Seguridad de la información

El artículo 32 del RGPD, que regula la seguridad del tratamiento, recoge el denominado análisis de riesgos que deben realizar los responsables y encargados con la finalidad de que las medidas técnicas y organizativas que se adopten sean apropiadas para garantizar un nivel de seguridad adecuado al riesgo, y que según la norma europea incluya:

  • La seudonimización y el cifrado de datos personales.
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resilencia permanentes de los sistemas y servicios de tratamiento.
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Además, según el apartado 2 del citado artículo 32, al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

En este sentido, en el ámbito de la Administración de Justicia, este enfoque del riesgo se contempla en la Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia, en los artículos 53 y 54 referidos a la seguridad judicial electrónica:

En definitiva, estos dos preceptos, además del enfoque de riesgo anteriormente mencionado, configuran el denominado Esquema Judicial de Interoperabilidad y Seguridad (EJIS), que a su vez está inspirado en el Esquema Nacional de Seguridad (ENS).

Asimismo, el artículo 45 de la citada Ley 18/2001, de 5 de julio, contiene un mandato para que el Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE) fije las bases para el desarrollo del EJIS de modo que permita, a través de las plataformas tecnológicas necesarias, la interoperabilidad total de todas las aplicaciones informáticas al servicio de la Administración de Justicia.

Por tanto, y en cumplimiento del precepto citado en el párrafo anterior, el CTEAJE ha aprobado las bases del EJIS, en el que se incluye en el apartado referente a la seguridad judicial electrónica lo relativo a:

  • Dimensiones de seguridad.
  • Niveles de seguridad.
  • Requisitos mínimos de seguridad.
  • Cumplimiento de requisitos mínimos.
  • Guía técnica de seguridad.

Por otra parte, indicar que por la peculiaridad en la relación entre responsable y encargados en el ámbito de la Administración de Justicia, son las Administraciones prestacionales las que deberán realizar el análisis de riesgos, y sobre todo, a la hora de implementar y desarrollar los sistemas de gestión procesal, incluyendo además, la protección de datos desde el diseño y por defecto.

Además y puesto que la Disposición Adicional Primera, apartado segundo de la LOPDGDD establece que "en los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad", esta previsión supone en el ámbito de la Administración de Justicia, que se exija también en este tipo de subcontrataciones por las administraciones prestacionales, debiendo ajustarse al EJIS.