Ayer finalizó el #CNIS2019. Un Congreso (Nacional) que empezó siendo de Interoperabilidad y Seguridad, y en el que ahora la I y la S se corresponden con Innovación y Servicios Públicos. Pero eso no significa que hayamos dejado de hablar de seguridad y protección de datos. Al contrario. Son temas que han estado muy presentes en el Congreso sobre todo a la vista de la reciente LOPDGDD (ver «Implantación de la nueva #LOPDGDD en la Administración Local»).
Una de las alegrías del CNIS, al menos para nosotros, fue el reconocimiento del proyecto del Ayuntamiento de Alzira como ganador (junto con la Diputación de Castellón, fantástico compañero de viaje al que más abajo nos referiremos) del premio CNIS en la categoría de mejor proyecto de adecuación a la LOPDGDD, tumbando con ello uno de los clichés históricos de los enemigos de la administración electrónica, que con su implantación peligraba la protección de datos. Pero eso es falso. De hecho el ENS, que es familiar directo de la protección de datos (algunos dicen que su primo, yo creo más bien que su padre), forma parte intrínseca de la administración electrónica, de modo que implantarla pasa ineludiblemente por la implantación del ENS y del ENI. El Esquema Nacional de Seguridad estaba en vigor desde enero de 2014, y es por esto que la nueva LOPDGDD contiene una referencia expresa al ENS, de forma concreta en la D.A.1ª, cuyo tenor literal es el siguiente:
Disposición adicional primera Medidas de seguridad en el ámbito del sector público
1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.
En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.
Por tanto, la integración de la protección de datos en el ENS es de tipo conceptual, no jerárquica normativa. Pronto verá la luz la Guía CCN-STIC 881 de impacto del RGPD en el ENS (ver de momento la Guía 800, así como el listado de Guías CCN-STIC). El objetivo es desarollar un modelo de evaluación combinado que sea más sencillo de aplicar. Finalmente solo recordar que es incompatible la figura del DPO con la del responsable de seguridad de la información del ENS.
Pero más que la LOPDGDD, es el RGPD, su razón de ser, el que supuso un impacto muy grande, qué duda cabe, con una serie de exigencias, de las cuales dimos cuenta en «Ya es 25 de mayo: las 25 tareas que debe realizar un Ayuntamiento para cumplir el #RGPD».
Vamos a detenernos en una de ellas, ya que el RGPD precisamente introduce como obligatoria la figura del Delegado de Protección de Datos (DPO) en determinados supuestos, entre los que se incluye, la necesidad de nombrar un DPO cuando “el tratamiento lo lleve a cabo una autoridad u organismo público” (artículo 37.1.a RGPD) como es el caso de las Administraciones Públicas en las que sus órganos competentes son de composición política (y tienen la condición de autoridad) y en todo caso son organismos públicos. Todo ello, tal y como indicamos en El Delegado de Protección de Datos en la Administración Local #DPO
En dicha entrada seguíamos la tesis de Eduard Chaveli, de la cual derivan dos modelos posibles para la Administración local:
a) Por un lado la obligación de nombrar un DPO, en todo caso, para las entidades de tipo provincial (Diputaciones, Consejos y Cabildos) y Ayuntamientos “grandes”; y en su caso para Ayuntamientos “medianos”.
b) Y por otro lado la posibilidad de que las citadas entidades supramunicipales (y quizá otras, como Mancomunidades y Comarcas) puedan prestar el servicio de DPO de modo externo a todos los Ayuntamientos “pequeños” dentro de su ámbito, y en su caso al resto.
Evidentemente el Ayuntamiento de Alzira se encuadraba en el primer supuesto. En la misma citada entrada dimos cuenta del Informe de la AEPD sobre escrito del Ayuntamiento de Alzira preguntando si el Secretario de la Corporación puede ejercer de DPO. Dicho informe, en resumen, indica que puede ser nombrado siempre que cumpla con los requisitos legales relativos a competencias profesionales y conflicto de intereses. Además, para poder ejercer como DPD no era necesario estar certificado. En tales circunstancias asumí la responsabilidad de ejercer de Delegado de Protección de Datos del Ayuntamiento, una tarea en todo caso que siempre hemos ejercido de facto.
Este era un modelo. El otro es el de la Diputación de Castellón (piche aquí para saber más de su Oficina Provincial de Protección de Datos y Seguridad de la Diputación de Castellón.), quienes tienen exactamente el mismo mérito que nosotros en la consecución del premio, ya que esta era una candidatura conjunta. Entre las dos instituciones hemos tratado de cubrir todo el espectro dando a conocer cómo pueden colaborar a este respecto y al mismo tiempo servir de modelo para su tipología de Administración, un Ayuntamiento de más de 20.000 habitantes (Ayuntamiento de Alzira) y una Entidad Provincial que debe dar servicio a una serie de municipios de población inferior a 20.000 (136 municipios). El tercer actor implicado es el partner de ambos, GOVERTIS, entidad líder como partner de las AAPP en proyectos de adecuación al ENS y la LOPDGDD.
Y con este proyecto ahora ya reconocido, con este buen sabor de boca, nos marchamos (una vez más, pero aún no la definitiva) del Ayuntamiento de Alzira. Ni se imaginan la ilusión con la que abordamos el proyecto de San Cristóbal de la Laguna… ¡Ya les iré contando!
© Todos los derechos reservados. Nosoloaytos. Web oficial de Víctor Almonacid Lamelas 2019. Aviso legal.
Anexo. Recursos para implantar la LOPDGDD en los Ayuntamientos
Nosoloaytos 