(Continuamos hoy con la segunda y última entrega de la entrevista a Eusebio Moya, Jefe de la Unidad de Protección de Datos en la Diputación de Valencia, cuya primera parte publicamos el pasado viernes)
7. ¿La Diputación está contemplando la posibilidad de un proyecto de adecuación conjunto para Ayuntamientos?
Desde luego. La Diputación es plenamente consciente de las grandes dificultades que para los ayuntamientos de la provincia supone la adecuación al ENS. Como acabo de decir anteriormente, los municipios, sobre todo los de menor tamaño y recursos, presentan un conjunto de deficiencias estructurales que les impiden afrontar por si mismos proyectos como el que nos ocupa. Las entidades públicas mayores de su territorio, como la Generalitat y, muy especialmente, las Diputaciones, deben prestar todo el apoyo posible para ello.
En este sentido, la Diputación va a poner a disposición de los ayuntamientos de menores recursos un programa para llevar a cabo los aspectos fundamentales de adecuación al ENS. Dicho programa se encuentra en un nivel de diseño muy avanzado y esperamos poder presentarlo a la mayor brevedad posible a los destinatarios. Tendrá un alcance de legislatura y se desarrollará a lo largo del período comprendido entre 2011 y enero de 2014, que es el plazo máximo que contempla el ENS para la adecuación en el ámbito de la administración local y autonómica.
8. Y ahora una pregunta rápida, ¿Qué entiende por SISTEMA de acuerdo con el Esquema Nacional de Seguridad? Pongamos un ejemplo que afecte a la Diputación…
El ENS contienen una definición meridianamente clara sobre lo que debe entenderse por sistema de información, que es el conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
Por tanto un sistema de información bajo aplicación del ENS verá afectados todos los elementos que intervienen en el ciclo vital de la información: personas, mecanismos, programas informáticos, soportes, canales de transmisión, etc, tanto si esos elementos forman parte o están integrados en la propia organización como si pertenecen, en todo o en parte, a terceros.
En la Diputación, un ejemplo de sistema de información puede ser el de gestión tributaria, constituido por todos los elementos que, de forma organizada, intervienen en el ciclo vital de la información requerida para cumplir el objetivo tributario.
9. ¿Cómo establece la frontera entre un servicio afectado por el cumplimiento del ENS y uno que no lo está? ¿Se limita a los servicios prestados a través de la sede electrónica?
Esta es una cuestión muy interesante y controvertida y, desgraciadamente, como suele ocurrir con las cuestiones de esta naturaleza, se suele pasar de puntillas y se ha tratado poco. Observo como habitualmente se establece una equivalencia entre aplicación del ENS y servicios prestados en sede electrónica, de forma que parece que el ámbito de aplicación del ENS se circunscriba exclusivamente a dichos servicios. Y esto es absolutamente falso.
En primer lugar, hay que recordar que el ámbito de aplicación del ENS es el mismo que el de la LAECSP, es decir, resulta de aplicación no sólo a las relaciones de los ciudadanos con las AAPP, sino también a las relaciones entre las propias AAPP y a la utilización por éstas de las tecnologías de la información sobre datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.
En segundo lugar, la sede electrónica es un concepto legal, que coincidirá, eso sí, en la mayor parte de los casos, con un portal web en Internet. Pero no hay que olvidar que también pueden utilizarse otros medios telemáticos o electrónicos, como la mensajería electrónica, los SMS o la TDT interactiva, por ejemplo, para relacionarse con los ciudadanos.
Por tanto, a priori, para la determinación de si un servicio se ve afectado por lo dispuesto en el ENS habrá que atender a dos criterios: uno, el de fondo o funcional, que coincidirá con el ámbito de aplicación de la LAECSP al que me refería anteriormente; y otro, el instrumental, que nos dirá si se trata de un servicio tratado mediante tecnologías de la información.
Ahora bien, debemos descartar aquellos servicios que, aun cumpliendo las dos premisas básicas anteriores, se encuentran excluidos de alguna forma por la propia normativa. A saber, sistemas de información que traten información clasificada bajo la regulación de la Ley 9/1968, de Secretos Oficiales, y sus normas de desarrollo; los afectos a actividades que se desarrollen en régimen de derecho privado; y, por último, los sistemas no relacionados con el ejercicio de derechos ni con el cumplimiento de deberes por medios electrónicos, ni con el acceso por medios electrónicos de los ciudadanos a la información y al procedimiento administrativo. En este último supuesto hay que matizar que la exclusión es una potestad de cada AAPP.
10. El análisis de riesgos se ha convertido en una necesidad para la adecuación al ENS, ¿se decanta por alguna metodología en concreto?
Efectivamente, el análisis de riesgos y su posterior gestión es un elemento consustancial al ENS. Cualquiera de las metodologías existentes y contrastadas, del tipo UNE 71504 o similares, puede servir para cumplimentar perfectamente dicho análisis.
No obstante, me decanto por MAGERIT, no solo por tratarse de una herramienta con amplia tradición en el ámbito de la AAPP, sino por ser de elaboración netamente nacional, accesible de modo gratuito por cualquiera y siempre actualizada, además de haber integrado todos los elementos específicos para el ENS.
11. En última instancia, y poniendo punto y final a esta entrevista, ¿Cuál es la parte más complicada a la hora de abordar la adecuación al ENS por parte de una AAPP?
Es difícil señalar o reseñar algún aspecto en concreto. Depende del estado de partida de cada organización el que se le compliquen más o menos determinados aspectos. Tomando como ejemplo las EELL, resulta evidente que la precariedad de medios va a condicionar mucho la adecuación. Téngase en cuenta, por poner un ejemplo, la instauración de la estructura organizativa necesaria –responsables de la información, del servicio, de seguridad, etc- En muchos ámbitos locales esto va a resultar realmente complicado, teniendo en cuenta, además, la separación necesaria de funciones a la que obliga el ENS. Y esta estructura es la que debe garantizar el cumplimiento, la supervisión y el control posteriores.
En general, y sin perjuicio de lo comentado, en mi opinión lo verdaderamente complicado es hacer que, una vez superados los niveles iniciales de adecuación, la organización consolide y mantenga el modelo deseado por el ENS, que no es otro que un sistema de gestión de seguridad de la información. La mentalización, la formación, la habilitación de controles y su seguimiento, y la mejora continua son elementos indispensables para que ello se cumpla.