Seguridad en los equipos informáticos municipales y en los datos de las personas: LOPD, ENS y otras medidas

A mayor desarrollo informático mayor necesidad de seguridad en las comunicaciones y en el manejo de datos. La Ley de transparencia no hace sino subrayar la anterior afirmación, ya que su art. 15 establece ciertas limitaciones derivadas de la protección de datos en relación al derecho de acceso a la información, ponderando este derecho con el de la intimidad de las personas. Veamos brevemente qué obligaciones tienen los Ayuntamientos en aplicación de la LOPD y del ENS en este sentido -recordemos que el ENS va más allá de la LOPD porque busca no solo la seguridad de los datos (confidencialidad), sino también la seguridad informática del sistema frente a posibles amenazas y ataques-; así como un caso muy concreto relativo a la intimidad, en este caso de los empleados públicos: ¿se pueden controlar sus navegaciones?

Documento de seguridad de la LOPD

El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal, (LOPD) establece en su punto 1 que “el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.

El Real Decreto 1720/2007, de 21 de diciembre, aprobó el Reglamento de desarrollo de la LOPD que, en su Título VIII, establece las medidas de índole técnico y organizativo que los responsables de los tratamiento o los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.

Entre estas medidas, se encuentra la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal (fuente: www.agpd.es).

Documento de seguridad del ENS – Aprobación de un documento de política de seguridad del Ayuntamiento

En el presente, un Ayuntamiento depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

La adecuación al ENS es una de esas cosas importantes que debemos hacer y algunos eluden
La adecuación al ENS es una de esas cosas importantes que debemos hacer y algunos eluden

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Es por ello que el Esquema Nacional de Seguridad (Real Decreto 3/2010 de 8 de Enero, ENS en adelante), en su artículo 11 establece que “Todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente”.

Esto implica que las diferentes áreas del Ayuntamiento deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Todas las áreas deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC. Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 7 del ENS. (fuente: Documento de seguridad del Ayuntamiento de Alzira).

¿Puede controlar el Ayuntamiento las navegaciones por Internet de sus empleados?

La STS de 26 Sep. 2007, rec. 966/2006 aborda la posible extralimitación del control empresarial en el uso del ordenador consistente en continuar examinando el mismo tras su reparación por un virus informático y encontrar archivos temporales de páginas pornográficas visitadas por Internet. La empresa procedió al despido de trabajador al que, al reparar su ordenador por un virus, se le encuentran archivos temporales de páginas pornográficas visitadas por Internet. El Tribunal entra así en la determinación de los límites del control empresarial sobre un ámbito que, aunque vinculado al trabajo, pueda afectar a la intimidad del trabajador. El control del uso del ordenador facilitado al trabajador por el empresario no se regula por el artículo 18 sino por el artículo 20.3 del Estatuto de los Trabajadores. Se entiende que la actuación empresarial en lugar de limitarse al control y eliminación del virus siguió con el examen del ordenador si la cobertura de la necesaria existencia de información a los trabajadores de prohibiciones absolutas o parciales en el uso del ordenador. En consecuencia el Tribunal Supremo desestima el recurso de casación para la unificación de doctrina interpuesto por la empresa contra la sentencia del TSJ Galicia dictada en recurso de suplicación contra la sentencia de instancia que declaró la improcedencia del despido de un trabajador.

En definitiva, lo que debe hacer la empresa (considérese al Ayuntamiento empresa a estos efectos) en estos casos es «establecer previamente las reglas de uso de esos medios -con aplicación de prohibiciones absolutas o parciales- e informar a los trabajadores de que va a existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos, así como de las medidas que han de adoptarse en su caso para garantizar la efectiva utilización laboral del medio cuando sea preciso, sin perjuicio de la posible aplicación de otras medidas de carácter preventivo, como la exclusión de determinadas conexiones (…) De esta manera, si el medio se utiliza para usos privados  en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado “una expectativa razonable de intimidad” en los términos que establecen las sentencias del Tribunal Europeo de Derechos Humanos de 25 de junio de 1997 (caso Halford) y 3 de abril de 2007 (caso Copland) para valorar la existencia de una lesión del art. 8 del Convenio Europeo para la protección de los Derechos Humanos». En la Administración parece aún más conveniente el establecimiento expreso de este tipo de prohibiciones, ya que, como se ha indicado, la empresa —entiéndase, el Ayuntamiento— ni siquiera dispone de la cobertura del citado art. 20.3 TRET, salvo por lo que respecta al personal laboral, es decir, una minoría dentro de la Plantilla. Vemos pues como el establecimiento de políticas de seguridad también puede (o incluso debe) abarcar estos aspectos internos del uso de los equipos por parte de los empleados, los cuales al menos deben conocer las políticas de restricciones de la empresa a estos efectos (firewall y otras medidas).

Anuncios

One thought on “Seguridad en los equipos informáticos municipales y en los datos de las personas: LOPD, ENS y otras medidas

  1. RESOLUCIÓN DE LA AEPD DE 9 DE MAYO DE 2014, DE DECLARACIÓN DE ADECUACIÓN DE GARANTÍAS PARA LAS TRANSFERENCIAS INTERNACIONALES DE DATOS A ESTADOS UNIDOS CON MOTIVO DE LA PRESTACIÓN DE SERVICIOS DE COMPUTACIÓN EN LA NUBE

    Hablando de seguridad y cloud computing: Microsoft ha conseguido un informe de la AEPD sobre la cuestión. Simplificando mucho, la Resolución, sin perjuicio de validar las cláusulas-tipo de Microsoft para garantizar la seguridad de los DCP en la nube, pone de manifiesto:
    1º. Que EEUU es un país que NO está declarado con un nivel de protección adecuado (¿Snowden y Assange?).
    2º. En consecuencia, la externalización de servicios de computación en la nube, cuando se redirige a servidores en EEUU, implica una transmisión transfronteriza de datos que debe adoptar medidas de seguridad incrementadas, además de contar con autorización expresa de la AEPD (art. 33.1 LOPD). Es decir, no basta con el informe genérico, cada transferencia transfronteriza de datos debe contar con autorización expresa de la AEPD.
    3º. Dichas medidas pasan por la firma del correspondiente contrato ajustado a la Directiva 95/46/CE y Decisión 2010/87/UE.
    4º. En esencia, las garantías para la transmisión transfronteriza de datos pasan por auditorías que puede hacer el cliente (a ver quien es el guapo que se presenta en Irlanda -sede europea de MS- y les dice que va a auditar sus datos) o que pueden ser realizadas por empresas de reconocido prestigio (que supongo que no querrán enemistarse con la todopoderosa MS).
    En conclusión
    “Cuidadin” con la computación en la nube de datos de las AAPP.
    Saludos
    César

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s