El Esquema Nacional de Seguridad se regula en el Real Decreto 3/2010, de 8 de enero. Esta normativa establece la política de seguridad que regirá el conjunto de medidas regulatorias y procedimentales técnicas para garantizar con suficiencia el nivel de seguridad de los sistemas de información involucrados en la gestión por parte de la Administración pública, precisamente, para los ciudadanos, destinatarios últimos del servicio público, supone la garantía de que las entidades públicas con las que se relacionan reúnen las condiciones de seguridad necesarias para salvaguardar su información y sus derechos. En cuanto al ámbito de aplicación de la normativa que regula el Esquema Nacional de Seguridad, el art. 3 RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, establece que dicho ámbito de aplicación viene regulado por la ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos. A este respecto, cabe recordar que esta normativa ha sido derogada y desarrollada en la actualidad por la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPAC) y por la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público (RJSP), por las que se regulan los trámites administrativos de los ciudadanos ante las Administraciones públicas por medios electrónicos. Asimismo, en un intento por adecuar la normativa del Esquema Nacional de Seguridad al marco regulatorio comunitario y atendiendo al desarrollo de la tecnología digital, se publicaría posteriormente el Real Decreto 951/2015, de 23 de octubre, de modificación de la anterior normativa sobre el Esquema Nacional de Seguridad en el ámbito de la Administración pública.
Así pues, el ámbito de aplicación del ENS se extiende, en general, a todas aquellas actividades que las entidades del Sector Publico puedan desarrollar conforme al Derecho Público, bien porque se trate de entidades de las Administraciones Públicas o de actividades de entidades que ejerzan potestades administrativas, bien porque desarrollen sus funciones en base al Derecho Público. Véase en este sentido lo establecido en la Guía CCN-STIC 830: Ámbito de aplicación del ENS.
Dentro del ámbito subjetivo de aplicación de la normativa que regula el procedimiento administrativo de las Administraciones públicas (art. 2 LPAC), el sector público comprende a la Administración General del Estado, las Administraciones de las Comunidades Autónomas, la Administración local y a todas aquellas entidades que conforman el sector público institucional. A este último respecto, cabe destacar a todas aquellas entidades del sector público o privado que mantienen una vinculación profesional con la Administración pública, así como las universidades públicas. Sin perjuicio de lo anterior, el art. 2.4 LPAC regula específicamente el supuesto de las corporaciones de derecho público, las cuales se rigen por su normativa de aplicación en el desempeño de las funciones públicas encomendadas a través de una norma con rango de ley y, supletoriamente, por la legislación vigente sobre el procedimiento administrativo común (LPAC y LRJSP).
Una corporación de derecho público es un organismo autónomo que, aunque lleva a cabo la prestación de un servicio vinculado a las funciones propias de la Administración pública en el sector profesional de aplicación, se trata de una entidad con personalidad jurídica propia, cuyo principal cometido es la protección de los intereses profesionales de dicho sector ante la Administración pública, así como la gestión administrativa de todos aquellos trámites documentales necesarios para el correcto desempeño de la labor profesional de los miembros de la Corporación. En este sentido, los colegios profesionales son corporaciones de derecho público, con personalidad jurídica propia y plena capacidad para el cumplimiento de sus fines, tal y como establece el artículo 1 de la Ley 2/1974, de 13 de febrero, sobre Colegios Profesionales; concretamente, el colegio profesional es una entidad privada de orden asociativo cuya finalidad principal es la ejecución y desarrollo de una misión de interés público de conformidad con el Derecho administrativo y por el que a dicha Corporación se le habilita, por mandato legal, la ejecución de una determinada potestad administrativa vinculada a la Administración pública de aplicación a cada sector profesional en que se enmarca.
Como se ha indicado, el fin principal de esta entidad asociativa, con independencia del sector de aplicación, consiste en la defensa de los intereses profesionales de los colegiados, pero también, de acuerdo al art. 5.b Ley 2/1974, de 13 de febrero, el correcto desempeño de todas aquellas funciones administrativas que le hubieran sido atribuidas por ley en defensa y desarrollo del interés público. Esta atribución realizada a través de una norma con rango de ley se conoce como mandato legal de potestad administrativa, por el que una determinada Administración pública encomienda a una tercera entidad, en este caso una corporación de derecho público, la ejecución de determinadas funciones profesionales de carácter administrativo con el objetivo de lograr un mejor cumplimiento de la normativa del procedimiento administrativo común a partir de una mayor concreción regulatoria en función de las características sectoriales y la capacidad de gestión administrativa para con los miembros de dicha corporación ante la Administración pública y, en su caso, a través de la prestación de servicios relacionados con la Administración abiertos a todos los ciudadanos.
Conforme a lo anterior, los Colegios Profesionales se considerarán sujetos obligados a la adecuación a la normativa vigente que regula el Esquema Nacional de Seguridad siempre que se cumpla con la condición previa de la existencia de una atribución específica a través de una norma con rango de ley por la que se establece una vinculación profesional en la que el Colegio Profesional realizará determinadas funciones para con la Administración pública competente que resulte de aplicación.
Entre algunas de las potestades administrativas que realizan los Colegios profesionales cabe destacar, en base al documento de preguntas frecuentes del Esquema Nacional de Seguridad publicado por el Centro Criptológico Nacional, las siguientes: servicio de sede electrónica y/o registro electrónico de trámites administrativos, sistema de información y/o cumplimiento de obligaciones y trámites documentales abierto a los ciudadanos a través de la sede electrónica de la Administración desarrollado o prestado directamente por el Colegio profesional, así como cualquier otro sistema de recabo de información en relación a procedimientos administrativos en los que intervenga el Colegio profesional por la potestad administrativa encomendada.
En suma, los Colegios profesionales deberán adecuarse al Esquema Nacional de Seguridad en los supuestos en los que les hubiera sido encomendada dicha labor de gestión administrativa, a través de una norma con rango de ley y a cargo y por cuenta de la Administración pública con competencia exclusiva en la materia. Así, la habilitación legal para el desempeño de funciones administrativas vinculadas a una Administración pública se limitará, tanto funcional como temporalmente, exclusivamente a una encomienda de gestión concreta por la que la Administración pública competente acuerda el desarrollo y/o gestión directa por parte del Colegio profesional de una determinada potestad administrativa sujeta al derecho público a través de la que se realiza una labor de tramitación y gestión de información de carácter administrativo en la que intervienen los miembros del Colegio profesional, tanto si este servicio se abre a todos los ciudadanos, como si se limita a la intervención de los miembros colegiados en el sistema de gestión de dicha información.
En definitiva, cabe entender que el carácter preceptivo de la adecuación del Colegio profesional que realiza dicha encomienda de gestión administrativa ante una Administración pública, responde a la necesidad de garantizar con suficiencia la seguridad de los sistemas de información a través de los que se realizan los trámites y procedimientos administrativos en vinculación con la Administración pública competente, la cual, como se ha indicado, es sujeto obligado a todos los efectos de la aplicación de esta normativa para lograr el mayor grado de protección y seguridad de la información en los trámites administrativos a cargo y por cuenta de la Administración ministerial competente.
En un intento por reforzar la seguridad de la información a lo largo y ancho de los procedimientos administrativos comunes, las entidades terceras sujetas al derecho público que participen de dichos trámites ante la Administración, deberán ofrecer un nivel de seguridad mínimo reforzado que evidencie su capacidad técnica en materia de seguridad de la información para la eficaz gestión de los trámites administrativos que le han sido encomendados y por los cuales se vincula en potestad administrativa delegada a la Administración pública competente.
Conviene finalizar recordando que este procedimiento de adecuación al Esquema Nacional de Seguridad que debe cumplir el Colegio profesional en tales supuestos, es independiente del obligado cumplimiento de las medidas de seguridad de la información necesarias para la adecuación de dicha corporación al resto de normativas vigentes de aplicación y otra legislación específica, entre las que se incluye la normativa de protección de datos y la normativa que regula el acceso a la información pública y buen gobierno. En este sentido, desde el punto de vista de protección de datos la propia Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, se obliga a determinados responsables o encargados, entre los que se encuentran las corporaciones de derecho público [artículo 77.1 g) de la LOPDGDD], a aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad; asimismo, se deberá impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos, sujetas al Derecho privado, y en los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen. A este respecto, se recomienda el diseño de una estrategia integral de seguridad a nivel corporativo que garantice el adecuado nivel de cumplimiento del conjunto de normativas de aplicación que afecten, directa o indirectamente, a la gestión de la seguridad de los sistemas de información.
