El Reglamento General de Protección de Datos (RGPD) con el objetivo de lograr una verdadera protección de la información personal, refuerza las obligaciones de la parte técnica o de seguridad de la información mediante la imposición de evaluación de riesgos o de impacto para delimitar las medidas idóneas para reducir mínimo el riesgo. Para lograr que las administraciones públicas estén a la altura de la gran responsabilidad en el tratamiento de datos de los ciudadanos, se añade al cumplimiento del propio RGPD, varias normas de carácter técnico, como son el Esquema Nacional de Seguridad (ENS) o el Esquema Nacional de Interoperabilidad (ENI).
ENS, ENI y administraciones obligadas
En Esquema Nacional de Seguridad, regulado en el Real Decreto 3/2010, actúa como norma marco que determina los principios, requisitos en materia de seguridad, medidas y auditorias periódicas que la administración debe aplicar; mientras que el Esquema de Interoperabilidad, regulado en el Real Decreto 4/2010, determina los requisitos que han de cumplir los sistemas de los distintos órganos de administración para poder comunicarse entre ellos y trabajar de manera coordinada. Adicionalmente a estos dos esquemas, la administración de justicia tiene el suyo propio, denominado Esquema Judicial de Interoperabilidad y Seguridad (EJIS), basado en la Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y comunicación en la Administración de Justicia.
Como administraciones obligadas, estarían las Administraciones Públicas, entendiendo por tales la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas (entes públicos empresarias como Adif o Enaire, o Sociedades Mercantiles Estatales como Loterías y Apuestas del Estado o Renfe) . Se incluiría dentro de las mismas, a modo ejemplificativo, las universidades públicas, las autoridades portuarias y aeroportuarias, o los institutos públicos de desarrollo económico o servicios de salud, pero siempre teniendo en cuenta que debe tener la consideración entidad de derecho público, es decir, ser dependiente de la Administración General del Estado, de las Comunidades Autónomas o de las Entidades Locales, y que sólo se aplicará a las actividades que realice en derecho público.
Sistemas o servicios sobre los que se aplica
Con carácter general, se aplicaría a los siguientes:
- Sedes electrónicas.
- Registros electrónicos.
- Sistemas de Información accesibles electrónicamente por los ciudadanos.
- Sistemas de Información para el ejercicio de derechos.
- Sistemas de Información para el cumplimiento de deberes.
- Sistemas de Información para recabar información y estado del procedimiento administrativo.
Caso de los colegios profesionales
Todos los colegios profesionales como los relativos a la abogacía, notariado, medicina, de conformidad a su norma regulado: Ley 2/1974, son corporaciones de derecho público, con personalidad jurídica propia y plena capacidad para el cumplimiento de sus fines; por lo que en atención a mencionado anteriormente, les será de aplicación ambos esquemas en los sistemas o servicios referenciados en el apartado anterior.
Conclusiones
Los diferentes esquemas son una obligación ineludible para las administraciones públicas, entendiendo incluidas a la Administración General del Estado, CCAA, entidades locales, y entes públicos dependientes de todos ellos.
Los colegios profesionales se encontrarían obligados en aquellas actividades que desarrollen en derecho público.