Orden DSA/1142/2021, de 8 de octubre, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración electrónica del Ministerio de Derechos Sociales y Agenda 2030.

• Marginal: BOE-A-2021-17235
• Sección: III - Otras Disposiciones
• Emisor: Ministerio de Derechos Sociales y Agenda 2030
• Rango de Ley: Orden

El desarrollo de la Administración Electrónica implica el tratamiento automatizado de grandes cantidades de información por los sistemas de tecnologías de la información y de las comunicaciones, que está sometida a diferentes tipos de amenazas y vulnerabilidades.

En el contexto de la Administración Electrónica, se entiende por seguridad de la información la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes y acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad de los datos almacenados o transmitidos y de los servicios que dichas redes o sistemas ofrecen, o a través de los cuales se realiza el acceso.

La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos. Dichos medios deben asegurar la interoperabilidad y seguridad de los sistemas y soluciones adoptadas, garantizarán la protección de los datos de carácter personal y facilitarán preferentemente la prestación conjunta de servicios a los interesados. En este sentido, el artículo 156 de la citada Ley 40/2015, de 1 de octubre, regula el Esquema Nacional de Seguridad.

Por su parte, la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13 sobre derechos de las personas en sus relaciones con las Administraciones Públicas, el relativo a la protección de datos de carácter personal y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación, sus principios básicos y los requisitos mínimos que permitan una protección adecuada de la información.

El artículo 11 del citado Real Decreto 3/2010, de 8 de enero, exige que todos los órganos superiores de las Administraciones Públicas dispongan formalmente de su política de seguridad, que se aprobará por el titular del órgano superior correspondiente. Esta política de seguridad se establecerá con base en los principios básicos recogidos en el capítulo II de la propia norma: seguridad integral, gestión de riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica y función diferenciada, y desarrollará una serie de requisitos mínimos consignados en el mencionado artículo 11.1.

Asimismo, su exigencia se puede deducir en: el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos); la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

La presente orden, por tanto, tiene la finalidad de aprobar la Política de Seguridad de la Información del Ministerio de Derechos Sociales y Agenda 2030, así como establecer la estructura organizativa para definirla, implantarla y gestionarla.

Esta orden cumple con los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre. Así, atiende a la necesidad de aprobar la Política de Seguridad de la Información del Ministerio de Derechos Sociales y Agenda 2030, y da cumplimiento al mandato contenido en el artículo 11 del Real Decreto 3/2010, de 8 de enero. Además, es eficaz y proporcionada en el cumplimiento de este propósito sin afectar en forma alguna a los derechos y deberes de la ciudadanía. También contribuye a dotar de mayor seguridad jurídica a la organización y funcionamiento de la Administración General del Estado, en lo que se refiere al Ministerio de Derechos Sociales y Agenda 2030. Cumple también con el principio de transparencia, ya que identifica claramente su propósito y, aunque la tratarse de una norma puramente organizativa su tramitación no ha requerido de la consulta pública previa y de los trámites de audiencia e información pública, junto con su memoria donde se ofrece una explicación completa de su contenido, la misma se ha encontrado accesible a la ciudadanía durante dicha tramitación. Finalmente, es también adecuada al principio de eficiencia, ya que no impone cargas administrativas.

Durante su tramitación, se han recabado los informes de la Comisión Ministerial de Administración Digital del Ministerio de Derechos Sociales y Agenda 2030 y de la Agencia Española de Protección de Datos.

En virtud de lo anterior, con la aprobación previa de la Ministra de Hacienda y Función Pública, dispongo:

Artículo 1  Objeto y ámbito de aplicación.

1.  El objeto de la presente orden es la aprobación de la Política de Seguridad de la Información (en adelante, PSI) en el ámbito de la Administración Electrónica del Ministerio de Derechos Sociales y Agenda 2030, así como el establecimiento del marco organizativo y tecnológico de la misma.

2.  La PSI será de obligado cumplimiento por todos los órganos y unidades del Departamento incluidos los organismos dependientes o adscritos al mismo que no tengan establecida su propia política de seguridad, en relación a todos los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias.

3.  La PSI deberá ser cumplida, igualmente, por todo el personal destinado en dichos órganos y unidades, así como por aquellas personas que, aunque no estén destinadas en los mismos, tengan acceso a dichos datos, informaciones o servicios, con independencia de cuál sea su destino, adscripción o relación con el mismo.

Artículo 2  Misión del Departamento.

1.  Corresponde al Ministerio de Derechos Sociales y Agenda 2030, según lo establecido en Real Decreto 452/2020, de 10 de marzo, por el que se desarrolla la estructura orgánica básica del Ministerio de Derechos Sociales y Agenda 2030, y se modifica el Real Decreto 139/2020, de 28 de enero, por el que se establece la estructura orgánica básica de los departamentos ministeriales, la propuesta y ejecución de la política del Gobierno en materia de derechos sociales y bienestar social, de familia y de su diversidad, de protección del menor, de cohesión social y de atención a las personas dependientes o con discapacidad, de adolescencia y juventud, así como de protección de los animales.

2.  Igualmente corresponde al Ministerio de Derechos Sociales y Agenda 2030 la propuesta y ejecución de la política del Gobierno en materia de impulso, seguimiento y cooperación para la implementación de la Agenda 2030 y el cumplimiento de los Objetivos de Desarrollo Sostenible.

Artículo 3  Marco normativo.

El marco normativo en que se desarrollan las actividades del Ministerio de Derechos Sociales y Agenda 2030, en el ámbito de la prestación de los servicios electrónicos a los ciudadanos, sin perjuicio de la legislación específica, se compone de:

1.  Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

2.  Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

3.  Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.

4.  Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en al ámbito de la Administración Electrónica.

5.  Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en al ámbito de la Administración Electrónica.

6.  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

7.  Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

8.  Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento nacional de identidad y sus certificados de firma electrónica.

9.  La legislación sectorial reguladora de la actuación de los órganos superiores y directivos del Ministerio de Derechos Sociales y Agenda 2030, así como el Real Decreto 452/2020, de 10 de marzo, por el que se desarrolla la estructura orgánica básica del Ministerio de Derechos...