a eliminar o mitigar los riesgos. Obviamente, dicha Certificación tendrá que ser expedida por una entidad que, contando con la capacidad técnica y jurídica suficientes, sea independiente e imparcial respecto de la entidad certificada.

Aunque, en la actualidad, existe un buen número de normas y procedimientos, nacionales e internacionales, conforme a los cuales podrían expedirse certificaciones (calidad, medio ambiente, sistemas de gestión, etc.), entendemos que la aplicación del Esquema Nacional de Seguridad a tales propósitos representa una alternativa eficaz y contrastada para construir un mecanismo de certificación del RGPD.

Esta posibilidad de adoptar modelos existentes queda claramente de manifiesto en la potestad que se autootorga la UE —en el Considerando 77— para publicar directrices de aplicación de las medidas oportunas y para demostrar el cumplimiento por parte de los obligados, especialmente con respecto a la identificación del riesgo relacionado con el tratamiento, a su evaluación en términos de origen, naturaleza, probabilidad y gravedad y a la identificación de buenas prácticas para mitigar el riesgo, que revistan, en particular, la forma de códigos de conducta aprobados, certificaciones aprobadas, directrices dadas por el Comité o indicaciones proporcionadas por un delegado de protección de datos.

Esta primacía del derecho de la UE queda de nuevo de manifiesto en el Considerando 166, que señala, explícitamente, la necesidad de delegar en la Comisión el poder de adoptar actos de conformidad con el artículo 290 del TFUE (LA LEY 6/1957), particularmente, en lo relativo a los criterios y requisitos para los mecanismos de certificación, la información que debe presentarse mediante iconos normalizados y los procedimientos para proporcionar dichos iconos.

La necesidad de contar con sellos o distintivos normalizados que exhiban erga omnes la conformidad con un mecanismo de certificación concreto se recoge también en el RGPD, cuyo artículo 42.1 señala: «Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar…».

Pese a su incuestionable conveniencia, observamos cierta timidez en el legislador europeo que relega la Certificación a una facultad voluntaria de las organizaciones obligadas al RGPD, a diferencia de otras normas europeas que

prescriben la utilización y exhibición de determinados Sellos o Distintivos (5) . Esa timidez es provocada por no incidir en la obligatoriedad de los preceptos dichos en el Reglamento.

Obviamente, como señala el art. 42.4, la obtención de una determinada Certificación no limita la responsabilidad del responsable o encargado del tratamiento en cuanto al cumplimiento del RGPD.

Si, como hemos dicho, el repertorio de dimensiones de la seguridad de la información es DisponibilidadIntegridad, y Confidencialidad (a las que el modelo español MAGERIT añade Autenticidad y Trazabilidad), cuando hablamos de Protección de Datos, no todas estas dimensiones resultan igualmente afectadas. En este caso, la seguridad se concentra en la dimensión Confidencialidad y, en menor medida, en la dimensión Integridad. Es, por tanto, al aseguramiento de estas dos dimensiones, al que deben dirigirse los mecanismos de certificación que se puedan utilizar en el marco de lo dispuesto en el RGPD.

Desde 2010, el ordenamiento jurídico español aplicable al Sector Público incluye al Esquema Nacional de Seguridad (ENS), un modelo para la protección de la información tratada y los servicios prestados, que constituye, en sí mismo, un mecanismo de certificación de sistemas de información dirigido a preservar todas las dimensiones de la seguridad antedichas, incluyendo, por supuesto, la Confidencialidad y la Integridad.

 

IV. EL ENS

Como es sabido, el ENS es un instrumento legal regulado por el Real Decreto 3/2010, que desarrolla lo previsto sobre seguridad de la información en el artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LA LEY 15011/2015) (en adelante, LRJSP (LA LEY 15011/2015)), que señala: «El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada. Será aplicado por las Administraciones públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias».

El ENS, que ha sido resultado de un esfuerzo conjunto de todas las administraciones públicas, a través de sus órganos colegiados de cooperación, y cuya gestión se ha encomendado al Ministerio de Hacienda y Función Pública y al Centro Criptológico Nacional (CCN), entidad esta última adscrita al Centro Nacional de Inteligencia, del Ministerio de la Presidencia, estando constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información tratada y los servicios prestados, en base a la adopción de medidas de seguridad (tecnológicas y no-tecnológicas) alineadas con la categoría (de seguridad) determinada por el sistema de información de que se trate.

Entre los objetivos que persigue el ENS se encuentran los siguientes:

  • 1) Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permita a los actores concernidos, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • 2) Promover la gestión continuada de la seguridad, al margen de impulsos puntuales, o de su ausencia.
  • 3) Promover la prevención, la detección y la respuesta de un organismo ante cualquier tipo de ciberamenaza que pueda tener.
  • 4) Promover un tratamiento homogéneo de la seguridad que facilite y ayude en la cooperación en la prestación de servicios de la administración electrónica cuando participen diversas entidades.
  • 5) Proporcionar un lenguaje y elementos comunes para guiar la actuación de los actores involucrados en materia de seguridad de las tecnologías de la información. Para facilitar la interacción y la cooperación y para facilitar la comunicación de los requisitos de seguridad de la información a la industria.
  • 6) Ser un ejemplo de buenas prácticas en la materia.

La aplicación del ENS se concreta en la adopción de una serie de medidas de seguridad, divididas en los siguientes tres tipos:

  • 1) Marco Organizativo: Constituido por un conjunto de medidas relacionadas con la organización global de la seguridad, incluyéndose la política de seguridad, la normativa de seguridad, los procedimientos de seguridad y el proceso de autorización.
  • 2) Marco Operacional: Constituido por las medidas dirigidas a proteger la operación del sistema como conjunto integral de componentes para un fin, incluyéndose la planificación, el control de acceso, la explotación, los servicios externos, la continuidad del servicio y la monitorización del sistema.
  • 3) Medidas de Protección: Que se centrarán en proteger activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad, incluyendo las instalaciones e infraestructuras, la gestión del personal, la protección de los equipos, la protección de las comunicaciones, la protección de los soportes de información, la protección de las aplicaciones informáticas, la protección de la información y la protección de los servicios.

Para afirmar que un sistema de información concreto es conforme a lo dispuesto en el ENS es necesario contemplar las siguientes etapas, todas ellas recogidas en el articulado que se menciona:

  • 1) Elaborar y aprobar la Política de Seguridad (art. 11).
  • 2) Definir roles y asignar personas a las responsabilidades señaladas en el ENS, entre ellos, al Responsable de Seguridad (art. 10).
  • 3) Categorizar los sistemas de información (Básica, Media o Alta, art. 27).
  • 4) Analizar los riesgos y mantener dicho análisis actualizado (art. 27).
  • 5) Seleccionar las medidas y elaborar la Declaración de Aplicabilidad, implantando tales medidas (Anexo II).
  • 6) Auditar la seguridad (art. 34).
  • 7) Publicar la Conformidad (art. 41).
  • 8) Informar del Estado de la Seguridad (art. 35).

Finalmente, atendiendo a lo dispuesto en la Instrucción Técnica de Seguridad de Conformidad con el ENS (6) , las Entidades de Certificación del ENS, encargadas de auditar y, en su caso, expedir dichas Certificaciones, deben a su vez haber sido acreditadas por la Entidad Nacional de Acreditación (ENAC) (7) , según señala la antedicha norma.

 

V. EL ENS COMO MECANISMO DE CERTIFICACIÓN DEL RGPD

Como hemos dicho, el ENS se ha mostrado, desde su aplicación, la herramienta más eficaz para proporcionar a las entidades del Sector Público las debidas garantías en relación con la seguridad de la información tratada y los servicios prestados.

Como hemos visto, el art. 32.1.b) del RGPD, menciona explícitamente las dimensiones de seguridad que han de aplicar el Responsable y Encargado de tratamiento (Disponibilidad, Autenticidad, Trazabilidad, Confidencialidad e Integridad), todas ellas están comprendidas en las garantías tratadas por el ENS, este esquema de seguridad se erige en un mecanismo de certificación especialmente idóneo, también para atender las exigencias en materia de Protección de Datos. La idoneidad del ENS como Mecanismo de Certificación es predicable, además, de la obligación que impone a sus destinatarios de realizar la lista de acciones que hemos señalado en el epígrafe anterior y, muy especialmente, y por la parte que ahora interesa:

  • • Clasificar los sistemas de información en tres categorías distintas: Básica, Media y Alta, en función de la valoración del impacto que tendría un incidente que afectara a la seguridad de la información o los servicios, con perjuicio para la confidencialidad e integridad, como dimensiones de seguridad concernidas en este caso, según dispone el Anexo I del ENS.
  • • Analizar los riesgos y mantener dicho análisis actualizado: aplicando las medidas de seguridad indicadas en el Anexo II del ENS, y teniendo en cuenta los activos que constituyen el sistema, la categoría del sistema y las decisiones que se adopten para gestionar los riesgos identificados.
  • • Auditar la seguridad: exigiendo que los sistemas de información de su ámbito de aplicación sean objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS.
  • • Publicar la Conformidad: haciendo exigible que las entidades de su ámbito de aplicación den publicidad (en las correspondientes sedes electrónicas o páginas web, por ejemplo) a las Declaraciones o Certificaciones de Conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad, como Mecanismo de Certificación del RGPD.

Respecto de los dos últimos puntos, hay que tener en cuenta que los Organismos de Evaluación del RGPD (Entidades de Certificación, en terminología del ENS) encargados de auditar los sistemas afectados son a su vez evaluados y acreditados por la Entidad Nacional de Acreditación (ENAC). El Art 42.5 del RGPD refleja también complementa este principio: «La certificación en virtud del presente artículo será expedida por los organismos de certificación a que se refiere el artículo 43 o por la autoridad de control competente…», estando en cualquier caso sometidos al control de la autoridad competente (AEPD, en España), a la que el RGPD otorga las siguientes funciones: Elaborar y publicar los criterios de acreditación de las Entidades de Certificación (art. 57.1.p), en su caso, acreditar a tales entidades (arts. 43.1.a y 57.1.q), aprobar los criterios de certificación (art. 57.1.n), expedir (art. 42.5) y, revisar periódicamente los certificados expedidos (art. 57.1.o), todo ello dentro de sus funciones esenciales de promoción y fomento de los mecanismos de certificación, recogidas en los artículos 42.1 y 57.1.n, respectivamente, del RGPD.

La Figura 2 muestra un esquema de los actores concernidos en el proceso citado.

Fig. 2. Actores involucrados en el Proceso de Certificación

Finalmente, el artículo 70.1.o) prevé que el Comité Europeo de Protección de Datos llevará un registro de todos los mecanismos de certificación y sellos y marcas de protección de datos y estarán por los medios apropiados a disposición pública.

 

VI. CONCLUSIONES

Aunque el RGPD es una norma de amplio calado, que comporta una serie de ventajas evidentes (armonización y unidad de criterio en cuanto a la aplicación y garantía de los derechos de los ciudadanos europeos, reduciendo la burocracia), observamos que, al mismo tiempo, no entra a regular de manera concreta las medidas exigibles a los obligados a su cumplimiento (responsables y encargados del tratamiento, esencialmente), haciendo depender tales medidas de una serie de acciones previas (análisis de riesgos, categorización de las medidas de seguridad a adoptar, etc.) que conforman lo que hemos denominado «responsabilidad activa».

Hemos estudiado que una buena manera de completar las exigencias derivadas de la antedicha «responsabilidad activa» es utilizar modelos contrastados, como el Esquema Nacional de Seguridad, al que consideramos un buen Mecanismo de Certificación de los previstos RGPD. El espíritu y la letra del RGPD fomentan el uso de este tipo de soluciones, que la eficacia y el sentido común asimismo alientan.

No es necesario ensayar nuevos procedimientos cuando, en España y gracias a un esfuerzo colectivo, disponemos de unas herramientas completas, adecuadas y eficientes.

 

(1)
El ENS, cuya primera referencia la encontramos en la derogada Ley 11/2007, de 22 de Junio (LA LEY 6870/2007), se mantiene en la actualidad en el art. 156 de la vigente Ley 40/2015 de 1 de Octubre (LA LEY 15011/2015) de Régimen Jurídico del Sector Público.
Ver Texto
(2)
El modelo Plan-Do-Check-Act (o ciclo de Deming) es una estrategia de mejora continua de la calidad en estos cuatro pasos, utilizado frecuentemente por los sistemas de gestión de la calidad y seguridad de la información.
Ver Texto
(3)
Conceptos definidos Anexo IV del RD 3/2010 (LA LEY 630/2010).
Ver Texto
(4)
Concepto introducido en nuestro ordenamiento con la Estrategia de Ciberseguridad Nacional de 2013).
Ver Texto
(5)
Así, por ejemplo, la utilización de los Sellos de Prestador Cualificado de Servicios de Confianza, a tenor de lo dispuesto en el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (LA LEY 10272/1999).
Ver Texto
(6)
Regulada por Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Conformidad con el Esquema Nacional de Seguridad.
Ver Texto
(7)
ENAC es la entidad designada por el Gobierno, para operar en España como el único Organismo Nacional de Acreditación, en aplicación del Reglamento (CE) n.o 765/2008 (LA LEY 10380/2008).
Ver Texto