Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración
Orden TIN/3016/2011, de 28 de octubre, por la que se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración (BOE de 10 de noviembre de 2011). Texto completo.
ORDEN TIN/3016/2011, DE 28 DE OCTUBRE, POR LA QUE SE CREA EL COMITÉ DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES DEL MINISTERIO DE TRABAJO E INMIGRACIÓN.
Vivimos en una época que ha visto la generalización de la sociedad de la información a todos los niveles y la Administración Pública no se ha visto excluida de esta realidad, más bien al contrario, ha tratado no solo de utilizar los medios tecnológicos necesarios para formar parte de la sociedad de la información, sino también de impulsar el uso de dichos medios en la sociedad en general y en las relaciones de los ciudadanos con la Administración en particular.
Ya en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se menciona el impulso al uso de medios electrónicos para el desarrollo de su actividad y el ejercicio de sus competencias y también determina el sustrato legal de las comunicaciones administrativas y sus requisitos jurídicos de validez y eficacia, sobre los que soportar los requerimientos tecnológicos y de seguridad necesarios para proyectar sus efectos en las comunicaciones electrónicas.
La Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal y posteriormente la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su reglamento de desarrollo ponen de relieve que el uso de medios electrónicos conlleva unas necesidades de seguridad especifica de estos medios traducidas en una serie de medidas concretas aplicables a cualquier sistema de información que trate datos de carácter personal.
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos consagra el derecho de los ciudadanos a comunicarse electrónicamente con la Administración Pública, dando respuesta también a los compromisos comunitarios y a las iniciativas europeas puestas en marcha a partir de Consejo Europeo de Lisboa. Esta Ley manifiesta la necesidad de una adecuada protección de la información y de los servicios que permita usar los medios electrónicos con confianza y a esta necesidad responde la publicación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
El Esquema Nacional de Seguridad tiene como finalidad crear las condiciones de confianza necesarias en el uso de los medios electrónicos, mediante medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permitan a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Actualmente los sistemas de información de las Administraciones Públicas están fuertemente imbricados entre sí, siendo la seguridad una función transversal a todos ellos, por lo que la seguridad tiene un nuevo reto que va más allá del aseguramiento individual de cada sistema. Por ello, entre las obligaciones que impone el mencionado Esquema Nacional se encuentran la de que todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad que será aprobada por el titular del órgano superior correspondiente, impulsar y verificar la realización de auditorías periódicas de los sistemas de información e informar del estado de la seguridad a los órganos competentes. En el citado Real Decreto 3/2010 de 8 de enero, en el anexo II, apartado 3.1.d), Política de seguridad, se establece la existencia de un comité para la gestión y coordinación de la seguridad.
Esta orden ministerial desarrolla el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración cuyo objetivo es establecer, gestionar, coordinar y aprobar las actuaciones en materia de seguridad de las tecnologías de la información y las comunicaciones, incluyendo dentro del ámbito de actuación del mismo a todos los sistemas de información del Ministerio de Trabajo e Inmigración, de manera que se gestione de forma conjunta la seguridad de dichos sistemas. El motivo es el carácter horizontal de la seguridad y la fuerte interconexión entre todos los sistemas de información que permiten a la Administración Pública prestar su servicio a los ciudadanos.
En el funcionamiento del Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración deberá promoverse la utilización de medios electrónicos, de conformidad con lo establecido en la disposición adicional primera de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.
En su virtud, y con la aprobación previa del Vicepresidente del Gobierno de Política Territorial y Ministro de Política Territorial y Administración Pública, dispongo:
Artículo 1. Creación y adscripción del Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración.
Se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones (en adelante TIC) del Ministerio de Trabajo e Inmigración como órgano colegiado de carácter transversal, adscrito a la Subsecretaría de Trabajo e Inmigración.
Artículo 2. Estructura del Comité de Seguridad TIC del Ministerio de Trabajo e Inmigración.
El Comité de Seguridad TIC del Ministerio de Trabajo e Inmigración se estructura a través de: Comité de Dirección de Seguridad TIC (en adelante CDSTIC) y Comité Permanente de Seguridad TIC (en adelante CPSTIC).
Artículo 3. Funciones del Comité de Dirección de Seguridad TIC.
Al CDSTIC le corresponde, en el ámbito del Ministerio de Trabajo e Inmigración, determinar y coordinar el mandato contenido en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad y, por tanto la política de seguridad que se ha de implementar en el Departamento para la utilización de los medios electrónicos de forma que se garantice una adecuada protección de la información. En concreto le corresponde:
1. La dirección y seguimiento de la aplicación de la legislación vigente, normas, estándares y buenas prácticas aplicables en materia de seguridad de las TIC.
2. La aprobación y seguimiento de las Políticas, los planes estratégicos, planes directores y líneas de actuación del Departamento en materia de seguridad TIC que proponga el Comité Permanente.
3. La aprobación y seguimiento de las normativas en materia de seguridad, que afecten transversalmente a toda la organización. Así como, impulsar nuevas líneas en materia de seguridad de las Tecnologías de la Información y las Comunicaciones
4. La aprobación y seguimiento de las políticas de auditoría de las Unidades del Departamento, a propuesta del Comité Permanente.
5. La aprobación de las declaraciones de aplicabilidad y conformidad con el Esquema Nacional de Seguridad de cada una de las Unidades del Ministerio de Trabajo e Inmigración, a propuesta del Comité Permanente.
6. Designar la representación e informar sobre el estado de la seguridad TIC del Ministerio de Trabajo e Inmigración, en el Comité de Seguridad de la Información de las Administraciones Públicas definido en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
7. El control de las actuaciones del CPSTIC y atribuir o delegar en el mismo las competencias que estime oportuno.
8. El impulso de nuevas líneas de trabajo en materia de seguridad de las TIC.
Artículo 4. Composición del Comité de Dirección de Seguridad TIC.
1. Presidencia: Subsecretario de Trabajo e Inmigración.
2. Vocales, serán representantes que ocupen puestos de nivel 30 o superior:
a) Dos representantes designados por el titular de la Subsecretaría de Trabajo e Inmigración.
b) Dos representantes designados por el titular de la Secretaría de Estado de la Seguridad Social.
c) Dos representantes designados por el titular de la Secretaría de Estado de Empleo.
d) Dos representantes designados por el titular de la Secretaría de Estado de Inmigración y Emigración.
e) Un representante designado por el titular de la Dirección General de la Inspección de Trabajo y Seguridad Social.
f) El titular de la Subdirección General de Tecnologías de la Información y Comunicaciones, que además actuará como Secretario del CDSTIC.
Artículo 5. Funcionamiento del Comité de Dirección de Seguridad TIC.
El CDSTIC se reunirá con carácter ordinario una vez al año y con carácter extraordinario cuando el Presidente lo decida o sí:
1. Surgieran incidencias de seguridad graves que afecten al Ministerio de Trabajo e Inmigración.
2. Fuera necesario establecer nuevas directrices de seguridad que afecten a todo el Departamento.
3. Existiera una solicitud motivada del CPSTIC.
La secretaría del CDSTIC levantará acta de las reuniones, siendo enviadas a la Presidencia de dicho comité para su aprobación, en su caso, en el pleno siguiente. Esta Secretaría realizará todos los trabajos previos necesarios para las reuniones del CDSTIC, apoyándose cuando lo requiera en las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e inmigración.
Caso de ser necesario, y por invitación del Presidente del Comité de Dirección, podrán asistir en calidad de asesores, con voz pero sin voto, las personas que se estime conveniente.
Artículo 6. Funciones del Comité Permanente de Seguridad TIC.
Al CPSTIC le corresponde en materia de Seguridad de las TIC, en el ámbito del Ministerio de Trabajo e Inmigración, la ejecución de cuantas tareas le sean encomendadas por el CDSTIC, y en particular:
1. Proponer para su aprobación y seguimiento en el CDSTIC:
a) Los planes estratégicos, planes directores y líneas de actuación en materia de seguridad TIC de las Unidades del Departamento.
b) Las políticas, normas y procedimientos de seguridad de cada una de las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e Inmigración.
c) Las políticas de auditoría de las Unidades del Ministerio de Trabajo e Inmigración.
d) Las declaraciones de aplicabilidad y conformidad con el Esquema Nacional de Seguridad de cada una de las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e Inmigración.
e) Los indicadores y resultados significativos que en materia de seguridad se determinen, para lo que se podrá recabar la información necesaria de cada una de las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e inmigración.
2. Asesorar al CDSTIC en todo lo que solicite y reportar al CDSTIC todas las cuestiones de las que, por su relevancia, deba tener conocimiento.
3. Promover, dirigir y coordinar los proyectos de seguridad que afecten a todo el Departamento.
4. Realizar la aprobación y seguimiento de los sistemas de gestión de la seguridad de cada una de las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e Inmigración.
5. Crear y determinar la composición, objetivos y funcionamiento de los grupos de trabajo así como el ámbito de actuación y el periodo de vigencia de los mismos, dando cuenta de ello al CDSTIC. Se habilita al CPSTIC para la creación de cuantos grupos de trabajo considere necesarios.
6. Promover la formación y concienciación en materia de seguridad de las TIC en cada una de las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e Inmigración.
7. Informar al CDSTIC sobre el estado de la seguridad de las TIC de cada una de las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e Inmigración.
Artículo 7. Composición del Comité Permanente de Seguridad TIC.
1. Presidencia: El titular de la Subdirección General de Tecnologías de la Información y Comunicaciones
2. Vocales: Será un representante designado por los titulares de cada uno de los siguientes órganos:
a) Subsecretaría de Trabajo e Inmigración
b) Secretaría de Estado de la Seguridad Social
c) Secretaría de Estado de Empleo
d) Secretaría de Estado de Inmigración y Emigración
e) Secretaría General Técnica
f) Gerencia de Informática de la Seguridad Social
g) Subdirección General de Tecnologías de la Información y Comunicaciones del Servicio Público de Empleo Estatal
h) Dirección General de la Inspección de Trabajo y Seguridad Social
i) Fondo de Garantía Salarial
j) Instituto Nacional de Seguridad e Higiene en el Trabajo
k) Subdirección General de Tecnologías de la Información y Comunicaciones
3. Secretaría: Con voz y sin voto, será designada por el titular de la Subdirección General de Tecnologías de la Información y Comunicaciones, entre los funcionarios de dicha Subdirección.
Artículo 8. Funcionamiento del Comité Permanente de Seguridad de las TIC.
El CPSTIC se reunirá con carácter ordinario como mínimo dos veces al año o con carácter extraordinario cuando el Presidente lo considere necesario.
La secretaría del CPSTIC levantará acta de las reuniones, siendo enviadas a la Presidencia de dicho Comité para su aprobación, en su caso, en el pleno siguiente. La Presidencia del CPSTIC elevará las actas al CDSTIC.
La Presidencia del CPSTIC, con el apoyo de la Secretaría de este Comité, realizará todos los trabajos previos necesarios para las reuniones del CPSTIC, apoyándose cuando lo requiera en las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e inmigración, de las que podrá recabar cualquier información que precise y con el nivel de detalle que considere necesario.
Caso de ser necesario, y por invitación del Presidente del CPSTIC, podrán asistir en calidad de asesores, con voz pero sin voto, las personas que se estime conveniente.
Artículo 9. Funciones, composición y funcionamiento de los grupos de trabajo.
Las funciones, composición y funcionamiento de cada grupo de trabajo estarán determinadas por el CPSTIC en su acuerdo de creación.
Sus funciones se limitaran al mandato recibido del Comité Permanente.
Disposición adicional primera. Funcionamiento por medios electrónicos.
El Comité de Dirección de Seguridad TIC y el Comité Permanente de Seguridad TIC podrán celebrar sus reuniones por medios electrónicos, de conformidad con lo establecido en la disposición adicional primera de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
Corresponderá al Presidente de cada uno de los citados órganos colegiados acordar la utilización de dicho procedimiento.
El sistema utilizado deberá asegurar una comunicación confidencial multidireccional en tiempo real y garantizar la identificación inequívoca del respectivo miembro y la autenticidad de su voto en el mismo acto. En particular garantizará el cumplimiento de las siguientes especialidades:
a) La realización efectiva de la convocatoria, el acceso a la información y la comunicación del orden del día, en donde se especificarán los tiempos en los que se organizarán los debates, la formulación y conocimiento de las propuestas y la adopción de acuerdos.
b) El régimen de constitución y adopción de acuerdos garantizará la participación de los miembros del Comité respectivo, de acuerdo con sus normas de funcionamiento.
c) Los registros de las sesiones estarán a disposición de los asistentes, dejarán constancia de las comunicaciones producidas, así como del contenido de los acuerdos adoptados.
Disposición adicional segunda. No incremento del gasto público.
La aplicación de esta Orden no conllevará incremento de gasto público, atendiéndose el funcionamiento de los Comités y grupos de trabajo con los recursos humanos y materiales de que dispone el Ministerio de Trabajo e Inmigración.
Disposición final única. Entrada en vigor.
La presente Orden entrará en vigor el día siguiente al de su publicación en el “Boletín Oficial del Estado”.
Facebook de nuevo en entredicho en Alemania.
Advertencia de las autoridades alemanas de Protección de Datos a facebook por su sistema de reconocimiento facial.
Los usuarios son automáticamente identificados con una aplicación para la que no han dado su consentimiento. Y esto puede ir contra la legalidad alemana y europea, asegura Johannes Caspar, representante de la Agencia en el estado de Hamburgo. Así lo explicaba: “Imagine que está usted sentado en un bar o en una cafetería, y simplemente quiere saber qué hace esa persona en su vida privada. Entonces, bastaría con buscar a la persona en esa base de datos con una foto. Y quedaría claro quién es la persona de la foto”.
La red social más popular del mundo lleva ya tiempo bajo sospecha en Alemania. El último en pronunciarse ha sido el Presidente del Tribunal Constitucional Andreas Vosskuhle, que ha declarado que usar Facebook es “una actividad de riesgo” porque los usuarios pierden el control de sus datos una vez publicados.
El Ayuntamiento asume la relevancia de los ficheros «de carácter personal» que obran en su poder como consecuencia de su condición de Administración pública y decide, en justa correspondencia, aplicar formalmente niveles de protección que garanticen su anonimato e impidan el acceso a sus archivos.
Ése es, en resumen, el objetivo del acuerdo adoptado por su máximo órgano ejecutivo tras aceptar que «los avances tecnológicos, singularmente los informáticos, suponen posibilidades de intromisión en el ámbito de la privacidad e intimidad, así como de limitación y vulneración del derecho a la autodisposición de las informaciones que son relevantes para cada persona».
Y, al mismo tiempo, el motivo por el que se decide constituir varios ficheros automatizados, ampliando aquéllos que ya estaban reconocidos por el propio Concejo y sujetos a la Ley de Protección de Datos. A la lista se suman, en concreto, los datos procedentes del control de acceso del personal a las instalaciones municipales (piscinas e instalaciones deportivas), así como a relación de personas identificadas por la Policía Local y el resto de los cuerpos de Seguridad, la nómina de personas atendidas por los servicios sociales del Consistorio, los beneficiarios de las becas y ayudas al estudio o los usuarios de la Biblioteca y Ludoteca municipales.
Leer más: El Consistorio opta por someter sus datos a varios niveles de protección
Omplus estrena un nuevo módulo online para la protección de datos.
08/11/2011 En la línea de productos de omplus Norma, la compañía amplia su catálogo con un nuevo módulo sobre la Ley Orgánica de Protección de Datos, complementando los itinerarios de Prevención de Riesgos Laborales de los que disponen actualmente.
El contenido de dicho módulo ha sido desarrollado junto a “E-Zone”, consultoría tecnológica especializada en el diseño y desarrollo de estrategias de seguridad corporativa, un nuevo partner que colabora en el desarrollo de la oferta de Omplus y les permite mantener siempre actualizados los contenidos de los cursos sobre LOPD.
Se trata de un módulo interactivo con un diseño gráfico que lo hace muy intuitivo. El módulo se compone por un bloque común, que transmite los conceptos relevantes y el tratamiento adecuado sobre la LOPD, y un segundo bloque con cuatro casos prácticos. Estos casos se han desarrollado simulando entornos reales que facilitan el aprendizaje al visualizar los errores más habituales en cuanto al tratamiento de la LOPD en el día a día de las organizaciones. Dispone además de casos específicos del sector sanitario ya que es un colectivo especial en cuanto al tratamiento de la LOPD.
Jornada sobre la ley de protección de datos para empresarios.
El Ayuntamiento de San Andrés del Rabanedo, a través de la Concejalía de Industria y Comercio, ha organizado para hoy una jornada informativa dirigida a autónomos, comerciantes y empresarios con carácter general sobre la Ley Orgánica de Protección de Datos. La misma lleva por título «El cumplimiento de la Ley Orgánica de Protección de Datos en la Pyme: Implicaciones de la LOPD para autónomos y empresarios».
La jornada pretende, desde un punto de vista práctico, clarificar en que afecta la ley de protección de datos a las empresas, introduciendo a las mismas en los deberes y obligaciones básicas que impone dicha norma así como el uso que se debe dar a datos personales de clientes, proveedores o empleados. Tendrá lugar en el aula de la Uned a partir de las 20.45 horas.