Art. [preambulo]
En vigor desde 24 nov 2024
El marco de relación entre la Administración Pública y la ciudadanía a través de los medios electrónicos se encuentra establecido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Por su parte, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, define en su artículo 156 el objeto del Esquema Nacional de Seguridad y lo incorpora como parte esencial en la configuración del archivo electrónico de los documentos regulado en el artículo 46 y en el régimen de relaciones electrónicas y transferencias de tecnología entre las Administraciones Públicas, tal como establece su artículo 158.
Ambas normas han sido objeto de desarrollo en virtud del Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.
La Administración Digital debe ser confiable para que la ciudadanía realice los trámites administrativos correspondientes con total seguridad y fiabilidad. Para ello, el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas. El fundamento jurídico de esta orden se encuentra en el artículo 12 del mismo, que establece que cada administración pública contará con una política de seguridad formalmente aprobada por el órgano competente, y, en el caso de la Administración General del Estado, cada ministerio contará con su política de seguridad, que aprobará la persona titular del departamento, lo que enlaza con los principios de necesidad, seguridad jurídica y transparencia.
El Real Decreto 829/2023, de 20 de noviembre, por el que se reestructuran los departamentos ministeriales, atribuye en su artículo 21 al Ministerio de Inclusión, Seguridad Social y Migraciones la propuesta y ejecución de la política del Gobierno en materia de Seguridad Social y clases pasivas, así como la elaboración y el desarrollo de la política del Gobierno en materia de extranjería, inmigración y emigración y de políticas de inclusión. Con posterioridad, el Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales, estableció en su artículo 20 la estructura del Ministerio de Inclusión, Seguridad Social y Migraciones hasta el nivel orgánico de dirección general. Recientemente, se ha determinado la estructura orgánica básica de este departamento ministerial por el Real Decreto 501/2024, de 21 de mayo, por el que se desarrolla la estructura orgánica básica del Ministerio de Inclusión, Seguridad Social y Migraciones, y se modifica el Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales.
Esta Política de Seguridad de la Información (en adelante PSI) es el instrumento en que se apoya el Ministerio de Inclusión, Seguridad Social y Migraciones para alcanzar sus objetivos utilizando de forma segura los sistemas de información y las comunicaciones. La seguridad, concebida como proceso integral, comprende todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información y las comunicaciones y debe entenderse no como un producto sino como un proceso continuo de adaptación y mejora, que debe ser controlado, gestionado y monitorizado, implementando la cultura de la seguridad en el Ministerio.
La PSI constituye el marco de referencia orientado a facilitar la definición, gestión, administración e implementación de los mecanismos y procedimientos de seguridad establecidos en el Esquema Nacional de Seguridad. Identifica responsabilidades y establece principios y directrices para una protección adecuada y consistente de los servicios y activos de información gestionados por medio de las Tecnologías de la Información y de las Comunicaciones.
Del mismo modo, el Real Decreto 311/2022, de 3 de mayo, determina que la PSI debe ser coherente con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y la normativa vigente en esta materia, prevaleciendo éstos en lo relativo a la protección de datos de carácter personal en caso de discrepancias.
En este sentido, la entrada en vigor del citado Reglamento Europeo (UE) 2016/679, y de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, plantea nuevos retos, así como la necesidad de dar un nuevo enfoque al tratamiento de datos de carácter personal. De este modo, para garantizar su adecuada implantación resulta necesario intensificar la labor de coordinación con el resto de las normas de obligatoria implantación en la organización, especialmente con el Esquema Nacional de Seguridad, buscando sinergias en el desarrollo de ambas. Para garantizar la coordinación en la implantación de estas normativas se deberá procurar que:
a) El cumplimiento del Esquema Nacional de Seguridad y la legislación de protección de datos estén alineados, apoyándose mutuamente en el caso de los sistemas de información que tratan datos de carácter personal.
b) Los planes de concienciación y formación que se definan contengan contenidos comunes en el ámbito de los tratamientos de datos de carácter personal.
c) Se establezca la correspondencia entre los tratamientos de datos de carácter personal y los sistemas de información identificados en el Esquema Nacional de Seguridad que incluyan datos de carácter personal, buscando unificar en una única declaración los requisitos y medidas de seguridad y de protección de los datos personales que son necesarios para cumplir con ambas normas.
d) Las auditorías de cumplimiento en particular y las revisiones de seguridad en general que incluyan controles de ambas normas, se efectúen de manera conjunta.
e) Se lleve a cabo una designación común de las responsabilidades, así como una relación con los organismos reguladores y de coordinación.
La PSI es de obligado cumplimiento para todo el personal que acceda a los sistemas de información o a la información del departamento, para sus órganos superiores y directivos que no tengan establecida su propia política de seguridad y para los aspectos no tratados en dichas políticas de seguridad particulares.
Esta orden se estructura en veinte artículos, tres disposiciones adicionales, dos disposiciones derogatorias y dos disposiciones finales. La disposición derogatoria primera deroga, en lo que afecta a las competencias del Ministerio de Inclusión, Seguridad Social y Migraciones, la Orden TIN/3016/2011, de 28 de octubre, por la que se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración, y la Orden comunicada de la Ministra de Empleo y Seguridad Social, de 30 de julio de 2012, por la que se aprueba la Política de Seguridad de los Sistemas de Información del Ministerio de Empleo y Seguridad Social. También se deroga en la disposición derogatoria segunda la Orden ISM/254/2021, de 16 de marzo, por la que se crea y regula la Comisión Asesora de Estudios y se establece la regulación del Programa anual de Estudios del departamento, por tratarse de otra norma de naturaleza organizativa de acuerdo con las competencias de la Subsecretaría de Inclusión, Seguridad Social y Migraciones previstas en el Real Decreto 501/2024, de 21 de mayo.
La norma se ajusta a los principios de buena regulación contenidos en el artículo 129 de la Ley 39/2015, de 1 de octubre. En concreto, se adecúa a los principios de necesidad y eficacia puesto que, con la aprobación de la norma, se dota al departamento ministerial de un marco que garantiza la seguridad en la utilización de sus activos de información.
Asimismo, es también adecuada al principio de proporcionalidad, en cuanto se trata de una norma puramente organizativa que, en consecuencia, no restringe derechos ni libertades ni impone obligaciones.
Igualmente, a la vista de su objeto y contenido se considera cumplido el principio de eficiencia en la medida en que la norma prevé que los medios personales y financieros a utilizar son los ya existentes en el ministerio y, además, no se imponen cargas administrativas ni se afecta a las existentes.
Finalmente, se ajusta al principio de seguridad jurídica, pues resulta plenamente coherente con el resto del ordenamiento jurídico, y se da cumplimiento al principio de transparencia al quedar claramente delimitados los objetivos y fines perseguidos por esta orden ministerial.
En el proceso de su tramitación se han recabado informes de la Comisión Permanente de la Comisión Ministerial de Administración Digital del Ministerio de Inclusión, Seguridad Social y Migraciones, del delegado de protección de datos y de la Secretaría General Técnica del mismo ministerio, así como de la Agencia Española de Protección de Datos.
En su virtud, con la aprobación previa del Ministro para la Transformación Digital y de la Función Pública, dispongo:
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli/es/o/2024/11/18/ism1320#preambulo-pr