Renato Aquilino Pujol (1)
Licenciado en Informática (Universitat Politècnica de Catalunya), Esp. Universitario en Protección de Datos y Privacidad (Facultad de Derecho, Universidad de Murcia)
CISA, CISM, CGEIT, Lead Auditor ISO 27001-TC, Auditor e implantador ENS, APEP-Inteligencia Artificial y Protección de Datos, COBIT 5 Implementer
Miembro fundador de APEP, Chapter ISACA CV y COIICV, colaborador de ISACA HQ en comités y grupos de trabajo CISA
El RGPD requiere la implementación de medidas de seguridad «apropiadas» sobre las dimensiones estándares de seguridad (confidencialidad, integridad, disponibilidad) en los tratamientos de datos personales que realice una organización.
Los adjetivos están, por su propia naturaleza, sujetos a interpretaciones y subjetividades, dejando la concreción de las medidas «apropiadas» a criterios internos de la propia organización «teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas…», párrafo que sigue dejando en la sombra de la inconcreción las medidas de seguridad que, por supuesto, deben implementarse de forma concreta, práctica y con eficacia medible para dar cumplimiento a este fundamental requerimiento del RGPD, cuyo incumplimiento ya ha conllevado procedimientos sancionadores al producirse brechas de seguridad que han evidenciado la «inapropiada» implementación de dichas medidas.
1. Marcos de referencia relevantes sobre medidas de seguridad
La inconcreción del artículo 32 RGPD (LA LEY 6637/2016) puede resolverse mediante diversas iniciativas, algunas obligatorias y otras de adopción voluntaria, las cuales se exponen en los puntos siguientes.
2. Administración Pública (AAPP en adelante)
La LOPDGDD (LA LEY 19303/2018) requiere, en su Disposición adicional primera, la implementación del Real Decreto 311/2022 de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (LA LEY 9076/2022) (ENS en adelante).
El ENS (LA LEY 9076/2022), desarrollado y mantenido por el Centro Criptológico Nacional (CCN en adelante) es un marco normativo que define un sistema de gestión de seguridad de la información (SGSI en adelante) certificable que contempla en su Anexo II un amplio conjunto de medidas organizativas y técnicas que abarcan holísticamente las dimensiones de seguridad así como las métricas e indicadores sobre su eficacia. Su nivel de detalle en las guías de implementación de las medidas y las propias guías publicadas por el CCN configuran un escenario ideal para implementar y acreditar su cumplimiento.
El ENS (LA LEY 9076/2022) contempla una progresiva exigencia en la implementación de las medidas en base a los niveles (bajo, medio alto) de las dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) determinados en base al Anexo I del ENS (LA LEY 9076/2022), aplicables a los servicios e informaciones que ofrecen a la ciudadanía, determinando el nivel más alto de dichas dimensiones la denominada «categoría del sistema» (básica. media, alta), de la que dependen otras medidas.
El factor fundamental que contempla el Anexo I del ENS (LA LEY 9076/2022) para determinar el nivel de cada dimensión de seguridad se basa en un análisis de riesgos que determine el impacto de posibles incidentes de seguridad sobre las entidades y personas afectadas, plenamente alineable con el requerimiento del artículo 32 del RGPD (LA LEY 6637/2016) respecto a los riesgos sobre los derechos y libertades de las personas.
Este planteamiento permite una implantación metódica y proporcional de un amplio conjunto de medidas de seguridad concretas, dotadas de guías de implementación y medibles. De hecho, la completitud del ENS (LA LEY 9076/2022) en todo su ciclo de vida le hace candidato a convertirse en el marco de referencia en materia de medidas de seguridad para la Directiva Europea NIS2.
3. Empresas privadas prestando servicios a las AAPP
Estas empresas privadas están obligadas al cumplimiento y acreditación del ENS (LA LEY 9076/2022) para todos los servicios que prestan a las AAPP, tal como recoge la misma Disposición adicional primera de la LOPDGDD (LA LEY 19303/2018), en caso de tratar datos personales en dichos servicios.
Obviamente, es recomendable la extensión de la implementación del ENS (LA LEY 9076/2022) a todos los servicios corporativos, sean ofrecidos a o no a las AAPP, dado que el SGSI ENS (LA LEY 9076/2022) es perfectamente válido para acreditar el cumplimiento de medidas de seguridad aplicables a todos los entornos.
En cualquier caso, las empresas privadas pueden estar sujetas a requerimientos contractuales en materia de seguridad de la información que requieran la implantación y certificación de un SGSI bajo otras normas, habitualmente ISO/IEC 27001:2022 y sus evoluciones.
En estos casos la empresa debería implementar un SGSI certificable tanto en ENS (LA LEY 9076/2022) (servicios a la AAPP) como en ISO/IEC 27001:2022, teniendo en cuenta las fases y medidas comunes o equivalentes (numerosas) y tratando específicamente sus diferencias. Ver Guía CCN-STIC 825 —Esquema Nacional De Seguridad— Certificaciones 27001.
4. Empresas privadas que no prestan servicios a las AAPP
Las empresas que no prestan servicios a las AAPP disponen de varias alternativas, en función de sus requerimientos contractuales, ámbitos de negocio o criterios corporativos.
La norma ISO/IEC 27001:2022 es una norma global, cuyas certificaciones son válidas en la inmensa mayoría de países, mientras que la certificación ENS (LA LEY 9076/2022) sólo es válida, a la fecha, en España. Por tanto, si el modelo de negocio de la empresa se extiende o puede extenderse a otros países mi recomendación es adoptar ISO/IEC 27001:2022. Esta norma contiene previsiones específicas para el tratamiento de datos personales y sus medidas técnicas son similares a las del ENS (LA LEY 9076/2022).
Por otra parte, es perfectamente válido adoptar el ENS (LA LEY 9076/2022) como marco de referencia para cualquier empresa, dado que ha sido desarrollado por entidades del Gobierno de España, con una directa colaboración y supervisión de la AEPD en cuanto a los tratamientos de datos personales y, por ende, con un alto potencial de aceptación de sus medidas de seguridad para cualquier tratamiento de datos personales, tenga o no relación con las AAPP.
5. El DPD y las medidas de seguridad
Mi postura respecto al DPD se reafirma con el tiempo. No tiene sentido ver al DPD como persona individual sino como líder de un equipo multidisciplinar, dado que no existe persona alguna capaz de poseer simultáneamente suficientes conocimientos jurídicos, organizativos y técnicos necesarios para ofrecer adecuadamente el asesoramiento y supervisión que le asigna el RGPD en el contexto actual.
El «Gabinete DPD» debería estar formado por un equipo multidisciplinar jurídico, organizativo y técnico, actuando de forma integrada en los múltiples y cambiantes escenarios donde se desarrollan los tratamientos de datos personales.
Sugiero una adaptación del esquema de certificación de DPD de la AEPD a esta necesidad de especialización que, partiendo de bases de conocimiento troncales, permita obtener personas que formen parte de un eficaz «equipo DPD».