LegalizeOrden UNI/1231/2021, de 5 de noviembre, por la que se aprueba la política de seguridad de la información en el ámbito de la administración electrónica y de protección de datos y se crea la Comisión Ministerial de Administración Digital del Ministerio de Universidades
Norma derogada, con efectos de 6 de diciembre de 2025, por la disposición derogatoria única de la Orden CNU/1383/2025, de 1 de diciembre. Ref. BOE-A-2025-24722
La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13, sobre derechos de las personas en sus relaciones con las Administraciones Públicas, el relativo a la protección de datos de carácter personal y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. Por otra parte, en su artículo 17.3, sobre el archivo de documentos, se indica que «Los medios o soportes en que se almacenen documentos, deberán contar con medidas de seguridad, de acuerdo con lo previsto en el Esquema Nacional de Seguridad (ENS), que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados. En particular, asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos».
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos. Dichos medios deben asegurar la interoperabilidad y seguridad de los sistemas y soluciones adoptadas, garantizarán la protección de los datos de carácter personal y facilitarán preferentemente la prestación conjunta de servicios a los interesados. En este sentido, destacan las previsiones contenidas en el artículo 3, de principios generales, el artículo 38, de la sede electrónica, el artículo 46, de archivo electrónico de documentos, el artículo 155, sobre transmisiones de datos entre Administraciones Públicas y el artículo 156 sobre el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad.
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica estableció los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información. En concreto, en su artículo 11 exige que todos los órganos superiores de las Administraciones Públicas dispongan formalmente de su política de seguridad, que se aprobará por el titular del órgano superior correspondiente, se establecerá con base en los principios básicos recogidos en su capítulo II (seguridad integral, gestión de riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica, y función diferenciada) y desarrollará una serie de requisitos mínimos previstos en su artículo 11.1.
El Reglamento de actuación y funcionamiento del sector público por medios electrónicos, aprobado por el Real Decreto 203/2021, de 30 de marzo, desarrolla la Ley 39/2015, de 1 de octubre, y la Ley 40/2015, de 1 de octubre, en lo referente a la actuación y funcionamiento electrónico del sector público. Establece como principio general el principio de proporcionalidad, en cuya virtud sólo se exigirán las garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los distintos trámites y actuaciones electrónicos. En relación con la ciberseguridad y la seguridad de las redes y sistemas de información, establece tanto los sistemas de identificación, firma y verificación de las Administraciones Públicas como los de los interesados en los procedimientos, así como las características y forma de aprobación y de autorización de los sistemas de clave concertada o cualquier otro sistema que las Administraciones Públicas consideren válido para la identificación electrónica de las personas. El nivel de seguridad en la identificación electrónica exigido en los procedimientos y servicios se deberá definir y publicar en la sede electrónica, de acuerdo con el Reglamento (UE) n.º 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE. Este nivel de seguridad en la identificación electrónica del sistema de información que soporta el procedimiento o servicio se determinará sobre la base del análisis de riesgos, de acuerdo con el Esquema Nacional de Seguridad y la normativa correspondiente. La disposición adicional primera del Real Decreto 4/2010, de 8 de enero modificado por el Real Decreto 203/2021, establece el desarrollo del Esquema Nacional de Interoperabilidad, a través de una serie de normas técnicas de interoperabilidad que serán de obligado cumplimiento por parte de las Administraciones Públicas. La disposición adicional tercera del reglamento citado crea el nodo de interoperabilidad de identificación electrónica del Reino de España para el reconocimiento mutuo de identidades electrónicas entre los Estados miembros, de acuerdo con lo previsto en el Reglamento (UE) n.º 910/2014, de 23 de julio de 2014.
Por otra parte, la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española. El artículo 24 del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) establece como obligaciones generales del responsable y del encargado del tratamiento la aplicación de las medidas técnicas y organizativas apropiadas, entre las que se encuentran las oportunas políticas de protección de datos, que cumplan en particular los principios de protección de datos desde el diseño y por defecto.
Asimismo, el artículo 32 del Reglamento general de protección de datos atribuye al responsable y encargado del tratamiento responsabilidades en materia de seguridad de los datos personales, si bien con un enfoque distinto al aplicado para la seguridad de la información porque los activos a proteger son los derechos y libertades de las personas.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, dedica el capítulo tercero del título V, a la figura del Delegado de Protección de Datos, y se refiere al artículo 37.1 del Reglamento que señala que «el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial».
Por su parte, las guías publicadas por el Centro Criptológico Nacional, CCN-STIC 801, sobre responsabilidades y funciones en el ENS, y la CCN-STIC 881, Impacto del Reglamento General de Protección de Datos en el ENS, orientan hacia un planteamiento conjunto de la protección de datos y la seguridad de la información.
Adicionalmente, la Ley 10/2021, de 9 de julio, de trabajo a distancia, regula los derechos de los trabajadores en relación con el uso de medios tecnológicos y digitales. En su artículo 20 determina que, las personas trabajadoras, en el desarrollo del trabajo a distancia, deberán cumplir las instrucciones que haya establecido la empresa en el marco de la legislación sobre protección de datos y sobre seguridad de la información específicamente fijadas por la empresa.
Particularmente en la actualidad, cuando el teletrabajo y las relaciones de carácter remoto con los ciudadanos se han intensificado en la actividad administrativa, es tan indispensable como urgente dar a conocer a la ciudadanía en general y a los empleados públicos en particular el contenido de las políticas de seguridad y de privacidad que se vienen aplicando, en el ámbito de la administración electrónica, en el Ministerio de Universidades.
Por otra parte, el Real Decreto 806/2014, de 19 de septiembre, sobre organización e instrumentos operativos de las tecnologías de la información y las comunicaciones en la Administración General del Estado y sus Organismos Públicos, creó las Comisiones Ministeriales de Administración Digital como órganos colegiados «encargados de impulsar la transformación digital de la Administración de acuerdo con una Estrategia común en el ámbito de las Tecnologías de la Información y las Comunicaciones».
La disposición transitoria segunda del citado Real Decreto 806/2014, de 19 de septiembre, prevé la regulación de las Comisiones Ministeriales de Administración Digital mediante las correspondientes órdenes ministeriales.
Por su parte, en la disposición adicional cuarta, sobre «Actuaciones en materia de tecnologías de la información y las comunicaciones», del Real Decreto 431/2020, de 3 de marzo, por el que se desarrolla la estructura orgánica básica del Ministerio de Universidades, se indica que se promoverá la consolidación de los recursos humanos, económico-presupuestarios, técnicos y materiales vinculados en materia de tecnologías de la información y las comunicaciones. Por ello, se propone un órgano que coordine las unidades de tecnologías de la información y las comunicaciones de los organismos autónomos, dentro del Ministerio.
El Ministerio de Universidades ha optado por adoptar una política conjunta de seguridad de la información y protección de datos que permita recoger y delimitar con claridad las responsabilidades y funciones en los dos ámbitos, de forma que se aborden tanto las cuestiones comunes como aquellas que resultan propias de cada uno de ellos.
Por todo lo anterior, mediante esta orden ministerial se procede a la aprobación de la política de seguridad y de protección de datos del departamento y a la creación de la Comisión Ministerial de Administración Digital del Ministerio de Universidades y a regular su composición y funciones.
En la elaboración de la orden se han cumplido los principios de buena regulación recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y, en particular, los principios de necesidad y eficiencia, pues se trata del instrumento más adecuado para garantizar una política de seguridad en la utilización de medios electrónicos y de protección de datos que permita una adecuada protección de la información dentro del Ministerio, a cuya ejecución coadyuva la creación de la Comisión Ministerial de Administración Digital. También se adecua al principio de proporcionalidad, pues no existe otra alternativa menos restrictiva de derechos o de obligaciones. En cuanto a los principios de seguridad jurídica y transparencia, la norma es coherente con el resto del ordenamiento jurídico y se ha procurado la participación de las partes interesadas, evitando cargas administrativas innecesarias o accesorias.
En su virtud, con la aprobación previa de la Ministra de Hacienda y Función Pública, dispongo:
Artículo 1. Objeto y ámbito de aplicación.
El objeto de esta orden es establecer la política de protección de datos y de seguridad de la información (en adelante PPDSI) y la creación de la Comisión Ministerial de Administración Digital (en adelante CMAD) del Ministerio de Universidades.
La PPDSI se aplicará a todos los sistemas de información y a todas las actividades de tratamiento de datos de carácter personal de los que sea responsable el Ministerio de Universidades.
La PPDSI será de obligado cumplimiento para todos los órganos superiores y directivos del Ministerio, incluidos los organismos públicos vinculados o dependientes del departamento, que no tengan establecida su propia política de seguridad. En aquellos organismos que tengan su propia política de seguridad prevalecerá, en caso de discrepancia, la definida en esta orden ministerial.
La PPDSI será de obligado cumplimiento para todo el personal que acceda, tanto a los sistemas de información, como a la propia información de la que es responsable el departamento y sus organismos públicos adscritos, con independencia de cuál sea su destino, adscripción o relación con el mismo.
Artículo 2. Principios de protección de datos y seguridad de la información.
Principios básicos.
Además de los previstos en el artículo 4 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, el Ministerio de Universidades tratará la información y los datos personales bajo su responsabilidad conforme a los principios de protección de datos y seguridad de la información establecidos en el artículo 5 del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Asimismo, se establece lo siguiente:
Atención de los derechos de las personas afectadas: se adoptarán medidas en la organización que garanticen el adecuado ejercicio por las personas afectadas, cuando proceda, de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad respecto de sus datos de carácter personal.
Alcance estratégico: la protección de datos y la seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos, de forma que se coordine e integre con el resto de las iniciativas estratégicas del departamento para conformar un todo coherente y eficaz.
Responsabilidad diferenciada: en los sistemas de información del Ministerio de Universidades se observará el principio de responsabilidad diferenciada. Las responsabilidades y funciones se delimitarán de la siguiente manera, sin perjuicio de lo establecido en la normativa en materia de protección de datos:
1.º Responsable del tratamiento: determina los fines y medios del tratamiento.
2.º Encargado del tratamiento: trata datos personales por cuenta del responsable del tratamiento según sus requerimientos.
3.º Persona designada como delegado de protección de datos: informa y asesora al responsable del tratamiento de las obligaciones en materia de cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016.
4.º Responsable de la información: determina los requisitos de seguridad de la información tratada.
5.º Responsable del servicio: determina los requisitos funcionales y de seguridad de los servicios prestados a partir de la información.
6.º Responsable del sistema: tiene la responsabilidad sobre los requisitos no funcionales y de diseño, construcción, operación y soporte de los sistemas de información utilizados en la prestación de los servicios.
7.º Responsable de seguridad de la información: determina las decisiones para satisfacer los requisitos de seguridad.
Gestión de riesgos: Al evaluar el riesgo, se tendrán en cuenta los riesgos que se derivan para los derechos de las personas con respecto al tratamiento de sus datos personales.
Proporcionalidad: Se establecerán medidas de protección, detección y recuperación que resulten proporcionales a los potenciales riesgos y a la criticidad y valor de la información, de los tratamientos de datos personales y de los servicios afectados.
Proceso de verificación: Se implantará un proceso de verificación, evaluación y valoración regulares, de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos.
Protección de datos y seguridad desde el diseño y por defecto: se adoptarán las medidas técnicas y organizativas que corresponda implantar para atender los riesgos generados por el tratamiento de acuerdo con lo exigido por el citato Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido y dedicado.
Principios particulares y responsabilidades específicas.
Los principios particulares y responsabilidades específicas garantizan el cumplimiento de los principios básicos de la PPDSI e inspiran las actuaciones del departamento en materia de protección de datos y seguridad de la información. Se establecen, como mínimo, los siguientes:
Registro de las actividades de tratamiento y gestión de activos de información. Se mantendrá un registro de las actividades de tratamiento, en los términos previstos en el artículo 4, cuyo inventario se hará público en la sede electrónica del Ministerio de Universidades. Asimismo, los activos de información se encontrarán inventariados y categorizados y estarán asociados a una unidad responsable.
Seguridad ligada a las personas. Se implementarán los mecanismos necesarios para que cualquier persona que acceda o pueda acceder a los activos de información y a los datos de carácter personal, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos. El nivel de seguridad en la identificación electrónica exigido en los procedimientos y servicios se definirá y publicará en la sede electrónica.
Seguridad física. Los activos de información serán emplazados en áreas seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que contienen dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales.
⋯
La consulta de este documento no sustituye la lectura del Boletín Oficial del Estado correspondiente. No nos responsabilizamos de posibles incorrecciones producidas en la transcripción del original a este formato.