ESTUDIO DE LAS AFECTACIONES NORMATIVAS La Unidad Administrativa (UAD) que promueve la licitación debe realizar un estudio previo a la redacción de los pliegos donde se determine la afectación del objeto de la licitación en materia de tratamientos de datos personales y/o cuestiones de seguridad dentro del alcance del Esquema Nacional de Seguridad (ENS). En esta fase debe participar el responsable de la UAD, el rol Delegado de Protección de Datos (DPD) y roles del ENS como Responsable de Seguridad (RSEG) y Responsable del Sistema (RSIS). El estudio debe analizar no solo la posible afectación sobre RGPD, LOPDGDD y ENS en base a sus ámbitos de aplicación y alcance sino también un análisis de riesgos de naturaleza jurídica y técnica, específico para la entidad contratante concreta y el objeto de la licitación, identificando los requerimientos que deben trasladarse a los pliegos.
En la práctica, dicho estudio se realiza en contadas ocasiones, resultando en requerimientos inconsistentes con la realidad del Organismo público contratante, lo que puede afectar a la redacción de los pliegos y a la ejecución posterior del proyecto.
Es normal encontrar pliegos cuyos requerimientos se han basado únicamente en guías del Centro Criptológico Nacional (CCN) para las valoraciones ENS aplicables a los servicios e informaciones corporativas en los que, esgrimiendo “CCN dixit”, no evalúan su situación particular, evaluación que puede influir sobre el planteamiento del PPT.
Particularmente cuestionables son las guías CCN-STIC 890-A-C – “Requisitos Esenciales de Seguridad” ya que,siendo muy loable su objetivo, incluyen en nivel BAJO de las dimensiones de seguridad del ENS servicios (en las EELL) tan sensibles como Policía Local o Servicios Sociales, sin especificar el análisis de riesgos efectuado para derivar tal calificación y sin incluir criterios de la Agencia Española de Protección de Datos (AEPD) al respecto. Por mi parte, estoy convencido de que la AEPD cuestionaría seriamente estos criterios del CCN.
Estas Guías están dedicadas a facilitar las certificaciones sobre ENS de los sistemas de información de los Organismos públicos considerándolos de categoría BÁSICA, forzando las costuras de las valoraciones de los servicios que los componen y la información que tratan, olvidando el artículo 3 del ENS –Sistemas de información que traten datos personales, el cual deja muy clarito y diáfano que, en estos casos, debe realizarse un análisis de riesgos (y una Evaluación de Impacto si procede) y, explícitamente, requiere la adopción de medidas complementarlas a las del ENS si éstas fueran insuficientes. Si alguien considera que los datos personales que maneja, p.e., Servicios Sociales (violencia de género, conductas adictivas, menores, etc) merecen el nivel BAJO en confidencialidad e integridad … apaga y vámonos.
Por tanto, no es suficiente copiar-pegar criterios de una guía del CCN para determinar los niveles de seguridad a conseguir ni para identificar los requerimientos en materia de seguridad exigibles a las entidades licitantes, dado que la inmensa mayoría de servicios corporativos incluyen tratamientos de datos personales y deben analizarse desde esta perspectiva en el Organismo concreto…
Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.