El 6 de junio entra en vigor la Orden JUS/564/2023, que aprueba la Política de Seguridad del Ministerio de Justicia en los ámbitos de la Administración Electrónica, Protección de datos personales y Protección de la información clasificada del Ministerio de Justicia, así como del marco organizativo y tecnológico de la misma.
Respecto a la Política de Seguridad (PS), señala el texto que, en materia tecnológica el Ministerio de Justicia, en su ámbito competencial, presta y pone a disposición de los órganos y oficinas judiciales y fiscales los servicios y sistemas de Tecnologías de la Información y Comunicaciones (TIC) para el desarrollo de sus funciones. Igualmente, los servicios TIC del Ministerio de Justicia garantizan las relaciones electrónicas de los ciudadanos y profesionales con la Administración de Justicia, y con el Ministerio de Justicia. Estos servicios pueden ser prestados a otras Comunidades Autónomas con competencias en materia de Justicia, así como a otras administraciones y entidades públicas.
Ámbito de aplicación
La PS será de obligado cumplimiento para todos los órganos y unidades que conforman la estructura del Ministerio de Justicia y para todo el personal que realice tratamiento de información de la que sea responsable el Ministerio de Justicia con independencia de su destino, condición laboral o relación por la que proceda al tratamiento. Se podrán adscribir a ella aquellos organismos públicos dependientes del Ministerio de Justicia que no tengan establecida su propia política de seguridad y así lo soliciten.
Asimismo, afectará a la información tratada por medios electrónicos y a la información en soporte papel que el Ministerio gestiona en el ámbito de sus competencias. En este sentido el texto señala las normas conforme a las cuales se define la taxonomía de la información.
Estructura organizativa
La estructura organizativa para la gestión de la seguridad está compuesta por los siguientes órganos y agentes:
- Comité de Gobierno de Seguridad y Riesgos: órgano colegiado de los previstos en el artículo 20.2 de la Ley 40/2015 de Régimen Jurídico del Sector Público, que gestionará y coordinará todas las actividades relacionadas con la seguridad del Ministerio de Justicia. La norma determina tanto su composición (presidente, vicepresidente, vocales y secretario), como las funciones que tiene encomendadas. Se reunirá con carácter ordinario al menos una vez al año y con carácter extraordinario cuando lo decida su Presidente.
- Comité de Ciberseguridad: órgano colegiado de los previstos en el artículo 20.2 de la Ley 40/2015, dependiente de la Dirección General de Transformación Digital de la Administración de Justicia, detallándose su composición (presidente, vocales y secretario) y funciones.
- Grupo de Coordinación de Protección de Datos: creado conforme a la Instrucción 7/2020de la Subsecretaría de Justicia, que designarán entre sus miembros a los asistentes a las reuniones de los diferentes órganos recogidos en el presente orden ministerial.
- Servicio de Protección de Información Clasificada: en cumplimiento de las normas de la Autoridad Nacional para la Protección de la Información Clasificada, el ministerio debe designar un Jefe de Seguridad para cada servicio de protección a quien corresponde organizar, dirigir y controlar un determinado servicio de protección, así como cumplir y hacer cumplir la normativa vigente.
- Responsables de Seguridad de la Información: desarrollan e implementan el programa de seguridad de la información del Ministerio, que incluye procedimientos y políticas diseñados para proteger las comunicaciones, los sistemas y los activos de información de la organización de amenazas internas y externas dirigidas sobre vectores de ataque físicos y lógicos. Además, tomarán las decisiones para satisfacer los requisitos de seguridad de la información, seguridad en el tratamiento de datos personales y de los servicios proporcionados por tecnologías de la información, atendiendo las directrices marcadas por el Comité de Gobierno de Seguridad y Riesgos.
- Responsables de la Información y del Servicio: establecen los requisitos de seguridad de la información tratada y de los servicios prestados, así como de determinar los niveles de seguridad de la información y de los servicios, y aceptar los niveles de riesgo residuales que afecten a la información y a los servicios. Sus funciones recaerán en la persona titular del órgano o unidad administrativa que gestione cada procedimiento administrativo, pudiendo una misma persona acumular las responsabilidades de la información de todos los procedimientos que gestione sin que ello implique un aumento de las actuales dotaciones ni de las retribuciones de dichos efectivos por ningún concepto. Los responsables de la información serán designados por los órganos y entidades destinatarias de los sistemas de información, y de acuerdo con la Política de Seguridad de la Información de la Administración Judicial Electrónica. En su defecto, sus funciones recaerán en el Comité de Ciberseguridad.
- Responsables del Sistema: por sí o a través de recursos propios o contratados se encargarán de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo pudiendo delegar en administradores u operadores bajo su responsabilidad. Las unidades tecnológicas del Ministerio de Justicia asumen la responsabilidad del sistema, correspondiendo a sus titulares la máxima responsabilidad, que podrán designar Responsables del Sistema Delegados.
- Responsables del Tratamiento: cada órgano superior o directivo del Ministerio de Justicia, a los que les sea de aplicación la PS, designará al responsable del tratamiento el cual asumirá las obligaciones y responsabilidades establecidas en el marco normativo de protección de datos aplicable, contando con el asesoramiento de los delegados de protección de datos asignados.
- Encargados del Tratamiento de datos personales: la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta de la persona designada Responsable del tratamiento. Tendrá la consideración de «Encargado del Tratamiento» en el tratamiento de datos de carácter personal en las aplicaciones y servicios digitales diseñados, desarrollados o en mantenimiento por parte de la Dirección General de Transformación Digital y que hayan sido creados o implantados en el ámbito de competencias del Ministerio de Justicia, y puestos a disposición de Juzgados, Tribunales, Fiscalías, Oficinas Judicial y Fiscal, órganos técnicos auxiliares de la Administración de Justicia, unidades administrativas, órganos y organismos del departamento, así como de otras Administraciones, entidades e instituciones públicas en virtud de procedimientos de adhesión u otros instrumentos de la misma naturaleza previstos en la legislación vigente. Esta misma condición de encargado del tratamiento será asumida por cualquier órgano, organismo, o unidad del Ministerio de Justicia que de acuerdo con sus competencias lleve o pueda llevar a cabo tratamiento de datos por cuenta de terceros.
- Delegados de Protección de Datos: las normas de desarrollo normativo de la política de seguridad establecerán los mecanismos de coordinación con los Delegados de Protección de Datos para que estos puedan informar, asesorar y supervisar sobre el cumplimiento de las diferentes obligaciones, por parte de los responsables o encargados de los tratamientos de datos personales, establecidas en el correspondiente marco normativo, garantizando la obligación del responsable y del encargado del tratamiento que el Delegado de Protección de Datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Se garantizará su participación desde la etapa más temprana posible en todas las cuestiones relativas a la protección de los datos, y especialmente, y sin perjuicio de otras funciones, desde el propio diseño de los tratamientos, en el análisis y gestión de riesgos, en las evaluaciones de impacto, en la gestión de brechas de seguridad, auditorias, revisión y actualización del registro de actividades de tratamiento, ejercicio de derechos de los interesados y reclamaciones.
Análisis y gestión de riesgos
Dispone la norma que la gestión de riesgos debe realizarse de manera continua sobre el sistema de información, conforme a los principios de gestión de la seguridad basada en los riesgos y reevaluación periódica, proceso que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá ser revisado y actualizado periódicamente.
En el tratamiento de los datos personales se llevará previamente a cabo un análisis de riesgos para los derechos y libertades de las personas de conformidad, con los artículos 24, 25 y 32 del RGPD y 28 de la LOPDGDD, y en su caso, de acuerdo con los artículos 27, 28 de la Ley Orgánica 7/2021 y a los efectos de la seguridad se realizará el análisis de riesgos establecido en el ENS, que complementará el análisis de riesgos de la privacidad.
Si el resultado de este análisis entraña un alto riesgo para los derechos y libertades de las personas físicas, deberá realizarse una evaluación de impacto.
Por otra parte, el texto impone al Ministerio de Justicia llevar a cabo de forma periódica, y al menos cada dos años, una auditoría encaminada a la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos y sistemas de información. En todo caso realizará una auditoría específica y extraordinaria cuando se lleven a cabo modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas.
Estas auditorías serán supervisadas por el responsable de seguridad de la información y, en caso de tratamiento de datos personales, por el delegado de protección de datos.
Gestión de incidentes
La norma determina que el Ministerio de Justicia disponga de procedimientos de gestión de incidentes de seguridad con los requisitos establecidos en el ENS y su correspondiente instrucción técnica de seguridad, y que, además, adopte medidas que garanticen la notificación a la autoridad de protección de datos y las obligaciones de documentación de cualquier violación de la seguridad de los datos personales (artículo 33 del RGPD). Igualmente adoptará las medidas procedentes para la comunicación a los interesados que pudieran haberse visto afectados por la violación de seguridad de los datos de carácter personal, en los casos y conforme a lo dispuesto en el artículo 34 del RGPD.
Por otra parte, el texto dispone que, en caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la PS prevalecerá la decisión del Comité de Gobierno de Seguridad y Riesgos, mientras que en materia de protección de datos prevalecerán las decisiones del Responsable del Tratamiento de acuerdo con sus competencias y obligaciones.
Política de Seguridad
La norma se ocupa del cuerpo normativo de desarrollo de la política de seguridad, que podrá dividirse en ámbitos materiales y se desarrollará en tres niveles por ámbito subjetivo de aplicación, nivel de detalle técnico y obligatoriedad de cumplimiento, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior.
Este desarrollo normativo garantizará que por los responsables y encargados del tratamiento de datos se dé cumplimiento a los principios y obligaciones establecidas en el marco normativo de protección de datos con la participación adecuada y en tiempo oportuno, desde el diseño de los tratamientos y sus medios, al delegado de protección de datos, a través de las correspondientes medidas técnicas y organizativas, todo ello a través del marco organizativo de la política de seguridad.