Adaptación del Derecho español al RGPD

El Gobierno de España ha aprobado un Real Decreto-ley con medidas urgentes para adaptar el Derecho español al Reglamento General de Protección de Datos (RGPD), norma de la Unión Europea que al entrar en vigor el pasado 25 de mayo impuso importantes modificaciones en la legislación interna, cambios que fueron incorporados a un proyecto de ley orgánica que todavía no ha superado su tramitación parlamentaria. Según el ejecutivo, la entrada en vigor del RGPD provocó un vacío legal que dificulta su aplicación en España, lo que podría dejar desprotegido el derecho fundamental de los ciudadanos a su privacidad. Por eso era imprescindible y urgente la adopción de una norma con rango de ley que permita la adaptación del Derecho español al reglamento europeo en algunas cuestiones cuya regulación no está reservada a ley orgánica. El Real Decreto-ley aprobado este viernes realiza dicha adaptación y tendrá vigencia sólo hasta el momento en el que las Cortes aprueben el proyecto de ley cuya tramitación parlamentaria sigue pendiente.

El Real Decreto-ley regula aspectos relacionados con la inspección, el régimen sancionador y el procedimiento de instrucción que son relevantes para la garantía efectiva del derecho a la protección de los datos personales, dado que aportan la seguridad jurídica necesaria sin cuya existencia el modelo europeo de supervisión queda debilitado y, con él, las opciones de los ciudadanos de hacer valer su privacidad. En este sentido, el Real Decreto-ley fija cuál es el personal competente para realizar las labores de investigación previstas en el RGPD y regula el modo en que podrán desarrollar su actividad de inspección. Asimismo, determina el régimen aplicable al personal de las autoridades de supervisión de otros Estados miembros de la Unión Europea que participen en actuaciones conjuntas de investigación.

El reglamento europeo establece un régimen sancionador aplicable en España, pero no regula cuestiones tan esenciales como los plazos de prescripción o las sanciones, al considerar que deben fijarse en el ordenamiento interno de los Estados. Esos dos factores son básicos para garantizar la seguridad jurídica de los procedimientos abiertos y proteger de manera efectiva los derechos de los ciudadanos. De no acometer cuanto antes su regulación, sería muy complicado aplicar el régimen sancionador, lo que también debilitaría el sistema de protección de datos y generaría el riesgo de que la Comisión Europea estudiase emprender acciones contra España por incumplimiento de su reglamento general. El Real Decreto-ley asume el novedoso régimen sancionador del RGPD y reemplaza los tipos infractores previstos en la todavía vigente Ley Orgánica 15/1999. Y ratifica el régimen actual en cuanto a la duración de los procedimientos sancionadores, que será de seis meses, aunque podrán incluir actuaciones previas de investigación durante un plazo máximo de doce meses.

En cuanto a la prescripción de las sanciones, el Real Decreto-ley opta por mantener los mismos tiempos que actualmente establece la Ley Orgánica de Protección de Datos, por lo que fija un plazo de un año para las inferiores a 40.000 euros, dos años para las comprendidas entre 40.000 y 300.000 euros y tres años para las superiores a dicha cuantía. Por otra parte, el reglamento crea un procedimiento de cooperación entre los países de la Unión Europea en los supuestos de tratamientos denominados transfronterizos, con la participación de todas las autoridades implicadas, pero no regula el modo en que el Derecho interno de los Estados habrá de verse afectado como consecuencia de los trámites previstos en la propia norma europea para estos procedimientos.

Según el Minsiterio de Justicia (MJ), la aplicación del RGPD exige en muchos casos recabar el criterio de las autoridades de protección de datos de otros Estados miembros de la Unión Europea para actuar de forma coordinada en aquellos supuestos que afecten a varios países. Según los datos de la Agencia Española de Protección de Datos, en las dos primeras semanas de aplicación del RGPD se abrieron 17 procedimientos transnacionales referidos, sobre todo, al ejercicio del "derecho al olvido", el tratamiento de datos o la política de privacidad y los términos de servicio de grandes entidades tecnológicas. Dichos expedientes tienen un potencial impacto en millones de ciudadanos europeos. Las autoridades de protección de datos de la UE estiman que el número de estos procedimientos transfronterizos podría situarse entre 13.000 a 16.000 al año.

Por lo anterior, según el Gobierno era perentorio incorporar a la normativa española las especificidades de estos procedimientos transfronterizos y prever aspectos como su suspensión o la interrupción de los plazos de prescripción mientras las autoridades correspondientes revisan dichos procedimientos. El reglamento europeo distingue en la práctica tres tipos de tratamientos a los que aplica distintas normas procedimentales: los tratamientos transfronterizos, los transfronterizos con relevancia local en un Estado miembro y aquéllos exclusivamente nacionales. En el caso de los dos primeros supuestos, la regulación europea establece la obligación de que la autoridad principal someta los distintos proyectos de decisión a las restantes autoridades, que dispondrán de plazos tasados para la emisión de "observaciones pertinentes motivadas", y prevé el sometimiento de la resolución al Comité Europeo de Protección de Datos en caso de no alcanzarse un acuerdo entre todas ellas.

Todo ello imponía la necesidad de incorporar al procedimiento por presuntas infracciones fases específicas como la admisión a trámite de las reclamaciones o la posibilidad de archivo provisional del expediente en los supuestos en que la Agencia Española de Protección de Datos no tramite la reclamación, pero pueda tener que resolver sobre la misma. El Real Decreto-ley incluye la previsión de suspender los procedimientos cuando sea necesario recabar el parecer de las autoridades de otros Estados europeos. De no hacerlo así, esos expedientes podrían caducar, con las consecuencias negativas que ello conlleva no sólo respecto de la aplicación en España del reglamento europeo, sino para la garantía del derecho fundamental de los ciudadanos europeos en su conjunto a su privacidad en aquellos casos en que la Agencia Española de Protección de Datos tuviera la condición de autoridad de control principal (Fuente de la información: MJ.  Fuente de la imagen: pixabay).

Actualización seguridad TIC recomendada por el CCN

Fuente: CCN
Informa el Centro Criptológico Nacional de España (CCN) que ha actualizado su catálogo de productos de seguridad TIC recomendados. La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad que, aprobado mediante Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.

En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema. Los sistemas deberán adecuarse a lo dispuesto en la citada modificación en un plazo de veinticuatro meses (5 de noviembre de 2017). Entre otras, se introducen las siguientes novedades:

Artículo 11, la gestión continuada de la seguridad como un aspecto clave que ha de acompañar a los servicios disponibles por medios electrónicos.

Artículo 15, la exigencia, de manera objetiva y no discriminatoria, de profesionales cualificados a las organizaciones que presten servicios de seguridad a las Administraciones Públicas.

Artículo 18, la utilización, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, de aquellos productos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.

Artículo 24, el despliegue de procedimientos de gestión de incidentes de seguridad, y de debilidades detectadas en los elementos del sistema de información.

Artículo 27, la formalización de las medidas de seguridad en un documento denominado “declaración de aplicabilidad” y la posibilidad de reemplazar medidas de seguridad por otras compensatorias cuando se justifique documentalmente.

Artículo 29, la figura de las “Instrucciones técnicas de seguridad” que regularán aspectos tales como el informe del estado de la seguridad, la auditoría de la seguridad, la conformidad con el Esquema, la notificación de incidentes de seguridad, la adquisición de productos de seguridad, la criptología empleada en el ámbito del Esquema y los requisitos de seguridad en entornos externalizados, entre otras.

Artículo 35, referencias expresas a la articulación de los procedimientos necesarios para la recogida y consolidación de la información para el informe anual de estado de la seguridad, y organismos responsables de su realización.

Artículo 36, la notificación al Centro Criptológico Nacional de aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados.

Artículo 37, las evidencias necesarias para la investigación de incidentes de seguridad por parte del Centro Criptológico Nacional.

El Artículo 34 del ENS señala que los sistemas de información a los que se refiere el real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.

Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas.

Consciente de la necesidad de dar publicidad a las garantías adoptadas en el desenvolvimiento de las Administraciones Públicas y el desarrollo del procedimiento administrativo prestado por medios electrónicos, el artículo 41 del ENS señala:

Artículo 41. Publicación de conformidad. Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad.

Según la categoría del sistema se distingue entre Declaración de conformidad y Certificación de conformidad, recogidos en la Guía 809 (Declaración y Certificación de Conformidad con el ENS): Declaración de Conformidad: de aplicación a sistemas de información de categoría Básica. Podrá representarse mediante Sello o Distintivo de Declaración de Conformidad generado por la entidad bajo cuya responsabilidad esté el sistema (Fuente de la información y del gráfico: CCN).

Transposición Directiva en materia de Ciberseguridad

Informa la Comisión Europea (CE) que recientemente ha enviado una carta de emplazamiento a diecisiete Estados miembros para que transpongan plenamente a sus Derechos nacionales el primer acto legislativo a escala de la Unión Europea (UE) sobre ciberseguridad. Esta decisión afecta a los siguientes Estados miembros: Austria, Bélgica, Bulgaria, Croacia, Dinamarca, España, Francia, Grecia, Hungría, Irlanda, Letonia, Lituania, Luxemburgo, Países Bajos, Polonia, Portugal y Rumanía. 

El objetivo de la Directiva relativa a la seguridad de las redes y los sistemas de Información [Directiva SRI, Directiva (UE) 2016/1148] es alcanzar de manera uniforme un elevado nivel de seguridad de las redes y los sistemas de información en toda la UE, mediante el desarrollo de las capacidades nacionales en materia de ciberseguridad, aumentando la cooperación a nivel de la UE y las obligaciones de notificación de incidentes de los operadores de servicios esenciales y de los proveedores de servicios digitales. 

Los Estados miembros debían transponer la Directiva SRI a sus Derechos nacionales, a más tardar, el 9 de mayo de 2018[1]. Hasta la fecha, once Estados miembros han notificado a la UE la transposición completa de la Directiva, transposición que se está ahora examinando a fin de confirmar si se ha realizado plenamente. Los demás Estados miembros disponen ahora de dos meses para responder a la carta de emplazamiento enviada por la CE; de lo contrario, la CE podría decidir enviar un dictamen motivado (Fuente de la información: CE.  Fuente de la imagen: pixabay).
___________________________
[1] Puesto que entró en vigor en agosto de 2016.