Según la guía “CCN-STIC-830 Ámbito de aplicación del Esquema Nacional de Seguridad” (https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/guias-de-acceso-publico-ccn-stic/1674-ccn-stic-830-ambito-aplicacion-ens/file.html puedes ver todo su ámbito de aplicación, tanto desde el punto subjetivo, que hace referencia expresa a todas las entidades locales, como desde el punto de vista material, que señala el alcance a los sistemas de información manejados:

En concreto se establece:

1. El ámbito de aplicación subjetivo, en el apartado 2, concretando qué entidades están obligadas.
2. El ámbito material de aplicación, en el apartado 3, concretando sobre qué sistemas se debe aplicar. En el apartado 3.2 cita algunos ejemplos, entre los que se encuentran:
   1. La gestión de la contabilidad, por ser un sistema de información para el cumplimiento de deberes de la entidad.
   2. La gestión de recursos humanos, por ser un sistema de información para el ejercicio de derechos de los empleados.
   3. La tramitación legislativa, por ser un sistema de información para el desarrollo de las funciones competenciales de la entidad.
   4. La gestión tributaria, por ser un sistema de información para el desarrollo de las funciones competenciales de la entidad.

Por otra parte, en este otro enlace puedes acceder a la GUÍA PARA ENTIDADES LOCALES DE MENOS DE 2.000 HABITANTES que señala expresamente que “el alcance del Esquema Nacional de Seguridad está determinado por las Leyes 39 /2015 y 40/2015. Resultará de aplicación a todos los sistemas de información, con independencia de que exista o no tratamiento de datos personales o que su tramitación sea a través de sede electrónica”.

Además también señala que para la aplicación de las medidas recogidas en la Guía “es necesario contemplar el sistema de información en sentido amplio, esto implica considerar el equipamiento, las aplicaciones, los suministros, las comunicaciones, las copias de seguridad, las propias instalaciones físicas y su ubicación, siempre prestando una especial atención al equipo humano que tiene acceso a la información”, y que “tanto los sistemas de información gestionados por terceros, como por el propio ayuntamiento deberán someterse a una evaluación bienal”.

OBLIGACIÓN DEL ESQUEMA NACIONAL DE SEGURIDAD:

La obligatoriedad la establece el propio RD 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad de cuando señala:

                               Artículo 2. Ámbito de aplicación.

1. El presente real decreto es de aplicación a todo el sector público, en los términos en que este se define por el artículo 2 de la Ley 40/2015, de 1 de octubre, y de acuerdo con lo previsto en el artículo 156.2 de la misma.

El sector público, por tanto, se define en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público,  como:

                               Artículo 2. Ámbito Subjetivo.

1. La presente Ley se aplica al sector público que comprende:

1.                                   a) La Administración General del Estado.

1.                                   b) Las Administraciones de las Comunidades Autónomas.

1.                                   c) Las Entidades que integran la Administración Local.

1.                                   d) El sector público institucional.

2. El sector público institucional se integra por:

1.                                   a) Cualesquiera organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas.

1.                                   b) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan                                                                                                                     potestades  administrativas.

1.                                   c) Las Universidades públicas que se regirán por su normativa específica y supletoriamente por las previsiones de la presente Ley.

1. Tienen la consideración de Administraciones Públicas la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público previstos en la letra a) del apartado 2.

Considerada dentro del ámbito de aplicación del ENS en virtud de su consideración como sector público institucional, de acuerdo al apartado a, del artículo 2.1, de la Ley L40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público a toda empresa privada-pública perteneciente a una administración pública.

Para tratar de aclarar este aspecto, el Centro Criptológico Nacional, en  su guía “CCN-STIC-830 Ámbito de aplicación del Esquema Nacional de Seguridad” detalla el ámbito de aplicación, tanto desde el punto subjetivo, que hace referencia expresa a todas las entidades locales, como desde el punto de vista material, que señala el alcance a los sistemas de información manejados:

En concreto se establece:

1. El ámbito de aplicación subjetivo, en el apartado 2, concretando qué entidades están obligadas.
2. El ámbito material de aplicación, en el apartado 3, concretando sobre qué sistemas se debe aplicar. En el apartado 3.2 cita algunos ejemplos, entre los que se encuentran:
   1. La gestión de la contabilidad, por ser un sistema de información para el cumplimiento de deberes de la entidad.
   2. La gestión de recursos humanos, por ser un sistema de información para el ejercicio de derechos de los empleados.
   3. La tramitación legislativa, por ser un sistema de información para el desarrollo de las funciones competenciales de la entidad.
   4. La gestión tributaria, por ser un sistema de información para el desarrollo de las funciones competenciales de la entidad.

Además en esta guía se citan algunos ejemplos, y en concreto en su apartado 2.2.6, ejemplos de ENTIDADES DE DERECHO PRIVADO VINCULADAS O DEPENDIENTES DE LAS COMUNIDADES AUTÓNOMAS.

2.-          Obligatoriedad de la exigencia del cumplimiento con el ENS en los procesos de licitación pública

La aplicación del ENS a sistemas de información de entidades del sector privado y a su cadena de suministro cunado presten servicios o provean soluciones, se establece, también en el propio RD 311/2022 cuando señala, en su artículo 2 apartado 3:

3.                                Este real decreto también se aplica a los sistemas de información de las entidades del sector privado, incluida la obligación de contar con la política de seguridad a que se refiere el artículo 12, cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones                                                          a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.

                                                                La política de seguridad a que se refiere el artículo 12 será aprobada en el caso de estas entidades por el órgano que ostente las máximas competencias ejecutivas.

                                                                Los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se                                                                                        sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.

                                                                Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.

En el tercer párrafo se hace mención expresa a la inclusión del ENS en los pliegos de las licitaciones. Como comentamos la no inclusión del ENS sería causa de anulación del proceso. Adjunto documento con decreto de anulación del Servicio de Contratación del Cabildo de Gran Canaria.

Descargar Anulación –> Licitación

3.-          Cumplimiento normativa de protección de datos de carácter personal

Haciendo una revisión somera de los aspectos visibles de la web, se debe apreciar algunos aspectos en materia de protección de datos: como es el REGISTRO DE ACTIVIDADES DE TRATAMIENTO PÚBLICO, Conforme al artículo 6 bis ‘’Registro de actividades de tratamiento’’ de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno:

‘’Los sujetos enumerados en el artículo 77.1 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, publicarán su inventario de actividades
de tratamiento en aplicación del artículo 31 de la citada Ley Orgánica’’.

El artículo 77.1 d) de la LOPDGDD establece el ‘’Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento’’:

1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.

Se ha de tener publicado el registro de actividades de tratamiento en su página web, en el portal de transparencia, dado que es un organismo público vinculado o
dependiente a la Consejería a la que se pertenezca.

Se debe contar con un DPD, Delegado de Protección de Datos. Conforme al artículo 37 ‘’Designación del delegado de protección de datos’’ del RGPD:
1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; la empresa pública-privada es una es una empresa pública adscrita a la Consejería, por tanto, conforme al artículo 37 citado anteriormente, debería tener nombrado un delegado de protección de datos.