¿Por qué es esencial el Esquema Nacional de Seguridad para las AAPP? [MHP renueva el ENS hasta 2024]
Después de una auditoría interna y externa que ha durado varios meses, MHP renueva la certificación en el Esquema Nacional de Seguridad (ENS), categoría MEDIA, hasta 2024.
Alcance de la certificación en el ENS del Servicio Integral de Gestión de Horarios de MHP
Más allá de la certificación, destacamos en esta renovación el alcance de lo certificado:
Sistema de información que soporta los procesos de:
✔ Desarrollo y mantenimiento de la plataforma tecnológica “Portal Horario” para el Servicio Integral de Gestión de Horarios, mediante la identificación del usuario a través de terminal dedicado (huella, tarjeta RfiD, tarjeta magnética, patrón biométrico) app móvil, web-pin, etc., así como los interfaces para la interoperabilidad con sistemas de clientes.
✔ Consultoría e implantación del Servicio Integral de Gestión de Horarios.
✔ Recogida, transmisión y tratamiento de datos de gestión horaria.
✔ Soporte a usuarios de la plataforma “Portal Horario”.
Según declaración de aplicabilidad vigente.
Todo lo que necesitamos saber sobre el ENS
➔ El Centro Criptológico Nacional (CCN) aclara las principales dudas en torno a esta certificación en sus FAQ's.
Desde para qué sirve, cuál es su ámbito de actuación, por qué las AAPP deben tenerlo muy en cuenta, etc.
➔ Para saber si una empresa cuenta con el ENS se puede consultar en el apartado Empresas certificadas de la página del CCN.
Si filtras por 'MHP', ahí nos verás.
¿Qué deben tener en cuenta las AAPP, en caso de optar por un registro de jornada laboral mediante fichaje por biometría?
Debe tener en cuenta que, según la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), en su Disposición adicional primera, sobre medidas de seguridad en el ámbito del sector público, establece la obligatoriedad de adoptar las medidas definidas en el Esquema Nacional de Seguridad.
Disposición adicional primera. Medidas de seguridad en el ámbito del sector público.
El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.
En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.
Dado lo anterior, en caso de tratar una serie de datos particularmente sensibles, entre los que se encuentran los datos biométricos dirigidos a identificar de manera unívoca a una persona física, la huella dactilar o el rostro, los responsables que se detallan en el artículo 77.1 de la LOPDGDD -entidades públicas en general-, han de aplicarlas, o bien, vigilar de que sean aplicadas en caso de que un tercero preste el servicio.
Artículo 77. Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento.
1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
b) Los órganos jurisdiccionales.
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
e) Las autoridades administrativas independientes.
f) El Banco de España.
g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
h) Las fundaciones del sector público.
i) Las Universidades Públicas.
j) Los consorcios.
k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.
Para el caso de las administraciones públicas detalladas en el mencionado artículo 77.1: