Orden UNI/1231/2021, de 5 de noviembre, por la que se aprueba la política de seguridad de la información en el ámbito de la administración electrónica y de protección de datos y se crea la Comisión Ministerial de Administración Digital del Ministerio de Universidades.

• Marginal: BOE-A-2021-18486
• Sección: I - Disposiciones Generales
• Emisor: Ministerio de Universidades
• Rango de Ley: Orden

La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13, sobre derechos de las personas en sus relaciones con las Administraciones Públicas, el relativo a la protección de datos de carácter personal y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. Por otra parte, en su artículo 17.3, sobre el archivo de documentos, se indica que «Los medios o soportes en que se almacenen documentos, deberán contar con medidas de seguridad, de acuerdo con lo previsto en el Esquema Nacional de Seguridad (ENS), que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados. En particular, asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos».

La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos. Dichos medios deben asegurar la interoperabilidad y seguridad de los sistemas y soluciones adoptadas, garantizarán la protección de los datos de carácter personal y facilitarán preferentemente la prestación conjunta de servicios a los interesados. En este sentido, destacan las previsiones contenidas en el artículo 3, de principios generales, el artículo 38, de la sede electrónica, el artículo 46, de archivo electrónico de documentos, el artículo 155, sobre transmisiones de datos entre Administraciones Públicas y el artículo 156 sobre el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica estableció los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información. En concreto, en su artículo 11 exige que todos los órganos superiores de las Administraciones Públicas dispongan formalmente de su política de seguridad, que se aprobará por el titular del órgano superior correspondiente, se establecerá con base en los principios básicos recogidos en su capítulo II (seguridad integral, gestión de riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica, y función diferenciada) y desarrollará una serie de requisitos mínimos previstos en su artículo 11.1.

El Reglamento de actuación y funcionamiento del sector público por medios electrónicos, aprobado por el Real Decreto 203/2021, de 30 de marzo, desarrolla la Ley 39/2015, de 1 de octubre, y la Ley 40/2015, de 1 de octubre, en lo referente a la actuación y funcionamiento electrónico del sector público. Establece como principio general el principio de proporcionalidad, en cuya virtud sólo se exigirán las garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los distintos trámites y actuaciones electrónicos. En relación con la ciberseguridad y la seguridad de las redes y sistemas de información, establece tanto los sistemas de identificación, firma y verificación de las Administraciones Públicas como los de los interesados en los procedimientos, así como las características y forma de aprobación y de autorización de los sistemas de clave concertada o cualquier otro sistema que las Administraciones Públicas consideren válido para la identificación electrónica de las personas. El nivel de seguridad en la identificación electrónica exigido en los procedimientos y servicios se deberá definir y publicar en la sede electrónica, de acuerdo con el Reglamento (UE) n.º 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE. Este nivel de seguridad en la identificación electrónica del sistema de información que soporta el procedimiento o servicio se determinará sobre la base del análisis de riesgos, de acuerdo con el Esquema Nacional de Seguridad y la normativa correspondiente. La disposición adicional primera del Real Decreto 4/2010, de 8 de enero modificado por el Real Decreto 203/2021, establece el desarrollo del Esquema Nacional de Interoperabilidad, a través de una serie de normas técnicas de interoperabilidad que serán de obligado cumplimiento por parte de las Administraciones Públicas. La disposición adicional tercera del reglamento citado crea el nodo de interoperabilidad de identificación electrónica del Reino de España para el reconocimiento mutuo de identidades electrónicas entre los Estados miembros, de acuerdo con lo previsto en el Reglamento (UE) n.º 910/2014, de 23 de julio de 2014.

Por otra parte, la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española. El artículo 24 del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) establece como obligaciones generales del responsable y del encargado del tratamiento la aplicación de las medidas técnicas y organizativas apropiadas, entre las que se encuentran las oportunas políticas de protección de datos, que cumplan en particular los principios de protección de datos desde el diseño y por defecto.

Asimismo, el artículo 32 del Reglamento general de protección de datos atribuye al responsable y encargado del tratamiento responsabilidades en materia de seguridad de los datos personales, si bien con un enfoque distinto al aplicado para la seguridad de la información porque los activos a proteger son los derechos y libertades de las personas.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, dedica el capítulo tercero del título V, a la figura del Delegado de Protección de Datos, y se refiere al artículo 37.1 del Reglamento que señala que «el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial».

Por su parte, las guías publicadas por el Centro Criptológico Nacional, CCN-STIC 801, sobre responsabilidades y funciones en el ENS, y la CCN-STIC 881, Impacto del Reglamento General de Protección de Datos en el ENS, orientan hacia un planteamiento conjunto de la protección de datos y la seguridad de la información.

Adicionalmente, la Ley 10/2021, de 9 de julio, de trabajo a distancia, regula los derechos de los trabajadores en relación con el uso de medios tecnológicos y digitales. En su artículo 20 determina que, las personas trabajadoras, en el desarrollo del trabajo a distancia, deberán cumplir las instrucciones que haya establecido la empresa en el marco de la legislación sobre protección de datos y sobre seguridad de la información específicamente fijadas por la empresa.

Particularmente en la actualidad, cuando el teletrabajo y las relaciones de carácter remoto con los ciudadanos se han intensificado en la actividad administrativa, es tan indispensable como urgente dar a conocer a la ciudadanía en general y a los empleados públicos en particular el contenido de las políticas de seguridad y de privacidad que se vienen aplicando, en el ámbito de la administración electrónica, en el Ministerio de Universidades.

Por otra parte, el Real Decreto 806/2014, de 19 de septiembre, sobre organización e instrumentos operativos de las tecnologías de la información y las comunicaciones en la Administración General del Estado y sus Organismos Públicos, creó las Comisiones Ministeriales de Administración Digital como órganos colegiados «encargados de impulsar la transformación digital de la Administración de acuerdo con una Estrategia común en el ámbito de las Tecnologías de la Información y las Comunicaciones».

La disposición transitoria segunda del citado Real Decreto 806/2014, de 19...