Art. [preambulo]
En vigor desde 13 nov 2021
La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13, sobre derechos de las personas en sus relaciones con las Administraciones Públicas, el relativo a la protección de datos de carácter personal y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. Por otra parte, en su artículo 17.3, sobre el archivo de documentos, se indica que «Los medios o soportes en que se almacenen documentos, deberán contar con medidas de seguridad, de acuerdo con lo previsto en el Esquema Nacional de Seguridad (ENS), que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados. En particular, asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos».
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos. Dichos medios deben asegurar la interoperabilidad y seguridad de los sistemas y soluciones adoptadas, garantizarán la protección de los datos de carácter personal y facilitarán preferentemente la prestación conjunta de servicios a los interesados. En este sentido, destacan las previsiones contenidas en el artículo 3, de principios generales, el artículo 38, de la sede electrónica, el artículo 46, de archivo electrónico de documentos, el artículo 155, sobre transmisiones de datos entre Administraciones Públicas y el artículo 156 sobre el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad.
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica estableció los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información. En concreto, en su artículo 11 exige que todos los órganos superiores de las Administraciones Públicas dispongan formalmente de su política de seguridad, que se aprobará por el titular del órgano superior correspondiente, se establecerá con base en los principios básicos recogidos en su capítulo II (seguridad integral, gestión de riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica, y función diferenciada) y desarrollará una serie de requisitos mínimos previstos en su artículo 11.1.
El Reglamento de actuación y funcionamiento del sector público por medios electrónicos, aprobado por el Real Decreto 203/2021, de 30 de marzo, desarrolla la Ley 39/2015, de 1 de octubre, y la Ley 40/2015, de 1 de octubre, en lo referente a la actuación y funcionamiento electrónico del sector público. Establece como principio general el principio de proporcionalidad, en cuya virtud sólo se exigirán las garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los distintos trámites y actuaciones electrónicos. En relación con la ciberseguridad y la seguridad de las redes y sistemas de información, establece tanto los sistemas de identificación, firma y verificación de las Administraciones Públicas como los de los interesados en los procedimientos, así como las características y forma de aprobación y de autorización de los sistemas de clave concertada o cualquier otro sistema que las Administraciones Públicas consideren válido para la identificación electrónica de las personas. El nivel de seguridad en la identificación electrónica exigido en los procedimientos y servicios se deberá definir y publicar en la sede electrónica, de acuerdo con el Reglamento (UE) n.º 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE. Este nivel de seguridad en la identificación electrónica del sistema de información que soporta el procedimiento o servicio se determinará sobre la base del análisis de riesgos, de acuerdo con el Esquema Nacional de Seguridad y la normativa correspondiente. La disposición adicional primera del Real Decreto 4/2010, de 8 de enero modificado por el Real Decreto 203/2021, establece el desarrollo del Esquema Nacional de Interoperabilidad, a través de una serie de normas técnicas de interoperabilidad que serán de obligado cumplimiento por parte de las Administraciones Públicas. La disposición adicional tercera del reglamento citado crea el nodo de interoperabilidad de identificación electrónica del Reino de España para el reconocimiento mutuo de identidades electrónicas entre los Estados miembros, de acuerdo con lo previsto en el Reglamento (UE) n.º 910/2014, de 23 de julio de 2014.
Por otra parte, la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española. El artículo 24 del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) establece como obligaciones generales del responsable y del encargado del tratamiento la aplicación de las medidas técnicas y organizativas apropiadas, entre las que se encuentran las oportunas políticas de protección de datos, que cumplan en particular los principios de protección de datos desde el diseño y por defecto.
Asimismo, el artículo 32 del Reglamento general de protección de datos atribuye al responsable y encargado del tratamiento responsabilidades en materia de seguridad de los datos personales, si bien con un enfoque distinto al aplicado para la seguridad de la información porque los activos a proteger son los derechos y libertades de las personas.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, dedica el capítulo tercero del título V, a la figura del Delegado de Protección de Datos, y se refiere al artículo 37.1 del Reglamento que señala que «el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial».
Por su parte, las guías publicadas por el Centro Criptológico Nacional, CCN-STIC 801, sobre responsabilidades y funciones en el ENS, y la CCN-STIC 881, Impacto del Reglamento General de Protección de Datos en el ENS, orientan hacia un planteamiento conjunto de la protección de datos y la seguridad de la información.
Adicionalmente, la Ley 10/2021, de 9 de julio, de trabajo a distancia, regula los derechos de los trabajadores en relación con el uso de medios tecnológicos y digitales. En su artículo 20 determina que, las personas trabajadoras, en el desarrollo del trabajo a distancia, deberán cumplir las instrucciones que haya establecido la empresa en el marco de la legislación sobre protección de datos y sobre seguridad de la información específicamente fijadas por la empresa.
Particularmente en la actualidad, cuando el teletrabajo y las relaciones de carácter remoto con los ciudadanos se han intensificado en la actividad administrativa, es tan indispensable como urgente dar a conocer a la ciudadanía en general y a los empleados públicos en particular el contenido de las políticas de seguridad y de privacidad que se vienen aplicando, en el ámbito de la administración electrónica, en el Ministerio de Universidades.
Por otra parte, el Real Decreto 806/2014, de 19 de septiembre, sobre organización e instrumentos operativos de las tecnologías de la información y las comunicaciones en la Administración General del Estado y sus Organismos Públicos, creó las Comisiones Ministeriales de Administración Digital como órganos colegiados «encargados de impulsar la transformación digital de la Administración de acuerdo con una Estrategia común en el ámbito de las Tecnologías de la Información y las Comunicaciones».
La disposición transitoria segunda del citado Real Decreto 806/2014, de 19 de septiembre, prevé la regulación de las Comisiones Ministeriales de Administración Digital mediante las correspondientes órdenes ministeriales.
Por su parte, en la disposición adicional cuarta, sobre «Actuaciones en materia de tecnologías de la información y las comunicaciones», del Real Decreto 431/2020, de 3 de marzo, por el que se desarrolla la estructura orgánica básica del Ministerio de Universidades, se indica que se promoverá la consolidación de los recursos humanos, económico-presupuestarios, técnicos y materiales vinculados en materia de tecnologías de la información y las comunicaciones. Por ello, se propone un órgano que coordine las unidades de tecnologías de la información y las comunicaciones de los organismos autónomos, dentro del Ministerio.
El Ministerio de Universidades ha optado por adoptar una política conjunta de seguridad de la información y protección de datos que permita recoger y delimitar con claridad las responsabilidades y funciones en los dos ámbitos, de forma que se aborden tanto las cuestiones comunes como aquellas que resultan propias de cada uno de ellos.
Por todo lo anterior, mediante esta orden ministerial se procede a la aprobación de la política de seguridad y de protección de datos del departamento y a la creación de la Comisión Ministerial de Administración Digital del Ministerio de Universidades y a regular su composición y funciones.
En la elaboración de la orden se han cumplido los principios de buena regulación recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y, en particular, los principios de necesidad y eficiencia, pues se trata del instrumento más adecuado para garantizar una política de seguridad en la utilización de medios electrónicos y de protección de datos que permita una adecuada protección de la información dentro del Ministerio, a cuya ejecución coadyuva la creación de la Comisión Ministerial de Administración Digital. También se adecua al principio de proporcionalidad, pues no existe otra alternativa menos restrictiva de derechos o de obligaciones. En cuanto a los principios de seguridad jurídica y transparencia, la norma es coherente con el resto del ordenamiento jurídico y se ha procurado la participación de las partes interesadas, evitando cargas administrativas innecesarias o accesorias.
En su virtud, con la aprobación previa de la Ministra de Hacienda y Función Pública, dispongo:
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli/es/o/2021/11/05/uni1231#preambulo-pr