Por: Carlos GALÁN CORDERO
Diario La Ley, Nº 5, Sección Ciberderecho, 17 de Marzo de 2017, Editorial Wolters Kluwer
Resumen
El objetivo de este trabajo es presentar y justificar —desde los puntos de vista jurídico y técnico— el Esquema Nacional de Seguridad, regulado por Real Decreto 3/2010, de 8 enero, como un mecanismo idóneo para satisfacer las recomendaciones de certificación recogidas en el RGPD.
I. INTRODUCCIÓN
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento General de Protección de Datos o RGPD, en adelante) será de plena aplicación el 25 de mayo de 2018, y con ello surgirán nuevos deberes y obligaciones que los responsables y encargados de tratamiento de protección de datos de las entidades obligadas, tanto públicas como privadas, deberán satisfacer. Una nueva norma jurídica que, lejos de prescribir soluciones finalistas, pone el acento en la problemática jurídica de fondo —la privacidad y sus riegos— y, como respuesta a tal problemática, en el ejercicio responsable de sus obligados.
La exhibición pública de la conformidad con lo dispuesto en el RGPD alienta la conveniencia de utilizar Mecanismos de Certificación y Distintivos de Conformidad que, por este motivo, se erigen en elementos de la mayor importancia.
El objetivo de este trabajo es presentar y justificar —desde los puntos de vista jurídico y técnico— el Esquema Nacional de Seguridad [ENS, en adelante, regulado por Real Decreto 3/2010, de 8 enero (LA LEY 630/2010) (1) ] como un mecanismo idóneo para satisfacer las recomendaciones de certificación recogidas en el RGPD.
II. LA «RESPONSABILIDAD ACTIVA» EN EL RGPD
El RGPD dibuja un elemento esencial: la que puede denominarse como «responsabilidad activa»; esto es, la obligación de las organizaciones de anticiparse a los ciberincidentes —accidentales o deliberados— que razonablemente pudieran ocurrir, haciendo uso de una metodología que conduzca a la adopción de un conjunto de medidas adecuadas que aseguren —también, razonablemente— que están en condiciones de cumplir con los principios, derechos y garantías que el RGPD establece.
Tal conjunto de medidas pueden dividirse en medidas tecnológicas y medidas no-tecnológicas, comprendiéndose entre estas últimas las medidas políticas, jurídicas, organizativas y formativas, entre otras, que poseen, cuando menos, la misma importancia que las medidas tecnológicas.
El RGPD otorga tal responsabilidad activa al Responsable y al Encargado del tratamiento (este último en caso de que el Responsable le haya conferido la gestión del tratamiento de datos de carácter personal). Estas dos figuras ya aparecían en la Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), de Protección de Datos de Carácter Personal.
Fig. 1 Medidas de seguridad y ciclo de vida de un ciberincidente
Como muestra la Figura 1, las medidas de seguridad que finalmente se adopten deben estar dirigidas a tratar cada una de las tres fases de desarrollo de un ciberincidente: la prevención (antes), la detección (durante) y la respuesta (después).
El concepto «Seguridad de la Información» ha evolucionado significativamente en los últimos años, desde una concepción meramente reactiva (en el que se aplican las medidas de seguridad que se consideran oportunas, en un momento dado), hasta llegar a un modelo basado en la mejora continua, que exige revisiones constantes [como el utilizado en al ciclo PDCA, Plan-Do-Check-Act (2) ].
El elemento central de esta nueva metodología lo constituye el Análisis de Riesgos («Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos», según dispone el RD 3/2010 (LA LEY 630/2010)). De un correcto análisis de riesgos se desprenderá el conjunto de medidas (tecnológicas y no tecnológicas) que deben aplicarse al sistema de información de que se trate, atendiendo a los activos a proteger, sus vulnerabilidades, las amenazas a las que están expuestos, la probabilidad de que tales amenazas se materialicen y, finalmente, el impacto que tendrían tales materializaciones.
Esto es lo que parece indicar el artículo 32.1 del RGPD, cuando señala:
«Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) «La seudonimización y el cifrado de datos personales».»
Es decir, tratar los datos personales de manera tal que ya no puedan atribuirse a un sujeto sin utilizar información adicional, siempre que esa información adicional figure por separado.
b) «La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.»
Que enuncian las denominadas «dimensiones de la seguridad», de un Sistema de Información esto es: la confidencialidad («
«La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.»
Hace referencia a la capacidad de un organismo para acceder a la información necesaria, aún cuando ese sistema de información haya sido víctima de algún tipo de ciberincidente.
c) «Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.»
Que hace necesario establecer un procedimiento para la evaluación permanente de las medidas de seguridad que se hubieren adoptado.
De la misma manera, el artículo 32.2 deja claro que, a la hora de evaluar la seguridad del sistema de información, se pondrá especial atención a los riesgos a los que puede verse sometido, como, por ejemplo, la destrucción, pérdida o deterioro de la información, o la comunicación no autorizada, situaciones todas ellas ligadas a las antedichas dimensiones de la seguridad.
Incidiendo en el concepto de «responsabilidad activa» al que hemos aludido en los artículos 32.1 y 32.2, el RGPD contempla una serie de exigencias adicionales, a saber:
A estas últimas herramientas, los Mecanismos de Certificación, dedicamos los siguientes epígrafes.
III. LOS MECANISMOS DE CERTIFICACIÓN EN EL RGPD
La conveniencia de disponer de mecanismos de certificación en relación con las obligaciones emanadas del RGPD queda especialmente clara en la redacción del Considerando 100, que señala:
«A fin de aumentar la transparencia y el cumplimiento del presente Reglamento, debe fomentarse el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes.»
No es este el único fragmento del texto europeo que alienta la adopción de tales mecanismos de certificación. Así, el art. 24.3 del RGPD señala que «La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento».
Para obtener una evaluación satisfactoria (Certificación) conforme a un mecanismo de evaluación y certificación concreto, será necesario realizar un previo análisis de riesgos y, en base a los resultados obtenidos, aplicar una serie de medidas tendentes a eliminar o mitigar los riesgos. Obviamente, dicha Certificación tendrá que ser expedida por una entidad que, contando con la capacidad técnica y jurídica suficientes, sea independiente e imparcial respecto de la entidad certificada.
Aunque, en la actualidad, existe un buen número de normas y procedimientos, nacionales e internacionales, conforme a los cuales podrían expedirse certificaciones (calidad, medio ambiente, sistemas de gestión, etc.), entendemos que la aplicación del Esquema Nacional de Seguridad a tales propósitos representa una alternativa eficaz y contrastada para construir un mecanismo de certificación del RGPD.
Esta posibilidad de adoptar modelos existentes queda claramente de manifiesto en la potestad que se autootorga la UE —en el Considerando 77— para publicar directrices de aplicación de las medidas oportunas y para demostrar el cumplimiento por parte de los obligados, especialmente con respecto a la identificación del riesgo relacionado con el tratamiento, a su evaluación en términos de origen, naturaleza, probabilidad y gravedad y a la identificación de buenas prácticas para mitigar el riesgo, que revistan, en particular, la forma de códigos de conducta aprobados, certificaciones aprobadas, directrices dadas por el Comité o indicaciones proporcionadas por un delegado de protección de datos.
Esta primacía del derecho de la UE queda de nuevo de manifiesto en el Considerando 166, que señala, explícitamente, la necesidad de delegar en la Comisión el poder de adoptar actos de conformidad con el artículo 290 del TFUE (LA LEY 6/1957), particularmente, en lo relativo a los criterios y requisitos para los mecanismos de certificación, la información que debe presentarse mediante iconos normalizados y los procedimientos para proporcionar dichos iconos.
La necesidad de contar con sellos o distintivos normalizados que exhiban erga omnes la conformidad con un mecanismo de certificación concreto se recoge también en el RGPD, cuyo artículo 42.1 señala: «Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar…».
Pese a su incuestionable conveniencia, observamos cierta timidez en el legislador europeo que relega la Certificación a una facultad voluntaria de las organizaciones obligadas al RGPD, a diferencia de otras normas europeas que
prescriben la utilización y exhibición de determinados Sellos o Distintivos (5) . Esa timidez es provocada por no incidir en la obligatoriedad de los preceptos dichos en el Reglamento.
Obviamente, como señala el art. 42.4, la obtención de una determinada Certificación no limita la responsabilidad del responsable o encargado del tratamiento en cuanto al cumplimiento del RGPD.
Si, como hemos dicho, el repertorio de dimensiones de la seguridad de la información es Disponibilidad, Integridad, y Confidencialidad (a las que el modelo español MAGERIT añade Autenticidad y Trazabili
Desde 2010, el ordenamiento jurídico español aplicable al Sector Público incluye al Esquema Nacional de Seguridad (ENS), un modelo para la protección de la información tratada y los servicios prestados, que constituye, en sí mismo, un mecanismo de certificación de sistemas de información dirigido a preservar todas las dimensiones de la seguridad antedichas, incluyendo, por supuesto, la Confidencialidad y la Integridad.
IV. EL ENS
Como es sabido, el ENS es un instrumento legal regulado por el Real Decreto 3/2010, que desarrolla lo previsto sobre seguridad de la información en el artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LA LEY 15011/2015) (en adelante, LRJSP (LA LEY 15011/2015)), que señala: «El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada. Será aplicado por las Administraciones públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias».
El ENS, que ha sido resultado de un esfuerzo conjunto de todas las administraciones públicas, a través de sus órganos colegiados de cooperación, y cuya gestión se ha encomendado al Ministerio de Hacienda y Función Pública y al Centro Criptológico Nacional (CCN), entidad esta última adscrita al Centro Nacional de Inteligencia, del Ministerio de la Presidencia, estando constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información tratada y los servicios prestados, en base a la adopción de medidas de seguridad (tecnológicas y no-tecnológicas) alineadas con la categoría (de seguridad) determinada por el sistema de información de que se trate.
Entre los objetivos que persigue el ENS se encuentran los siguientes:
La aplicación del ENS se concreta en la adopción de una serie de medidas de seguridad, divididas en los siguientes tres tipos:
Para afirmar que un sistema de información concreto es conforme a lo dispuesto en el ENS es necesario contemplar las siguientes etapas, todas ellas recogidas en el articulado que se menciona:
Finalmente, atendiendo a lo dispuesto en la Instrucción Técnica de Seguridad de Conformidad con el ENS (6) , las Entidades de Certificación del ENS, encargadas de auditar y, en su caso, expedir dichas Certificaciones, deben a su vez haber sido acreditadas por la Entidad Nacional de Acreditación (ENAC) (7) , según señala la antedicha norma.
V. EL ENS COMO MECANISMO DE CERTIFICACIÓN DEL RGPD
Como hemos dicho, el ENS se ha mostrado, desde su aplicación, la herramienta más eficaz para proporcionar a las entidades del Sector Público las debidas garantías en relación con la seguridad de la información tratada y los servicios prestados.
Como hemos visto, el art. 32.1.b) del RGPD, menciona explícitamente las dimensiones de seguridad que han de aplicar el Responsable y Encargado de tratamiento (Disponibilidad, Autenticidad, Trazabilidad, Confidencialidad e Integridad), todas ellas están comprendidas en las garantías tratadas por el ENS, este esquema de seguridad se erige en un mecanismo de certificación especialmente idóneo, también para atender las exigencias en materia de Protección de Datos. La idoneidad del ENS como Mecanismo de Certificación es predicable, además, de la obligación que impone a sus destinatarios de realizar la lista de acciones que hemos señalado en el epígrafe anterior y, muy especialmente, y por la parte que ahora interesa:
Respecto de los dos últimos puntos, hay que tener en cuenta que los Organismos de Evaluación del RGPD (Entidades de Certificación, en terminología del ENS) encargados de auditar los sistemas afectados son a su vez evaluados y acreditados por la Entidad Nacional de Acreditación (ENAC). El Art 42.5 del RGPD refleja también complementa este principio: «La certificación en virtud del presente artículo será expedida por los organismos de certificación a que se refiere el artículo 43 o por la autoridad de control competente…», estando en cualquier caso sometidos al control de la autoridad competente (AEPD, en España), a la que el RGPD otorga las siguientes funciones: Elaborar y publicar los criterios de acreditación de las Entidades de Certificación (art. 57.1.p), en su caso, acreditar a tales entidades (arts. 43.1.a y 57.1.q), aprobar los criterios de certificación (art. 57.1.n), expedir (art. 42.5) y, revisar periódicamente los certificados expedidos (art. 57.1.o), todo ello dentro de sus funciones esenciales de promoción y fomento de los mecanismos de certificación, recogidas en los artículos 42.1 y 57.1.n, respectivamente, del RGPD.
La Figura 2 muestra un esquema de los actores concernidos en el proceso citado.
Fig. 2. Actores involucrados en el Proceso de Certificación
Finalmente, el artículo 70.1.o) prevé que el Comité Europeo de Protección de Datos llevará un registro de todos los mecanismos de certificación y sellos y marcas de protección de datos y estarán por los medios apropiados a disposición pública.
VI. CONCLUSIONES
Aunque el RGPD es una norma de amplio calado, que comporta una serie de ventajas evidentes (armonización y unidad de criterio en cuanto a la aplicación y garantía de los derechos de los ciudadanos europeos, reduciendo la burocracia), observamos que, al mismo tiempo, no entra a regular de manera concreta las medidas exigibles a los obligados a su cumplimiento (responsables y encargados del tratamiento, esencialmente), haciendo depender tales medidas de una serie de acciones previas (análisis de riesgos, categorización de las medidas de seguridad a adoptar, etc.) que conforman lo que hemos denominado «responsabilidad activa».
Hemos estudiado que una buena manera de completar las exigencias derivadas de la antedicha «responsabilidad activa» es utilizar modelos contrastados, como el Esquema Nacional de Seguridad, al que consideramos un buen Mecanismo de Certificación de los previstos RGPD. El espíritu y la letra del RGPD fomentan el uso de este tipo de soluciones, que la eficacia y el sentido común asimismo alientan.
No es necesario ensayar nuevos procedimientos cuando, en España y gracias a un esfuerzo colectivo, disponemos de unas herramientas completas, adecuadas y eficientes.