nº 1.015 - 27 de febrero de 2025

Sobre los datos personales y su custodia: interoperabilidad y seguridad

J&F

La protección de los datos personales fue un descubrimiento. En realidad, una manifestación de los avances tecnológicos. Porque los datos, la información, siempre ha estado ahí. Otra cosa es las posibilidades que para su almacenamiento, acceso y transmisión ha significado el devenir tecnológico. Sobre todo, en cuanto a la delimitación de las conductas legales e ilegales y las garantías establecidas. Todo ello procedente de nuestra Unión Europea.

Se trata de un triángulo, el conformado por los datos personales, la interoperabilidad y la seguridad, en constante ebullición.

Entre nosotros (y en versión simplificada) la redacción originaria de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, estableció en la redacción originaria de su artículo 45 la incorporación de los medios técnicos. De ahí, pasamos a la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, norma que dio lugar a la promulgación del Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. Lo que dio lugar (entre otras cosas) a la Estrategia de Seguridad Nacional de 2017.

Ambos sistemas (el de la Ley 30/1992 y el de la Ley 11/2007) vivieron a confluir en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Entre tanto la Unión Europea dictó la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, por la que se «establece obligaciones para todos los Estados miembros de adoptar una estrategia nacional de seguridad de las redes y sistemas de información» (artículo 1.2 a), transpuesta a nuestro ordenamiento (con algo de retraso) por medio del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

La Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) que «establece medidas que tienen por objeto alcanzar un elevado nivel común de ciberseguridad en toda la Unión con el objetivo de mejorar el funcionamiento del mercado interior».

Los términos van cambiando (de seguridad a ciberseguridad) y afecta al derecho interno, como es, de manera evidente, al Esquema Nacional de Seguridad, lo que da lugar a que se proceda a su revisión, mediante el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, así como al Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G, punto en el que comienza a resultar difícil entender lo que está pasando desde un punto de vista de regulación. De hecho, el Consejo de Seguridad Nacional ya había aprobado la Estrategia Nacional de Ciberseguridad 2019, que fue publicada mediante Orden PCI/487/2019, de 26 de abril, con el propósito de fijar las directrices generales en el ámbito de la ciberseguridad de manera que se alcanzasen los objetivos previstos en la Estrategia de Seguridad Nacional de 2017.

Porque la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, establece en el artículo 41, en cuanto al plazo de transposición, que «a más tardar el 17 de octubre de 2024, los Estados miembros adoptarán y publicarán las medidas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones» y que «aplicarán dichas disposiciones a partir del 18 de octubre de 2024». Lo de ir tarde y mal en la transposición es costumbre en nuestro legislador… con los efectos económicos que ello conlleva. Otras multas más en tanto que no cumplamos con la obligación de transposición.

Pero es sí, se ha puesto en circulación el referido nuevo Esquema Nacional de Seguridad de redes y servicios 5G, sin haber transpuesto la Directiva, algo difícil de entender en los propios términos empleados por el propio Real Decreto 443/2024, de 30 de abril, en tanto que en el texto introductorio no se hace referencia alguna a ese nuevo marco establecido por medio de la Directiva (UE) 2022/2555, manteniendo la conexión con el Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación (hasta 40 referencias se realizan a él), hasta que (repentinamente) al regular la prestación de servicios de respuesta a incidentes de seguridad se señala expresamente «a la normativa que pudiera remplazar a esta regulación fruto de la transposición de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión».

Cuesta entender que se promulgue una norma, como es el Esquema Nacional de Seguridad de redes y servicios 5G (30 de abril de 2024), cuando ya esta tan avanzado (más cerca de su fin –17 de octubre de 2024– que de su inicio) el plazo concedido para transponer la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, ignorando ese nuevo escenario, al tiempo que, a día de hoy se sigue sin transponer esa Directiva.

En este sentido conviene recordar (por evidente y manido que sea el asunto) el efecto directo de las Directivas no transpuestas, algo que no debe sorprender dado que se trata de un principio establecido por el Tribunal de Justicia de la Unión Europea (entonces Tribunal de Justicia de las Comunidades Europeas, sentencia de 4 de diciembre de 1974, asunto 41/74, Van Duyn Home Office) y, en este caso, las previsiones de la Directiva son claras y precisas.

Las obligaciones existen y están ahí. Algún día, y de alguna manera, serán transpuestas a nuestro ordenamiento interno. Entre tanto, siempre podemos usar los fondos europeos para pagar las multas por demora en la transposición. ■