Después de más de 7 meses de la entrada en vigor de la aplicación del RGPD, la mayoría de las Administraciones Públicas y muchas de las empresas privadas que trabajan para ellas en procesos críticos, como vigilancia de la red, seguridad perimetral, mantenimiento y soporte de sistemas, desarrollo y/o mantenimiento de aplicaciones, se enfrentan actualmente al reto de integrar su adaptación al RGPD con su declaración o certificación de conformidad con el Esquema Nacional de Seguridad, ENS.
El RGPD y el ENS exigen demostrar conformidad y comparten requisitos regulatorios basados en la exigencia de realizar un análisis de riesgos y en implantar medidas enfocadas a mitigar los riesgos identificados.
Dado que el RGPD no establece medidas técnicas para tratar los riesgos en privacidad, sino que las deja sujetas a la responsabilidad proactiva de cada responsable o encargado de tratamiento, para muchos responsables de tratamiento esta definición de medidas puede no ser trivial. Esto está ocurriendo en algunas empresas a pesar de disponer de medidas establecidas por estándares de seguridad como puede ser la ISO 27001. En cambio, para otras empresas y sus clientes en la Administración Pública parece tarea más sencilla, ya que la nueva Ley Orgánica de Protección de datos Personales y garantía de los derechos digitales ya aprobada y publicada en el BOE el 6 de diciembre, regula en su Disposición adicional primera (“Medidas de seguridad en el ámbito del sector público”) que el Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales y que las AAPP deberán aplicar a los tratamientos dichas medidas, así como impulsar un grado de implementación de medidas equivalentes en las empresas que les presten servicios.
Sin embargo, la realidad es que tampoco es tan fácil ya que adicionalmente a las medidas del ENS también hay que aplicar las medidas de seguridad necesarias derivadas del análisis de riesgos. Dado que el ENS no regula, entre otras cosas, lo que hay que hacer con el tan temido papel que sabemos que aún abunda en las AAPP, las medidas a aplicar por el ENS pueden no abarcar todos los medios que se utilizan para los tratamientos de datos personales realizados.
Por su parte, la nueva Ley Orgánica tiene además otras exigencias adicionales para las AAPP, como la publicación de un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal (art. 31).
Además, el artículo 8.2 establece que el tratamiento de datos personales “solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del RGPD, cuando derive de una competencia atribuida por una norma o rango de ley (art. 8)“. Es por ello, que en el registro de actividades de tratamiento se debe reflejar, no sólo la base legal sino también la ley que aplique.
Por si todo lo anterior fuera poco, en el añadido Título X dedicado a la garantía de los derechos digitales, se encuentra el artículo 87, que regula el Derecho a la intimidad y al uso de dispositivos en el ámbito digital. Destacar que los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador, que éste podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos y establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente, en cuya elaboración deberán participar los representantes de los trabajadores.
El acceso por el empleador al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, tales como, en su caso, la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados.
Esta disposición también dificulta la aplicación de las medidas del ENS, dado que se antoja difícil establecer medidas técnicas que garanticen la integridad de los dispositivos digitales y al mismo tiempo respeten los estándares mínimos de protección de la intimidad de los individuos, ya que el límite entre el uso privado y con fines laborales puede ser muy difuso, si no hay establecidas normativas concretas al respecto o si las normas existentes dejan cierto margen de flexibilidad.
Pero hay una buena noticia, y es que el Centro Criptológico Nacional junto con la Agencia Española de Protección de Datos, está elaborando la Guía CCN-STIC 881 Impacto del RGPD en el ENS, que será publicada en breves fechas, cuyo objetivo es establecer un Modelo de Evaluación Combinado que facilite a las entidades del Sector Público la aplicación simultánea de ambas regulaciones, los requisitos de evaluación, y que permita la obtención de las adecuadas exigencias de conformidad.
Esperamos que también sirva de ayuda a las empresas privadas que por exigencia en los pliegos de contratación o simplemente por ventaja competitiva, tengan que seguir el mismo camino.