La seguretat en l'administració electrònica

  • Agustí Cerrillo i Martínez

    Catedràtic de Dret administratiu. Universitat Oberta de Catalunya.

  • Sandra González

    Técnica de la Unitat de Gestió del Coneixement i Qualitat. Ajuntament Sant Feliu de Llobregat.

  • Ascen Moro

    Responsable de la Unitat de Gestió del Coneixement i Qualitat. Ajuntament Sant Feliu de Llobregat.

PID_00238273
Cap part d'aquesta publicació, incloent-hi el disseny general i la coberta, no pot ser copiada, reproduïda, emmagatzemada o transmesa de cap manera ni per cap mitjà, tant si és elèctric com químic, mecànic, òptic, de gravació, de fotocòpia o per altres mètodes, sense l'autorització prèvia per escrit dels titulars del copyright.

Introducció

Les tecnologies de la informació i la comunicació representen noves amenaces per a la seguretat de les transaccions i de les dades. Aquestes amenaces tenen una incidència especial en relació amb les dades personals.
En aquest mòdul es presentaran les mesures que el dret està adoptant per poder garantir la seguretat de les transaccions electròniques. Així mateix s'analitzaran els instruments per protegir les dades de les persones enfront dels atacs que poden provenir d'Internet.

Objectius

  1. Conèixer els instruments per garantir la seguretat de les transaccions electròniques.

  2. Conèixer la regulació de la protecció de dades personals.

  3. Analitzar els diferents usos dels mitjans electrònics en l'administració pública des de la perspectiva de la protecció de les dades personals.

  4. Valorar l'impacte de la protecció de dades personals en el desenvolupament de l'administració electrònica.

1.La seguretat en les transaccions electròniques

L'ús dels mitjans electrònics en les administracions públiques comporta una sèrie de riscos inherents a la seguretat d'aquestes transaccions. La informació i els serveis que les administracions públiques presten estan sotmesos a riscos que poden provenir d'una pluralitat de situacions: accions il·lícites, accidents de seguretat, errors, desastres naturals, etc., que amenacen entre altres informacions a actius considerats estratègics nacionals. No és difícil imaginar la importància de les dades que l'administració empra, i entendre que han de protegir-se de totes aquestes accions que poden amenaçar la seva integritat.
De fet la seguretat dels sistemes d'informació i telecomunicacions que suporten les administracions públiques forma part d'una de les vuit línies d'acció que es recullen en l'Estratègia de Ciberseguretat Nacional, el contingut de la qual es materialitza a garantir la implantació de l'esquema nacional de seguretat, reforçar les capacitats de detecció i millorar la defensa dels sistemes (1) .
En aquest context, el reconeixement del dret a comunicar-se amb les administracions públiques a través de mitjans electrònics comporta una obligació correlativa d'aquestes, consistent en la promoció de les condicions necessàries perquè aquestes transaccions es produeixin en un context adequat, on la llibertat i la igualtat siguin reals i efectives, i s'actuï en la superació dels obstacles que puguin aparèixer i que dificulten el seu ple reconeixement.
La ciutadania, de manera legítima, ha de poder confiar que els serveis disponibles electrònicament es presten en unes condicions de seguretat equivalents als serveis prestats en els punts d'atenció presencial, que és la relació tradicional amb l'Administració. En moltes ocasions, la infrautilització dels serveis públics digitals es deu al recel que mostra la ciutadania basat en la percepció injustificada d'una major vulnerabilitat de la informació en suport electrònic, que pot provocar-los riscos de pèrdua de privadesa.
m4401_m4_001.gif
Per tots aquests motius, la LAECSP va fixar el concepte de seguretat al llarg de tot el seu articulat. La preocupació de la llei per la seguretat es materialitza de manera transversal, encara que cal destacar les manifestacions en:

  • Objecte de la llei: La LAECSP va puntualitzar que les administracions públiques han d'utilitzar les TIC d'acord amb el que disposa la llei i assegurar: la disponibilitat, l'accés, l'autenticitat, la confidencialitat i la conservació de dades, les informacions i els serveis que gestionin en l'exercici de les seves competències (2) .

  • Finalitats de la llei: La LAECSP indica que han de crear-se les condicions de confiança en l'ús dels mitjans electrònics i establir les mesures necessàries per a la preservació de la integritat dels drets fonamentals i, especialment, les relacions amb la intimitat i la protecció de dades de caràcter personal per mitjà de la garantia de la seguretat dels sistemes, les dades, les comunicacions i els serveis electrònics. Així, aquest article dota el concepte de seguretat i de les dimensions d'integritat, autenticitat, confidencialitat i disponibilitat, d'un indiscutible protagonisme legal (3) .

  • Principis generals en relació amb la seguretat: La LAECSP inclou diferents principis com el principi de protecció de dades de caràcter personal, el principi d'accessibilitat o el principi de seguretat. En particular, el principi de seguretat en la implantació i l'ús dels mitjans electrònics constitueix el límit inferior de seguretat a aportar, de manera que no resultaria raonable que el procediment tramitat electrònicament sigui menys segur que el procediment tramitat en suport paper. I finalment el principi de proporcionalitat en virtut del qual solament s'exigeixen les garanties i mesures de seguretat adequades a la naturalesa i circumstàncies dels diferents tràmits i actuacions. Aquest principi constitueix el límit superior de seguretat, en el sentit que no resultaria raonable exigir un nivell de seguretat superior al necessari, atès que constituiria una barrera en l'accés dels ciutadans als serveis electrònics (4) .

D'altra banda, la LAECSP també va establir altres mesures de seguretat addicionals en la regulació d'alguna de les institucions més destacades en l'àmbit de l'administració electrònica com, per exemple, a la seu electrònica (5) , en la transmissió de dades entre les diferents administracions (6) . Aquestes són aplicables, per connexió, a la publicació de diaris oficials (7) , el tauler d'anuncis electrònic (8) , i al registre electrònic (9) .
Finalment, altres manifestacions de seguretat les trobem en referència a la identificació dels ciutadans en la relació electrònica (10) , en la identificació de l'Administració pública (11) , en les comunicacions electròniques (12) , i en l'arxiu electrònic (13) .
En paral·lel a aquests principis, la LAECSP va assentar definitivament aquest concepte regulant veritables drets dels ciutadans en relació amb la seguretat: el dret a la garantia de la seguretat i confidencialitat de les dades que figuressin en els fitxers, sistemes i aplicacions de les administracions públiques, el dret a obtenir els mitjans d'identificació electrònica necessaris i el dret a l'ús d'altres sistemes de signatura electrònica admesos en l'àmbit de les administracions públiques (14) .
Amb l'aprovació de la LPACAP i la LRJSP aquests principis i drets referits a la seguretat han estat incorporats en el seu articulat, de manera més o menys explícita. Concretament la LPACAP recull els drets de les persones en les seves relacions amb les administracions públiques, el dret a l'obtenció i utilització dels mitjans d'identificació i signatura electrònica (15) , i el dret a la protecció de dades de caràcter personal (en particular a la seguretat i confidencialitat de les dades que figurin en els fitxers, sistemes i aplicacions de les administracions públiques (16) ).
D'altra banda, la Llei fa constants referències a l'esquema nacional de seguretat. Així es pot observar en la regulació dels registres (17) , l'arxiu electrònic (18) , i en la validesa i eficàcia de les còpies realitzades per les administracions públiques (19) .
De la mateixa manera, la LRJSP també es troba impregnada de referències al concepte de seguretat. En aquest sentit, quan es regulen els principis generals, la Llei disposa que en la relació electrònica entre les administracions públiques els mitjans que la possibilitin hauran d'assegurar la interoperabilitat i la seguretat dels sistemes i solucions adoptades per cadascuna, i garantiran la protecció de les dades de caràcter personal (20) . Així mateix, de manera similar a la regulació que feia la LAECSP, la LRJSP estableix previsions de seguretat per a altres instruments essencials que possibiliten la tramitació electrònica: la seu electrònica (21) , l'intercanvi electrònic de dades en entorns tancats de comunicació (22) , en l'arxiu electrònic (23) , en la transferència de tecnologia entre administracions públiques (24) , i en la reutilització de sistemes i aplicacions (25) .
En aquest escenari, per garantir el compliment de totes aquestes disposicions per part de les administracions públiques, la LAESCP va preveure la creació de l'esquema nacional de seguretat, que posteriorment va ser desenvolupat pel Reial decret 3/2010 ENS, i que ha estat recentment modificat pel Reial decret 951/2015, de 23 octubre (26) .
Més tard, amb l'aprovació de les lleis vigents de procediment administratiu comú i règim jurídic (LPACAP i LRJSP), la referència concreta a l'ENS la trobem en la LRJSP (27) .
L'ENS constitueix normativa bàsica, per tant és d'obligat compliment per al conjunt d'administracions públiques.

2.L'esquema nacional de seguretat. El Pla d'adequació

La finalitat de l'ENS és la creació de les condicions necessàries de confiança en l'ús dels mitjans electrònics, a través de mesures que han de garantir la seguretat dels sistemes, les dades, les comunicacions, i els serveis electrònics, de manera que permeti als ciutadans i a les administracions públiques l'exercici de drets i el compliment de deures a través d'aquests mitjans, i està constituït pels principis bàsics (28) i requisits mínims requerits (29) per a una protecció adequada de la informació.
Els principis bàsics de l'ENS estableixen uns punts de referència per a la presa de decisions en referència a les mesures de seguretat a prendre, és a dir, i en pròpies paraules de l'ENS són

«els fonaments que han de regir tota acció orientada a assegurar la informació i els serveis».

A diferència dels principis bàsics, els requisits mínims han de complir-se sempre. Generalment s'implementen amb l'aplicació de les mesures de seguretat establertes a l'annex II de l'ENS, fins i tot en el cas que aquestes mesures siguin substituïdes per altres mesures compensatòries.
L'àmbit objectiu d'aplicació de l'ENS gira entorn del concepte bàsic de sistema d'informació, definit en la mateixa norma (30) com:

«el conjunt organitzat de recursos perquè la informació es pugui recollir, emmagatzemar, processar o tractar, mantenir, usar, compartir, distribuir, posar a disposició, presentar o transmetre».

Malgrat la complexitat del concepte, es pot considerar que els sistemes d'informació inclosos dins de l'abast de l'ENS són:

  • Sistemes d'informació accessibles electrònicament pels ciutadans.

  • Sistemes d'informació per a l'exercici de drets.

  • Sistemes d'informació per al compliment de deures.

  • Sistemes d'informació per recaptar informació i estat del procediment administratiu.

I tot això independentment del sistema d'accés per part de la ciutadania. És a dir estaran inclosos dins de l'àmbit de protecció de l'ENS tant els sistemes d'informació que donen suport a la tramitació en línia, als quals s'accedeix a través de les seus electròniques, com aquells en els quals se suporta la tramitació oferta en els punts de tramitació presencial.
Com a exemple pràctic es pot afirmar que entrarien dins de l'àmbit d'aplicació de l'ENS les seus electròniques, els registres electrònics, les carpetes electròniques o espais que permetin recaptar informació i estat del procediment administratiu, així com un sistema de back-office utilitzat per a la gestió de procediments administratius o el sistema de telefonia, en la mesura que incideixin directament en el normal desenvolupament del procediment administratiu i que privi la ciutadania de l'exercici dels seus drets o compliment d'obligacions.
Així, amb l'aplicació d'aquestes mesures de seguretat es busca, en essència, minimitzar l'impacte que tindrien els incidents de seguretat en els sistemes que permeten a la ciutadania exercir drets i complir obligacions.
És lògic, per tant, que els ajuntaments hagin adquirit un paper protagonista en l'aplicació de les mesures de seguretat que estableix l'ENS atès l'ampli catàleg de serveis que ofereixen a la ciutadania. En la pràctica, són molt pocs els sistemes d'informació municipals que serien exclosos de l'àmbit objectiu de l'ENS.
En canvi, cal assenyalar que estan exclosos de l'àmbit d'aplicació de l'ENS els sistemes que tracten informació classificada regulada per la Llei 9/1968 de 5 d'abril, de secrets oficials i les seves normes de desenvolupament.
D'acord amb el text normatiu, amb l'aplicació de l'ENS es persegueixen els següents objectius:
1) Crear les condicions necessàries de confiança en l'ús dels mitjans electrònics, a través de mesures per garantir la seguretat de la informació i els serveis electrònics, que permeti als ciutadans i les administracions públiques, l'exercici de drets i el compliment de deures a través d'aquests mitjans.
2) Establir la política de seguretat en la utilització de mitjans electrònics en l'àmbit de la Llei 11/2007, que estarà constituïda pels principis bàsics i requisits mínims per a una protecció adequada de la informació.
3) Introduir els elements comuns que han de guiar l'actuació de les administracions públiques en matèria de seguretat de les tecnologies de la informació.
4) Aportar un llenguatge comú per facilitar la interacció de les administracions públiques, així com la comunicació dels requisits de seguretat de la informació en la Indústria.
5) Aportar un tractament homogeni de la seguretat que faciliti la cooperació en la prestació de serveis d'administració electrònica quan hi participen diverses entitats.
6) Facilitar un tractament continuat de la seguretat.
Per a la consecució d'aquests objectius l'ENS planteja un Pla d'adequació en la disposició transitòria del Reial decret 3/2010, de 8 de gener. D'acord amb el que establia aquesta disposició, els sistemes de les administracions havien d'adequar-se a l'ENS en el termini de 12 mesos des de la seva entrada en vigor. No obstant això, en el cas que hi hagués circumstàncies que impedissin la plena aplicació, l'administració havia d'adoptar un Pla d'adequació que disposés els terminis d'execució, que en cap cas podria superar els 48 mesos des de l'entrada en vigor. La complexitat de la matèria així com l'evolució constant i exponencial tant dels sistemes d'informació com de les ciberamenaces, no ha permès a la majoria d'administracions públiques complir en termini amb l'objectiu marcat pel legislador. Precisament, la modificació de l'ENS introdueix un nou termini de 24 mesos per adequar-se a les noves prescripcions establertes, que es poden conceptualitzar en la següent (31) :
Cal destacar que en el camí al compliment de l'ENS caldrà realitzar una sèrie d'actuacions, per a això és molt útil prendre com a punt de partida la planificació que proposa al seu portal d'administració electrònica el Ministeri d'Hisenda i Administracions Públiques.
Per aclarir les previsions de l'ENS, cada fase porta aparellada una guia d'implantació elaborada pel Centre Criptològic Nacional (CCN-STIC). Aquestes guies, editades pel Centre Criptològic Nacional, i sense caràcter imperatiu respecte al seu compliment, difonen metodologies i recomanacions per a l'adequat seguiment del que es disposa a l'ENS, d'acord amb el previst en l'article 29 del Reial decret 3/2010. En l'actualitat hi ha 49 guies a disposició de les administracions públiques (32) .
m4401_m4_004.jpg
A grans trets, les actuacions es poden concretar en les següents:

  • Preparar i aprovar la política de seguretat, CCN-STIC 805 Política de seguretat de la informació (33) .

  • Realitzar una anàlisi de riscos que inclogui la valoració de les mesures de seguretat existents.

  • Preparar i aprovar la Declaració d'aplicabilitat de les mesures de l'annex II ENS, CCN-STIC 804 Mesures i implantació de l'esquema nacional de seguretat (34) .

  • Implantar, operar i monitoritzar les mesures de seguretat a través de la gestió continuada de la seguretat corresponent.

  • Auditar la seguretat CCN-STIC 802 Auditoria de l'esquema nacional de seguretat (35) i CCN-STIC 808 Verificació del compliment de les mesures en l'esquema nacional de seguretat (36) .

  • Informar sobre l'estat de la seguretat CCN-STIC 815 Mètriques i Indicadors en l'esquema nacional de seguretat (37) i CCN-STIC 824 Informe de l'estat de seguretat (38) .

  • Elaborar un Pla d'adequació per a la millora de la seguretat. CCN-STIC 806 Pla d'adequació de l'esquema nacional de seguretat (39) .

m4401_m4_005.jpg

3.Recomanacions i criteris per adequar les organitzacions a l'ENS. El sistema de gestió de la seguretat de la informació

A l'hora d'elaborar el Pla d'adequació a l'ENS per part de les administracions públiques és important identificar prèviament el punt de partida de cada organització, i establir un full de ruta específic integrant la seguretat com un procés integral que afecta tots i cadascun dels sistemes.
Un dels organismes autonòmics que ha publicat una guia amb recomanacions concretes per portar a la pràctica aquesta adequació és el Centre de Seguretat de la Informació de Catalunya (CESICAT), que destaca les següents:
1) Alinear la implantació de les mesures de seguretat previstes en l'ENS amb l'estratègia de desenvolupament de l'administració electrònica, en relació amb els sistemes d'informació nous, que consideri també els sistemes antics que es vegin afectats pel procés de modernització.
2) Alinear les mesures de protecció previstes en l'ENS amb les mesures de seguretat previstes en el RD 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desenvolupament de l'EL 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, ja que certament una gran part dels sistemes d'informació dins de l'àmbit d'aplicació de l'ENS també gestionen dades de caràcter personal. En aquest sentit, resulta molt recomanable crear una única estructura documental que demostri el compliment dels requisits de seguretat i que tracti de manera coherent i integrada ambdues reglamentacions.
3) Realitzar un pla director d'adequació dels sistemes existents, especialment els que ofereixen suport a les noves aplicacions d'administració electrònica, però que no es veuen afectats per polítiques de modernització, per complir amb el principi de tractament integral de la seguretat.
4) Redactar la política de seguretat de l'Administració i desplegar-la mitjançant un cos normatiu ben documentat, alineat amb les millors pràctiques identificades en la normativa internacional, com per exemple la ISO 27000, i amb una orientació a la futura certificació del procés.
És important assenyalar que el procés d'adequació a l'ENS té per finalitat l'establiment d'un Sistema de gestió de la seguretat de la informació (SGSI) tal com es recull en l'annex III, que exigeix la gestió continuada de la seguretat, en línia amb els principis bàsics relatius a «la seguretat com un procés integral (40) , la «reavaluació periòdica (41) », els requisits mínims relatius a «Organització i implantació del procés de seguretat (42) », «Millora contínua del procés de seguretat (43) »; la «millora contínua del procés de seguretat» i l'«actualització permanent (44) ».
Tot i que el termini establert en els esquemes ja ha estat superat amb escreix, la veritat és que moltes administracions públiques es troben en aquest moment en fases molt embrionàries de la implantació d'un Sistema de Gestió de la Seguretat de la Informació (SGSI).
Amb anterioritat a l'aprovació de l'ENS, les administracions públiques podien utilitzar com a guia per a la consecució del SGSI les recomanacions i requisits establerts en la norma UNE ISO/IEC 27001:2007, l'annex A de la qual enumera els controls que desenvolupa la norma ISO 27002, que han d'examinar-se de manera complementària.
La publicació de l'ENS suposa que totes les administracions públiques estan obligades a complir estrictament amb els requisits mínims i principis bàsics que s'hi recullen, a diferència de les normes ISO, que són d'aplicació voluntària. No obstant això, les normes ISO preveuen una visió integrada del sistema de gestió de la seguretat de la informació que es concreta en l'aplicació d'un model de millora contínua de tipus PDCA (Pla, Check, Do, Act), que no apareix recollit en l'ENS, i que pot resultar molt útil a les administracions públiques per materialitzar-ne la implantació.
Òbviament, per a aquelles organitzacions que hagin iniciat el camí de la ISO 27001 o, fins i tot, es trobin certificades, els serà més fàcil poder aconseguir els objectius de l'ENS, ja que les mesures de protecció que s'assenyalen en la norma internacional es recullen, en el que és substancial, en el Reial decret.
L'interessant per establir un full de ruta realista de cara a implantar un SGSI és encaixar les diferents fases del cicle PDCA amb les fases establertes per aconseguir el compliment integral de l'ENS. En aquest sentit (Aquilino, Renato et al., 2013):
1) Fase PLA (Planificar): En aquesta fase s'estableixen els objectius i processos necessaris per aconseguir el resultat esperat. Per tant, s'hauran d'establir la política, els objectius, els processos i els procediments del sistema de gestió de la seguretat de la informació, amb la finalitat d'obtenir resultats alineats amb les polítiques i objectius generals de l'organització. Per tant, aquesta fase PLA s'identifica amb l'elaboració del Pla d'adequació exigit en l'ENS, i també amb la determinació de la Declaració d'aplicabilitat.
2) Fase DO (Fer): Una vegada elaborat i aprovat per l'òrgan competent el Pla d'adequació juntament amb la declaració d'aplicabilitat, s'hauran d'implementar en aquesta fase, la política, els controls, els processos i procediments del sistema de gestió de seguretat. Per tant, s'hauran d'aplicar en tots els sistemes d'informació de l'organització que estiguin dins de l'àmbit d'aplicació de l'ENS les mesures de seguretat necessàries en funció de la categorització d'aquests sistemes i l'establert en la Declaració d'aplicabilitat.
Com a suport en aquesta tasca d'aplicació de les mesures de seguretat es disposa de la guia CCN-STIC 804 d'ajuda per a la implantació de les mesures de seguretat exigides per l'ENS.
Finalment, en aquesta fase, s'hauran d'implementar plans de formació i conscienciació al personal de l'organització.
3) Fase CHECK (Verificar): En aquesta fase cal executar procediments de supervisió i revisió del sistema de gestió. En altres paraules, es dóna compliment aquí al principi de reavaluació periòdica de la seguretat, comprovant que les mesures de seguretat siguin les adequades i actualitzant-les en cas necessari, per adequar la seva eficàcia a la constant evolució dels riscos i sistemes de protecció, arribant fins i tot a un replantejament de la seguretat, si fos necessari.
Per a aquesta comesa es disposa de la Guia 815 de mètriques i indicadors en les ENS. La tasca més determinant d'aquesta fase és la realització d'auditories (45) . L'ENS disposa l'obligatorietat de realitzar auditories ordinàries dels sistemes d'informació que es troben sota el seu àmbit d'aplicació per a la verificació del compliment dels requeriments de seguretat recollits en el seu articulat. Aquestes auditories ordinàries es realitzaran «almenys» cada dos anys i serà obligatòria per als sistemes i serveis la categoria dels quals sigui de nivell MITJÀ o ALT (en cas de nivell BAIX cal únicament una autoavaluació).
D'altra banda, es realitzaran auditories amb caràcter extraordinari sempre que es produeixin modificacions substancials en el sistema d'informació, que puguin repercutir en les mesures de seguretat requerides.
L'auditoria l'haurà de dur a terme el personal qualificat independent del sistema o servei que s'està auditant.
Com a mitjà de suport per realitzar l'auditoria existeix la Guia CCN-STIC 802 d'auditoria de l'esquema nacional de seguretat, que es completa amb la Guia CCN-STIC-808 de verificació del compliment de les mesures de l'ENS.
De la mateixa manera, periòdicament s'hauran de revisar també les avaluacions de riscos i s'hauran d'actualitzar els plans de seguretat.
4) Fase ACT (Actuar): En aquesta fase s'han de produir les tasques de manteniment i millora del sistema de gestió, on la funció bàsica és aplicar en el sistema de gestió les mesures correctives identificades en el procés d'auditoria.
Arribats a aquesta última fase d'ACT, i atès que es tracta de cicle de millora contínua, hauríem de tornar a enllaçar aquesta fase amb la de PLA, i així revisar de nou el sistema de manera que la seguretat estigui avaluada periòdicament i de manera contínua.
5) Declaració de CONFORMITAT a l'ENS. Una vegada s'ha implantat integralment l'ENS caldrà publicar la declaració de conformitat (46) . Es tracta d'una declaració per escrit amb el qual les administracions públiques han de donar publicitat a la conformitat dels seus sistemes a les disposicions dels ENS a les seves seus electròniques en un lloc de fàcil accés.
La Guia CCN-STIC-809 concreta les pautes per a l'elaboració d'una declaració de conformitat de l'ENS.
La declaració seguirà la següent estructura: la identificació del declarant, el contingut de la declaració i sobre la base que es declara la conformitat i amb quina finalitat.
Actualment, hi ha eines que permeten fer un seguiment de cadascuna de les fases indicades i generar els informes i documents requerits per l'ENS (declaració d'aplicabilitat, declaració de conformitat, etc.). Són aplicacions informàtiques que, a diferència de les eines ofertes pel Ministeri (PILAR o MAGERIT), que només permeten realitzar l'anàlisi de riscos, ofereixen una solució integral per a la implantació d'un SGSI.
Superades les fases d'implantació de l'ENS, el que procedeix és donar publicitat a les corresponents seus electròniques, a la conformitat dels sistemes respecte al compliment de l'ENS, tal com s'estableix en l'annex I del Reial decret, que implica adoptar i manifestar que s'han implementat les mesures de seguretat requerides, atenent a la classificació prèvia dels sistemes en categoria bàsica, mitjana o alta, i assegurant que tals mesures es mantenen al llarg de tot el cicle de vida del sistema.
A més, serà necessari sotmetre's a les auditories preceptives que, de forma ordinària, cal realitzar cada dos anys per als sistemes de categoria mitjana i alta (annex I de l'ENS), i amb caràcter extraordinari, sempre que es produeixin modificacions substancials en el sistema d'informació.
L'annex III de l'ENS necessita l'abast de la verificació establint dos procediments que es resumeixen en el quadre següent:

Procediment de verificació

Categoria dels sistemes afectats

Manifestació de conformitat

Resultat de la verificació

Anàlisi de la verificació

Autoavaluació: realitzat pel mateix personal que administra el sistema d'informació o aquell altre en qui hagués delegat.

Bàsica

Declaració de conformitat

Document d'autoavaluació: indicant si cada mesura de seguretat està implantada i subjecta a revisió regular i les evidències que sustenten la valoració anterior.

Els documents d'autoavaluació seran analitzats pel responsable de seguretat competent, que elevarà les conclusions al responsable del sistema perquè adopti les mesures correctores adequades.

Auditoria formal: amb les garanties metodològiques i d'independència, professionalitat i adequació requerides.

Mitja / Alta

Certificació de conformitat

Informe d'auditoria: dictaminant sobre el grau de compliment amb l'ENS, identificant les seves deficiències i suggerint, si s'escau, possibles mesures correctores o complementàries i les recomanacions que es considerin oportunes. Haurà d'incloure-hi o referenciar els criteris metodològics d'auditoria utilitzats, l'abast i l'objectiu de l'auditoria, i les dades, fets i observacions en què es basin les conclusions formulades.

Els informes d'auditoria seran analitzats pel responsable de seguretat competent, que presentarà les seves conclusions al responsable del sistema perquè adopti les mesures correctores adequades

Font: Guia de seguretat (CCN-STIC-809).

4.Organització de la seguretat

De la lectura de l'ENS es desprèn, clarament, que un dels elements estratègics per aconseguir implantar un Sistema de Gestió de la Seguretat de la Informació és la necessitat d'identificar els responsables de vetllar pel compliment de l'establert en la política de seguretat aprovada per cada entitat, i que haurà de ser coneguda per tots els membres de l'organització.
En concret, l'article 10 de l'ENS remarca la funció diferenciada de la seguretat que haurà de recaure en el responsable de la informació, el responsable del servei i el responsable de la seguretat.
Encara que és responsabilitat de cada entitat establir la seva pròpia organització de la seguretat, és important tenir en compte l'establert en la Guia CCN-STIC 801 com a marc de referència en el qual es recorden les responsabilitats generals en la gestió de la seguretat dels sistemes d'informació, proposant “figures” o “rols” de seguretat que puguin assumir aquestes responsabilitats. Però aquesta divisió de responsabilitats enunciada en la Guia és només una recomanació, que cada organització ha d'encaixar de la millor manera possible en la seva estructura, i és únicament preceptiu el que s'encarrega el mateix ENS de recordar:
“La necessària diferenciació entre la responsabilitat de la seguretat dels sistemes d'informació i la prestació dels serveis.”
Serà en la política de seguretat de cada organització on hauran de detallar-se les atribucions de cada responsable i quins són els mecanismes de coordinació i de resolució de conflictes.
Però si l'objectiu és tractar la seguretat com un procés transversal i integral, sembla raonable que l'organització de la seguretat es plantegi també des d'una doble perspectiva: la seguretat dels sistemes d'informació i de les dades que es gestionen, és a dir, les responsabilitats derivades del compliment de l'ENS i també les derivades del compliment de la normativa sobre protecció de dades personals.
Hi ha fórmules diverses d'organització de la seguretat. Un bona pràctica la podem trobar a l'Ajuntament de Sant Feliu de Llobregat, on es va optar per una organització de la seguretat estructurada en dos òrgans col·legiats, la Comissió i la Subcomissió de Seguretat, que assumeixen els rols i les funcions d'organització de la seguretat establerts en l'ENS, excepte el rol d'administrador de seguretat del sistema que recau en el responsable de la Unitat d'Informàtica.
La Comissió de Seguretat és un òrgan de caràcter més institucional, integrat per membres de l'equip de govern i direcció, que a més d'exercir les funcions exigides per l'ENS, assumeix també les funcions de responsable de fitxer que s'indica en el Document de Seguretat en matèria LOPD.
L'adequació als esquemes de l'Ajuntament de Sant Feliu de Llobregat dibuixada en el temps
L'adequació als esquemes de l'Ajuntament de Sant Feliu de Llobregat dibuixada en el temps
Ampliació

5.La protecció de les dades personals

Les administracions públiques en el desenvolupament de les seves funcions recapten dades personals de la ciutadania. En efecte, en sol·licitar una subvenció o pagar impostos a través d'un formulari electrònic més enllà de posar en contacte una persona amb l'Administració pública a través de mitjans electrònics es posen en circulació dades personals com són el nom i cognoms, l'adreça, el número del document d'identitat o el del compte corrent. Més enllà dels problemes de seguretat que es puguin derivar de la circulació d'aquestes dades, els mitjans electrònics permeten accedir i agregar dades personals que, si bé en si mateixes poden tenir escàs valor, poden facilitar un perfil de la persona afectada que pot ser cobejat per altres subjectes. A més, tot això pot succeir sense que la persona afectada en tingui coneixement i sense deixar cap rastre que li permeti controlar ni les seves dades personals ni l'ús que en puguin fer terceres persones.
D'aquesta manera, l'administració electrònica pot generar amenaces per a la privadesa de les persones i pot posar en risc les seves dades personals. Per fer front a les possibles amenaces i riscos, s'han adoptat diferents normes i s'han impulsat diferents mecanismes que persegueixen regular el tractament de dades personals, garantir-ne la seguretat i assegurar-ne el compliment.
Com posa de manifest el document elaborat pel Grup de treball sobre protecció de dades de l'article 29, l'èxit d'alguns dels projectes d'administració electrònica depèn de complexes qüestions relacionades amb la protecció de dades a les quals s'ha de prestar l'atenció adequada (47) .

5.1.El dret a la protecció de les dades personals. Evolució dels riscos i evolució de la legislació

El dret a la protecció de les dades personals no té un reconeixement explícit en la Constitució. No obstant això, el Tribunal Constitucional ha afirmat que hi ha un dret a l'autodeterminació informativa o una llibertat informàtica a partir del previst en l'art. 18.4 CE que estableix que:

«la llei limitarà l'ús de la informàtica per garantir l'honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets».

Segons el Tribunal Constitució en la seva sentència 253/1993, de 20 de juliol:

«En efecte, ha de tenir-se present, com ja s'anticipava en la decisió d'aquest Tribunal que s'acaba d'esmentar, que el dret fonamental al qual estem fent referència garanteix a la persona un poder de control i disposició sobre les seves dades personals, ja que confereix al seu titular un feix de facultats que són elements essencials del dret fonamental a la protecció de les dades personals, integrat pels drets que corresponen a l'afectat a consentir la recollida i l'ús de les seves dades personals i a conèixer-les. I per fer efectiu aquest contingut, el dret a ser informat de qui posseeix les seves dades personals i amb quina finalitat, així com el dret a oposar-se a aquesta possessió i ús exigint a qui correspongui que posi fi a la possessió i ocupació de tals dades”.

L'existència del dret a la protecció de dades personals suposa el reconeixement de diferents facultats com la d'obtenir el consentiment informat per al tractament de les dades personals; el dret a conèixer l'existència de fitxers en els quals s'inclouen dades personals o els drets d'accés, rectificació, cancel·lació i oposició.
Al costat d'aquest dret, la Constitució reconeix, en el seu art.18.1, el dret a la intimitat que implica l'existència d'un àmbit propi i reservat enfront de l'acció i el coneixement dels altres, necessari per mantenir una qualitat mínima de la vida humana.
La jurisprudència del Tribunal Constitucional ha anat delimitant el contingut d'aquest dret pel que fa al previst en l'art.18.4 CE. Sobre aquest tema, és summament clara la sentència 252/2000, de 30 de novembre en la qual s'afirma que:

«La funció del dret fonamental a la intimitat de l'art. 18.1 CE és la de protegir enfront de qualsevol invasió que pugui realitzar-se en aquell àmbit de la vida personal i familiar que la persona desitja excloure del coneixement aliè i de les intromissions de tercers en contra de la seva voluntat (per totes STC 144/1999, de 22 de juliol, FJ 8). En canvi, el dret fonamental a la protecció de dades persegueix garantir a aquesta persona un poder de control sobre les seves dades personals, sobre el seu ús i destinació, amb el propòsit d'impedir el seu tràfic il·lícit i lesiu per a la dignitat i dret de l'afectat. En fi, el dret a la intimitat permet excloure certes dades d'una persona del coneixement aliè, per aquesta raó, i així ho ha dit aquest Tribunal (SSTC 134/1999, de 15 de juliol, FJ 5; 144/1999, FJ 8; 98/2000, de 10 d'abril, FJ 5; 115/2000, de 10 de maig, FJ 4), és a dir, el poder de protegir la seva vida privada d'una publicitat no volguda. El dret a la protecció de dades garanteix als individus un poder de disposició sobre aquestes dades».

Així doncs, tant l'objecte dels drets com el seu contingut és diferent. En primer lloc, pel que fa a l'objecte de tots dos drets, el dret a la protecció de les dades personals és més ampli que el dret a la intimitat, ja que no es limita a les dades íntimes de les persones sinó que estén la garantia a qualsevol tipus de dades, siguin íntimes o no, el coneixement de les quals per tercers pugui afectar els drets de la persona. En segon lloc, pel que fa al contingut dels drets, el dret a la intimitat imposa a les terceres persones el deure d'abstenir-se de tota intromissió en l'esfera íntima de la persona i la prohibició d'usar el que hagi estat conegut a través d'aquesta intromissió. En canvi, el dret a la protecció de les dades personals atribueix al seu titular un conjunt de facultats consistent en diferents poders jurídics l'exercici dels quals imposa a tercers deures jurídics, que serveixen per garantir a la persona un poder sobre les seves dades personals.
La regulació de la protecció de les dades personals té una relativament curta encara que extensa història. En primera instància, cal referir-se al Conveni 108 del Consell d'Europa, de 28 de gener de 1981, de protecció de les persones en relació amb el tractament automatitzat de les dades de caràcter personal l'objectiu del qual era assegurar al territori dels estats signataris que cada individu, independentment de la seva nacionalitat o residència, veiés respectat el seu dret a la privadesa en el procés automatitzat de tractament de les seves dades personals.
Per desplegar el que està previst en l'art. 18.4 CE i en el marc del Conveni del Consell d'Europa, es va adoptar la Llei orgànica 5/1992, de 29 d'octubre, de regulació del tractament automatitzat de les dades de caràcter personal.
Posteriorment, la Directiva 95/46/CE, del Parlament Europeu i del Consell, de 24 d'octubre, relativa a la protecció de les persones físiques i la Directiva 2002/58/CE, del Parlament Europeu i del Consell, de 12 de juliol, relativa al tractament de les dades personals i a la protecció de la intimitat en el sector de les comunicacions electròniques van fixar el marc comú europeu en aquest àmbit.
Les normes europees han estat incorporada en el nostre ordenament jurídic a través de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), el Reial decret 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desenvolupament i, en determinats aspectes, per la Llei 34/2002, d'11 de juliol, de serveis de la societat de la informació així com en altres normes en matèria de telecomunicacions. Així mateix, tres comunitats autònomes tenen en vigor normes en relació amb la creació i gestió dels fitxers de dades personals per les administracions públiques autonòmiques o la creació d'òrgans autonòmics de garantia del dret a la protecció de dades (Andalusia, Catalunya i País Basc).
Des del punt de vista de l'administració electrònica, la Llei 11/2007, de 22 de juny, d'accés electrònic dels ciutadans als serveis públics va reconèixer el principi al dret a la protecció de dades de caràcter personal en l'ús dels mitjans electrònics i el dret a la garantia de la seguretat i confidencialitat de les dades que figurin en fitxers. Així mateix, es van preveure diferents usos dels mitjans electrònics amb impacte en les dades personals com la transmissió de dades entre administracions públiques, l'intercanvi electrònic de dades o l'arxiu de dades. En l'actualitat aquests aspectes estan regulats en la LPACAP i la LRJPS, com s'exposarà a les properes pàgines.
Així mateix, ha de tenir-se en compte el Reial decret 3/2010, de 8 de gener, pel qual s'aprova l'esquema nacional de seguretat.
A més d'aquestes normes, ha de tenir-se present que algunes entitats públiques han adoptat codis de conducta. La LOPD preveu la possibilitat de formular codis tipus als responsables dels fitxers, a través d'acords sectorials, convenis administratius o mitjançant decisions d'empresa, que estableixin les condicions d'organització, règim de funcionament, procediments aplicables, normes de seguretat de l'entorn, programes o equips, obligacions dels implicats en el tractament i ús de la informació personal. Aquests codis de conducta han de ser dipositats i inscrits en el Registre General de Protecció de Dades o en el registre autonòmic corresponent que donarà trasllat al registre per a la seva inclusió en el registre gestionat per l'AEPD.
Com a exemple, es pot portar a col·lació el Manual de bones pràctiques promogut per l'Associació de Municipis Bascos (EUDEL) que té per objecte regular el tractament de les dades de caràcter personal que realitzen les entitats locals, els organismes autònoms que en són dependents, així com de les societats dependents o que hi estan vinculades quan el seu capital sigui de majoria pública i exerceixin potestats públiques, existents a la Comunitat Autònoma del País Basc.
Finament, ha de posar-se en relleu que en breu, el Reglament europeu de protecció de dades unificarà i modernitzarà la regulació europea de la protecció de dades per donar resposta als nous reptes generats en els últims anys. El Reglament europeu també apostarà per la privadesa des del disseny, les avaluacions d'impacte o la figura del Data Protection Officer (DPO).

5.2.Les dades personals: concepte i drets de les persones

Les dades personals són qualsevol informació concernent a una persona física identificada o identificable, és a dir, la identitat de la qual pugui determinar-se, directament o indirectament, en particular, a través d'un número d'identificació o un o diversos elements específics, característics de la seva identitat física, fisiològica, psíquica, econòmica, cultural o social. Algunes dades personals són considerades sensibles i compten amb una protecció legal més elevada, tal com es podrà observar al llarg de les properes pàgines (per exemple, les dades relatives a la ideologia, l'afiliació sindical, la religió, l'origen racial o ètnic, la salut o la vida sexual).
D'aquesta manera, una dada personal no solament és una informació numèrica o alfanumèrica sinó que també tenen aquesta consideració les imatges, la veu, les empremtes digitals o les dades biomètriques en la mesura en què es refereixin a una persona física, sempre que no es requereixin terminis o activitats desproporcionades. Així mateix, algunes dades estretament relacionades amb l'administració electrònica com l'adreça del correu electrònic o l'adreça IP, s'han de considerar dades personals sempre que pugui haver-hi una vinculació entre aquestes i una persona concreta. En particular, en relació amb l'adreça IP, l'Agència Espanyola de Protecció de Dades (48) ha considerat que:

«Així doncs, encara que no sempre sigui possible per a tots els agents d'Internet identificar un usuari a partir de dades tractades a la Xarxa, des d'aquesta Agència de Protecció de Dades es parteix de la idea que la possibilitat d'identificar un usuari d'Internet existeix en molts casos i, per tant, les adreces IP tant fixes com dinàmiques, amb independència del tipus d'accés, es consideren dades de caràcter personal resultant d'aplicació de la normativa sobre protecció de dades».

La LOPD no és aplicable a les dades referides a persones jurídiques. No obstant això, si les dades referides a una persona jurídica poden ser atribuïbles a una persona física concreta, tenen la consideració de dades personals. Tampoc és aplicable a les persones mortes.
En termes generals, quan una Administració pública sol·liciti dades a través d'un formulari, sol·licitud, etc. s'haurà d'informar la persona interessada dels punts següents:

  • existència d'un fitxer o tractament de dades de caràcter personal;

  • finalitat del tractament de les dades;

  • destinataris de la informació;

  • dades que se sol·liciten i caràcter obligatori o facultatiu de la seva resposta a les preguntes que els siguin plantejades;

  • identitat i adreça del responsable del tractament de les dades;

  • conseqüències de l'obtenció de les dades o de la negativa de proporcionar-les;

  • possibilitat d'exercir els drets d'accés, rectificació, cancel·lació i oposició.

Les administracions públiques han d'informar de forma clarament llegible dels punts anteriors a les pàgines web, formularis o impresos que utilitzin per a la recollida de les dades personals.
Avís legal
L'Ajuntament de Sant Feliu de Llobregat dóna estricte compliment a la normativa vigent sobre protecció de dades de caràcter personal (LOPD) i la Llei de serveis de la societat de la informació i correu electrònic (LSSICE). L'usuari del web dóna el seu consentiment exprés i inequívoc i, per tant, autoritza a incorporar les dades que facilita als fitxers responsabilitat de l'Ajuntament de Sant Feliu de Llobregat i registrats a l'Agència Catalana de Protecció de Dades. L'ús de les dades personals tindrà caràcter confidencial i s'utilitzaran únicament per poder prestar els serveis de l'Ajuntament de Sant Feliu de Llobregat..
Podeu revocar el consentiment atorgat en qualsevol moment, així com exercir els vostres drets d'accés, rectificació, cancel·lació i oposició, en els termes establerts en la legislació vigent, dirigint un escrit a l'Ajuntament de Sant Feliu de Llobregat o enviant un correu electrònic a lopd@santfeliu.cat.
https://www.santfeliu.cat/common/misc/widget_container.faces?xmid=11796 (última consulta: març del 2016).
En el cas que les dades no siguin obtingudes del mateix interessat, les administracions públiques, com a responsables del fitxer, també han d'informar-lo de forma expressa, precisa i inequívoca, dins dels tres mesos següents al moment del registre de les dades de la procedència de les dades i de l'existència d'un fitxer, de la finalitat de la recollida de les dades, dels destinataris de la informació, de la possibilitat d'exercir els drets i de la identitat i adreça del responsable del tractament, excepte que el tractament de les dades tingui finalitats històriques, estadístiques o científiques, sigui impossible informar l'interessat o exigeixi esforços desproporcionats.
A més d'aquest dret a ser informat sobre la recollida de dades, les persones tenen reconeguts per la LOPD altres drets coneguts com a drets ARCO:

  • Dret d'accés. Tot interessat té dret a sol·licitar i obtenir gratuïtament informació de les seves dades de caràcter personal sotmeses a tractament, la finalitat del tractament que, si s'escau, s'estigui realitzant, l'origen i les comunicacions realitzades o que es preveu realitzar amb aquestes. Aquest dret no ha de confondre's amb el dret d'accés a la informació pública al qual es farà referència en parlar del govern obert.

  • Dret de rectificació i cancel·lació. Els interessats tenen dret al fet que les seves dades personals que siguin inexactes o incompletes siguin rectificades. Així mateix, tenen dret al fet que les dades que resultin inadequades o excessives siguin suprimides.

  • Dret d'oposició. Els interessats tenen dret al fet que no es dugui a terme el tractament de les seves dades personals o que se cessi en el que s'estigui realitzant en els supòsits previstos en la normativa. D'una banda, l'interessat té dret a oposar-se al tractament de les seves dades obtingudes sense el seu consentiment quan existeixin motius fonamentats i legítims relatius a una concreta situació personal en els supòsits en els quals no sigui necessari el consentiment de l'afectat per al tractament de les dades de caràcter personal, sempre que una llei no disposi el contrari. Per una altra, l'interessat pot oposar-se, prèvia petició i sense despeses, al tractament de les dades que el concerneixin i que formin part d'un llistat elaborat amb finalitats de publicitat i de prospecció comercial obtingut d'una font accessible al públic. Finalment, l'interessat també té dret a oposar-se quan el tractament tingui per finalitat l'adopció d'una decisió referida a ell i basada únicament en un tractament automatitzat de les seves dades.

En el cas de les dades incloses en fitxers de titularitat pública, els drets anteriors tenen algunes excepcions que en cas de ser aplicades haurà de motivar-se adequadament. Així, per exemple, la LOPD estableix que els responsables dels fitxers poden denegar el dret d'accés, rectificació o cancel·lació en funció dels perills que es puguin derivar per a la defensa de l'Estat o la seguretat pública, la protecció dels drets i llibertats de tercers o les necessitats de les investigacions que s'estiguin realitzant o quan el seu exercici obstaculitzi les actuacions administratives tendents a assegurar el compliment de les obligacions tributàries i, en tot cas, quan l'afectat estigui sent objecte d'actuacions inspectores.
Aquests drets són exercitables dirigint una comunicació a l'Administració pública responsable del fitxer en la qual s'identifiqui l'interessat, es reculli la petició en què es concreta la sol·licitud i s'indiqui una adreça a efectes de notificació. El procediment per a l'exercici dels drets ha de ser senzill, gratuït i àgil (49) .
Les agències de protecció de dades són competents respecte a la tutela dels drets anteriors i, en general, per resoldre les reclamacions que puguin interposar els interessats en relació amb les actuacions contràries al que es disposa en la LOPD.

5.3.Els usos de dades personals per les administracions públiques

L'ús de dades personals per les administracions públiques suposa realitzar un tractament, és a dir, una operació o procediment tècnic de caràcter automatitzat o no, que permet la recollida, enregistrament, conservació, elaboració, modificació, bloqueig i cancel·lació, així com la cessions de dades que resulti de comunicacions, consultes, interconnexions i transferències.
Lectures recomanades

Fernández Salmerón, M. (2003). La protección de los datos personales en las administraciones públicas. Madrid: Civitas-Agencia de Protección de Datos de la Comunidad de Madrid.

Troncoso Reigada, A. (2008). «La administración electrónica y la protección de datos personales». Revista Jurídica de Castilla y León.

La LOPD estableix una sèrie de principis que han de guiar qualsevol tractament de dades personals:

  • Qualitat de les dades: les dades personals han de ser adequades, pertinents i no excessives respecte a la finalitat per la qual s'obtenen i que siguin exactes i actualitzades.

  • Consentiment: el tractament de les dades personals requereix el consentiment inequívoc de l'interessat. Existeixen dades com les relatives a la ideologia, l'afiliació sindical, la religió o les creences que tenen una protecció reforçada i requereixen un consentiment exprés i per escrit. Altres dades com les que es refereixen a l'origen racial, la salut o la vida sexual que únicament poden ser recollides, tractades, cedides quan, per raons d'interès general, així ho estableixi una llei o l'afectat les consenti expressament. No obstant això, el principi del consentiment té algunes excepcions. En particular, la LOPD preveu que no caldrà el consentiment quan les dades de caràcter personal es recullin per a l'exercici de les funcions pròpies de les administracions públiques en l'àmbit de les seves competències atribuïdes per una norma amb rang de llei o de dret comunitari o quan es refereixin a les parts d'una relació administrativa.

  • Seguretat de les dades: tal com estableix l'art.9 LOPD «el responsable del fitxer, i, si s'escau, l'encarregat del tractament hauran d'adoptar les mesures d'índole tècnica i organitzatives necessàries que garanteixin la seguretat de les dades de caràcter personal i evitin la seva alteració, pèrdua, tractament o accés no autoritzat, atès l'estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, ja provinguin de l'acció humana o del mitjà físic o natural».

  • Secret en el tractament de les dades: el responsable del fitxer i del tractament estan obligats al secret professional.

  • Congruència i racionalitat en la seva utilització: segons l'art. 11 LOPD «Les dades de caràcter personal objecte del tractament només podran ser comunicades a un tercer per al compliment de finalitats directament relacionades amb les funcions legítimes del cedent i del cessionari amb el previ consentiment de l'interessat», excepte en els casos previstos a la llei.

5.4.La creació de fitxers de dades personals per les administracions públiques

Els fitxers són qualsevol conjunt organitzat de dades de caràcter personal.
La creació de fitxers de dades per les administracions públiques exigeix l'adopció d'una disposició general publicada en el Butlletí Oficial de l'Estat o en el diari oficial corresponent. Aquesta disposició ha d'indicar els següents elements:

  • La finalitat del fitxer i els usos previstos per a aquest.

  • Les persones o col·lectius sobre els quals es pretengui obtenir dades de caràcter personal o que resultin obligades a subministrar-les.

  • El procediment de recollida de les dades de caràcter personal.

  • L'estructura bàsica del fitxer i la descripció dels tipus de dades de caràcter personal que s'hi incloguin.

  • Les cessions de dades de caràcter personal i, si s'escau, les transferències de dades que es prevegin a països tercers.

  • Els òrgans de les administracions responsables del fitxer.

  • Els serveis o unitats davant els quals es puguin exercir els drets d'accés, rectificació, cancel·lació i oposició.

  • Les mesures de seguretat amb indicació del nivell bàsic, mitjà o alt exigible.

La concreció de la finalitat té una rellevància significativa per poder determinar si s'ha dut a terme un ús il·legítim de les dades personals o han cedit més enllà del previst en la LOPD.
Solament es poden crear, modificar o suprimir a través d'una disposició general publicada en el BOE o en el diari oficial corresponent. Una vegada creat el fitxer, l'Administració pública o l'organisme responsable haurà de comunicar-ho a l'Agència Espanyola de Protecció de Dades o a l'autoritat autonòmica competent per a la seva inscripció en el Registre General de Protecció de Dades.

5.5.L'obtenció de dades per les administracions públiques

Les dades personals es poden obtenir a través de diferents fonts.
En primer lloc, les dades personals es poden obtenir de la persona que les facilita directament o manifesta el seu consentiment exprés perquè siguin recollides amb una finalitat concreta, no genèrica. El subministrament de dades pot ser voluntari o fruit d'una obligació legal. El consentiment es manifesta respecte a un tractament que té una finalitat concreta. No és un consentiment abstracte, sinó per un o uns tractaments concrets. El consentiment ha de ser inequívoc a través d'una manifestació de voluntat, lliure, inequívoca i informada, mitjançant la qual l'interessat consent el tractament de les dades personals que li concerneixen. El consentiment és revocable quan hi hagi una causa justificada, encara que no té efectes retroactius. En determinats casos aquest consentiment és reforçat per tractar determinades dades que tenen un caràcter especialment sensible.
La LOPD preveu diverses excepcions a la necessitat de consentiment. En primer lloc, quan les dades personals es recullin per a l'exercici de les funcions pròpies de les administracions públiques en l'àmbit de les seves competències. En segon lloc, quan es refereixin a les parts d'un contracte o precontracte d'una relació de negocis, laboral o administrativa i siguin necessàries per al seu manteniment o compliment. En tercer lloc, quan el tractament tingui per finalitat protegir un interès vital de l'interessat. En quart lloc, quan les dades figurin en fonts accessibles al públic i el seu tractament sigui necessari per a la satisfacció de l'interès legítim perseguit pel responsable del fitxer o pel tercer a qui es comuniquen les dades, sempre que no es vulnerin els drets i llibertats fonamentals de l'interessat.
Precisament, l'obtenció de dades de fonts diferents a l'interessat pot ser a través de les fonts accessibles al públic com els diaris i butlletins oficials, els censos promocionals, els repertoris telefònics o els llistats professionals o com a resultat de la cessió de dades de subjectes diferents a l'interessat. En general, les fonts accessibles al públic són fitxers que poden ser consultats per qualsevol persona sense que ho impedeixi una norma limitativa o sense una altra exigència que, si s'escau, l'abonament d'una contraprestació. Malgrat que les dades s'obtinguin d'una font accessible al públic, no es poden sotmetre a qualsevol tipus de tractament. És necessari que el tractament es realitzi per a la satisfacció d'un interès legítim del responsable del fitxer o del tercer al qual es comuniquin les dades i que es compleixi la condició de no vulnerar els drets i llibertats fonamentals de l'afectat.
Finalment, per a la cessió de dades és necessari que aquestes serveixin per al compliment de finalitats directament relacionades amb les funcions legítimes del cedent i cessionari i el previ consentiment de l'interessat. No obstant això, estan previstes diferents excepcions a la regla del consentiment previ.

5.6.La cessió de dades entre administracions públiques

La interconnexió de les bases de dades de les administracions públiques pot representar un avantatge significatiu per a les persones en les seves relacions amb les administracions públiques. En efecte, és freqüent que les administracions públiques, en el desenvolupament de la seva activitat necessitin dades personals que estan en poder d'una altra administració pública. Així mateix, no podem desconèixer el dret de les persones a no aportar documents que hagin estat elaborats per qualsevol administració. De fet, com s'ha vist en el mòdul anterior, les administracions públiques s'han de relacionar entre si i amb els seus òrgans, organismes públics o entitats vinculades o dependents a través de mitjans electrònics que hauran de garantir la protecció de les dades de caràcter personal.
Lectura recomanada

Cerrillo i Martínez, A. (2009). «La interoperabilidad y la protección de datos. La conexión de los registros de protección de datos». A: AAVV. La protección de datos en la administración electrónica. Cizur Menor: Thomson-Reuters-Aranzadi-Agencia Española de Protección de Datos.

Per poder conèixer aquestes dades és necessari que es dugui a terme una cessió o comunicació de dades, és a dir, que es revelin dades personals a una persona diferent de l'interessat.
La LOPD preveu un règim específic per a la cessió de dades entre administracions públiques que preveu la possibilitat que les administracions públiques puguin cedir-se dades personals entre si sense el consentiment de l'interessat quan es tracti de l'exercici de les mateixes competències o de competències diferents que versin sobre la mateixa matèria. Tampoc serà necessari el consentiment, entre altres situacions, quan l'administració obtingui o elabori les dades personals amb destinació a una altra. Aquesta suposa una ampliació a l'estricte règim de la cessió de dades previst que exigeix en termes generals el consentiment de l'interessat, estar autoritzada per una llei o trobar-se en algun dels supòsits previstos en la mateixa llei.
En aquest punt la dificultat sorgeix en interpretar l'abast de la previsió legal a l'efecte de determinar els tractaments inclosos. Sobre aquest tema s'ha pronunciat el Tribunal Suprem en la seva sentència de 15 d'abril del 2002 en reconèixer que:

«la cessió o comunicació de les dades entre administracions públiques, mentre es dugui a terme, precisament i únicament, per aconseguir el fi o un dels fins als quals obeeix la creació mateixa del fitxer i la mateixa recollida d'aquelles, i no, per tant, per a l'exercici de competències diferents o de competències que versin sobre matèries diferents, queda ja emparada pel consentiment inicialment prestat pel titular de les dades per a la seva recollida i tractament. És a dir, en tal cas, és innecessari un nou consentiment l'objecte específic del qual sigui aquella cessió o comunicació».

L'intercanvi de dades es pot produir de diferents maneres des del punt de vista tecnològic, com ara facilitar la informació sota petició, permetre l'accés directe a les bases de dades o crear repertoris comuns de dades i documents disponibles en entorns tancats de comunicació. Cadascuna d'aquestes possibilitats comporten riscos de diferent intensitat als quals s'ha de donar una solució des del punt de vista de la seguretat de les dades personals.
Quan l'intercanvi de dades personals es produeix en entorns tancats de comunicació, la LRJSP preveu que els documents electrònics transmesos seran considerats vàlids a l'efecte d'autenticació i identificació dels emissors i receptors si es compleixen les condicions i garanties que es fixin i, en particular, s'identifiquin els emissors i receptors autoritzats i la naturalesa de les dades a intercanviar. Aquestes condicions han de ser fixades bé per l'Administració pública a la qual pertanyin els diferents participants en la comunicació de dades, bé mitjançant conveni subscrit entre les diferents administracions públiques participants.
En relació amb aquesta qüestió, resulta d'interès portar a col·lació el Catàleg de dades i documents electrònics en el qual s'inclou una relació actualitzada de dades i documents que estan en poder de l'Administració de la Generalitat de Catalunya i d'altres administracions i institucions públiques, que es poden obtenir per mitjans electrònics a què es refereix el Decret 56/2009, de 7 d'abril, per a l'impuls i el desenvolupament dels mitjans electrònics en l'Administració de la Generalitat de Catalunya.
Quan l'intercanvi de dades es produeix a través de l'accés d'una administració pública a les dades relatives als interessats que obrin en poder d'unes altres s'hauran d'especificar les condicions, protocols i criteris funcionals o tècnics necessaris per accedir a aquestes dades amb les màximes garanties de seguretat, integritat i disponibilitat. La LRJSP preveu que les dades disponibles seran estrictament aquelles que siguin requerides per les administracions públiques per a la tramitació i resolució dels procediments i actuacions de la seva competència. Per a això, l'Administració general de l'Estat, les administracions autonòmiques i les entitats locals crearan una xarxa de comunicacions que interconnecti els sistemes d'informació de les administracions públiques i permeti l'intercanvi d'informació i serveis entre elles. Aquesta xarxa també ha de facilitar la interconnexió amb les xarxes de les institucions europees i dels estats membres.
Encara que no està previst explícitament, és convenient facilitar a l'interessat informació sobre les cessions de dades entre administracions públiques especialment quan aquestes es duguin a terme sense el seu consentiment tal com va proposar el grup de l'article 29 en el seu informe sobre l'administració electrònica.

5.7.La seguretat de les dades personals

L'ús de dades personals per les administracions públiques exigeix la implantació de les mesures de seguretat previstes en la LOPD.
Les mesures de seguretat han de ser impulsades pels responsables dels fitxers i els encarregats de tractament. En efecte, els responsables dels fitxers tenen l'obligació de garantir la seguretat i guardar el secret professional de les dades a les quals tenen accés. Per a això tenen el deure, al costat dels responsables de tractament, d'adoptar les mesures d'índole tècnica i organitzativa necessàries per garantir la seguretat de les dades de caràcter personal i evitar-ne l'alteració, pèrdua, tractament o accés no autoritzat, segons l'estat de la tecnologia, la naturalesa de les dades i els riscos als quals estiguin exposats. Al seu torn, poden nomenar un responsable de seguretat, que serà la persona o persones a les quals el responsable del fitxer hagi assignat formalment la funció de coordinar i controlar les mesures de seguretat aplicables.
Per garantir la seguretat no es registraran dades de caràcter personal en fitxers que no reuneixin les condicions determinades reglamentàriament.
Les mesures de seguretat persegueixen garantir la confidencialitat (permetre el coneixement de les dades només pels usuaris autoritzats), integritat (impedir l'alteració de la informació) i disponibilitat de les dades (de manera que la informació sigui utilitzada pels usuaris autoritzats).
El responsable del fitxer i tots aquells que intervinguin en qualsevol fase del tractament de les dades personals estan obligats al secret professional respecte de les dades. També tenen el deure de guardar-les fins i tot després de finalitzar les seves relacions amb el titular del fitxer.
En funció de les dades personals, les mesures de seguretat que s'hauran d'adoptar seran diferents. En efecte, el reglament de desenvolupament de la LOPD preveu que les mesures de seguretat exigibles als fitxers i tractaments es classifiquen en tres nivells: bàsic, mitjà i alt.

  • nivell bàsic: Totes aquelles dades personals que no estiguin incloses en altres nivells de seguretat

  • nivell mitjà: fitxers o tractaments de dades relatives a la comissió d'infraccions administratives; que siguin responsables administracions tributàries i es relacionin amb l'exercici de les seves potestats tributàries; que siguin responsables les entitats gestores i serveis comuns de la Seguretat Social i es relacionin amb l'exercici de les seves competències; que continguin un conjunt de dades de caràcter personal que ofereixin una definició de les característiques o de la personalitat dels ciutadans i que permetin avaluar determinats aspectes de la personalitat o del comportament d'aquests.

  • nivell alt: fitxers o tractaments de dades de caràcter personal que es refereixin a dades d'ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual; que continguin o es refereixin a dades recaptades per a finalitats policials sense consentiment de les persones afectades o que continguin dades derivades d'actes de violència de gènere.

En funció del nivell, la normativa de desenvolupament de la LOPD fixa les mesures de seguretat que s'han d'adoptar en funció del nivell dels fitxers o tractaments de dades. Així mateix, és necessari tenir en compte les mesures de seguretat que hagin d'adoptar les administracions públiques en aplicació del previst en el Reial decret 3/2010, de 8 de gener, pel qual s'aprova l'esquema nacional de seguretat.
Finalment, és important destacar que les administracions públiques han d'informar els interessats de les mesures de seguretat adoptades.
Avís legal
La seu electrònica de l'Ajuntament de Vigo manté els nivells de protecció de les seves dades personals conforme al que es preveu en el Reglament de desenvolupament de la Llei orgànica 15/1999, i ha establert tots els mitjans tècnics al seu abast per evitar la pèrdua, mal ús, alteració, accés no autoritzat i robatori de les dades que faciliti a la seu electrònica de l'Ajuntament de Vigo.
https://sede.vigo.org/expedientes/sede_textos/texto.jsp?idt=sede_lopd&lang=cas (última consulta: març del 2016).

5.8.L'ús de galetes per les administracions públiques

Les administracions públiques generalment usen a les seves pàgines web galetes (cookies), uns arxius que es dipositen a l'ordinador o dispositiu de l'usuari amb la finalitat de conservar dades relatives a les seves preferències de navegació, recopilar informació estadística o millorar la seva experiència de navegació. Amb freqüència, les galetes també s'utilitzen amb finalitats publicitàries per mostrar a l'usuari publicitat basada en els seus interessos o en els seus hàbits de navegació.
L'ús de galetes per les administracions públiques pot tenir un impacte en la privadesa de les persones. Per això, des de diferents instàncies s'ha cridat l'atenció sobre la necessitat d'articular mesures amb la finalitat d'informar de forma clara i completa a l'usuari sobre la utilització de galetes i d'obtenir el seu consentiment abans d'instal·lar-les en el seu ordinador per assegurar que és conscient de l'ús de les seves dades i les finalitats per les quals són utilitzades.
D'aquesta manera, quan les administracions públiques utilitzin galetes han de:

  • informar l'usuari sobre la utilització de galetes de manera clara i completa i sobre les finalitats del tractament de les dades que es recullen amb les galetes. L'usuari ha de poder decidir si accepta o no l'ús d'aquests arxius.

  • obtenir el consentiment de l'usuari per dipositar les galetes i per llegir les galetes dipositades. El consentiment ha de ser informat i s'ha d'haver facilitat prèviament a l'usuari tota la informació sobre l'ús de les galetes. El consentiment s'ha d'obtenir abans de dipositar o llegir les galetes.

  • permetre a l'usuari revocar el consentiment.

Les administracions públiques han d'informar de la seva política de galetes. Generalment, les pàgines web inclouen un enllaç a un avís legal específic en el qual s'informa sobre les galetes (funcions, tipus de galetes que utilitza la pàgina web i de la seva finalitat –pròpies o de tercers; tècniques, de personalització, d'anàlisi o de publicitat–; forma de desactivar o eliminar les galetes, usuaris de les galetes; informació obtinguda a través de les galetes).
Política de galetes
L'Ajuntament de Madrid informa sobre l'ús de les galetes a les seves pàgines web (50) .
Les galetes són arxius que es poden descarregar en el seu equip a través de les pàgines web. Són eines que tenen un paper essencial per a la prestació de nombrosos serveis de la societat de la informació. Entre d'altres, permeten a una pàgina web emmagatzemar i recuperar informació sobre els hàbits de navegació d'un usuari o del seu equip i, depenent de la informació obtinguda, es poden utilitzar per reconèixer l'usuari i millorar el servei ofert.
Segons quina sigui l'entitat que gestioni el domini des d'on s'envien les galetes i tracti les dades que s'obtinguin es poden distingir dos tipus: galetes pròpies i galetes de tercers.
Existeix també una segona classificació segons el termini de temps que romanen emmagatzemades en el navegador del client: poden tractar-se de galetes de sessió o galetes persistents.
Finalment, existeix una altra classificació amb cinc tipus de galetes segons la finalitat per la qual es tractin les dades obtingudes: galetes tècniques, galetes de personalització, galetes d'anàlisi, galetes publicitàries i galetes de publicitat comportamental.
Per a més informació referent a això es pot consultar la Guia sobre l'ús de les galetes de l'Agència Espanyola de Protecció de Dades
Galetes utilitzades al web de l'Ajuntament
A continuació s'identifiquen les galetes que s'estan utilitzant en aquest portal i a la seu electrònica, així com la seva tipologia i funció.
La pàgina web de l'Ajuntament de Madrid utilitza Google Analytics, un servei d'analítica web desenvolupada per Google, que permet el mesurament i anàlisi de la navegació a les pàgines web. En el seu navegador podrà observar diverses galetes d'aquest servei que, segons la tipologia anterior, es tracten de galetes pròpies, de sessió i d'anàlisi. Pot trobar més informació sobre aquest tema i inhabilitar l'ús d'aquestes galetes en aquesta pàgina.
A través de l'analítica web s'obté informació relativa al nombre d'usuaris que accedeixen a la web, el nombre de pàgines vistes, la freqüència i repetició de les visites, la seva durada, el navegador utilitzat, l'operador que presta el servei, l'idioma, el terminal que utilitza, o la ciutat a la qual està assignada la seva adreça IP, informació que possibilita un millor i més apropiat servei per part d'aquest portal web.
Altres galetes que es descarreguen són galetes de tipus tècnic denominades JSESSIONID i sdc.munimadrid.es i que permeten emmagatzemar un identificador únic per sessió a través del qual és possible vincular dades necessàries per possibilitar la navegació en curs i obtenir estadístiques completament anònimes d'ús. Per a usuaris registrats s'utilitza a més una galeta persistent miMadridLastVisited per emmagatzemar les últimes pàgines vistes i facilitar la personalització i navegació de l'usuari a l'àrea personalitzada de «Mi Madrid».
Finalment, es descarrega una galeta denominada MadridGaletesPolicy, pròpia, de tipus tècnic i amb temps d'expiració un any. Aquesta galeta gestiona el consentiment de l'usuari per a l'ús de les galetes a la pàgina web, amb l'objecte de diferenciar els usuaris que les hagin acceptat, de manera que no se'ls mostri informació a la part inferior de la pàgina sobre aquest tema.
Acceptació de la política de galetes
L'Ajuntament assumeix que accepteu l'ús de galetes en continuar navegant o tancar expressament l'avís de galetes. Aquesta informació sobre la política de galetes és accessible tant des de l'avís de la part inferior que es mostra per a usuaris que encara no l'han acceptat, com a la part inferior del peu de qualsevol pàgina del portal a l'enllaç d'Avís legal.
Davant aquesta informació és possible dur a terme les següents accions:

  • Acceptar galetes o continuar navegant. No es tornarà a visualitzar aquest avís en accedir a qualsevol pàgina del portal durant la present sessió i qualsevol sessió amb el mateix navegador realitzada durant un any.

  • Tancar. S'oculta l'avís de la pàgina actual.

  • Més informació. Podrà obtenir més informació sobre què són les galetes, conèixer la política de galetes de l'Ajuntament i modificar la configuració del seu navegador.

Com modificar la configuració de les galetes
Podeu restringir, bloquejar o esborrar les galetes de l'Ajuntament o qualsevol altra pàgina web, utilitzant el seu navegador. En cada navegador l'operativa és diferent, als següents enllaços podeu obtenir instruccions de com fer-ho.
No totes les galetes exigeixen el compliment de l'anterior. El grup de treball de l'article 29 ha interpretat que no serà necessari en relació amb les galetes d'entrada de l'usuari; d'autenticació o identificació d'usuari; de seguretat de l'usuari; de reproductor multimèdia; de sessió per equilibrar la càrrega; de personalització de la interfície d'usuari i de complement (plug-in) per intercanviar continguts socials (51) .

5.9.La garantia de la protecció del dret a la protecció de les dades personals

1) Les autoritats de protecció de dades
La garantia de la protecció del dret a la protecció de dades s'instrumenta principalment a través de la intervenció d'unes entitats de caràcter independent.
L'Agència Espanyola de Protecció de Dades és un ens de dret públic amb personalitat jurídica pròpia i plena capacitat pública i privada que actua amb independència de les administracions públiques en l'exercici de les seves funcions. Entre aquestes funcions destaquen:

  • Vetllar pel compliment de la legislació sobre protecció de dades i controlar la seva aplicació, especialment pel que fa als drets d'informació, accés, rectificació, oposició i cancel·lació de dades.

  • Atendre les peticions i reclamacions dels afectats.

  • Emetre les autoritzacions que preveu la Llei, ordenar, en cas d'il·legalitat, el cessament en el tractament i la cancel·lació de les dades i exercir la potestat sancionadora.

  • Informar els projectes de normes de desenvolupament que incideixin en matèria de protecció de dades.

Per poder desenvolupar aquestes funcions, la llei atribueix a l'Agència diferents potestats com la potestat de resolució de les reclamacions interposades pels interessats. Així mateix, té les potestats d'investigació, inspecció i sanció. Finalment, també té atribuïda potestat normativa per dictar les instruccions necessàries per adequar els tractaments de dades als principis de la LOPD.
Algunes comunitats autònomes han assumit la competència per crear òrgans de garantia de la protecció de dades en el marc del que va considerar la sentència del Tribunal Constitucional 290/2000, de 30 de novembre.
A Catalunya, el 2003 es va crear l'Agència Catalana de Protecció de Dades per vetllar pel respecte dels drets fonamentals i les llibertats públiques en tot allò relacionat amb les operacions realitzades a través de processos automatitzats i manuals de dades personals. A Madrid també es va crear l'Agència de Protecció de Dades de la Comunitat de Madrid que posteriorment va ser suprimida el 2012. Al País Basc, existeix l'Agència Basca de Protecció de Dades que actua amb independència de les administracions públiques i que vetlla pel compliment de la legislació sobre protecció de dades i controla la seva aplicació. Finalment, a Andalusia s'ha creat el 2015 el Consell de Transparència i Protecció de Dades d'Andalusia, que assumirà l'exercici de les competències en matèria de protecció de dades.
2) El règim sancionador de les administracions públiques
La protecció de dades personals es duu a terme a través de l'establiment d'un règim sancionador que preveu la LOPD per a aquells casos en què s'infringeixi l'ordenament. Aquest règim és diferent en funció que es tracti de fitxers de titularitat privada o de titularitat pública. La potestat sancionadora correspon a l'Agència Espanyola de Protecció de Dades i a les autoritats autonòmiques de protecció de dades en el seu àmbit d'actuació.
No obstant això, cal advertir que en el cas de les administracions públiques, les autoritats de control no poden sancionar-les pecuniàriament en el cas que cometin una infracció prevista en la LOPD. En aquests casos, l'òrgan sancionador dictarà una resolució establint les mesures que cal adoptar perquè cessin o es corregeixin els efectes de la infracció per part de l'Administració pública. Així mateix, si s'escau, podrà proposar també la iniciació d'actuacions disciplinàries.
3) La responsabilitat patrimonial de les administracions públiques pels danys ocasionats en matèria de protecció de dades
En el cas que la utilització de les dades personals per les administracions públiques causi un dany pot donar lloc al sorgiment de responsabilitat patrimonial de les administracions públiques. En aquest punt cal atenir-se al que es preveu a la LRJPS.

Abreviatures


AEPD Agencia Espanyola de Protecció de Dades.

CE Constitució espanyola.

ENS esquema nacional de seguretat.

LAECSP Llei 11/2007, de 22 de juny, d'accés electrònic dels ciutadans als serveis públics.

LOPD Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal.

LPACAP Llei 39/2015, d'1 d'octubre, de procediment administratiu comú de les administracions públiques.

LRJPAC Llei 30/1992, de 26 de novembre, de règim jurídic de les administracions públiques i del procedimiento administratiu comú.

LRJSP Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic.

SGSI Sistema de Gestió de la Seguretat de la Informació.

Bibliografia

Cerrillo i Martínez, A. (2009). «La interoperabilitat i la protecció de dades. La connexió dels registres de protecció de dades». A: AAVV. La protecció de dades en l'administració electrònica. Cizur Menor: Thomson-Reuters-Aranzadi-Agència Espanyola de Protecció de Dades.
Fernández Salmerón, M. (2003). La protecció de les dades personals en les administracions públiques. Madrid: Civitas-Agencia de Protecció de Dades de la Comunitat de Madrid.
Troncoso Reigada, A. (2008). «L'administració electrònica i la protecció de dades personals». Revista Jurídica de Castella i Lleó.