modelo municipal de cumplimiento normativo · de oficio o por solicitud. 17 ... –copias...

Ayuntamiento El Campello

Renato Aquilino Pujol - 2016

Modelo Municipal de Cumplimiento Normativo

Administración Electrónica – Nueva LPAC-LRJSP

Transparencia – Privacidad – Seguridad - Interoperabilidad

Ayuntamiento El Campello 14/03/2016



• Contexto. Servicios Municipales.

– Primera línea de servicio a Ciudadanos.

– Amplia colección de servicios heterogéneosintegrados.

– Alta sensibilidad de datos almacenados y/ogestionados.

– Relevante dependencia de las infraestructurasinformáticas para el desarrollo de los servicios.

Cumplimiento Normativo – Modelo Municipal2



• Ciudadanos.

• Administraciones interoperables.

Cumplimiento Normativo – Modelo Municipal 3

Cualesquiera personas físicas, personas jurídicas y entes sin personalidad que se relacionen, o sean susceptibles de

relacionarse, con las Administraciones Públicas.

Destinatario, beneficiario o parte en los procedimientos administrativos para los que una unidad administrativa tiene competencias públicas encomendadas.


Renato Aquilino Pujol - 2016Cumplimiento Normativo – Modelo Municipal 4

Servicios1.0


Renato Aquilino Pujol - 2016 Cumplimiento Normativo – Modelo Municipal5



• Ejemplo de servicios municipales.


ActividadesAgencia Desarrollo LocalAgriculturaAguas / BasurasAlcaldíaArchivo MunicipalBibliotecaCementerioCenso animales peligrososCentro / Residencia de MayoresComercio / MercadosConcejalíasConservatorioCulturaDeclaración de bienes

DeportesEducaciónEscuelas municipalesEspacio PúblicoFacturación ElectrónicaFiestas / EventosGabinete Psico-PedagógicoGestión del Personal / RRHHGestión del TerritorioGestión Económico-FinancieraGestión ExpedientesGestión TributariaInmigraciónInternet para CiudadanosIntervención

Junta de GobiernoJuventudMatadero municipalMedio AmbienteMovilidad / Transporte públicoMultas / SancionesNormalización lingüísticaOcupación vía públicaOMACPabellón polideportivoParejas de HechoParque MóvilParticipación CiudadanaPatrimonio MunicipalPerfil del Contratante



• Ejemplo de servicios municipales.


Piscina municipalPlenoPolicía Local + Grua MunicipalPortal InternetProtección CivilRecaudaciónReciclaje - ResiduosRegistro ElectrónicoRegistro PresencialSalas Municipales (Teatro, …)Salud PúblicaSecretaría

Sede ElectrónicaServicios SocialesTesoreríaTráficoTurismoUrbanismoVadosVentanilla únicaVideovigilanciaViolencia de géneroVoluntariado

Sistemas de Información



Capacidades de almacenamiento de información.

Años 80. Kilobytes – Megabytes.

Años 90. Megabytes – Gigabytes.

Actualmente. Terabytes – Petabytes – Exabytes - ….UNIDADES



Altas capacidades de procesamiento de datos.

Alto impacto en las dimensiones de la Seguridad en caso de fuga de datos y/o ataque.

Amenazas internas y externas.



• Conceptos básicos de los Marcos Norma-tivos.

– Confidencialidad. Propiedad de la informaciónconsistente en permitir su acceso únicamente apersonas, entidades o procesos autorizados.

– Privacidad. Aspectos de la vida personal quesus titulares desean mantener fuera del alcancede las demás personas, entidades o procesos,bajo su criterio.




• Conceptos básicos de los Marcos Normativos.

– Disponibilidad. Propiedad de la información ( yde los activos que la tratan ) consistente enmantenerse accesible siempre que sea necesaria.

• ¿ Cuánto tiempo puede asumir el Ayuntamiento la caída de sussistemas de información ?

• ¿ Cuáles son los riesgos existentes que pueden suponer la caídade los sistemas de información ?

• Los riesgos son dinámicos. ¿ Existe un análisis y gestiónpermanente de los riesgos ?





– Integridad. Propiedad de la información consistente en mantenersu exactitud y completitud.

– Autenticidad. Propiedad o característica consistente en que unaentidad es quien dice ser o bien que garantiza la fuente de la queproceden los datos.

– Trazabilidad. Propiedad o característica consistente en que lasactuaciones de una entidad pueden ser imputadas exclusivamentea dicha entidad.




• Conceptos básicos de los MarcosNormativos.

– Interoperabilidad. Capacidad de lossistemas de información, y por ende de losprocedimientos a los que éstos dansoporte, de compartir datos y posibilitar elintercambio de información y conoci-miento entre ellos.


Organizativa Semántica

TécnicaEn el

tiempo




– Transparencia. La transparencia en la gestión de losasuntos públicos se caracteriza por la adopción depolíticas y acciones tendentes a facilitar el accesolibre a toda la información, en todos los ámbitos y entodas las fases de los procesos y actividades, sinmayores limitaciones que aquellas expresamenteestablecidas por las leyes para la defensa de derechose intereses fundamentales coherentes con el ordenconstitucional democrático.

14Cumplimiento Normativo – Modelo Municipal



Cumplimiento Normativo – Modelo Municipal

• ADMINISTRACIÓN ELECTRÓNICA. Llega la Ley39/2015, de 1 de octubre, del ProcedimientoAdministrativo Común de las AdministracionesPúblicas. Disposiciones generales.……. Sin embargo, en el entorno actual, la tramitación electrónica no puede sertodavía una forma especial de gestión de los procedimientos sino que debeconstituir la actuación habitual de las Administraciones. Porque unaAdministración sin papel basada en un funcionamiento íntegramenteelectrónico no sólo sirve mejor a los principios de eficacia y eficiencia, al ahorrarcostes a ciudadanos y empresas, sino que también refuerza las garantías de losinteresados. En efecto, la constancia de documentos y actuaciones en un archivoelectrónico facilita el cumplimiento de las obligaciones de transparencia, puespermite ofrecer información puntual, ágil y actualizada a los interesados.



• Ley 39/2015 de Procedimiento Administrativo Común.

– Procedimiento administrativo (I).

• Electrónico por defecto, manual por excepción.

• Registro electrónico de apoderamientos.

• Cambio de paradigma hacia la actuación electrónica.

– “Ad extra”. Hacia los Ciudadanos

– “Ad intra”. Interna en el Ayuntamiento

– Sólo las personas físicas pueden optar entre tramitación manual o elec-trónica.





– Procedimiento administrativo (II).

• Rediseño de procedimientos.

– No sólo una traslación de tramitación manual a electrónica.

– Reconsideración de los trámites del procedimiento, buscando su opti-mización para los Ciudadanos y para el circuito interno.

– No requerir la presentación de documentos que ya obren en poder de lasAdministraciones Públicas o hayan sido elaborados por éstas.

– Tramitación simplificada del procedimiento. De oficio o por solicitud.





– Procedimiento administrativo (III).

• Procedimiento simplificado.

– Resolución en 30 días.

– Posibilidad de transición a ordinario y viceversa.

– Trámites simplificados.

» Inicio, subsanación, alegaciones, audiencia, informes, dictamen (si espreceptivo), resolución.





– Procedimiento administrativo (IV).

• Separación entre identificación y firma.

– Firma sólo requerida para:

a. Formular solicitudes.

b. Presentar declaraciones responsables o comunicaciones.

c. Interponer recursos.

d. Desistir de acciones.

e. Renunciar a derechos (art. 11.2 LPA).





– Procedimiento administrativo (IV).

• Atención a los interesados por parte de la Administración Públicapara la interacción electrónica.

– Dotándose de medios para ofrecer sus servicios de forma electrónica.

– Principio de asistencia a los Ciudadanos. Identificación y firma delfuncionario en representación del Ciudadano si éste no dispone o no sabecómo utilizar medios electrónicos.

– Registro de funcionarios habilitados para la asistencia a Ciudadanos.





– Componentes (I).

• Notificaciones electrónicas.

• Sede electrónica. Regulada en Ley 40/2015.

• Registro electrónico general.

• Registro electrónico de Organismos, dependiente del general.

• Digitalización de documentos en papel, sellado electrónico ydevolución del papel a los interesados. Salvo excepciones.





– Componentes (II).

• Archivo electrónico único, obligatorio, para documentos perte-necientes a procedimientos finalizados.

– Autenticidad.

– Integridad.

– Búsqueda.

– Accesibilidad y conversión técnica cuando se requiera.





– Componentes (III).

• Documentos electrónicos.

– Formato compatible con los admitidos en el ENI. Metadatos exigidos en elENI.

– Identificado individualmente.

– Firmas electrónica requeridas.

– Sello de tiempo en relación a su emisión.

– Copias auténticas electrónicas + copias en papel (con CSV para cotejo).23




• Ley 39/2015 de Procedimiento Adminis-trativo Común.

– Componentes (IV).

• Expedientes electrónicos. Art.70.

– El expediente será electrónico y constará de una agregaciónordenada de cuantos documentos, pruebas, dictámenes, informes,acuerdos, notificaciones y demás diligencias deban integrarlos, asícomo un índice numerado de todos los documentos que contengacuando se remita. Asimismo, deberá constar en el expediente copiaelectrónica certificada de la resolución adoptada.

– Formato alineado con el “Expediente electrónico” del ENI.24





– Plataformas suministradas por la AGE.

Para cumplir con lo previsto en materia de registro electrónico deapoderamientos, registro electrónico, archivo electrónico único, plataformade intermediación de datos y punto de acceso general electrónico de laAdministración, las Comunidades Autónomas y las Entidades Locales podránadherirse voluntariamente y a través de medios electrónicos a las plataformasy registros establecidos al efecto por la Administración General del Estado.





– Requerimientos normativos colaterales y fundamentales.

• LOPD

• Esquema Nacional de Seguridad

• Esquema Nacional de Interoperabilidad

– Dotaciones.

• Técnicas

• Organizativas (certificados de Órgano, de funcionarios, selloselectrónicos, etc.)





– Entrada en vigor.

Disposición final séptima. Entrada en vigor.

La presente Ley entrará en vigor al año de su publicación en el «Boletín Oficial del Estado».

No obstante, las previsiones relativas al registro electrónico de apoderamientos, registro electrónico, registro de empleados públicos habilitados, punto de acceso general electrónico de la Administración y archivo único electrónico producirán efectos a los dos años de la entrada en vigor de la Ley.


2 de Octubre de 2016

2 de Octubre de 2018



• TRANSPARENCIA.

– Regulada en la Ley 2/2015, de 2 de abril, de la Generalitat, deTransparencia, Buen Gobierno y Participación Ciudadana dela Comunitat Valenciana (“Ley de Transparencia” en ade-lante.

– Incrementa y refuerza la transparencia de la actividad pública

– Reconoce y garantiza el acceso a la información

– Establece las obligaciones de buen gobierno que debencumplir los responsables públicos, así como lasconsecuencias jurídicas derivadas de su incumplimiento.




• Ley de TRANSPARENCIA. Ámbito subjetivo.

• Información Pública.Se entiende por información pública el conjuntode contenidos o documentos que obren en poderde cualquiera de los sujetos incluidos en el ámbitode aplicación de esta ley y que hayan sidoelaborados o adquiridos en el ejercicio de susfunciones.




• Ley de TRANSPARENCIA.

– .


Ciclo continuo, asimilable a otros

sistemas de gestión.

Planteable como ciclo PDCA



• Ley de TRANSPARENCIA. FASE PLAN.

Diagnóstico situación actual. Indicadores ITA (Índice de Transparencia de Ayuntamientos). 2014. (I)

– A) INFORMACIÓN SOBRE LA CORPORACIÓN MUNICIPAL (18)1. INFORMACIÓN SOBRE LOS CARGOS ELECTOS Y EL PERSONAL (6)

2. INFORMACIÓN SOBRE LA ORGANIZACIÓN Y EL PATRIMONIO (6)

3. INFORMACIÓN SOBRE NORMAS E INSTITUCIONES MUNICIPALES (6)

– B) RELACIONES CON LOS CIUDADANOS Y LA SOCIEDAD (16)1. CARACTERÍSTICAS DE LA PÁGINA WEB DEL AYUNTAMIENTO (2)

2. INFORMACIÓN Y ATENCIÓN AL CIUDADANO (9)

3. GRADO DE COMPROMISO PARA CON LA CIUDADANÍA (5)

– C) TRANSPARENCIA ECONÓMICO-FINANCIERA (11)1. INFORMACIÓN CONTABLE Y PRESUPUESTARIA (5)

2. TRANSPARENCIA EN LOS INGRESOS, GASTOS Y DEUDAS MUNICIPALES (6)





Diagnóstico situación actual. Indicadores ITA (Índice de Transparencia de Ayuntamientos). 2014. (II)

– D) TRANSPARENCIA EN LAS CONTRATACIONES Y COSTES DE LOS SERVICIOS (4)1. PROCEDIMIENTOS DE CONTRATACIÓN DE SERVICIOS (2)

2. SUMINISTRADORES Y COSTES DE LOS SERVICIOS (2)

– E) TRANSPARENCIA EN MATERIAS DE URBANISMO, OBRAS PÚBLICAS Y1. MEDIOAMBIENTE (15)

2. PLANES DE ORDENACIÓN URBANA Y CONVENIOS URBANÍSTICOS (6)

3. ANUNCIOS Y LICITACIONES DE OBRAS PÚBLICAS (3)

4. INFORMACIÓN SOBRE CONCURRENTES, OFERTAS Y RESOLUCIONES (2)

5. OBRAS PÚBLICAS, URBANISMO E INFRAESTRUCTURAS (4)





Diagnóstico situación actual. Indicadores ITA (Índice de Transparencia de Ayuntamientos). 2014. (III)

– F) INDICADORES LEY DE TRANSPARENCIA (16)1. 1.- PLANIFICACIÓN Y ORGANIZACIÓN (3)

2. 2.- CONTRATOS, CONVENIOS Y SUBVENCIONES (6)

3. 3.- ALTOS CARGOS DEL AYUNTAMIENTO Y ENTIDADES PARTICIPADAS (3)

4. 4.- INFORMACIÓN ECONÓMICA Y PRESUPUESTARIA (4)


Ejemplo




Diagnóstico situación actual. Indicadores ITA (Índice de Transparencia de Ayuntamientos).

Propuesta del Comité de Transparencia.

Roles y responsabilidades que deben asumir los miembros del comité deTransparencia que representará el Ayuntamiento y será el encargado develar por el cumplimiento de lo dispuesto en la Norma (principalesinterlocutores durante el proyecto, elaboración y aprobación de losprocedimientos, categorización de la información, análisis y valoración de laauditoría, resolución de conflictos, etc).




• Ley de TRANSPARENCIA. FASE DO.

A. BUEN GOBIERNO

Elaboración/revisión del código de Buen Gobierno del

Ayuntamiento.

Formación del Comité de Transparencia.





B. PUBLICIDAD ACTIVA (I)

Categorización de la información.

Recopilación y categorización de la información (informativa y de planificación, de

relevancia jurídica, económica, presupuestaria y estadística), así como en su caso, la

clasificación como interna, de apoyo, auxiliar o pública.

Elaboración de un procedimiento de publicación de información.

Elaboración de un procedimiento de publicación atendiendo, entre otros, a los

criterios de temporalidad.





B. PUBLICIDAD ACTIVA (II)

Diseño del portal/espacio de la transparencia

del Ayuntamiento.

La información será publicada en la sede electrónica o página

Web de una manera clara, estructurada y entendible para los

interesados, y preferiblemente en formatos reutilizables,

facilitando la accesibilidad, interoperabilidad y la calidad de

la información.





B. PUBLICIDAD ACTIVA (III)

Preparación de impresos normalizados para la

presentación de las solicitudes.

• Constitución del registro de solicitudes de acceso a lainformación.

• Procedimiento de resolución y tiempos de respuesta.

• Procedimiento interno de cooperación entre departamentos.


Coordinado con

procedimiento de ejercicio de

Derechos ARCOLOPD




B. PUBLICIDAD ACTIVA (V).

- Concienciación y sensibilización de los empleados dela organización, conforme a los principios de buengobierno.

- Publicación y puesta en marcha del espacio detransparencia por parte del Ayuntamiento, con lasupervisión del equipo de consultores asignado alproyecto.

- Publicación del compromiso firmado por la altadirección


En el cumplimiento con la exigencia de la publicidad activa deberá atenderse la normativa en materia de protección de datos, conforme a lo dispuesto en el art 15 Ley de Transparencia, en consonancia con el art. 4 de la LOPD (calidad de los datos).




B. PUBLICIDAD ACTIVA (VI)

– Puesta en práctica de los procedimientos elaborados.

C. ACCESO A LA INFORMACIÓN– Elaboración del procedimiento para la gestión y atención de

solicitudes de acceso a la información.

– Inventario de los titulares de los órganos administrativos oentidades que pueden ser destinatarios de las solicitudes.


Puesta en marcha del Espacio de Transparencia

Activación de los procedimientos desarrollados



• Ley de TRANSPARENCIA. FASE CHECK.

– AUDITORÍA

• Verificación del nivel de cumplimiento.

– CERTIFICACIÓN

• El proceso de certificación conlleva su propia auditoría.

• La entidad que audita y, en su caso, emite lascertificaciones, es ACREDITRA.




• Ley de TRANSPARENCIA. FASE ACT.

– MEJORA CONTINUA.

• Mejora continua de los procedimientos por latransparencia, así como, en su caso, del diseño,estructuración o disposición de contenidos del Portal.

• Actualización y atención a las novedades legislativas, asícomo los pronunciamientos del Consejo de Transparencia yBuen Gobierno, Agencia Española de Protección de Datos,órganos jurisdiccionales u otros órganos constitucionales oeuropeos.




• PRIVACIDAD - LOPD en su contexto (I):

– La protección de datos de carácter personal se regula en la Ley Orgánica deProtección de Datos de Carácter Personal (Ley 15/1999 de 13 de diciembre,LOPD).

– Su desarrollo reglamentario se recoge en el Real Decreto 1720/2007 de 21 dediciembre (RDLOPD).

– Adicionalmente, existen Instrucciones que desarrollan determinadosaspectos concretos de aplicación, como la de Videovigilancia (1/2006).

– LOPD afecta únicamente a personas físicas “identificadas o identificables”.




• LOPD en su contexto (II):

– El concepto de “identificada o identificable” comprende numerosos datos, nosiempre evidentes ya que algunos son indirectos. Ejemplos.

• NIF• Matrícula de vehículo AEPD vs SAN 26/12/2013 ??

• Dirección IP• Teléfono personal• Dirección de correo electrónico personal• Imagen, voz• Datos biométricos

– Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otrotipo concerniente a personas físicas identificadas o identificables.

44

Debe prestarse atención a los formulariosdonde se recaban datos de carácterpersonal. En todos ellos debe figurar elclausulado informativo o bien un enlace adicho clausulado o “Política de Privacidad”donde se recoja, recabando su aceptación.




• LOPD en su contexto (III):

– Los datos de carácter personal están clasificados en 3 niveles (Básico, Medio yAlto) por RDLOPD.

– Nivel Básico: Aplica a todos los ficheros que contengan datos de carácter personal.

– Nivel Básico + Nivel Medio.

• Infracciones penales y administrativas.

• Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los titulares de los datos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

– Nivel Básico + Nivel Medio + Nivel Alto.

• Ideología. Afiliación Sindical. Creencias. Religión. Origen Racial. Salud. Vida Sexual. Datos derivados de actos de violencia de género.




• LOPD en su contexto (IV):

– RDLOPD requiere medidas proporcionalmente incrementales al nivel de losdatos que se almacenan y/o tratan tanto en soportes automatizados como noautomatizados (papel).

– Un Ayuntamiento es un Organismo especialmente afectado por LOPD –RDLOPD dado que almacena y trata datos personales de todos los niveles,incluyendo numerosos casos clasificados de nivel ALTO.

• Servicios Sociales, Inmigración, Policía Local, Educación Especial, Sanidad, Parejas deHecho, Violencia de Género, Gabinete Psicopedagógico, etc.

• Los Sistemas de Información que almacenan y tratan estos datos deben estar directamentevinculados al nivel de los datos que gestionan, en todas sus capas (HW/SW/COM/NET,…)




• LOPD en su contexto (V):

– Los datos pueden estar organizados, en cuyo caso constituyen un fichero.

– Los datos pueden ser gestionados, en cuyo caso serían objeto de tratamiento.

• Tratamiento: Aquellas operaciones y procedimientos técnicos de carácter automatizado o no,que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo ocancelación, así como las cesiones de datos que resulten de comunicaciones, consultas,

interconexiones y transferencias.

– Roles principales.• Responsable del Fichero o Tratamiento. Normalmente el Ayuntamiento o sus áreas.

• Responsable de Seguridad (Automatizados / No automatizados). Nivel MEDIO.

• Encargado del Tratamiento. Para datos tratados por terceros.




• LOPD en su contexto (VI):

– El principio de Seguridad

Artículo 9 de la LOPD

1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar lasmedidas de índole técnica y organizativas necesarias que garanticen la seguridad de losdatos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso noautorizado, habida cuenta del estado de la tecnología, la naturaleza de los datosalmacenados y los riesgos a que están expuestos, ya provengan de la acción humana o delmedio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condicionesque se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las delos centros de tratamiento, locales, equipos, sistemas y programas.

48

El cumplimiento de LOPD y RDLOPDNO ES OPCIONAL

El incumplimiento puede conllevar responsabilidades




• LOPD. Actuaciones básicas ante los Ciudadanos.

– Deber de Información.

• Formularios en papel y en páginas web que recaben datos de carácterpersonal deben contener clausulado específico.

• En caso de recabar datos de nivel ALTO el clausulado debe recoger la opciónde la persona en cuanto a no ofrecerlos, indicando el clausulado lasconsecuencias de no hacerlo.

• En caso de no incluir el clausulado explícitamente en los formularios, debeexistir un enlace al documento donde pueda leerse el mismo.




• LOPD. Actuaciones básicas ante los Ciudadanos.

– Deber de Información.

• Los formularios deben contener una casilla en la que el usuario marque sureconocimiento de haber leído, comprendido y aceptado el clausulado. Elformulario no debe continuar su tramitación en caso de que el usuario nohaya marcado dicha casilla, la cual nunca debe estar pre-marcada.

• Prever en los formularios el caso de que la persona sea menor (desde los 14años puede consentir el tratamiento de sus datos). En este caso, debenrecogerse los datos de la persona que le autoriza, quien debe declararostentar la potestad para dicha autorización. Debe verificarse la edad de lapersona.




• LOPD. Terceros.

– Encargados de tratamiento. La persona física o jurídica, autoridad

pública, servicio o cualquier otro organismo que, sólo o conjuntamente conotros, trate datos personales por cuenta del responsable del tratamiento.Ejemplos:

• Empresas de mantenimiento.• Empresas de desarrollo.• Empresas u Organismos donde se externalizan servicios

municipales.• Empresas consultoras y/o auditoras.• Empresas de reciclaje / destrucción de componentes y/o papel.• Empresas proveedoras de servicios cloud (IaaS, PaaS, SaaS).• Etc. Entidades externas con acceso a datos de carácter personal.

51

Contrato formalizado en base al Artículo 12

LOPD




• LOPD. Área de Informática.

– Derechos ARCO.

• Acceso. Capacidad de identificar los datos existentes de la persona solicitante y elaborar larespuesta.

• Rectificación. Capacidad de identificar los datos existentes para proceder a su actualización.

• Cancelación. Capacidad de bloquear los datos a cancelar, de forma que no queden accesibles.Debe prestarse especial atención al hecho de que “cancelar” no supone necesariamente “borrar”físicamente los datos (pueden ser requeridos en otras instancias) sino dejarlos inaccesibles, con lasexcepciones que marca la Ley. Las cancelaciones pueden ser “de oficio” una vez identificados losdatos que ya no son necesarios en relación a la finalidad por la que fueron recabados.

• Oposición. Capacidad de filtrar los datos de quienes se oponen a su tratamiento, de formaque no intervengan en los mismos.

52

Pueden requerir esfuerzos técnicos importantes




• LOPD. Documento de Seguridad.

– Documento de Seguridad. Obligatorio.

• Completo.

• Actualizado.

– Procedimientos.• Completos.

• Actualizados.

• Conocidos.

• Practicados.

– Registros.• Contenido.

• Coherentes / Consistentes.

53

Artículo 88. El documento de seguridad.1. El responsable del fichero o tratamiento elaboraráun documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.3. El documento deberá contener, como mínimo, lossiguientes aspectos:a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.b) Medidas, normas, procedimientos de actuación,reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.c) Funciones y obligaciones del personal en relacióncon el tratamiento de los datos de carácter personalincluidos en los ficheros.d) Estructura de los ficheros con datos de carácterpersonal y descripción de los sistemas de informaciónque los tratan.

e) Procedimiento de notificación, gestión y respuestaante las incidencias.f) Los procedimientos de realización de copias derespaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.g) Las medidas que sea necesario adoptar para eltransporte de soportes y documentos, así como para ladestrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.4. En caso de que fueran de aplicación a los ficheroslas medidas de seguridad de nivel medio o las medidasde seguridad de nivel alto, previstas en este título, eldocumento de seguridad deberá contener además:a) La identificación del responsable o responsablesde seguridad.b) Los controles periódicos que se deban realizarpara verificar el cumplimiento de lo dispuesto en el propio documento.

5. Cuando exista un tratamiento de datos por cuentade terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.6. En aquellos casos en los que datos personales deun fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad.




• Seguridad. Procedimientos.

– Funciones y obligaciones del personal. Las funciones y obligaciones de cada uno de los usuarios o

perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramentedefinidas y documentadas en el documento de seguridad.

– Uso aceptable de los equipos informáticos y dispositivos de almacenamiento y/o comunicación.

– Uso aceptable del correo electrónico e Internet.

– Ficheros temporales.

– Uso aceptable de los dispositivos móviles con acceso a correo y/o aplicaciones municipales.

– Uso aceptable de las redes sociales.

– Uso aceptable de plataformas cloud.

– Uso aceptable de las aplicaciones municipales.

– Política de escritorio limpio.

– Prevención de ataques basados en ingeniería social.LOPD – RDLOPD en Entidades Locales 54

Las funciones y obligaciones del personal deben ser comunicadas y conocidas.1. Repositorio de procedimientos.2. Ciclos de formación + Seminarios de actualización.3. “Píldoras” cortas sobre temas específicos.4. Registro de las actividades formativas.5. Firma del documento de aceptación de las normas



• Seguridad. Incidentes.

• Registro de incidencias. – Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los

datos de carácter personal y establecer un registro en el que se haga constar el tipo deincidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza lanotificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y lasmedidas correctoras aplicadas.

• Nivel MEDIO.– En el registro anterior deberán consignarse, además, los procedimientos realizados de

recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y,en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

– Será necesaria la autorización del responsable del fichero para la ejecución de losprocedimientos de recuperación de los datos.




• Seguridad. Accesos.

– Controles de acceso.

• Unívocos.

• Trazables / auditables a personas concretas.

• Permisos de Lectura / Escritura Determinados por Áreas gestoras de la información.

• Especificados en el Documento de Seguridad.

• Implementados en los Sistemas de Información.

• Implementados en la arquitectura de comunicaciones y redes (p.e. ACLs, MAC control,…)

• Arquitecturas de File System que admiten control de accesos (p.e. NTFS).

• Recomendable. Plataforma DRM (Digital Rights Management). Implementan controles de accesoavanzados mediante sistemas de claves públicas / privadas. Adobe, Microsoft, Oracle…

• Nivel ALTO. Logs y/o mecanismos que permitan conocer intentos de acceso, accesosconcedidos y alteraciones efectuadas. Informe mensual. Probables problemas técnicos.




• Seguridad. Soportes y documentos.

– Gestión de Soportes y Documentos.

• Inventariado de soportes físicos.– Etiquetado.– Recomendable. Plataforma que controle las conexiones de dispositivos (p.e. USBDview, gratuita)

y su actividad (p.e. plataforma Host IDS).

• Salida de soportes con datos personales (p.e. adjuntos en e-mail) conautorización específica del RF o genérica en el DS.

• Destrucción segura de soportes en caso de desechado.• Inicialización segura de equipos y componentes en caso de reutilización.• Contratación de servicios de destrucción certificada (recomendable).





– Medidas de seguridad para impedir pérdida o sustracción.– Verificación de origen y destino.– Acuse de recibo.– Transporte por empresa contratada.

– Gestión de Soportes y Documentos.

• Nivel MEDIO.

– Registro de ENTRADA de documentos.– Registro de SALIDA de documentos.

• Nivel ALTO.

– Cifrado de soportes y/o documentos.– Prohibición de utilizar dispositivos que no admitan cifrado.





– Gestión de Soportes y Documentos. Recomendaciones

generales.

• Gestión automatizada de la seguridad del correo electrónico(Configuraciones).

• Cifrado y/o protección de ficheros y documentos sensibles. Al menoscon contraseña.

• Cifrado de unidades de disco.• Cifrado de dispositivos de almacenamiento.• Cifrado de mensajes de correo.• Cifrado o, al menos, protección mediante contraseña de adjuntos

sensibles en los correos.• Cifrado del tráfico de las comunicaciones y redes.




• Seguridad. Dispositivos móviles.

– Gestión de Soportes y Documentos. Atención a disposi-

tivos móviles.

• Smartphones / tablets / portátiles municipales concorreo y/o aplicaciones municipales.

– Clave de entrada. No es aceptable dibujo de patrón, muy débil.– Usuarios y contraseñas de las cuentas de correo y aplicaciones

no deberían estar memorizados. En caso de pérdida o robo nohabría barrera de protección.

– Cifrado del dispositivo. RDLOPD no permite almacenar datos denivel ALTO sin cifrar. Todos los dispositivos actuales admitencifrado.




• Seguridad. Dispositivos móviles.

– Gestión de Soportes y Documentos. Atención a

dispositivos móviles.

• Smartphones / tablets / portátiles particulares concorreo y/o aplicaciones municipales (BYOD).

– Medidas de seguridad anteriores +– Compromiso de administración tutorizada. Prohibida la

venta, mantenimiento o sustitución del dispositivo sinhaber eliminado todo dato corporativo que pudieracontener.




• Seguridad en servicios “cloud”.

– Gestión de Soportes y Documentos. Cloud.

• Estudio previo de viabilidad en cuanto a cumplimiento normativo.

– Residencia y tráfico de los datos.– Contrato de “encargado de tratamiento” con medidas de seguridad marcadas por

el Ayuntamiento, no por el proveedor de cloud.– Proveedores fuera de la Unión Europea. Sólo si mantienen firmado y vigente el

acuerdo Safe Harbor o equivalente (verificar) y firman contrato de “encargado detratamiento” acorde con las exigencias de LOPD y/o Directiva 95/46/CE (UniónEuropea).

• Vigilancia. LOPD exige vigilancia sobre el desempeño de los encargados de

tratamiento.

– Establecer contractualmente derechos de auditoría (si es viable).– Exigir evidencias de su cumplimiento con LOPD – RLOPD.




• Seguridad. Identificación y autenticación.

• Usuario.

– Identificación inequívoca y personalizada. Atención a los usuarios administradores.– Credenciales seguras. Evaluación de riesgos (deducción, diccionario, visualización, ingeniería

social. ..)

– Mapa de permisos y privilegios. Determinados por responsables de la Información.– Recomendable 2FA (autenticación por medio de dos factores).

» Algo que se conoce. Ejemplos: usuario y contraseña, PIN.» Algo que se tiene. Ejemplos: Smartphone donde se remite una clave de sesión,

tarjeta criptográfica con certificado digital.» Algo que se es. P.e. Clave biométrica.

– La combinación de, al menos, dos de estos factores constituyen 2FA.– Procedimiento seguro de distribución de credenciales.

– Política de escritorio limpio y cierre de sesiones y/o bloqueo de terminalpor usuario.


Reglamento Europeo de

Identidades y Servicios de Confianza

JULIO 2016



• Auditorías.

– Auditoría. Nivel MEDIO.

• A partir del nivel medio los sistemas de información e instalaciones de tratamiento yalmacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna oexterna que verifique el cumplimiento de las medidas de seguridad.

• Auditoría extraordinaria en caso de cambios sustanciales en las infraestructuras físicas y/ológicas que soportan los servicios municipales. Reinicia el ciclo bienal.

64

Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará lasconclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas yquedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades decontrol de las comunidades autónomas.




• Seguridad. Área de Informática.

– Recomendaciones generales.

• Desarrollar test de intrusión. Al menos externo.

• Implementar un sistema de monitorización de redes. Ejemplo: PRTG, Desktop Central, Forescout, etc.

• Desarrollar aplicaciones web teniendo en cuenta los estándares de seguridad. OWASP.

• Suscripción a fuentes de vulnerabilidades. Estudiar las que afectan y tomar las medidas pertinentes.Ejemplos de fuentes: CSIRT-CV, CCN, INTECO, Nessus, OpenVas, etc.

• Exigir a los proveedores, desde el Pliego, y explícitamente en los contratos, el cumplimiento de LOPDy RDLOPD. Verificar que los productos y servicios contratados cumplen efectivamente las medidasrequeridas.

65

Aplicar el principio “Privacy by Design”. Incorporar el concepto “privacidad” y los complementarios de Seguridadaplicada en todas las fases del ciclo de vida de los sistemas de información, especialmente en las fases iniciales deespecificación y diseño de los mismos.




• Videovigilancia.

– Únicamente pueden instalarse cámaras de videovigilancia bajocriterios de idoneidad, necesidad y proporcionalidad.

– Hay lugares en los que en ningún caso pueden instalarse dichosdispositivos de captación de imágenes como son aseos, baños y otroslugares similares en los que, de acuerdo con su propia naturaleza, lacaptación, grabación y tratamiento de imágenes resultan claramenteincompatibles con el respeto a la intimidad, a la dignidad personal o allibre desarrollo de la personalidad.

– Deberá cumplirse con el deber de información instalando, en lugaresvisibles, carteles informativos que avisen al ciudadano de que se le esta

grabando o captando imágenes con cámaras.





– Los datos de carácter personal recogidos o captados mediante sistemas de cámaras ovideocámaras serán cancelados cuando hayan dejado de ser necesarios o pertinentes para lafinalidad para la cual hubieran sido recabados o registrados y, en todo caso, en el plazomáximo de un mes desde su captación, sin perjuicio de las excepciones previstas en laInstrucción 1/2006.

– Los tratamientos de imágenes realizados por la Policía Local está sometida a la regulaciónespecífica contenida en la Ley Orgánica 4/1997, de 4 de agosto, sobre utilización devideocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, y en suReglamento de desarrollo y ejecución, aprobado por Real Decreto 596/1999, de 16 de abril.

– En el caso de que las cámaras graben imágenes, dicha grabación es considerada “fichero” ydebe declararse en la AEPD. En caso de que no graben no es necesario declarar fichero pero,como tratamiento, deben adoptarse las medidas pertinentes.





– Regulaciones en Instrucción 1/2006, Ley 5/2014 de Seguridad Privada.

– Venta e instalación de cámaras de videovigilancia.

• Sin conexión a Centrales de Alarmas. No hay restricciones. La Ley 5/2014 traslada el criterio al respectode la denominada “Ley Omnibus”.

• Con conexión a Centrales de Alarma. Sólo Empresas de Seguridad.

– Operación de cámaras de seguridad. Servicios de videovigilancia.• Cuerpos y Fuerzas de Seguridad.

• Empresas de Seguridad Privada. Cuando la finalidad de estos servicios sea prevenir infracciones y evitar daños a laspersonas o bienes objeto de protección o impedir accesos no autorizados, serán prestados necesariamente porvigilantes de seguridad o, en su caso, por guardas rurales.

• Libre. No tendrán la consideración de servicio de videovigilancia la utilización de cámaras o videocámaras cuyo objeto principal seala comprobación del estado de instalaciones o bienes, el control de accesos a aparcamientos y garajes, o las actividades que sedesarrollan desde los centros de control y otros puntos, zonas o áreas de las autopistas de peaje. Estas funciones podrán realizarsepor personal distinto del de seguridad privada.

68



• Evolución normativa.

– Nuevo Reglamento Europeo de Privacidad. Previsión de publicaciónen Abril de 2016. Novedades.

• Privacy by Design and by Default. Privacidad en todo el ciclo de vida desarrollo desistemas, consistente y coherente desde la especificación hasta su implantación,

mantenimiento y evolución.

• Privacy Impact Assessment (PIA). Sustitución de los niveles Básico, Medio y Alto porun análisis de riesgos. Plenamente en consonancia con la filosofía de los Sistemas de Gestiónde Seguridad de la Información. Medidas consecuentes con los riesgos identificados.

• Data Protection Officer (DPO). Dependiendo y en contacto directo con los Entes Directivos, el DPOtiene como función asegurar el cumplimiento de las normas de privacidad en una Organización, públicao privada, y estará dotado de competencias y recursos apropiados.





• Evolución normativa.

– Nuevo Reglamento Europeo de Privacidad. 2016 ? Novedades.

• Régimen sancionador. Multas en función de varios factores, entre ellos el volumen defacturación de la Organización.

• Accountability. Rendición de cuentas. Las Organizaciones deben acreditar en todomomento sus niveles de cumplimiento de las medidas y requerimientos sobre privacidad.

• Derechos ARCO. Se añaden a éstos los derechos de “portabilidad de datos” y el “derechoal olvido”.

• Se refuerzan los deberes de información y obtención de consentimiento de los titulares.

• Sustitución del deber de inscripción de ficheros por una solicitud de tratamiento, a la quedebe acompañar la documentación apropiada y el PIA. Puede ser denegada.

70



• Seguridad Integral. Esquema Nacional de Seguridad.

Finalidad – RD 3/2010 (ENS). Preámbulo.

La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianzaen el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, losdatos, las comunicaciones, y los servicios electrónicos, que permita a los Ciudadanos y a lasAdministraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estosmedios.

El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de informaciónprestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sininterrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento depersonas no autorizadas. Se desarrollará y perfeccionará en paralelo a la evolución de los servicios y amedida que vayan consolidándose los requisitos de los mismos y de las infraestructuras que lo apoyan.

71




72

Real Decreto 951/2015 de

23 de Octubre

Modificación del ENS




– Las responsabilidades derivadas del incumplimiento del ENS serían las quecorrespondieren a cada caso concreto, en virtud de lo dispuesto en la Ley30/1992, de 26 de noviembre, de Régimen Jurídico de las AdministracionesPúblicas y del Procedimiento Administrativo Común.

– Las consecuencias de un incidente en el que se vulnerasen derechos de losCiudadanos quedarían determinadas dentro de las reclamaciones porresponsabilidad patrimonial que pudieran entablarse por parte de losperjudicados.

– El cumplimiento del ENS y su acreditación refuerza las capacidades de defensadel Organismo ante eventos de seguridad.

73




• SERVICIO.“Función o prestación desempeñada por alguna entidad oficial destinada a cuidarintereses o satisfacer necesidades de los ciudadanos.”

– Cuando estos servicios hacen uso, total o parcialmente, de medioselectrónicos (por ejemplo, sistemas de información) para suprestación, se consideran “electrónicos” a los efectos del ENS.

– Un criterio común para delimitar el ámbito de aplicación del ENSconsiste en considerar incluidos en su alcance los servicios que,utilizando medios electrónicos, sirvan para el ejercicio de losderechos y el cumplimiento de las obligaciones de los Ciudadanos (enel sentido del término recogido en el Anexo de la Ley 11/2007).

74

TODOS EN EL AYTO.




75




76



• Esquema Nacional de Interoperabilidad.

• Interoperabilidad: Capacidad de los sistemas de información, y porende de los procedimientos a los que éstos dan soporte, de compartirdatos y posibilitar el intercambio de información y conocimiento entreellos.

• ¿ Qué supone “interoperar” ? Entre otras cuestiones:– Capacidad de ofrecer servicios cruzados al Ciudadano eliminando solicitudes de certificados generables

por la propia Administración. LRJPAC, LAECSP.

– Añadir el sufijo “electrónico” a los elementos de la Administración (documentos, expedientes, asientosregistrales, etc.) especificando criterios homogéneos para su intercambio y conservación.

– Obtener criterios homogéneos para la decisión sobre plataformas tecnológicas en las AAPP.

– Operación de soportes en papel y electrónicos con validez jurídica para el trámite donde se aportan.77



• Esquema Nacional de Interoperabilidad.

78

Nueva LRJPAC se apoya en ENI para todos los modelos de procedimiento electrónico que se generen o migren desde el entorno anterior.



• Cumplimiento Normativo.

– Claves para un cumplimiento viable y mínima-mente intrusivo en el Ayuntamiento.

• Conciencia corporativa.

• Identificación de puntos comunes entre los MarcosNormativos. El trabajo de implantación sólo se planteauna vez por cada control común.

• Metodología integradora entre Normas.

• Utilización de Sistemas de Información para laautomatización del ciclo de vida de los proyectos.

79

YA HAY MUCHA SEGURIDAD

IMPLEMENTADA


Renato Aquilino Pujol - 2016. 80

Muchas gracias por su atención

modelo municipal de cumplimiento normativo · de oficio o por solicitud. 17 ... –copias...

Documents