La Orden JUS/564/2023, de 30 de mayo (LA LEY 8991/2023), aprueba la Política de Seguridad del Ministerio de Justicia en los ámbitos de la Administración Electrónica, Protección de datos personales y Protección de la información clasificada del Ministerio de Justicia, así como del marco organizativo y tecnológico de la misma.
Ámbito de aplicación
La Política de Seguridad será de obligado cumplimiento para todos los órganos y unidades que conforman la estructura del Ministerio de Justicia y para todo el personal que realice tratamiento de información de la que sea responsable el Ministerio de Justicia con independencia de su destino, condición laboral o relación por la que proceda al tratamiento. Se podrán adscribir a ella aquellos organismos públicos dependientes del Ministerio de Justicia que no tengan establecida su propia política de seguridad y así lo soliciten.
Asimismo, afectará a la información tratada por medios electrónicos y a la información en soporte papel que el Ministerio gestiona en el ámbito de sus competencias. En este sentido la norma señala las normas conforme a las cuales se define la taxonomía de la información.
Por lo que respecta a la misión de la Política de Seguridad, señala el texto que, en materia tecnológica el Ministerio de Justicia, en su ámbito competencial, presta y pone a disposición de los órganos y oficinas judiciales y fiscales los servicios y sistemas de Tecnologías de la Información y Comunicaciones (TIC) para el desarrollo de sus funciones. Igualmente, los servicios TIC del Ministerio de Justicia garantizan las relaciones electrónicas de los ciudadanos y profesionales con la Administración de Justicia, y con el Ministerio de Justicia. Estos servicios pueden ser prestados a otras Comunidades Autónomas con competencias en materia de Justicia, así como a otras administraciones y entidades públicas.
Estructura organizativa
La estructura organizativa para la gestión de la seguridad en los ámbitos descritos por la PS del Ministerio de Justicia está compuesta por los siguientes órganos y agentes:
- Comité de Gobierno de Seguridad y Riesgos: órgano colegiado de los previstos en el artículo 20.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LA LEY 15011/2015), que gestionará y coordinará todas las actividades relacionadas con la seguridad del Ministerio de Justicia. La norma determina tanto su composición (presidente, vicepresidente, vocales y secretario), como las funciones que tiene encomendadas. Se reunirá con carácter ordinario al menos una vez al año y con carácter extraordinario cuando lo decida su Presidente.
- Comité de Ciberseguridad: órgano colegiado de los previstos en el artículo 20.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LA LEY 15011/2015), dependiente de la Dirección General de Transformación Digital de la Administración de Justicia, detallándose su composición (presidente, vocales y secretario) y funciones.
- Grupo de Coordinación de Protección de Datos: creado de conformidad con la Instrucción 7/2020, de 21 de diciembre, de la Subsecretaría de Justicia, que designarán entre sus miembros a los asistentes a las reuniones de los diferentes órganos recogidos en el presente orden ministerial.
- Servicio de Protección de Información Clasificada: en cumplimiento de las normas de la Autoridad Nacional para la Protección de la Información Clasificada, el Ministerio debe designar un Jefe de Seguridad para cada servicio de protección (Jefe de Seguridad del Servicio de Protección de Información Clasificada o JSSP), a quien corresponde organizar, dirigir y controlar un determinado servicio de protección, así como cumplir y hacer cumplir la normativa vigente. Sus cometidos se encuentran definidos en el apartado 5.4 de la norma NS/01 sobre estructura nacional de protección de la información clasificada.
- Responsables de Seguridad de la Información: desarrollan e implementan el programa de seguridad de la información del Ministerio, que incluye procedimientos y políticas diseñados para proteger las comunicaciones, los sistemas y los activos de información de la organización de amenazas internas y externas dirigidas sobre vectores de ataque físicos y lógicos. Además, tomarán las decisiones para satisfacer los requisitos de seguridad de la información, seguridad en el tratamiento de datos personales y de los servicios proporcionados por tecnologías de la información, atendiendo las directrices marcadas por el Comité de Gobierno de Seguridad y Riesgos. El texto recoge las funciones que adicionalmente les competen.
- Responsables de la Información y del Servicio: tienen la potestad, dentro de su ámbito de actuación, de establecer los requisitos de seguridad de la información tratada y de los servicios prestados, así como de determinar los niveles de seguridad de la información y de los servicios, y aceptar los niveles de riesgo residuales que afecten a la información y a los servicios. Sus funciones recaerán en la persona titular del órgano o unidad administrativa que gestione cada procedimiento administrativo, pudiendo una misma persona acumular las responsabilidades de la información de todos los procedimientos que gestione sin que ello implique, en ningún caso, un aumento de las actuales dotaciones ni de las retribuciones de dichos efectivos por ningún concepto. Los responsables de la información serán designados por los órganos y entidades destinatarias de los sistemas de información, y de acuerdo con la Política de Seguridad de la Información de la Administración Judicial Electrónica. En su defecto, sus funciones recaerán en el Comité de Ciberseguridad.
- Responsables del Sistema: por sí o a través de recursos propios o contratados, se encargarán de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad. Las unidades tecnológicas del Ministerio de Justicia asumen la responsabilidad del sistema, correspondiendo a sus titulares la máxima responsabilidad, y que podrán designar Responsables del Sistema Delegados. El texto detalla sus funciones.
- Responsables del Tratamiento: cada órgano superior o directivo del Ministerio de Justicia, así como cada organismo público dependiente del Departamento, a los que les sea de aplicación la PS, designará al responsable del tratamiento, el cual asumirá las obligaciones y responsabilidades establecidas en el marco normativo de protección de datos aplicable, contando con el asesoramiento de los delegados de protección de datos asignados. Los órganos superiores o directivos del Ministerio de Justicia, así como cada organismo público dependiente del departamento, a los que les sea de aplicación la PS, ostentarán la condición de responsables del tratamiento por designación legal o por atribución de competencias.
- Encargados del Tratamiento de datos personales: es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta de la persona designada Responsable del tratamiento. Tendrá la consideración de «Encargado del Tratamiento» en el tratamiento de datos de carácter personal en las aplicaciones y servicios digitales diseñados, desarrollados o en mantenimiento por parte de la Dirección General de Transformación Digital y que hayan sido creados o implantados en el ámbito de competencias del Ministerio de Justicia, y puestos a disposición de Juzgados, Tribunales, Fiscalías, Oficinas Judicial y Fiscal, órganos técnicos auxiliares de la Administración de Justicia, unidades administrativas, órganos y organismos del departamento, así como de otras Administraciones, entidades e instituciones públicas en virtud de procedimientos de adhesión u otros instrumentos de la misma naturaleza previstos en la legislación vigente. Esta misma condición de encargado del tratamiento, que supone la asunción de las obligaciones y responsabilidades establecidas para dicha figura en el marco normativo de protección de datos aplicable, será asumida por cualquier órgano, organismo, o unidad del Ministerio de Justicia que de acuerdo con sus competencias lleve o pueda llevar a cabo tratamiento de datos por cuenta de terceros.
- Delegados de Protección de Datos: las normas de desarrollo normativo de la política de seguridad establecerán los mecanismos de coordinación con los Delegados de Protección de Datos para que estos puedan informar, asesorar y supervisar sobre el cumplimiento de las diferentes obligaciones, por parte de los responsables o encargados de los tratamientos de datos personales, establecidas en el correspondiente marco normativo, garantizando la obligación del responsable y del encargado del tratamiento que el Delegado de Protección de Datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Se garantizará su participación desde la etapa más temprana posible en todas las cuestiones relativas a la protección de los datos, y especialmente, y sin perjuicio de otras funciones, desde el propio diseño de los tratamientos, en el análisis y gestión de riesgos, en las evaluaciones de impacto, en la gestión de brechas de seguridad, auditorias, revisión y actualización del registro de actividades de tratamiento, ejercicio de derechos de los interesados y reclamaciones. Sus funciones son las indicadas en el RGPD, en la LOPDGDD (LA LEY 19303/2018) y en la Ley Orgánica 7/2021, de 26 de mayo (LA LEY 11831/2021), y demás disposiciones reguladoras de la materia, y actuarán bajo la coordinación del Delegado de Protección de Datos, al que incumben las funciones a las que se refiere el artículo 9.5.e) del Real Decreto 453/2020, de 10 de marzo (LA LEY 3152/2020).
Análisis y gestión de riesgos de seguridad de la información y de la privacidad y auditoría
Dispone la norma que la gestión de riesgos debe realizarse de manera continua sobre el sistema de información, conforme a los principios de gestión de la seguridad basada en los riesgos y reevaluación periódica, proceso que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá ser revisado y actualizado periódicamente.
En el tratamiento de los datos personales se llevará previamente a cabo un análisis de riesgos para los derechos y libertades de las personas de conformidad, con los artículos 24 (LA LEY 6637/2016), 25 (LA LEY 6637/2016) y 32 del RGPD (LA LEY 6637/2016) y 28 de la LOPDGDD (LA LEY 19303/2018), y en su caso, de acuerdo con los artículos 27 (LA LEY 11831/2021), 28 de la Ley Orgánica 7/2021, de 26 de mayo (LA LEY 11831/2021), y a los efectos de la seguridad se realizará el análisis de riesgos establecido en el ENS, que complementará el análisis de riesgos de la privacidad.
Si el resultado de este análisis de riesgos entraña un alto riesgo para los derechos y libertades de las personas físicas, deberá realizarse una evaluación de impacto.
Por otra parte, el texto impone al Ministerio de Justicia llevar a cabo de forma periódica, y al menos cada dos años, una auditoría encaminada a la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos y sistemas de información. En todo caso realizará una auditoría específica y extraordinaria cuando se lleven a cabo modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas.
Estas auditorías serán supervisadas por el responsable de seguridad de la información y, en caso de tratamiento de datos personales, por el delegado de protección de datos.
Gestión de incidentes y resolución de conflictos
La norma determina que el Ministerio de Justicia disponga de procedimientos de gestión de incidentes de seguridad con los requisitos establecidos en el ENS y su correspondiente instrucción técnica de seguridad, y que, además, adopte medidas que garanticen la notificación a la autoridad de protección de datos y las obligaciones de documentación de cualquier violación de la seguridad de los datos personales (artículo 33 del RGPD (LA LEY 6637/2016)). Igualmente adoptará las medidas procedentes para la comunicación a los interesados que pudieran haberse visto afectados por la violación de seguridad de los datos de carácter personal, en los casos y conforme a lo dispuesto en el artículo 34 del RGPD (LA LEY 6637/2016).
Por otra parte, el texto dispone que, en caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la PS prevalecerá la decisión del Comité de Gobierno de Seguridad y Riesgos, mientras que en materia de protección de datos prevalecerán las decisiones del Responsable del Tratamiento de acuerdo con sus competencias y obligaciones.
Gestión de incidentes y resolución de conflictos
Por último, la norma se ocupa del cuerpo normativo de desarrollo de la política de seguridad, que podrá dividirse en ámbitos materiales y se desarrollará en tres niveles por ámbito subjetivo de aplicación, nivel de detalle técnico y obligatoriedad de cumplimiento, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior.
Este desarrollo normativo garantizará que por los responsables y encargados del tratamiento de datos se dé cumplimiento a los principios y obligaciones establecidas en el marco normativo de protección de datos con la participación adecuada y en tiempo oportuno, desde el diseño de los tratamientos y sus medios, al delegado de protección de datos, a través de las correspondientes medidas técnicas y organizativas, todo ello a través del marco organizativo de la política de seguridad.
Modificaciones legislativas
Deroga la Orden JUS/1293/2017, de 14 de diciembre (LA LEY 21099/2017), por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración electrónica.
Entrada en vigor
Entra en vigor el 6 de junio de 2023, al día siguiente de su publicación en el Boletín Oficial del Estado.