Regulación legal del ENS en la LOPDGDD
La Ley Orgánica de Protección de Datos Personales y de Garantía de los Derechos Digitales, establece en su disposición adicional primera (Medidas de seguridad en el ámbito del sector público) lo siguiente:
«1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del RGPD UE.»
«2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetos al Derecho Privado.»
«En los caso en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.»
Por su parte el Real Decreto 3/2010 que regula el ENS estipula en su exposición de motivos, que su objeto es «el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información».
En relación directa con la LOPDGDD, el artículo 32 del RGPD UE, determina que «teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variable para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo …».
El párrafo final de la DA 1ª de la LOPDGDD determina claramente la aplicabilidad del ENS a las empresas privadas (Encargados del Tratamiento), que presten servicios a organismos públicos.
De todo esto se infiere claramente que toda aquella entidad que preste o desee prestar servicios a un organismo público o administración pública, habrá de cumplir asimismo con las medidas de seguridad que, en virtud del ENS, sean de aplicación al mencionado organismo público en cuestión.
Cada vez con mayor frecuencia, a las empresas privadas que actúan en calidad de encargado del tratamiento de Organismos Públicos, se les requiere que cumplan con el Esquema Nacional de Seguridad e incluso que hayan obtenido una certificación emitida o expedida por una entidad debidamente acreditada.
Fuente: LOPDGDD y RGPD UE.