Cóctel de Contratación Pública, LOPDGDD y ENS. Ingredientes problemáticos. Parte I.

"Cóctel de Contratación Pública, LOPDGDD y ENS. Ingredientes problemáticos. Parte I." artículo de Renato Aquilino Pujol en la seccion "Marcos y Normas" de la edición de diciembre de la Revista Mensual Tecnología y Sentido Común TYSC

La contratación pública de productos y servicios afectados por el Esquema Nacional de Seguridad (Real Decreto 311/2022 de 3 de mayo, ENS en adelante) está generando situaciones rocambolescas, impugnaciones de concursos y una inseguridad manifiesta para licitadores y  licitantes.

LAS EMPRESAS PRIVADAS Y EL ENS DENTRO DEL ENS

En el artículo 2-Ámbito de aplicación del ENS se incluyen explícitamente requerimientos de cumplimiento del ENS para “los sistemas de información de las entidades del sector privado, …, cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público …”.

Dentro de esta mismo artículo se enlaza directamente con la contratación pública cuando se requiere que:

“…los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS…”

La necesidad de contemplar el ENS en la contratación pública queda así explicitada en el propio texto normativo, con poco margen para la interpretación, pero esto no es todo.

LAS EMPRESAS PRIVADAS Y EL ENS DENTRO DE LA LOPDGDD

La Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) intenta resolver en su Disposición adicional primera una “carencia” del Reglamento (UE) 2016/679 (RGPD) en cuanto a la concreción de las medidas de seguridad a aplicar.

Recordemos que el Real Decreto 1720/2007, Reglamento de desarrollo de la antigua Ley 15/1999 (LOPD), contenía en su Titulo VIII un conjunto de medidas de seguridad concretas que orientaban su implementación y, con ello, facilitaban el cumplimiento del requerimiento de securización. En la redacción de la LOPDGDD el legislador optó por señalar el ENS como marco de referencia para las medidas de seguridad a implantar, incluyendo una previsión para el sector privado:

“… En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad”.

La intención del legislador era elogiable al ofrecer un marco normativo con un amplio conjunto de medidas de seguridad enumeradas en su Anexo…

Continuar leyendo…

Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad