domingo, 1 de enero de 2017

El Derecho procesal penal, los artículos 31 CP - 31 bis CP y el Administrador de la PJ


Resumen: La STS 4728/2016, de 3 de noviembre, obliga a perfilar aspectos muy interesantes respecto al tratamiento procesal que debe darse a la conjunción de los artículos 31 CP y 31 bis CP, lo que en su día decidí designar como “El triángulo de responsabilidad penal en la persona jurídica” a modo de introducción didáctica. La sentencia obliga a repasar diferentes principios del Derecho, especialmente el principio acusatorio y el principio non bis in ídem.  Este último ya se trató en la STS 3322/2010, de 30 de junio. Estamos viviendo el inicio de la jurisprudencia en España respecto a RPPJ, lo que provoca ir adaptando las interpretaciones sentencia a sentencia.

Autor del artículo
Colaboración
José Luis Colom Planas

Actualizado

1 de enero de 2017


Índice
1. Introducción
2. Diferentes principios a tener en cuenta
2.1 El principio de non bis in idem
2.2 El principio acusatorio
3. El triángulo de responsabilidad penal en la persona jurídica
3.1 El Administrador y la teoría del delito
3.2 El Administrador y el principio acusatorio
3.3 El Administrador y el principio ‘non bis in idem’
3.4 La imputación automática del Administrador
4. Conclusiones
5. Bibliografía consultada
6. Control de cambios del artículo
7. Derechos de autor

1. Introducción

Recordaré que el artículo 31 bis de nuestro vigente Código Penal distingue dos vías claramente diferenciadas para transferir responsabilidad penal a la persona jurídica (en adelante RPPJ):





  • Por un lado, se parte de los delitos cometidos en nombre o por cuenta de la PJ, y en su beneficio directo o indirecto, por sus representantes legales o por quienes estén autorizados para tomar decisiones en nombre de la persona jurídica u ostenten facultades de organización y control dentro de la misma. Entre estos se encuentra el Administrador de la sociedad.
  • Por otro, se parte de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de la PJ, por quienes, estando sometidos a la autoridad de las PF mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad.

En este artículo estudiaremos ambos casos centrándonos en analizar qué le puede ocurrir, en lo sustantivo y en lo adjetivo, a la figura del Administrador, incluso cuando éste es también el Representante legal de la PJ.


2. Diferentes principios a tener en cuenta

De los muchos principios que intervienen en Derecho penal, repasaré dos de ellos por ser determinantes en este estudio.

2.1 El principio de non bis in idem

El principio general del Derecho non bis in ídem implica una doble interpretación, según adoptemos un punto de vista material o procesal. [3]:
  • Desde el punto de vista material, se interpreta como la prohibición de que ante un sujeto que haya cometido un acto delictivo, éste resulte sancionado más de una vez por el mismo hecho. Puede llegar a entenderse como un concurso aparente de normas penales que impide se imponga duplicidad de sanciones en los casos en que concurra identidad de sujeto, hecho y fundamento. Esto es válido incluso aunando sanciones de dos jurisdicciones diferentes, como pueden ser la penal y la administrativa.
  • Desde el punto de vista procesal cabe interpretarlo como la prohibición de iniciar un  nuevo proceso contra el mismo sujeto y por la misma cosa juzgada, tras una sentencia, ya sea esta absolutoria o condenatoria. De forma todavía más restrictiva, como que un mismo hecho no pueda ser objeto de dos procesos distintos, impidiendo la dualidad de procedimientos, como pueden ser administrativo y penal. Por esta razón, cuando se abre un proceso penal, como última ratio que es, se detiene el administrativo hasta que el penal no se resuelva (Vid. Art. 10.2 LOPJ). Este último aspecto del principio de non bis in ídem se recoge en la doctrina del Tribunal Europeo de Derechos Humanos (TEDH) impidiendo, como regla general, que un mismo hecho delictivo sea susceptible de ser sancionado administrativa y penalmente. [4] Además, el 28 de septiembre de  2009 España ratificó el Protocolo 7 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales de Estrasburgo (CEDH), cuyo artículo 4.1 dispone: “Nadie podrá ser inculpado o sancionado penalmente por un órgano jurisdiccional del mismo Estado, por una infracción de la que ya hubiere sido anteriormente absuelto o condenado en virtud de sentencia definitiva conforme a la ley y al procedimiento penal de ese Estado”.

Aprovecharé para justificar en este principio del Derecho la redacción del nuevo artículo 31 ter 1 CP en la reforma del año 2015. Dicho artículo señala “(…) Cuando como consecuencia de los mismos hechos se impusiere a ambas [PJ y PF] la pena de multa, los jueces o tribunales modularán las respectivas cuantías, de modo que la suma resultante no sea desproporcionada en relación con la gravedad de aquéllos”.

Queda claro que la sanción económica puede llegar a afectar dos veces a la Persona Física (PF), como es el caso de sociedades de carácter unipersonal, [5] por lo que el art. 31 ter 1 CP viene a evitar el incumplimiento del principio de non bis in ídem en estos supuestos.

2.2 El principio acusatorio

El llamado principio acusatorio supone la existencia de una serie de factores limitadores y garantistas que la jurisprudencia constitucional recoge basándose en el derecho de todo sujeto a un proceso justo y a su defensa en él.

Entre esos factores cabe citar: que exista una vinculación entre la sentencia de un tribunal y la petición punitiva reclamada por la acusación en base a los hechos; que no pueda agravarse la pena por un tribunal de apelación cuando sea únicamente el encausado quien recurra; etc.

Otra de esas garantías, en que apoyaré los planteamientos de este artículo, es la que impide la condena de una persona sin haber sido formalmente acusada.

3. El triángulo de responsabilidad penal en la persona jurídica

En un artículo anterior, publicado el 1 de septiembre de 2016, ya introduje el concepto que se me dio por designar como “el triángulo de responsabilidad penal en la persona jurídica”.  [2]

En síntesis pretende demostrar, de forma didáctica, una relación transitiva entre el delito cometido por la PF, la consecuente transferencia de responsabilidad penal a la PJ y cómo ésta provoca que el Administrador también sea penalmente responsable como si hubiera sido sujeto activo del delito. Veremos más adelante como este planteamiento no es automático, está sometido a matizaciones y a su vez modulado por los principios del Derecho a que me he referido anteriormente.

Mientras que el artículo 31 bis CP es conocido, y está muy manido a nivel de literatura jurídica, el artículo 31 CP no lo está tanto,  por lo que voy a refrescarlo aquí. Señala: “El que actúe como administrador de hecho o de derecho de una persona jurídica, o en nombre o representación legal o voluntaria de otro, responderá personalmente, aunque no concurran en él las condiciones, cualidades o relaciones que la correspondiente figura de delito requiera para poder ser sujeto activo del mismo, si tales circunstancias se den en la entidad o persona en cuyo nombre o representación obre”.

Recordaré que se entiende por Administrador a aquel sujeto que, desde las esferas más altas de la organización, dirige o gestiona la actividad empresarial. Digamos que tiene implícitas las competencias de dirección y control de las actividades de la organización. Lo mismo cabría decir del Representante de la organización matizando, sin embargo, que el Administrador focaliza en la gestión interna y el Representante en la externa o de representación y que, habitualmente, suelen coincidir en la misma PF.

3.1 El Administrador y la teoría del delito

Por delito común se entiende aquel que puede ser realizado por cualquier persona, sin exigírsele ninguna condición natural o jurídica al presunto autor, mientras que por delito especial se entiende aquel que solo puede ser realizado por algunas personas en particular, exigiéndose en este caso al sujeto determinada condición natural o jurídica.

Entre los delitos especiales puede distinguirse, a su vez, entre delitos especiales propios, que son aquellos que sólo se han previsto para sujetos cualificados y no pueden existir al margen de éstos, y delitos especiales impropios, que son aquellos que, junto a una modalidad para sujetos cualificados, admiten otra para sujetos que no lo son.

Para aclarar conceptos, si nos referimos a la conducta delictiva de hurto (Art. 234 CP), nos encontramos ante un delito común ya que puede ser realizado por cualquier persona. Sin embargo, la conducta delictiva de malversación de caudales públicos  (art. 432 CP), que únicamente puede ser realizada por autoridades o funcionarios públicos, coincidirá en algunos casos con la de hurto si dicha malversación es en beneficio propio.

El Administrador es la figura que adquiere mayor relevancia en el ámbito de la criminalidad en las organizaciones. No obstante, en el marco de los delitos comunes, únicamente cabe imputar responsabilidad penal a los Administradores de la empresa que hayan intervenido, directa o indirectamente, en la realización del hecho delictivo, no siendo necesario ni posible recurrir al art. 31 CP, reservado para los delitos especiales. Luego en este tipo de delitos comunes la atribución de responsabilidad penal al administrador no es automática sino que está regida por las reglas generales de imputación de responsabilidad penal, siendo en este caso irrelevante su estatus de Administrador.

La STS 1828/2002, de 25 de octubre, [8] en el fundamento jurídico 2º señala: “El art. 31 CP establece las condiciones de la responsabilidad de los órganos o representantes de las personas físicas o jurídicas en los delitos especiales propios, pero no cumple función alguna en el resto de delitos en los que el sujeto no cualificado puede ser autor por sí mismo: "la aplicación de este precepto requiere que el tipo penal subsumible a los hechos prevea en su redacción típica la concurrencia de unos elementos especiales de autoría" (STS de 23 de enero de 2001; cfr. STS de 18 de diciembre de 2000)”.

Luego únicamente recurriremos al art. 31 CP, para que el Administrador sea penalmente responsable, en los delitos especiales propios, pero no en los delitos comunes o especiales impropios.

En los delitos especiales, el elenco de posibles autores queda delimitado por el propio Código Penal. Es decir, únicamente los sujetos cualificados que reúnan las condiciones exigidas por determinado tipo penal, podrán ser considerados autores. Así, si consideramos un delito de falseamiento de cuentas anuales o incluso que afectara a la propia PJ sin identificarse a ninguna PF materialmente autora, como sería el delito contra el medio ambiente, siempre que se establezca su intervención material en el hecho, incluso por omisión del deber de garante o control, se podría aplicar el art. 31 CP.

3.2 El Administrador y el principio acusatorio

Pese a la claridad de lo dispuesto por el art. 31 CP cuando se trata de un delito especial propio, veremos a partir del análisis de la STS 4728/2016 [1], de 3 de noviembre, que al señalarse “responderá personalmente” no se está refiriendo a una aplicación automática del precepto y deberá ser ésta siempre demandada. Concretamente, señala la sentencia en su fundamento jurídico segundo:

“1. Una persona que actúa en la condición de imputado (ahora investigado) como representante legal de la sociedad querellada no puede ser condenada con carácter individual.

2. El art. 31 CP determina expresamente la responsabilidad penal del administrador. Aunque no se haya derogado la posibilidad de que un administrador pueda actuar como persona física, ello ha de quedar delimitado en todo momento conceptualmente.

El principio acusatorio impide la condena de una persona sin haber sido formalmente acusada, como es el caso”.

En otras palabras, viene a decir que si no se indica lo contrario, en base al principio acusatorio, la Sala interpreta que el Administrador únicamente actúa en calidad de legal representante de la PJ encausada. En consecuencia, para que le sean de aplicación los efectos del referido artículo 31 CP debe demandarse de inicio por parte de la acusación particular, de existir, o del Ministerio Fiscal.

3.3 El Administrador y el principio ‘non bis in idem’

En el supuesto de que la PF que ha cometido el delito que ha ocasionado RPPJ haya sido el propio Administrador, podría llegar a plantearse un caso con dos vías de punibilidad, si no fuera por la modulación que estamos viendo en la aplicabilidad del artículo 31 CP:
  • Por un lado la responsabilidad penal derivada del hecho propio, motivada por la conducta delictiva del propio sujeto.
  • Por otro, cabría estudiar la responsabilidad derivada a través del artículo 31 CP, por el hecho de ser responsable la PJ a la que administra en base al artículo 31 bis CP, con todas las matizaciones que veremos a continuación.

Evidentemente, entramos de lleno en los supuestos necesarios para invocar el principio de non bis in idem, al concurrir identidad de sujeto, hecho y fundamento.

No obstante, si como hemos visto en el apartado anterior no se demanda la aplicación del artículo 31 CP, cabría considerar que ya no concurren los supuestos que ocasionan dicha incompatibilidad.

3.4 La imputación automática del administrador

Si bien se refieren a delitos comunes,  en algunas sentencias del Tribunal Supremo no se comparte la idea de una imputación directa del Administrador, por el mero hecho de serlo, en los delitos con RPPJ. Concretamente la STS 607/2010, [6] de 30 de junio de 2010,     señala en su fundamento del Derecho 2º: “El art. 31 no puede servir como criterio de atribución de responsabilidad penal por sí mismo en lo delitos empresariales. Esto es si se constata que en la empresa se ha cometido un delito no puede concluirse, sin más, que el responsable sea el administrador. El art. 31.1 CP, no regula la responsabilidad de los administradores por delitos que se cometan en la empresa, únicamente pretende que no exista una laguna de punibilidad en casos en que, en el delito especial propio, la calificación de la autoría recaiga en una persona jurídica. Este modo de operar lo que provocaría es la creación de una inaceptable responsabilidad objetiva por el cargo, una responsabilidad por la mera circunstancia de ser administrador y no una responsabilidad por el hecho, única que debe aceptarse, conforme al principio de culpabilidad”.

Lo que viene a decir es que, para la atribución de responsabilidad penal al administrador de la PJ por los delitos comunes, se requiere que el delito cometido se justifique, en términos de imputación objetiva, por la conducta realizada por el administrador.

La no aplicación automática del artículo 31 CP se basa en que no puede incorporarse una responsabilidad penal objetiva del Administrador por los hechos de la PJ representada, ya que sería una interpretación contraria al principio de culpabilidad y en absoluto coincidente con la finalidad del artículo 31 CP. En este sentido se ha pronunciado la jurisprudencia (Vid. STS 607/2010) y abundante doctrina del Tribunal Constitucional (Vid. STC 159/1989 y STC 253/1993), que insiste en que dicho artículo no introduce una regla de responsabilidad objetiva de aplicación automática en todos los casos, considerando también que sería contraria al principio de culpabilidad.

La ratio legis del artículo 31 CP persigue evitar la impunidad de las actuaciones delictivas perpetradas por PF individualizables, que sean miembros de la PJ y se amparen en ella, cuando se cometa un delito especial propio, cuya autoría exija necesariamente la presencia de ciertas características que únicamente concurran en la PJ y no en las PF que la integran. Con la incorporación del art. 31 CP se supera el inconveniente formal de tener que aplicar estrictamente el principio de legalidad en los casos en que “no concurran las condiciones, cualidades o relaciones que la figura típica requiere” para poder imputar la autoría, haciendo que en esos casos sea penalmente responsable el Administrador.

La STC 253/1993, de 20 de julio, [9] señala en su fundamento jurídico 3º: “3. A fin de apreciar la alegación del recurrente se impone una inicial consideración sobre el mencionado precepto. Su incorporación al Código Penal, en efecto, no vino en modo alguno a introducir una regla de responsabilidad objetiva que hubiera de actuar, indiscriminada y automáticamente, siempre que, probada la existencia de una conducta delictiva cometida al amparo de una persona jurídica, no resulte posible averiguar quiénes, de entre sus miembros, han sido los auténticos responsables de la misma, pues ello sería contrario al derecho a la presunción de inocencia y al propio tenor del precepto. Lo que el mismo persigue, por el contrario, es obviar la impunidad en que quedarían las actuaciones delictivas perpetradas bajo el manto de una persona jurídica por miembros de la misma perfectamente individualizables, cuando, por tratarse de un delito especial propio, es decir, de un delito cuya autoría exige necesariamente la presencia de ciertas características, éstas únicamente concurrieren en la persona jurídica y no en sus miembros integrantes. La introducción del art. 15 bis C.P. tuvo el sentido de conceder cobertura legal a la extensión de la responsabilidad penal en tales casos, y sólo en ellos, a los órganos directivos y representantes legales o voluntarios de la persona jurídica, pese a no concurrir en ellos, y sí en la entidad en cuyo nombre obraren, las especiales características de autor requeridas por la concreta figura delictiva. Mas, una vez superado así el escollo inicialmente existente para poderles considerar autores de la conducta típica, del citado precepto no cabe inferir que no hayan de quedar probadas, en cada caso concreto, tanto la real participación en los hechos de referencia como la culpabilidad en relación con los mismos. Así lo declaramos, por lo demás, en un supuesto semejante (STC 150/1989), donde estimamos vulnerado el derecho a la presunción de inocencia por haberse impuesto al gerente de una empresa una condena a título de falta de imprudencia con resultado de daños, sin que en ningún momento hubiese quedado acreditado que la producción de los mismos fuera consecuencia, directa o indirecta, de la omisión por el condenado de la debida diligencia para impedirlos o de una actuación imprudente por su parte, ni se hubiese hecho razonamiento alguno encaminado a fundamentar la convicción alcanzada por los órganos judiciales respecto de su participación en los mismos”.

NOTA DEL EDITOR: La STC 253/1993 se refiere al art. 15 bis CP del Código Penal de 1973, precursor del actual art. 31 CP procedente del vigente Código penal de 1995 y reformado en 2015, todos con muy parecido redactado.

4. Conclusiones

Cuando hablamos del triángulo de responsabilidad penal de la persona jurídica debe matizarse que, para la aplicación del artículo 31 CP, se requiere: [7]
  • Que el hecho delictivo se materialice en el marco de un delito especial que requiera ciertas condiciones, cualidades o relaciones para la autoría.
  • Que el sujeto activo sea Administrador, de hecho o de derecho, de una PJ, o Representante de la misma.
  • Que el Administrador o Representante realice, directa o indirectamente, la conducta material que constituye el núcleo de la figura típica.
  • La ausencia de los requisitos típicos para ser autor.

5. Bibliografía consultada

[1]  Tribunal Supremo. “STS 4728/2016, de 3 de noviembre”. Resolución 827/2016. Ponente José Ramón Soriano. 3 de noviembre de 2016.

 [2] José Luis Colom.  El triángulo de responsabilidad penal en la persona jurídica”. 1 de septiembre de 2016. Blog “Aspectos profesionales”. Introducción didáctica.

[3] Juan Manuel Trayter Jiménez. Sanción penal - sanción administrativa: el principio non bis in idem en la Jurisprudencia”. Revista del Poder Judicial, número 22. 1991.

[4] José Vicente Gimeno Sendra. “Los principios de legalidad y non bis in ídem en la Doctrina del Tribunal Constitucional”. Diario La Ley nº 6735, 14 de junio de 2007.

[5] Adán Nieto Martín. “La responsabilidad penal de las personas jurídicas: un modelo legislativo”. Ed. IUSTEL. Madrid, 2008.


[6] Tribunal Supremo. "STS 3322/2010, [6] de 30 de junio". Ponente Juan Ramon Berdugo Gomez de la Torre. 30 de junio de 2010.
STS 3322/2010 

[7] Coordinadores: Ignacio Ayala Gómez e Íñigo Ortiz de Urbina Gimeno. “Penal Económico y de la Empresa”. Memento Práctico Francis Lefebvre. 2016-2017.

[8] Tribunal Supremo. “STS 1828/2002, de 25 de octubre”. Ponente Julián Sánchez Melgar. 25 de octubre de 2002.

[9] Tribunal Constitucional. “STC 253/1993, de 20 de julio”. Presidente D. Miguel Rodríguez-Piñero y Bravo-Ferrer. 20 de julio de 1993.

[10] Jordi Gimeno Beviá. “Compliance y proceso penal. El proceso penal de las personas jurídicas”. CIVITAS. Thomson Reuters. 2016.

6. Control de cambios del artículo

Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha
Cambio
Responsable
01/01/2017
Redacción inicial del artículo
Autor


















7. Derechos de autor

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.

Tablas creadas por el autor.



La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.



Sobre el autor:



José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.  A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).

A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.

Convencido del valor que aportan las organizaciones profesionales, es vocal de la Junta Directiva - miembro de la Comisión de Educación y Certificaciones de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales y FT), socio de CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo), asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de ENATIC (Asociación de expertos nacionales de la abogacía TIC), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. Ha obtenido, junto a algunos miembros de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT), un premio compartido otorgado por la AEPD.





martes, 6 de diciembre de 2016

Conformidad con el Esquema Nacional de Seguridad (ENS)


Resumen: Con la aprobación del Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, primero, y la aparición de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Conformidad con el Esquema Nacional de Seguridad, después, se alcanza la madurez y el despegue definitivo del ENS en España.


Autor del artículo
Colaboración
José Luis Colom Planas

Actualizado

6 de diciembre de 2016



Índice

1. Introducción
2. Marco jurídico
3. Diferencia entre Declaración y Certificación de Conformidad
3.1 Introducción
3.2 Declaración de Conformidad
3.3 Certificación de Conformidad
3.4 Operadores del sector privado
4. Ámbito de aplicación del ENS
5. El ENS y la norma ISO/IEC 27001:2013
6. Bibliografía consultada
7. Control de cambios del artículo
8. Derechos de autor
ANEXO I: Las 75 medidas de seguridad del ENS



1. Introducción

El año 2010 fue un año muy prolijo para el legislador, ya que se aprobaron leyes, y reformas de leyes, que han tenido una incidencia notable en la protección de la sociedad española en sus diferentes aspectos:




  • La primera que me viene a la cabeza es la LO 5/2010, de 22 de junio, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código Penal, que todos sabemos acabó con la célebre locución latina “Societas delinquere non potest”.
  • La segunda es la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, transposición de la Directiva 2005/60/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo (tercera Directiva), desarrollada por la Directiva 2006/70/CE de la Comisión, de 1 de agosto de 2006.
  • Y como no, antes de las referidas se aprobó el RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica.

Ya que es en base a esta última Norma que escribo este artículo, motivado también por mi reciente incorporación profesional a la entidad certificadora AUDERTIS especializada en el ENS, diré que su ratio legis es la protección de los servicios prestados a la ciudadanía, y la información que éstos tratan, asegurando los sistemas de información de las Administraciones públicas que los soportan, ya sea directamente, o bien apoyados, o externalizados, en operadores privados.

Como señala la Guía CCN-STIC 809 “Declaración y certificación de conformidad con el ENS y distintivos de cumplimiento[2] en su introducción: “Una de las piezas fundamentales que vertebran lo que se ha dado en llamar la Administración Electrónica: la seguridad de los sistemas de información de las Administraciones Públicas, seguridad entendida como el conjunto de principios básicos y requisitos mínimos requeridos para una protección adecuada de la información tratada y los servicios prestados por las entidades del sector público de su ámbito de aplicación”.

El esquema de conformidad asociado, mediante la Resolución de 13 de octubre de 2016 de la Secretaría de Estado de Administraciones Públicas, permite acreditar al organismo, o a la organización privada que colabora con él, que cumple con los requerimientos de seguridad determinados por el ENS.



2. Marco jurídico

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP), estableció el Esquema Nacional de Seguridad (ENS) que, aprobado mediante el RD 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación, conteniendo los principios básicos y requisitos mínimos que han de permitir una protección adecuada de los servicios, y la información que estos tratan, mediante el uso de sistemas de información.

Debe tenerse en cuenta la reforma de 2015 en base al  RD 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el ENS.

 Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), recoge el Esquema Nacional de Seguridad en el artículo 156 apartado 2, en similares términos: “2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”.

Por otro lado, y como quiera que las medidas de seguridad contempladas en el ENS no son sólo exigibles a las relaciones ad intra (relaciones entre entidades o Administraciones Públicas), sino que deben extenderse también a las relaciones ad extra (relaciones entre las Administraciones y los ciudadanos), este ámbito de aplicación debe completarse con el recogido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Dicha ley contiene significativas referencias a la aplicación del Esquema Nacional de Seguridad y, en general, a la seguridad de la información, tales como las realizadas en el art. 13 (Derechos de las personas en sus relaciones con las Administraciones Públicas), art. 16 (Registros), art. 17 (Archivo de documentos), art. 27  (Validez y eficacia de las copias realizadas por las Administraciones Públicas), art. 31 (Cómputo de plazos en los registros), art. 56 (Medidas provisionales), Disposición Adicional Segunda (Adhesión de las Comunidades Autónomas y Entidades Locales a las plataformas y registros de la Administración General del Estado).

Si se asume que el objeto del ENS es proteger los sistemas que soportan los servicios prestados a la ciudadanía apoyándose en medios electrónicos, y que éstos tratan datos, algunos de ellos de naturaleza personal, implica que la legislación vigente en materia de protección de datos también deberá considerarse. No se cumple con lo dispuesto por el ENS si no se cumple con las disposiciones respecto a la protección de datos.

En espera de que sea de aplicación en mayo de 2018 el ya aprobado Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), significa que en base al Derecho vigente se debe considerar la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su Reglamento de desarrollo, el RD 1720/2007, de 21 de diciembre.

Además, el Real Decreto 3/2010, de 8 de enero, en su artículo 29 apartado 2, sobre Instrucciones Técnicas de Seguridad (ITS) y guías de seguridad, dispone:  “2. El Ministerio de Hacienda y Administraciones Públicas, a propuesta del Comité Sectorial de Administración Electrónica previsto en el artículo 40 de la Ley 11/2007, de 22 de junio, y a iniciativa del Centro Criptológico Nacional, aprobará las instrucciones técnicas de seguridad de obligado cumplimiento y se publicarán mediante resolución de la Secretaría de Estado de Administraciones Públicas. Para la redacción y mantenimiento de las instrucciones técnicas de seguridad se constituirán los correspondientes grupos de trabajo en los órganos colegiados con competencias en materia de administración electrónica.

En el preámbulo de una de esas Resoluciones, se señala: “Dichas instrucciones técnicas de seguridad son esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el Esquema” y también “Estas instrucciones técnicas de seguridad se desarrollarán y perfeccionarán a lo largo del tiempo, en paralelo al progreso de los servicios de Administración electrónica, las infraestructuras que los apoyan, la evolución tecnológica y los riesgos derivados de operar en el ciberespacio”.

En consecuencia la certificación se basa también en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, [1] que viene a actualizar el contenido de la Guía de seguridad CCN-STIC 809 “Declaración y certificación de conformidad con el ENS y distintivos de cumplimiento”, de mayo de 2016. [2]



3. Diferencia entre Declaración y Certificación de Conformidad

3.1 Introducción

Es responsabilidad de las entidades públicas que el esfuerzo desarrollado para poder garantizar la seguridad  sus sistemas de información se publicite adecuadamente, trasladando a la ciudadanía la confianza respecto a los servicios que prestan, conforme éstos son eficaces y seguros. Viene a ser similar al certificado que se otorga por parte de una entidad acreditada de certificación a una organización cuyo Sistema de Gestión de la Seguridad de la Información (SGSI) cumple con las disposiciones de la norma de adscripción voluntaria ISO/IEC 27001:2013. [Vid. Apartado 5 de este mismo artículo].

Ante esta necesidad de dar publicidad a las garantías adoptadas en el desenvolvimiento de las Administraciones Públicas y el desarrollo del procedimiento administrativo prestado apoyándose en medios electrónicos, como muestra de transparencia, el artículo 41 del ENS señala: “Artículo 41. Publicación de conformidad. Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad”.

Esta publicidad, también es extensiva a los operadores económicos del sector privado que participen en la prestación de servicios y la aportación de soluciones a las entidades públicas.

Recordaré que el ENS, partiendo de la valoración de los servicios y la información en cinco dimensiones de la seguridad: Confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad (La norma ISO/IEC 27001:2013 únicamente considera las tres primeras dimensiones), se categorizan los sistemas de información que los soportan en nivel básico, medio y alto. Esta clasificación es necesaria para determinar si se puede optar a la simple Declaración (si no se dispone de ningún sistema de categoría media o alta, circunstancia poco probable según mi experiencia) o bien debe optarse a la Certificación.



3.2 Declaración de Conformidad

La Declaración de Conformidad con el Esquema Nacional de Seguridad únicamente es posible para sistemas de categoría BÁSICA y será expedida por la propia entidad (auto-declaración) bajo cuya responsabilidad se encuentren dichos sistemas.

Se completará mediante un Distintivo de Declaración de Conformidad cuyo uso estará condicionado a la antedicha Declaración de Conformidad.

Para publicar la Declaración de Conformidad con el Esquema Nacional de Seguridad bastará con la exhibición en la sede electrónica de la entidad pública titular o usuaria del sistema de información en cuestión, del Distintivo de Declaración de Conformidad que incluirá un enlace al documento de Declaración de Conformidad correspondiente, que también permanecerá accesible a través de dicha sede electrónica.

La entidad que disponga únicamente de sistemas de categoría BÁSICA puede optar, en vez de la Declaración, por la Certificación de Conformidad, aportando mayores garantías a la ciudadanía respecto a su cumplimiento.









3.3 Certificación de Conformidad

La Certificación de Conformidad con el Esquema Nacional de Seguridad, preceptiva para sistemas de categorías MEDIA o ALTA y discrecional para los de categoría BÁSICA, será expedida por una entidad certificadora y se completará mediante un Distintivo de Certificación de Conformidad cuyo uso estará condicionado a la antedicha Certificación de Conformidad.

Dicha Certificación de Conformidad así como su distintivo se expresarán en documentos electrónicos, en formato no editable.

Para publicar la Certificación de Conformidad con el Esquema Nacional de Seguridad, bastará con la exhibición en la sede electrónica de la entidad pública titular o usuaria del sistema de información en cuestión, del Distintivo de Certificación de Conformidad que incluirá un enlace al documento de Certificación de Conformidad correspondiente, que también permanecerá accesible a través de dicha sede electrónica.














3.4 Operadores del sector privado

Según la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad: “Cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a las que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en esta Instrucción Técnica de Seguridad para las entidades públicas”.

Es responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el Esquema Nacional de Seguridad y posean las correspondientes Declaraciones o Certificaciones de Conformidad, según lo señalado en la antedicha Instrucción Técnica de Seguridad.

Análogamente a las entidades públicas, los Distintivos de Conformidad, cuando se exhiban por parte de los operadores privados, deberán enlazar con las correspondientes Declaraciones o Certificaciones de Conformidad, que permanecerán siempre accesibles en la página Web del operador de que se trate.

Además del Centro Criptológico Nacional y la Entidad Nacional de Acreditación, las entidades públicas usuarias de soluciones o servicios provistos o prestados por organizaciones del sector privado que exhiban una Declaración o Certificación de Conformidad con el Esquema Nacional de Seguridad podrán solicitar en todo momento a tales operadores privados los Informes de Autoevaluación o de Auditoría correspondientes, al objeto de verificar la adecuación e idoneidad de las antedichas manifestaciones.



4. Ámbito de aplicación del ENS

El artículo 2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, señala:

Artículo 2. Ámbito Subjetivo.

1. La presente Ley se aplica al sector público que comprende:
a) La Administración General del Estado.
b) Las Administraciones de las Comunidades Autónomas.
c) Las Entidades que integran la Administración Local.
d) El sector público institucional.
2. El sector público institucional se integra por:
a) Cualesquiera organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas.
b) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades administrativas.
c) Las Universidades públicas que se regirán por su normativa específica y supletoriamente por las previsiones de la presente Ley.
3. Tienen la consideración de Administraciones Públicas la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público previstos en la letra a) del apartado 2”.

Este ámbito de aplicación debe completarse con el recogido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.:

“4. Las Corporaciones de Derecho Público se regirán por su normativa específica en el ejercicio de las funciones públicas que les hayan sido atribuidas por Ley o delegadas por una Administración Pública, y supletoriamente por la presente Ley”.

En consecuencia, quedan también obligadas por el ENS las entidades de Derecho privado pertenecientes al sector público institucional, como pueden ser, por citar algunas, la Agencia Efe SA, Aeropuertos Españoles y Navegación Aérea (AENA), Red Nacional de Ferrocarriles Españoles (RENFE) (…) y las entidades de Derecho privado vinculadas o dependientes de las comunidades autónomas, como pueden ser, por citar también algunas, Ciudad de las Artes y las Ciencias SA, Instituto Valenciano de Investigaciones Económicas SA, Centro Alto Rendimiento Región de Murcia SAU, etc.

Luego, según la Guía CCN-STIC 830 “Ámbito de aplicación del Esquema Nacional de Seguridad”, de septiembre de 2016 [3]:   El RD 3/2010 será de aplicación a las entidades de derecho privado vinculadas o dependientes de las Comunidades Autónomas cuando ejerzan potestades administrativas por atribución directa o delegación, de acuerdo a la legislación autonómica aplicable, así como en cuanto a su régimen de patrimonio y en materia de responsabilidad patrimonial ante terceros por el funcionamiento de sus servicios, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por esta”.

También quedan obligadas al ENS las entidades de Derecho privado vinculadas o dependientes de la Administración de las entidades locales, como pueden ser, por citar algunas, Barcelona de Serveis Municipals SA, Empresa Municipal de Transportes de Madrid SA, Asociación Navarra de Informática Municipal SA, etc.

Luego, según la Guía CCN-STIC 830 “Ámbito de aplicación del Esquema Nacional de Seguridad”, de septiembre de 2016:  El RD 3/2010 será de aplicación a las entidades de derecho privado vinculadas o dependientes de la Administración de las Entidades Locales en las materias en que les sea de aplicación la normativa presupuestaria, contable, de control financiero, de control de eficacia y contratación, de acuerdo a lo dispuesto por la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, así como en el ejercicio de las funciones públicas que les hayan sido atribuidas estatutariamente, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por esta”.

También quedan obligadas las entidades de Derecho privado vinculadas o dependientes de las Administraciones Públicas en la medida que están sujetas a las normas de la Ley de Régimen Jurídico del Sector Público que específicamente se refieran a las mismas y, en todo caso, cuando ejerzan potestades administrativas.

Las fundaciones, tanto las privadas como las del sector público estatal, tienen personalidad jurídica privada y, por tanto, también les resulta de aplicación el ENS en los mismos casos que ya se han indicado.

Los operadores privados que prestan servicios u ofrecen servicios al sector público, o a las entidades de Derecho privado obligadas,  también quedan sometidos a dicha ley en el ámbito de los servicios o soluciones que aporten. Adicionalmente, su Certificación de Conformidad les situará en óptimas condiciones, si no obligadas como condición sine qua non, para poder presentarse a pliegos de la Administración pública.



5. El ENS y la norma ISO/IEC 27001:2013

Como se afirma en la Guía CCN-STIC 825 “Esquema Nacional de Seguridad: Certificaciones 27001”, de noviembre de 2013 [4] la correspondencia no es una relación matemática de equivalencia. (…) Si el organismo tiene una certificación 27001 y se han cubierto los controles referenciados de la 27002, con incorporar lo adicional se puede considerar cumplido el Anexo II del ENS”.


Lo primero que se debe tener en cuenta es:



  • La norma ISO/IEC 27001:2013 es una norma internacional certificable y de adscripción voluntaria para cualquier Sistema de Gestión de Seguridad de la Información (SGSI). Su cumplimiento se evidencia erga omnes mediante una certificación, expedida por un auditor certificado, perteneciente a una entidad certificadora acreditada, y previa auditoría con resultado satisfactorio.
  • Por su parte, el ENS es una disposición de carácter legal, de obligado cumplimiento para los sistemas de información del ámbito de aplicación de la Ley 11/2007. Su cumplimiento se evidencia erga omnes mediante una [Declaración aparte] Certificación de conformidad legal, previa auditoría por una entidad certificadora acreditada, y previa auditoría con resultado satisfactorio.

Debo decir, no obstante, que la norma ISO/IEC 27001:2013 y el ENS, pese a tener muchos elementos de similitud, no son completamente equivalentes. La fundamental diferencia radica en el alcance: Mientras que el alcance de la norma ISO lo decide la Organización de forma subjetiva en base a su particular criterio, el alcance del ENS viene determinado de forma objetiva por los servicios que el organismo presta a la ciudadanía apoyándose en medios electrónicos en aplicación de la Ley 11/2007.

Además, como evidencia  de esa falta de correspondencia directa, la simple comparación de los controles o medidas de seguridad determinados en ambos anexos nos muestra una apreciable diferencia: 75 en el “anexo II” del ENS y 114 en el “anexo A” de la norma ISO/IEC 27001:2013. No obstante, esa diferencia en el número no debe hacernos creer que es más completa la norma ISO que el ENS, ya que algunos controles de una norma se desarrollan en varios de la otra.

Podemos plantear el siguiente cuadro resumen:

Concepto
ISO/IEC 27001:2013
RD 3/2010 (ENS)
Ontología
Norma internacional de seguridad, sin rango legal.
Regulación legal de carácter estatal, perteneciente al ordenamiento jurídico español derivado de la Ley 11/2007.
Carácter
Certificación voluntaria
Cumplimiento obligatorio
Ámbito de aplicación
Para cualquier sistema de gestión de seguridad de la información.
Para los sistemas de información de las Administraciones públicas comprendidos en el ámbito de aplicación de la Ley 11/2007.
Modulación de las medidas
Según criterio del auditor, en base a la norma internacional.
Regulado en función de los tipos de activos y los niveles de seguridad requeridos
Evidencia de cumplimiento o Conformidad
Mediante certificación, expedida por un auditor perteneciente a una entidad acreditada, previa auditoría con resultado satisfactorio.
Mediante Certificación de Conformidad legal, previa auditoría por entidad acreditada por ENAC con resultado satisfactorio.

Cuadro actualizado partiendo de la Guía CCN-STIC 825

En el apartado 5.1 de la Guía CCN-STIC 825 “Esquema Nacional de Seguridad: Certificaciones 27001”, de noviembre de 2013, [4] puede verse una tabla a modo de cuadro resumen con las diferencias que cabe esperar entre una certificación ISO 27001 y el cumplimiento de cada una de las 75 medidas de seguridad que determina el ENS.

Advierto que debe analizarse con precaución ya que la mayor o menor exactitud de dicha tabla dependerá de:

  • Que la medida de seguridad se haya visto modificada, o no, por el RD 951/2015, de 23 de octubre, de modificación del RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Que el alcance del SGSI coincida, o no, con el ámbito del ENS en el ente u organización que le presta servicios o aporta soluciones.
  • De la categorización de los sistemas, dado que algunas medidas de seguridad del ENS son más o menos restrictivas en función de dicha categorización en (BÁSICO, MEDIO O ALTO).
  • De los controles excluidos justificadamente en ambas Declaraciones de Aplicabilidad: la que se establece en el Plan de Adecuación del ENS y la que se determina en el apartado 6.1.3 d) de la norma ISO/IEC 27001:2013 (SOA) y, en su caso, los controles compensatorios alternativos.



6. Bibliografía consultada

- [1] Secretaría de Estado de Administraciones Públicas.  Resolución de 13 de octubre de 2016, por la que se aprueba la Instrucción Técnica de Seguridad de Conformidad con el Esquema Nacional de Seguridad”.

- [2] Ministerio de Hacienda y Administraciones Públicas. Centro Criptológico Nacional. Guía de seguridad CCN-STIC 809. “Declaración y certificación de conformidad con el ENS y distintivos de cumplimiento”. Mayo de 2016.

- [3] Ministerio de Hacienda y Administraciones Públicas. Centro Criptológico Nacional. Guía de seguridad CCN-STIC 830. “Ámbito de aplicación del Esquema Nacional de Seguridad”. Septiembre de 2016.

- [4] Ministerio de Hacienda y Administraciones Públicas. Centro Criptológico Nacional. Guía CCN-STIC 825. “Esquema Nacional de Seguridad: Certificaciones 27001”. Noviembre de 2013.



7. Control de cambios del artículo

Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha
Cambio
Responsable
06/12/2016
Redacción inicial del artículo
Autor


















8. Derechos de autor

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.
Tablas adaptadas por el autor.

 

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.



Sobre el autor:



José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.  A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).

A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.



ANEXO I: Las 75 medidas de seguridad del ENS

Se detallan a continuación de forma esquemática las 75 medidas de seguridad que determina el Anexo II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, contemplando el RD 951/2015, de 23 de octubre, de modificación del ENS.

Pueden verse las medidas que aplican en función de la categorización de los sistemas y, en su caso, de la dimensión de seguridad afectada.

Categoría de los Sistemas

Medidas de seguridad
Dimensión
B
M
A


org
Marco organizativo
categoría
aplica
=
=
org.1
Política de seguridad
categoría
aplica
=
=
org.2
Normativa de seguridad
categoría
aplica
=
=
org.3
Procedimientos de seguridad
categoría
aplica
=
=
org.4
Proceso de autorización


op
Marco operacional




op.pl
Planificación
categoría
aplica
+
++
op.pl.1
Análisis de riesgos
categoría
aplica
+
++
op.pl.2
Arquitectura de seguridad
categoría
aplica
=
=
op.pl.3
Adquisición de nuevos componentes
D
n.a.
aplica
=
op.pl.4
Dimensionamiento/Gestión de capacidades
categoría
n.a.
n.a.
aplica
op.pl.5
Componentes certificados




op.acc
Control de acceso
A T
aplica
=
=
op.acc.1
Identificación
I C A T
aplica
=
=
op.acc.2
Requisitos de acceso
I C A T
n.a.
aplica
=
op.acc.3
Segregación de funciones y tareas
I C A T
aplica
=
=
op.acc.4
Proceso de gestión de derechos de acceso
I C A T
aplica
+
++
op.acc.5
Mecanismo de autenticación
I C A T
aplica
+
++
op.acc.6
Acceso local (local logon)
I C A T
aplica
+
=
op.acc.7
Acceso remoto (remote login)




op.exp
Explotación
categoría
aplica
=
=
op.exp.1
Inventario de activos
categoría
aplica
=
=
op.exp.2
Configuración de seguridad
categoría
n.a.
aplica
=
op.exp.3
Gestión de la configuración
categoría
aplica
=
=
op.exp.4
Mantenimiento
categoría
n.a.
aplica
=
op.exp.5
Gestión de cambios
categoría
aplica
=
=
op.exp.6
Protección frente a código dañino
categoría
n.a.
aplica
=
op.exp.7
Gestión de incidentes
T
aplica
+
++
op.exp.8
Registro de la actividad de los usuarios
categoría
n.a.
aplica
=
op.exp.9
Registro de la gestión de incidentes
T
n.a.
n.a.
aplica
op.exp.10
Protección de los registros de actividad
categoría
aplica
+
=
op.exp.11
Protección de claves criptográficas




op.ext
Servicios externos
categoría
n.a.
aplica
=
op.ext.1
Contratación y acuerdos de nivel de servicio
categoría
n.a.
aplica
=
op.ext.2
Gestión diaria
D
n.a.
n.a.
aplica
op.ext.9
Medios alternativos




op.cont
Continuidad del servicio
D
n.a.
aplica
=
op.cont.1
Análisis de impacto
D
n.a.
n.a.
aplica
op.cont.2
Plan de continuidad
D
n.a.
n.a.
aplica
op.cont.3
Pruebas periódicas




op.mon
Monitorización del sistema
categoría
n.a.
aplica
=
op.mon.1
Detección de intrusión
categoría
n.a.
n.a.
aplica
op.mon.2
Sistema de métricas

mp
Medidas de protección




mp.if
Protección de las instalaciones e infraestructuras
categoría
aplica
=
=
mp.if.1
Áreas separadas y con control de acceso
categoría
aplica
=
=
mp.if.2
Identificación de las personas
categoría
aplica
=
=
mp.if.3
Acondicionamiento de los locales
D
aplica
+
=
mp.if.4
Energía eléctrica
D
aplica
=
=
mp.if.5
Protección frente a incendios
D
n.a.
aplica
=
mp.if.6
Protección frente a inundaciones
categoría
aplica
=
=
mp.if.7
Registro de entrada y salida de equipamiento
D
n.a.
n.a.
aplica
mp.if.9
Instalaciones alternativas




mp.per
Gestión del personal
categoría
n.a.
aplica
=
mp.per.1
Caracterización del puesto de trabajo
categoría
aplica
=
=
mp.per.2
Deberes y obligaciones
categoría
aplica
=
=
mp.per.3
Concienciación
categoría
aplica
=
=
mp.per.4
Formación
D
n.a.
n.a.
aplica
mp.per.9
Personal alternativo




mp.eq
Protección de los equipos
categoría
aplica
+
=
mp.eq.1
Puesto de trabajo despejado
A
n.a.
aplica
+
mp.eq.2
Bloqueo de puesto de trabajo
categoría
aplica
=
+
mp.eq.3
Protección de equipos portátiles
D
n.a.
aplica
=
mp.eq.9
Medios alternativos




mp.com
Protección de las comunicaciones
categoría
aplica
=
+
mp.com.1
Perímetro seguro
C
n.a.
aplica
+
mp.com.2
Protección de la confidencialidad
I A
aplica
+
++
mp.com.3
Protección de la autenticidad y de la integridad
categoría
n.a.
n.a.
aplica
mp.com.4
Segregación de redes
D
n.a.
n.a.
aplica
mp.com.9
Medios alternativos




mp.si
Protección de los soportes de información
C
aplica
=
=
mp.si.1
Etiquetado
I C
n.a.
aplica
+
mp.si.2
Criptografía
categoría
aplica
=
=
mp.si.3
Custodia
categoría
aplica
=
=
mp.si.4
Transporte
C
aplica
+
=
mp.si.5
Borrado y destrucción




mp.sw
Protección de las aplicaciones informáticas
categoría
n.a.
aplica
=
mp.sw.1
Desarrollo
categoría
aplica
+
++
mp.sw.2
Aceptación y puesta en servicio




mp.info
Protección de la información
categoría
aplica
=
=
mp.info.1
Datos de carácter personal
C
aplica
+
=
mp.info.2
Calificación de la información
C
n.a.
n.a.
aplica
mp.info.3
Cifrado
I A
aplica
+
++
mp.info.4
Firma electrónica
T
n.a.
n.a.
aplica
mp.info.5
Sellos de tiempo
C
aplica
=
=
mp.info.6
Limpieza de documentos
D
aplica
=
=
mp.info.9
Copias de seguridad (backup)




mp.s
Protección de los servicios
categoría
aplica
=
=
mp.s.1
Protección del correo electrónico
categoría
aplica
=
+
mp.s.2
Protección de servicios y aplicaciones web
D
n.a.
aplica
+
mp.s.8
Protección frente a la denegación de servicio
D
n.a.
n.a.
aplica
mp.s.9
Medios alternativos»