El pasado 8 de septiembre, entro el vigor el Real Decreto Ley 12/2018 que traslada al ordenamiento jurídico español la conocida Directiva NIS sobremedidas de seguridad aplicables a redes y sistemas de información, y que se configura como un engranaje más dentro del mecanismo normativo de seguridad de la información, formado por, entre otras, la Ley 8/2011 sobre protección de infraestructuras críticas, la Ley 36/2015 de Seguridad Nacional, el Real Decreto 3/2010 sobre el Esquema Nacional de Seguridad, el Real Decreto 4/2010 sobre el Esquema Nacional de Interoperabilidad, la Ley 18/2011 relativa al Esquema Judicial de Interoperabilidad y Seguridad, o el querido y muy anglosajón Reglamento General de Protección de Datos (RGPD).
Dicho lo anterior, esta norma es de gran interés para la protección de datos, al actuar como un suerte de refuerzo de una de las obligaciones que mejor ha de gestionar el responsable del tratamiento, como es la notificación de violaciones e incidencias de seguridad a la autoridad de control, y en su caso, al pobre afectado.
¿A qué se aplica? y ¿Quiénes están obligados?
A diferencia de otras normas como los Esquema Nacionales de Seguridad e Interoperabilidad, esta ley no sólo es de obligado cumplimiento para las Administraciones Públicas, sino también para todas aquellas sociedades del sector privado que presten alguno de los dos siguientes tipos de servicios:
- Servicios esenciales dependientes de redes y sistemas de información (infraestructuras críticas): todos aquellos necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas; en los siguientes sectores definidos en el anexo de la Ley 8/2011: administración, espacio, industria nuclear, industria química, investigación, agua, energía, salud, tecnologías de la información y las comunicaciones, transporte, alimentación y sistema financiero y tributario. En definitiva, afectaría a sociedades que estén establecidas en España o o en otro estado con un establecimiento permanente en España, como, por ejemplo, Enaire, Aena, Adif, Renfe, o las empresas de servicios de interés económico general como Red eléctrica o Iberdrola en el sector energético, o Telefónica o Cellnex en el sector de las Telecomunicaciones.
- Servicios digitales: todo aquellos prestados normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario, que sean mercados en línea, motores de búsqueda en línea o servicios de computación o almacenamiento en nube. En definitiva, afectaría a sociedades que estén establecidas en España con su sede principal en la UE, o fuera con un representante en la UE, como, por ejemplo, Zara, Google, Microsoft, Amazon.
Como sujetos exceptuados, están los prestadores de servicios esenciales que no estén incluidos en los sectores del anexo de la Ley 8/2011, y los prestadores de servicios digitales que sean microempresas o pequeñas empresas.
¿Cuáles son los puntos fuertes de esta ley y que lo relacionan con la protección de datos?
Esta norma establece una obligación concreta para los prestadores de ambos tipos de servicios, al igual que hace el RGPD, de aplicar las medidas técnicas y organizativas necesarias para minimizar el riesgo que se haya detectado tras la pertinente evaluación y garantizar la seguridad de la información, incentivando el uso de normas técnicas y dejando la concreción de medidas específicas para los prestadores de servicios esenciales para un futuro reglamento de desarrollo.
En relación con los prestadores de servicios digitales, establece los siguientes aspectos que se han de tener en cuenta en todo caso a la hora de desarrollar y aplicar medidas de seguridad:
- La seguridad de los sistemas e instalaciones.
- La gestión de incidentes.
- La gestión de la continuidad de las actividades.
- La supervisión, auditorías y pruebas.
- El cumplimiento de las normas internacionales.
Unido a lo anterior, y como gran punto fuerte de la norma, tenemos la obligación de notificar las violaciones o incidentes de seguridad que afecten gravemente al servicio (en la línea de lo establecido en los artículos 33 y 34 del RGPD), siempre que en virtud de los siguientes criterios valorativos se determine la existencia de una alteración significativa:
- El número de usuarios afectados por la perturbación del servicio esencial.
- La duración del incidente.
- La extensión o áreas geográficas afectadas por el incidente.
- El grado de perturbación del funcionamiento del servicio.
- El alcance del impacto en actividades económicas y sociales cruciales.
- La importancia de los sistemas afectados o de la información afectada por el incidente para la prestación del servicio esencial.
- El daño a la reputación.
La notificación se deberá realizar a uno de los equipos de respuesta a incidentes de seguridad informática de referencia (CSIRT) definidos en el artículo 11: INCIBE-CERT, CNN-CERT O ESPDEF-CERT, en el menor lapso temporal posible (con la posibilidad de que la autoridad competente obligue al prestado a comunicárselo directamente a los afectado), y a través de una plataforma habitada a tal efecto, que , a su vez podrá ser utilizada conjuntamente para la notificación de violaciones de datos personales, tal y como reconoce la disposición adicional tercera de esta ley.
Con respecto a las posibles cesiones de datos personales que esta notificación podría suponer, la ley concreta, recordando el principio de minimización del RGPD al determinar que sólo se traten los datos mínimos e imprescindibles, los supuestos que se entiende legitimados en atención a esta finalidad:
- De los operadores de servicios esenciales y los proveedores de servicios digitales a las autoridades competentes, a través de los CSIRT de referencia.
- Entre los CSIRT de referencia y las autoridades competentes, y viceversa.
- Entre los CSIRT de referencia, y entre éstos y los CSIRT designados en otros Estados miembros de la Unión Europea.
- Entre los CSIRT de referencia y otros CSIRT nacionales o internacionales.
- Entre el punto de contacto único y los puntos de contacto únicos de otros Estados miembros de la Unión Europea.
Régimen sancionador
Como todas aquellas normas que se pretenden hacer cumplir como la protección de datos, régimen audiovisual, se ha previsto un régimen sancionador con tres niveles de multas económicas:
- Infracciones leves: amonestación o multa hasta 100.000 euros.
- Infracciones graves: multa de 100.001 hasta 500.000 euros.
- Infracciones muy graves: multa de 500.001 hasta 1.000.000 euros.
Conclusiones
- Esta norma prevé medidas concretas para los prestadores de servicios esenciales, que se especificarán en un reglamento de desarrollo posterior.
- Pone en valor el uso y la importancia de las normas técnicas emitidas por organismos de normalización y estandarización.
- Obliga al prestador de servicios a tener un control continuo de sus actividades mediante la evaluación de los posibles riesgos y una auditoría continua.
- Supone un aumento de la responsabilidad d ellos prestadores de servicios digitales, los que pueden llegar a tener un mayor número de incidentes y suponer un mayor resigo para los ciudadanos, al obligarles a notificar las violaciones de seguridad o incidentes graves que sufran, en cualquier caso.