DECRETO 71/2020, de 13 de octubre, del Presidente, por el que se aprueba la Política de Seguridad de la Información de la Presidencia del Gobierno en el ámbito de la administración electrónica.

• Sección: I. DISPOSICIONES GENERALES
• Emisor: PRESIDENCIA DEL GOBIERNO
• Rango de Ley: Decreto

Norma citada en: una sentencia

El desarrollo de las tecnologías de la información y comunicación ha venido afectando profundamente a la forma y al contenido de las relaciones de las Administraciones Públicas con la ciudadanía, así como de las relaciones interadministrativas. Así, si bien la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, ya fue consciente del impacto de las nuevas tecnologías en las relaciones administrativas, fue la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, la que les dio carta de naturaleza legal, al establecer el derecho de los ciudadanos a relacionarse electrónicamente con las Administraciones Públicas, así como la obligación de estas de dotarse de los medios y sistemas necesarios para que ese derecho pudiera ejercerse. Al mismo tiempo, recogía entre sus fines el crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y en especial los relacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. Fines que fueron desarrollados por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).

En coherencia con este contexto, se llevó a cabo una reforma del ordenamiento jurídico público articulada en dos ejes fundamentales: las relaciones «ad extra» y «ad intra» de las Administraciones Públicas, que se tradujo en la aprobación de dos nuevas leyes que constituyen los pilares sobre los que se asienta el Derecho administrativo español, como son la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y que vienen a consolidar las relaciones por medios electrónicos de las Administraciones Públicas con la ciudadanía, así como de las relaciones interadministrativas.

La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados. En este sentido, su artículo 156 dispone que el Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito del sector público, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.

Por su parte, el artículo 13 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, relativo a los derechos de las personas en sus relaciones con las Administraciones Públicas, contempla expresamente el derecho a la protección de datos personales y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

El Esquema Nacional de Seguridad (ENS) regula la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos y determina los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información, señalando en su artículo 11 que todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente. Esta política de seguridad se establecerá con base en los principios básicos recogidos en el Capítulo II de la propia norma (seguridad integral, gestión de riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica, y función diferenciada).

En nuestra Administración Pública, el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias se determinó por Orden de 31 de julio de 2013, de la extinta Consejería de Presidencia, Justicia e Igualdad. En su artículo 2, se señala que cada organismo incluido en el ámbito de la aplicación de la Orden deberá desarrollar y aprobar el documento de política seguridad de la información en el ámbito de la administración electrónica del organismo, así como las normas y procedimientos que adecuen, en su caso, el marco común y las directrices básicas en la Administración Pública de la Comunidad Autónoma de Canarias a sus particularidades.

Por otra parte, el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), en adelante RGPD, establece en su artículo 24, dentro de las obligaciones generales del responsable del tratamiento de datos personales, que, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el citado reglamento. Así mismo, dispone que dichas medidas se revisarán y actualizarán cuando sea necesario y que, cuando sean proporcionadas en relación con las actividades de tratamiento, entre dichas medidas se incluirá la aplicación por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.

En el mismo sentido, el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en adelante LOPD y GDD, referido a las obligaciones generales del responsable y encargado del tratamiento, establece que dichos responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del RGPD, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la LOPD y GDD, sus normas de desarrollo y la legislación sectorial aplicable.

Por tanto la plena aplicación del RGPD exige que los responsables de los tratamientos adopten una política de protección de datos a fin de garantizar y poder demostrar que los tratamientos que llevan a cabo son conformes al citado reglamento. Por ello, se considera conveniente incluir en la política de seguridad de la información algunos aspectos relacionados con la protección de datos, dada la íntima conexión entre ambas materias.

El presente Decreto atiende a los principios de buena regulación recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Así, la norma es respetuosa con los principios de necesidad, eficacia y proporcionalidad, en tanto que con ella se persigue el fin pretendido, no tratándose de una norma restrictiva de derechos. En aplicación del principio de transparencia, se definen claramente los objetivos de la iniciativa normativa. Asimismo, el Decreto garantiza el principio de seguridad jurídica, ejerciéndose la iniciativa normativa de manera coherente con el resto del ordenamiento jurídico generando un marco normativo estable, predecible, integrado, claro y de certidumbre. En virtud del principio de eficiencia, racionaliza, en su aplicación, la gestión de recursos públicos.

En virtud de lo establecido en el artículo 133.4 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en el procedimiento de elaboración de la presente disposición normativa se prescinde de los trámites previstos en los apartados 1 y 2 del citado artículo, al tratarse de una norma departamental de carácter organizativo.

Por cuanto antecede, visto el informe de la Dirección General de Telecomunicaciones y Nuevas Tecnologías, y de conformidad con lo dispuesto el artículo 2.2 de la citada Orden de 31 de julio de 2013, por la que se...