Aquest 2022 suposa un no parar d’aprovacions, actualitzacions o revisions de normatives o estàndards en l’àmbit de la privacitat i la ciberseguretat. Un dels canvis més esperats era la revisió de l’Esquema Nacional de Seguretat, ENS, per la seva importància en la gestió de la ciberseguretat en l’Administració Pública. En aquest article es repassa els canvis de l’ENS en referencia a la protecció de dades.
COMPARTEIX-HO:
“Les Administracions tenen el repte, d’una vegada, d’implantar l’Esquema Nacional de Seguretat, que s’ha actualitzat per a poder respondre davant el ciutadà als reptes actuals de la ciberseguretat, per assegurar la seva protecció“
El context
El 4 de maig de 2022 es va publicar la revisió de l’Esquema Nacional de Seguretat, el Reial Decret 311/2022, de 3 de maig, pel que es regula l’Esquema Nacional de Seguretat, en endavant ENS.
Respecte la privacitat, les normes de referencia segueixen igual, essent els canvis més rellevants en 2021. D’aquesta forma tenim com a legislació básica:
- RGPD: Reglament (UE) 2016/679 del Parlament Europeu i de Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de les dades personals i a la lliure circulació d’aquestes dades (RGPD ) i pel que es deroga la Directiva 95/46/CE, així com la Directiva (UE) 2016/680 del Parlament Europeu i de Consell.
- LOPD-GDD: Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPD GDD). L’elaboració d’aquesta llei orgànica substitueix la Llei orgànica anterior 15/1999.
A les que es va afegir, el maig de 2021, la Llei Orgànica de protecció de dades per a enjudiciament d’infraccions penals (Llei Orgànica 7/2021, de 26 de maig, de protecció de dades personals tractades per a fins de prevenció, detecció, investigació i enjudiciament d’infraccions penals i d’execució de sancions penals).
I sobretot a la part de l’anàlisi de riscos i impactes es destaquen:
- Juliol de 2021, Guia pràctica Gestió del risc i avaluació d’impacte en tractaments de dades personals, AEPD, 29 de juny de 2021.
- Juliol de 2021, publicació de l’eina Avalua-Riesgo RGPD de suport a l’aplicació de la guia.
Sense oblidar per a aquest article l’informe preceptiu de l’AEPD durant el procés d’exposició pública del projecte de Reial decret per regular l’Esquema Nacional de Seguretat, que podeu consultar a la pàgina web de l’agència.
Com queda la protecció de dades després de revisar l’ENS? Per què ens ha d’interessar els delegats de protecció de dades?
Per respondre aquestes preguntes primer s’explica breument com ha quedat l’ENS respecte a la privadesa amb la seva revisió; veurem com s’enfoca actualment l’anàlisi de riscos a la protecció de dades i quin és el nexe entre ENS i protecció de dades.
L’Esquema Nacional de Seguretat i la protecció de dades
Per conèixer perquè l’ENS s’ha actualitzat, un bon exercici és llegir l’exposició de motius del preàmbul. De manera molt clara explica per què era important fer aquesta revisió.
II
L’evolució de les amenaces, els nous vectors d’atac, el desenvolupament de mecanismes de resposta moderns i la necessitat de mantenir la conformitat i l’alineament amb les regulacions europees i nacionals d’aplicació exigeixen adaptar les mesures de seguretat a aquesta nova realitat. Enfortir la ciberseguretat demana recursos econòmics, humans i tecnològics que s’han de dimensionar atenent el principi de proporcionalitat i el nivell de seguretat requerit, d’acord amb una planificació adequada i comptant amb la participació dels agents involucrats, segons una dinàmica de millora contínua adaptativa .
Per això, en un món hiperconnectat com l’actual, implementar la seguretat al ciberespai ha esdevingut una prioritat estratègica. Tot i això, el risc al ciberespai és massa gran perquè el sector públic o les empreses l’abordin per si mateixos, ja que tots dos comparteixen l’interès i la responsabilitat d’enfrontar junts aquest repte. A mesura que augmenta el paper de la tecnologia a la societat, la ciberseguretat es converteix en un desafiament cada vegada més gran. […]
L’ENS el 2022, si haguéssim de dir alguna cosa, diríem que incrementa l’exigència dels requisits a les administracions en la implantació de la seguretat dels sistemes d’informació, fent una revisió de la versió anterior, però no rebaixant-ne el contingut.
Cal destacar que en el redactat del Reial decret 311/2022 es recullen les observacions que va realitzar a l’informe jurídic preceptiu l’Agència Espanyola de Protecció de Dades, de manera que la privadesa es recull als següents punts de la norma:
L’ENS el 2022, si haguéssim de dir alguna cosa, diríem que incrementa l’exigència dels requisits a les administracions en la implantació de la seguretat dels sistemes d’informació, fent una revisió de la versió anterior, però no rebaixant-ne el contingut.
Cal destacar que en el redactat del Reial decret 311/2022 es recullen les observacions que va realitzar a l’informe jurídic preceptiu l’Agència Espanyola de Protecció de Dades, de manera que la privadesa es recull als següents punts de la norma:
1. Directament es dedica l’article 3 a la protecció de dades. Per aquest motiu es transcriu aquí literalment.
Article 3. Sistemes d’informació que tractin dades personals
1. Quan un sistema d’informació tracti dades personals serà aplicable el que disposa el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en allò que respecte al tractament de dades personals ia la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament General de Protecció de Dades) i la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals, o, si escau, la Llei Orgànica 7/2021, de 26 de maig, de protecció de dades personals tractades per a fins de prevenció, detecció, investigació i enjudiciament d’infraccions penals i d’execució de sancions penals, la resta de normativa d’aplicació, així com els criteris que estableixi l’Agència Espanyola de Protecció de Dades o en el seu àmbit competencial, les autoritats autonòmiques de protecció de dades, sens perjudici dels requisits establerts en el present Reial decret.
2. En aquests supòsits, el responsable o l’encarregat del tractament, assessorat pel delegat de protecció de dades, han de fer una anàlisi de riscos d’acord amb l’article 24 del Reglament general de protecció de dades i, en els supòsits del seu article 35, una avaluació d’impacte en la protecció de dades.
3. En tot cas, prevaldran les mesures que s’han d’implantar com a conseqüència de l’anàlisi de riscos i, si s’escau, de l’avaluació d’impacte a què fa referència l’apartat anterior, en cas de resultar agreujades respecte de les que preveu aquest real decret.
2. Inclusió a la política de seguretat. Dins l’exigència de disposar d’una política de seguretat i requisits mínims de seguretat, s’hi inclouen els riscos derivats en la protecció de dades que ha de disposar l’Administració, recollit el punt 12.1.f
3. Inclusió d’un control específic de privacitat. Dins dels controls de l’annex II, es fixa un control per a la protecció de les dades personals en què aplica a totes les categories, el [mp.info.1.1], i no preveu la possibilitat d’aplicar reforços, ja que els reforços han d’assignar en funció del resultat de les anàlisis de riscos.
4. Més exigència, des de la perspectiva de la privadesa, en l’anàlisi de les comunicacions d’entrada i sortida. Es permet identificar els subjectes de les comunicacions d’entrada o sortida dels sistemes, a fi de garantir la seguretat, en article 24 de l’ENS. Però es marca com fer-ho respecte a la privadesa: és un requisit aplicar els principis de necessitat i proporcionalitat, així com els principis de limitació de la finalitat, minimització de les dades i limitació del termini de conservació.
Enfocament de l‘anàlisi de Riscos des de la privacitat
A l’article 32 del RGDP s’exigeix la seguretat dels tractaments de les dades personals i estableix que “el responsable i l’encarregat del tractament aplicaran mesures tècniques i organitzatives oportunes per garantir un nivell de seguretat adequat al risc”
És molt important tenir clar quin és el focus d’atenció en la protecció de dades. Per complir amb la normativa de privadesa cal gestionar els riscos associats a les dades personals i realitzar una anàlisi de risc i, quan el resultat sigui que hi ha un alt risc per a aquestes dades, s’ha de fer una avaluació d’impactes.
L’AEPD a la guia publicada el juliol de 2021 destaca, respecte l’anàlisi de riscos i impactes, que:
- Es tracta d’un procés iteratiu que implica realitzar la gestió del risc i l’avaluació d’impactes de les activitats de tractament, incloent-hi el monitoratge o el seguiment d’aquests riscos.
- L’anàlisi de riscos en protecció de dades se centra a analitzar els riscos a què s’exposen les dades personals de l’interessat que es tracten. NO ha de protegir els interessos dels responsables o encarregats dels tractaments.
- La gestió de riscos es fa respecte a la seguretat de les dades personals i això vol dir respecte a la garantia dels drets i les llibertats de les persones físiques en referència a la protecció de dades i la intimitat. Per tant, els factors de riscos o amenaces es defineixen com les causes potencials que poden derivar cap a un perjudici per als drets i llibertats de les persones físiques.
La guia de l’AEPD és imprescindible conèixer-la per fer l’anàlisi de riscos i l’avaluació d’impactes a la protecció de dades personals.
El nexe entre ENS i privacitat
El nexe entre ENS i LOPD-GDD ve després de l’anàlisi de riscos i l’avaluació d’impactes dels tractaments. Un cop es coneix el nivell de risc del tractament s’han d’aplicar aquelles mesures i garanties que permetin reduir-los a un nivell residual o acceptable.
Les mesures, o controls, permeten executar accions per reduir, eliminar o assumir de manera controlada els riscos identificats. Normalment, les accions es focalitzen a reduir l’impacte o la probabilitat. En gestió de risc, aquest punt es coneix com el tractament del risc, i sol ser un procés iteratiu. que s’ha d’aplicar de manera independent per a cada factor de risc i s’han d’escollir a partir de l’anàlisi de risc feta.
L’AEPD, a la guia, classifica les mesures de control des de diferents òptiques: respecte a l’estratègia, la naturalesa o la normativa de protecció de dades.
És interessant veure que, respecte el RGPD i la LOPD-GDD entra a proposar mesures respecte la:
1. Concepció del tractament
2. Governança i polítiques de protecció de dades
3. Protecció de dades des del disseny i per defecte
4. Seguretat en els tractaments
On enllaça ENS amb la normativa de protecció de dades (RGPD/LOPD-GDD)? Directament amb la seguretat als tractaments.
La guia de l’AEPD estableix que un dels aspectes que cal tractar és la seguretat dels tractaments. Vincula l’aplicació de les mesures de seguretat a les mesures o controls que es defineixen a l’ENS i proposa una taula de correspondència entre el nivell de risc per als drets i les llibertats, i la categoria ENS.
Per aplicar les mesures de control, la guia deriva directament als estàndards com la ISO 27002 i l’extensió de protecció de dades 27701, i dóna com a criteri de referència de mínims el compliment de l’ENS. Però a continuació, de forma textual, a la guia es planteja que davant de tractaments on no apliqui l’ENS, l’ENS serveixi de criteri de mínims a aplicar:
En el cas de tractaments que no estiguin sotmesos a l’obligació de compliment de l’ENS, s’hauran d’implementar les mesures necessàries per gestionar el nivell de risc dels actius necessaris per donar suport al tractament a cadascuna de les seves fases.
[…] Com a orientació, es recomana no implementar un nivell menor de seguretat que el criteri establert a l’Annex II de l’Esquema Nacional de Seguretat.
Conclusions
L’ENS transcendeix el seu abast “legal”. Encara que el seu àmbit d’aplicació sigui l’Administració pública, la seva estructuració, el llistat de mesures i l’actualització constant de recursos que fan a la pàgina web (eines, guies o informes) ha fet que sigui una referència per a moltes organitzacions d’altres àmbits. A la pràctica és un dels estàndards de referència dels sistemes de gestió de la seguretat de la informació per a qualsevol organització. És important, per això, conèixer el seu enllaç amb la privadesa.
El legislador ha recollit totes les observacions que va fer l’AEPD al seu informe preceptiu, i això és una bona notícia en tant que l’enllaç que ha fet des de l’ENS amb la protecció de dades s’espera que ajudi a incrementar la privadesa dels ciutadans.
Queda per veure com incidirà aquest nou ENS en el grau d’implantació a les administracions públiques. Hi ha dos elements clau: el baix nivell de certificació de les administracions públiques amb l’antic ENS i el fet que la LOPD-GDD no estableix sancions pecuniàries a l’Administració i només es pot aplicar un advertiment en cas d’incompliment de la normativa de protecció de dades (article 77 de la LOPD-GDD).
S’ha explicat la relació important entre l’anàlisi de riscos i els impactes en protecció de dades i l’aplicació dels controls de l’ENS de l’annex II. Amb la revisió de l’ENS, aquesta relació es manté i reforça, ja que en la revisió de l’ENS, les mesures de seguretat en essència s’han mantingut, revisant continguts i, en tot cas, reforçant-ne alguna, però no hi ha una rebaixa de aquestes.
És cert que aquests canvis no estan consolidats, ja que són tan recents. Per aquest motiu esperem que tant l’AEPD com el CCN-CERT vagin a publicar aclariments en l’aplicació de la normativa i actualitzant les guies i eines, a mesura que es vagi implantant el nou ENS i la guia d’avaluació de riscos i impactes en protecció de dades.
