Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TEMA 41
Promoción Interna al Cuerpo de Gestión Tema 41 GRUPO VI 2
de la Administración de Castilla y León
Tabla de contenido
1 LAS RELACIONES ELECTRÓNICAS ENTRE LAS ADMINISTRACIONES PÚBLICAS ..........................................3
Las relaciones electrónicas entre las Administraciones Públicas, se enmarcan dentro del deber
de colaboración ente las distintas Administraciones, y de las técnicas a través de las cuales tiene que
materializarse.
Ambos aspectos están regulados en los artículos 141 y 142 de la Ley 40/2015, de 1 de octubre,
de Régimen Jurídico del Sector Público, en lo sucesivo LRJSP.
Al deber de colaboración de la letra c) del apartado 1 del artículo 140 de la LRJSP entendido como el
deber de actuar con el resto de Administraciones Públicas para el logro de fines comunes, dedica la Ley
40/2015, de 1 de octubre, el Capítulo II de su Título III. Dicho Capítulo aborda, en particular, las
siguientes cuestiones:
Técnicas de colaboración
En lo que concierne a la primera de las mismas, esto es, al deber de colaboración entre las
Administraciones Públicas, el apartado 1 del artículo 141 de la LRJSP señala que las Administraciones
Públicas deberán:
c) Facilitar a las otras Administraciones la información que precisen sobre la actividad que
desarrollen en el ejercicio de sus propias competencias o que sea necesaria para que los
ciudadanos puedan acceder de forma integral a la información relativa a una materia.
d) Prestar, en el ámbito propio, la asistencia que las otras Administraciones pudieran solicitar para
el eficaz ejercicio de sus competencias.
e) Cumplir con las obligaciones concretas derivadas del deber de colaboración y las restantes que
se establezcan normativamente.”
Esos deberes de colaboración que se articulan en el artículo 141, se pueden hacer efectivos a través
de varias técnicas: suministro de información, datos, documentos o medios probatorios; creación y
mantenimiento de sistemas integrados de información administrativa; deber de asistencia y auxilio para
atender las solicitudes recíprocas de información entre Administraciones; así como cualquier otra
prevista por la Ley. (Artículo 142 de la LRJSP)
Asimismo, podrán negarse, con comunicación motivada, cuando el organismo público o la entidad
de la cual se solicita la información no están facultados para prestarla de acuerdo con lo previsto en su
normativa específica, no disponga de los medios suficientes para ello, o cuando se causara un perjuicio
grave a los intereses cuya tutela tiene encomendada o al cumplimiento de sus propias funciones, o
cuando la información solicitada tiene carácter confidencial o reservado.
Negativa que puede estar más o menos justificada, según los casos, pero que no tiene ninguna
consecuencia práctica, es decir, no se articula ninguna facultad coercitiva, por ejemplo, de una
Administración sobre otra, sobre aquella que se niega a dar la información solicitada.
De los convenios (que se sacan de estos apartados para llevarlos a los artículos 47 y siguientes
de la LRJSP).
Dentro de esta estrategia de colaboración se enmarcan las relaciones electrónicas entre las
Administraciones Públicas, interesándonos especialmente para el tema que estamos tratando el articulo
147 sobre las Conferencias Sectoriales.
Las Conferencias sectoriales son órganos con funciones consultivas, decisorias o de coordinación y,
en función de las mismas, podrán adoptar recomendaciones, o acuerdos. (Artículo 151 LRJSP).
Como apoyo a estas Conferencias Sectoriales en el artículo 152 de la LRJSP se crean Comisiones
Sectoriales y Grupos de trabajo:
Entre sus recomendaciones se establecen las siguientes directrices respecto a las relaciones
electrónicas entre las Administraciones:
Las comunicaciones interadministrativas derivadas del artículo 155 2 de la Ley 40/2015 podrán
realizarse por las plataformas de intermediación o sistema equivalente de acuerdo a lo
contemplado en el artículo 28 de la Ley 39/2015
Antes que la nueva Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Púbico, la Ley
11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, en adelante
LAESP), y Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el ámbito de la Administración Electrónica, en lo sucesivo ENI, sentaron los
principios de las relaciones electrónicas entre las Administraciones Públicas.
Sin embargo, es la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público la que
regula cómo deben producirse estas relaciones, bajo el principio de la interoperabilidad, la seguridad y
la protección de los datos de carácter personal.
2
Artículo 155. Transmisiones de datos entre Administraciones Públicas.
3
Artículo 44. Intercambio electrónico de datos en entornos cerrados de comunicación.
Promoción Interna al Cuerpo de Gestión Tema 41 GRUPO VI 6
de la Administración de Castilla y León
“2. Las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos
públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la
interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas,
garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la
prestación conjunta de servicios a los interesados.”
Por otra parte, las relaciones electrónicas entre las Administraciones Públicas encuentran su
regulación en los Artículos 155-158 de la Ley 40/2015, de 1 de octubre, desarrollando las siguientes
cuestiones:
Interconexión de redes.
Transferencia de tecnología.
A los que habría que añadir otras cuestiones desarrolladas en los siguientes artículos:
Dejaremos el primer bloque para los siguientes epígrafes, y abordaremos ahora los artículos 44 y 45 de
la LRJSP.
Así el artículo 44 especifica que los documentos transmitidos en entornos cerrados entre
Administraciones Públicas, órganos, organismos públicos y entidades de derecho público, serán
considerados válidos a efectos de autenticación e identificación de los emisores y receptores en las
condiciones siguientes:
“1. Las Administraciones Públicas podrán determinar los trámites e informes que incluyan firma
electrónica reconocida o cualificada y avanzada basada en certificados electrónicos reconocidos
o cualificados de firma electrónica.
El artículo 13 del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional
de Interoperabilidad en el ámbito de la Administración Electrónica, aborda la utilización
preferentemente de la Red de comunicaciones de las Administraciones públicas españolas para
comunicarse entre sí, para lo cual conectarán sus respectivas redes y sus nodos de interoperabilidad, de
4
LO 15/1999 ha sido derogada por la LO 3/2018 de 5 de diciembre de Protección de Datos
Personales y Garantía de los Derechos Digitales, dicha norma no ha modificado
específicamente la literalidad de la Ley 40/2015 por lo que, si bien se sigue haciendo mención a
la norma derogada, se deberá estar a lo expuesto en la nueva normativa de protección de
datos.
Promoción Interna al Cuerpo de Gestión Tema 41 GRUPO VI 8
de la Administración de Castilla y León
forma que se facilite el intercambio de información y de servicios entre las mismas, así como la
interconexión con las redes de las Instituciones de la Unión Europea y de otros Estados miembros.
A esta red la llama “La Red SARA”. Así pues, la Red SARA es la interconexión que facilita el
intercambio de información y servicios entre las distintas Administraciones. A través de esta Red, los
Ministerios, las Comunidades Autónomas, los Entes locales y otros organismos públicos pueden
interconectar sus redes de una manera fiable, segura, capaz y flexible. La realidad es que, en estos
momentos, la tecnología de la Red SARA permite que las Administraciones Públicas españolas se
encuentren conectadas en tiempo real mediante una conexión segura e interoperable, ajena a posibles
ataques externos vinculados a Internet.
Indicaciones sobre los metadatos mínimos obligatorios, la asociación de los datos y metadatos
de firma o de sellado de tiempo, así como otros metadatos complementarios asociados; y los
formatos de documento relativos al documento electrónico.
La digitalización de documentos con los formatos y estándares aplicables, los niveles de calidad,
las condiciones técnicas y los metadatos asociados al proceso de digitalización.
Los protocolos de intermediación de datos, con las especificaciones que faciliten la integración
y reutilización de servicios en las Administraciones Públicas.
A su vez el artículo 8 del ENI indica que las Administraciones Públicas establecerán y publicarán las
condiciones de acceso y utilización de los servicios, datos y documentos en formato electrónico que
pongan a disposición del resto de Administraciones, especificando las finalidades, las modalidades de
consumo, consulta o interacción, los requisitos que deben satisfacer los posibles usuarios de éstos, los
perfiles de los participantes implicados en la utilización de los servicios, los protocolos y criterios
funcionales o técnicos necesarios para acceder a dichos servicios, así como los mecanismo necesarios de
los sistemas interoperables, y las condiciones de seguridad aplicables.
Por otra parte, en el mismo apartado 1 del artículo 8 del ENI se establece que:
“Estas condiciones deberán en todo caso resultar conformes a los principios, derechos y obligaciones
contenidos en la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal
y su normativa de desarrollo, así como a lo dispuesto en el Esquema Nacional de Seguridad, y los
instrumentos jurídicos que deberán suscribir las Administraciones públicas requeridoras de dichos
servicios, datos y documentos.”6
Además de los requisitos tecnológicos vistos en el punto anterior, la transmisión de datos entre las
Administraciones Públicas se rige por unos principios fijados en el LRJSP y en el LPAC.
Si bien en el apartado 1 del tema abordamos el deber de colaboración (artículo 141 LRJSP), la
concreción de este artículo para las transmisiones de datos entre las Administraciones Públicas, se
centra en la obligación para las Administraciones Públicas de intercambiar y compartir sus datos tal
como se desprende del propio artículo 53 LPAC, ya que en su apartado 1 letra d) señala como derecho
de los ciudadanos:
“A no presentar datos y documentos no exigidos por las normas aplicables al procedimiento de que
se trate, que ya se encuentren en poder de las Administraciones Públicas o que hayan sido elaborados
por ésta.”
Existen además otros artículos que se dirigen a garantizar materialmente la consecución de este
objetivo. Nos referimos concretamente al artículo 155 de la LRJSP que se refiere a las “transmisiones de
datos entre Administraciones públicas” (que se tratará en el siguiente apartado del tema), y al artículo
28.2 de la LPAC. “Documentos aportados por el interesado al procedimiento administrativo”, que se
abordará posteriormente.
Por lo que respecta al artículo 155 de la LRJSP “Transmisiones de datos entre Administraciones
Públicas”, modificado en su redacción por el Real Decreto Ley 14/2019, de 31 de octubre por el que se
adoptan medidas urgentes por razones de seguridad pública en materia de administración digital,
6
Si bien la LO 15/1999 ha sido derogada por la LO 3/2018 de 5 de diciembre de Protección de
Datos Personales y Garantía de los Derechos Digitales, dicha norma no ha modificado
específicamente la literalidad de la Ley 40/2015 por lo que, si bien se sigue haciendo mención a
la norma derogada, se deberá estar a lo expuesto en la nueva normativa de protección de
datos.
Promoción Interna al Cuerpo de Gestión Tema 41 GRUPO VI 10
de la Administración de Castilla y León
contratación del sector público y telecomunicaciones, cada Administración deberá facilitar el acceso de
las restantes Administraciones Públicas a los datos relativos a los interesados que obren en su poder,
especificando las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a
dichos datos con las máximas garantías de seguridad, integridad y disponibilidad.
Sin embargo, el propio artículo 155 puntualiza una serie de límites, a los que se alude en la
exposición de motivos del Real Decreto Ley 14/2019, de 31 de octubre:
“…la finalidad de la modificación del artículo 155 es permitir un mayor control de los datos cedidos entre
Administraciones Públicas, al efecto de garantizar la adecuada utilización de los mismos. Se permite
excepcionalmente que la Administración General del Estado pueda adoptar la medida de suspender la
transmisión de datos por razones de seguridad nacional de forma cautelar por el tiempo estrictamente
indispensable para su preservación.
La licitud del tratamiento de los datos personales para finalidades distintas de las iniciales viene
determinada por la circunstancia de que se trate de finalidades compatibles. Tratándose de finalidades
incompatibles, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, prohíbe su tratamiento. No obstante, el propio Reglamento declara ya unas finalidades que estima
compatibles: tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de
investigación científica e histórica o fines estadísticos. En este sentido, en caso de que el responsable del
tratamiento (el cesionario), previo análisis de la compatibilidad de acuerdo con los criterios del artículo
6.4 del citado Reglamento, considere que es compatible, el precepto introduce la obligación adicional de
consultar a la administración cedente. La Administración General del Estado podrá oponerse
motivadamente y suspender por razones de seguridad nacional…”
Por su parte, el artículo 44 de la LRJSP como ya se detalló en el apartado 1 del tema se ocupa de
precisar el régimen del «intercambio electrónico de datos» entre Administraciones públicas cuando éste
se realice a través de «entornos cerrados de comunicación», esto es, mediante intranets/extranets
como la Red de Sistemas, Aplicaciones y Redes para las Administraciones (Red SARA).
Y para ello:
“La administración actuante podrá consultar o recabar dichos documentos salvo que el
interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el
marco del ejercicio de potestades sancionadoras o de inspección.” (Artículo 28.2 LPAC)
Promoción Interna al Cuerpo de Gestión Tema 41 GRUPO VI 11
de la Administración de Castilla y León
El propio artículo nos dice como se deben recabar esos datos. El intercambio de información se
deberá hacer electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas
de intermediación de datos u otros sistemas electrónicos habilitados al efecto.
Y otra vez nos indica que se podrán recabar electrónicamente los datos y documentos a través
de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros
sistemas electrónicos habilitados al efecto.
“…salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial
aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones
Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al
interesado su aportación…”
De este modo las Administraciones podrán consultar la documentación y los datos referidos a
un procedimiento, pero, la LPAC reconoce al interesado la posibilidad de oponerse a que órganos de la
Administración Pública consulten o recaben a citada información. En todo caso, cuando el interesado se
oponga, deberá aportar la documentación con objeto de que la Administración gestione correctamente
el procedimiento administrativo en cuestión.
“Ya la ley 30/1992 reconocía a los administrados el derecho a no aportar a los procedimientos
administrativos los documentos que obrasen en poder de la Administración, o que hubiesen sido
elaborados por ésta. La base jurídica del tratamiento de los datos personales por la
Administración era el consentimiento del administrado, que se entendía tácitamente concedido
si el interesado no se oponía expresamente. Tanto el Reglamento General de Protección de
Datos como la nueva Ley Orgánica eliminan la necesidad de recabar el consentimiento, ni
siquiera tácito, del ciudadano, al establecer como base jurídica legitimadora principal del
tratamiento de datos personales por órganos y organismos del Sector Público el cumplimiento
de una misión en interés público o, particularmente, el ejercicio de poderes públicos. Asimismo,
la nueva redacción otorgada por la Ley Orgánica al artículo 28 de la Ley 39/2015 reconoce al
interesado la posibilidad de oponerse a que órganos y organismos del Sector Público consulten
o recaben los citados documentos, pero en ese caso el administrado deberá aportarlos
necesariamente para que la Administración pueda conocer que concurren en él los requisitos
establecidos por la norma. En caso contrario no podrán estimar su solicitud, precisamente
Promoción Interna al Cuerpo de Gestión Tema 41 GRUPO VI 12
de la Administración de Castilla y León
En suma, tanto del articulado de la LRJPAC como de la LPAC y del ENI se desprende la obligación
para las Administraciones Públicas de intercambiar y compartir sus datos, constituyendo dicha
obligación una auténtica premisa para posibilitar el derecho de los ciudadanos a no aportar datos y
documentos que obren en poder de las Administraciones.
La LRJSP realiza una clara apuesta por la racionalización de la inversión pública en tecnología,
previendo diversas técnicas, desde la colaboración mediante la puesta a disposición de las aplicaciones,
o la declaración de fuentes abiertas, entre otras, destacando el directorio general de aplicaciones,
dependiente de la Administración General del Estado, así como aquellas otras disponibles en los
directorios integrados de otras Administraciones.
Las aplicaciones a las que se refiere el apartado anterior podrán ser declaradas como de
fuentes abiertas, cuando de ello se derive una mayor transparencia en el funcionamiento de la
Administración Pública o se fomente con ello la incorporación de los ciudadanos a la Sociedad
de la información.
porque no habría demostrado los requisitos requeridos. En todo caso, dicho derecho de
oposición no juega en los casos de potestades de verificación o inspección.
siempre que los requisitos tecnológicos de interoperabilidad y seguridad así lo permitan.(Artículo 157.3
LRJSP).
En el caso que una Comunidad Autónoma o una Entidad Local justifique ante el Ministerio de
Hacienda y Administraciones Públicas que puede prestar el servicio de un modo más eficiente,
de acuerdo con los criterios previstos en el párrafo anterior, y opte por mantener su propio
registro o plataforma, las citadas Administraciones deberán garantizar que éste cumple con los
requisitos del Esquema Nacional de Interoperabilidad, el Esquema Nacional de Seguridad, y sus
normas técnicas de desarrollo, de modo que se garantice su compatibilidad informática e
interconexión, así como la transmisión telemática de las solicitudes, escritos y comunicaciones
que se realicen en sus correspondientes registros y plataformas” 10
Por otra parte, el Esquema Nacional de Interoperabilidad (Real Decreto 4/2010) dedica su
capítulo VIII a la reutilización “de las aplicaciones y de la documentación asociada, y de otros objetos de
información de los cuales las Administraciones públicas sean titulares de los derechos de propiedad
intelectual”.
“1. La Administración General del Estado mantendrá el Directorio de aplicaciones para su libre
reutilización que podrá ser accedido a través del Centro de Transferencia de Tecnología.
3. Las Administraciones públicas deberán tener en cuenta las soluciones disponibles para la libre
reutilización que puedan satisfacer total o parcialmente las necesidades de los nuevos sistemas
y servicios o la mejora y actualización de los ya implantados.
Después de todo lo leído queda claro que son necesarios grandes esfuerzos en los
departamentos de Tecnologías de la Información para la consecución y mantenimiento de una
administración sin papeles: tanto de cara al ciudadano como de cara al funcionamiento interno de la
administración. Para la consecución de estos fines uno de los instrumentos que aparece reflejado en el
artículo 17 del ENI es el Centro de Transferencia de Tecnología.
11 La Ley 11/2007, de 22 de junio está derogada por la Ley 39/2015, de 1 de octubre. Estas
referencias aluden a los contenidos de los artículos 157 y 158 de la LRJSP.
Promoción Interna al Cuerpo de Gestión Tema 41 GRUPO VI 15
de la Administración de Castilla y León
Como vimos al principio de este epígrafe una de las herramientas que contempla la LRJSP para
la cooperación entre las Administraciones Públicas es la figura del Convenio. En lo referente a las
herramientas de administración electrónica, nuestra Comunidad ha firmado el Convenio para la
prestación mutua de soluciones básicas de administración electrónica.12
1. El presente Convenio tiene por objeto establecer los términos y condiciones generales para un
aprovechamiento común de las soluciones tecnológicas básicas de administración electrónica que
prestan las partes firmantes en cumplimiento de la Ley 11/2007, de 22 de junio, de acceso electrónico de
los ciudadanos a los Servicios Públicos.
Dicha prestación mutua de soluciones tecnológicas básicas se llevará a cabo en los términos que
establece el presente Convenio, realizándose sin contraprestación económica.”
12
Resolución de 24 de mayo de 2016, de la Secretaría de Estado de Administraciones Públicas, por
la que se publica el Convenio de colaboración con la Comunidad de Castilla y León, para la
prestación mutua de soluciones básicas de administración electrónica. BOE: núm. 144, de
15/06/2016
Promoción Interna al Cuerpo de Gestión Tema 41 GRUPO VI 16
de la Administración de Castilla y León
Por último añadir que la Unión Europea a través del Marco Europeo de Interoperabilidad 13 se
refiere de forma reiterada a lo largo del texto a la reutilización de las aplicaciones, los servicios, las
especificaciones, los modelos de datos y las fuentes de información administrativa.
La definición de este término se encuentra en las primeras líneas del Esquema Nacional de
Interoperabilidad (ENI)14: «capacidad de los sistemas de información, y por ende de los procedimientos
a los que estos dan soporte, de compartir datos y posibilitar el intercambio de información y
conocimiento entre ellos».
Gracias a la interoperabilidad, la ciudadanía accede cada vez más a sus datos alojados en
diversas administraciones como la Agencia Tributaria, la Seguridad Social, Educación, Empleo, Tráfico,
Registros diversos (de identificación, residencia, catastro, de parejas de hecho), etc.
Ámbito de aplicación
16
Artículo 2. Ámbito subjetivo de aplicación. (LPAC)
Comprender los criterios y recomendaciones que deberán ser tenidos en cuenta por las
administraciones públicas para la toma de decisiones tecnológicas que garanticen la
interoperabilidad y que eviten la discriminación a los ciudadanos por razón de su elección
tecnológica.
Y que, por tanto, contribuyan a crear las condiciones necesarias para la interoperabilidad en el
uso de los medios electrónicos que permitan a los ciudadanos y a las administraciones el ejercicio
de derechos y el cumplimiento de deberes a través de estos medios.
Proporcionar los elementos comunes que han de guiar la actuación de las administraciones
públicas en materia de interoperabilidad, para facilitar la interacción de las administraciones
públicas, así como la comunicación de los requisitos de interoperabilidad a la industria.
El ENI prevé su propio desarrollo en determinadas materias específicas, a través de una serie de
normas técnicas de interoperabilidad (NTI), que contemplan los aspectos técnicos fundamentales para
garantizar la interoperabilidad. Son de obligado cumplimiento para todas las Administraciones Públicas y
suponen una homologación a la hora de abordar las cuestiones técnicas que se plantean en torno a la
interoperabilidad. Las NTI previstas son las siguientes:
En ese mismo artículo 13 de la LPAC sobre los derechos de las personas en sus relaciones con
las Administraciones Públicas, se señala que:
Seguridad es el garante de las medidas de seguridad que se requieren para proteger todas las
actuaciones realizadas al amparo de la Administración Electrónica.
Sobre la validez y eficacia de las copias realizadas por las Administraciones Públicas, el artículo
27 de la LPAC señala que:
“Para garantizar la identidad y contenido de las copias electrónicas o en papel, y por tanto su
carácter de copias auténticas, las Administraciones Públicas deberán ajustarse a lo previsto en el
Esquema Nacional de Interoperabilidad, el Esquema Nacional de Seguridad y sus normas técnicas de
desarrollo, así como a las siguientes reglas:
Por lo que respecta a la Ley 40/2015, de 1 de octubre del Régimen Jurídico del Sector Público, el
art. 3.2, sobre principios generales, indica:
“Las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y
entidades vinculados o dependientes a través de medios electrónicos, que aseguren la
interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas,
garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la
prestación conjunta de servicios a los interesados”.
Por otra parte, El artículo 38 de la LRJSP, sobre la sede electrónica, señala que “Cada
Administración Pública determinará las condiciones e instrumentos de creación de las sedes electrónicas,
con sujeción a los principios de transparencia, publicidad, responsabilidad, calidad, seguridad,
disponibilidad, accesibilidad, neutralidad e interoperabilidad”.
Vemos que se introducen al menos dos principios nuevos respecto a los analizados
anteriormente:
Ese mismo artículo 38 LRJSP señala que “Las sedes electrónicas dispondrán de sistemas que
permitan el establecimiento de comunicaciones seguras siempre que sean necesarias”, con lo cual la
seguridad y confidencialidad son complementarias y necesarias para ofrecer cualquier servicio público
de calidad.
“3. Los medios o soportes en que se almacenen documentos, deberán contar con medidas de
seguridad, de acuerdo con lo previsto en el Esquema Nacional de Seguridad, que garanticen la
Promoción Interna al Cuerpo de Gestión Tema 41 GRUPO VI 23
de la Administración de Castilla y León
Por su parte, el artículo 151 de la LRJSP, sobre transmisiones de datos entre Administraciones
Públicas, señala: “Cada Administración deberá facilitar el acceso de las restantes Administraciones
Públicas a los datos relativos a los interesados que obren en su poder, especificando las condiciones,
protocolos y criterios funcionales o técnicos necesarios para acceder a dichos datos con las máximas
garantías de seguridad, integridad y disponibilidad”.
De la lectura de los artículos podemos extraer las dimensiones básicas de la seguridad, a saber,
confidencialidad, integridad y disponibilidad18
La actual LRJSP en su artículo 156 recoge el Esquema Nacional de Seguridad, en adelante ENS,
que:
La definición obvia algunos aspectos fundamentales que son tratados en el ENS, surgiendo del
propio concepto de servicio público. El sector público no se limita a tratar información de los ciudadanos
sin ninguna razón, sino que lo hace en el ámbito de un servicio o, si se prefiere, de determinados
procedimientos y trámites administrativos, dentro de sus competencias.
18
La confidencialidad se conoce como una forma de prevenir la divulgación de la
información a personas o sistemas que no se encuentran autorizados.
Cuando hablamos de integridad en seguridad de la información nos referimos a cómo los datos
se mantienen intactos libre de modificaciones o alteraciones por terceros.
19
Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de
enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la
Administración Electrónica.
Promoción Interna al Cuerpo de Gestión Tema 41 GRUPO VI 24
de la Administración de Castilla y León
El propio preámbulo del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema
Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS), señala “El Esquema Nacional
de Seguridad persigue fundamentar la confianza en que los sistemas de información prestarán sus
servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin
interrupciones”.
“La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de
confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad
de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los
ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de
deberes a través de estos medios”.
Es precisamente la calidad de los servicios ofrecidos, junto a la confianza que respecto a ellos
perciba la ciudadanía, lo que hará de la Administración electrónica un éxito.
Las instrucciones técnicas de seguridad, de obligado cumplimiento, son esenciales para lograr
una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el
Esquema y, particularmente, para indicar el modo común de actuar en aspectos concretos:
Auditoria de la seguridad
Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS.
El ENS en su artículo 41 sobre ‘Publicación de conformidad’ señala que los Órganos y Entidades
de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de
Promoción Interna al Cuerpo de Gestión Tema 41 GRUPO VI 26
de la Administración de Castilla y León
conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al
cumplimiento del ENS.
Tras la entrada en vigor de las leyes 39/2015 y 40/2015 afecta a todas las entidades del Sector
Público en España, así como a los operadores del Sector Privado que les prestan soluciones y servicios, o
que estén interesadas en la certificación de la conformidad con el ENS.
Uno de los aspectos más significativos ha sido incluir de forma obligatoria en el proceso de
certificación a toda la cadena de suministro de la Administración, perteneciente al Sector Privado.
Concretamente el capítulo VII de la Instrucción Técnica, sobre soluciones y servicios prestados por el
sector privado, señala:
“Cuando los operadores del sector privado presten servicios o provean soluciones a las
entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de
Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de
Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría
BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se
trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los
exigidos en esta Instrucción Técnica de Seguridad para las entidades públicas.
21
Artículo 36. Capacidad de respuesta a incidentes de seguridad de la información (ENS)
apreciar su crecimiento exponencial. En la actualidad un proveedor del sector público o está certificado
en los servicios que proporciona, o dejará de serlo.
Niveles de seguridad
Para obtener la certificación ENS, una organización necesita cumplir unas exhaustivas
especificaciones que marca el Centro Criptológico Nacional (CCN), estas medidas de seguridad se
agrupan en tres niveles distintos:
3. Activos: a nivel de activos, la seguridad se garantiza con medidas de protección concretas, para
instalaciones e infraestructuras, equipos, comunicaciones, aplicaciones, soportes, servicios y
datos.
En definitiva, pese a que el objetivo inicial del ENS era su adopción por la Administración
Pública española, su marco de control de Seguridad empieza a verse como una base de referencia para
ser utilizada por cualquier empresa, independientemente de su sector o tamaño. El Esquema Nacional
de Seguridad se ha convertido en el estándar de seguridad de la Administración Pública y en un estándar
de referencia para el sector privado español, así como en un estándar de ciberseguridad.