Esquema Nacional de Seguridad, ese desconocido que empieza a estar en la cabeza de muchos

Una primera aproximación

Articulo BOE

 

Los profesionales de la protección de datos, los sujetos obligados al cumplimiento de esta normativa, aquellos otros profesionales relacionados directa o indirectamente con la misma y, en general, todo aquel de carácter curioso tiene señalado en su calendario, el 25 de mayo de 2018.

Algunos, los más; aquellos que abordamos la protección de datos desde la profesionalidad basada en la experiencia, apuntalada por la formación de base y la actualización diaria saben que estos meses que faltan hasta llegar a ese día señalado en rojo en todos los calendarios nos facilitan un tiempo necesario para que evolutivamente las organizaciones vayan orientándose en el cumplimiento efectivo de la norma.

 

Otros, los menos o eso espero; aquellos que ante la falta de argumentos empíricos, con formación exigua y  sin interés en la lectura diaria de textos esenciales para su profesión están utilizando esta situación de incertidumbre creada por las muchas noticias al respecto del cambio normativo para “vender” la necesidad de una revolución en las organizaciones, tendente a cambiar por completo los Sistemas de Protección de Datos implantados.

Al tiempo, autorregulación es una de las palabras que más oiremos a la hora de describir el RGPD. Y es, probablemente, una de esas que características de este reglamento que ayuda a generar esa incertidumbre referida. Y, hay que decirlo, no falta razón para ello ya que si nos vamos a la Sección 2ª – Seguridad de los datos personales, artículo 32 Seguridad del tratamiento nos encontramos con que, textualmente, la norma dice “…el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo…”.

Y llegados a este punto es donde entra en juego el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, conocido de manera menos formal y reducida como el Esquema Nacional de Seguridad.

En el preámbulo del mismo podemos leer “La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos…”. Asimismo, podemos seguir leyendo que “para dar cumplimiento a lo anterior se determinan las dimensiones de seguridad y sus niveles, la categoría de los sistemas, las medidas de seguridad adecuadas y la auditoría periódica de seguridad”. Por último, en la parte final de este preámbulo se dice que “En este real decreto se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina el punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas”.

La estructura de este RD es de diez capítulos, cuatro disposiciones adicionales, una disposición transitoria, una disposición derogatoria y tres disposiciones finales. Se incluyen cuatro anexos: categoría de los sistemas, medidas de seguridad, auditoría de seguridad y glosario, finalizando con una cláusula administrativa particular a incluir en las prescripciones administrativas de los contratos.

Y para no dejar fuera de este artículo la última de las novedades normativas, me referiré a la Disposición adicional primera del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal que incluye el Esquema Nacional de Seguridad como aquellas medidas a implantarse en el ámbito del sector público, adaptando criterios a lo establecido en el ya referido artículo 32 RGPD.

Cuando pasamos de normas que describen y tasan las medidas de seguridad, artículos 89 a 114 del RD 1720/2007, a normas como este RGPD con su artículo 32, totalmente abierto al criterio de cada responsable y/o encargado de tratamiento nos encontramos con la necesidad de navegar por el proceloso mar de la autorregulación, para lo que siempre viene bien una buena guía como nuestro Esquema Nacional de Seguridad.

 

 

 

 

Manuel del Palacio