El cumplimiento de la normativa de protección de datos personales y el esquema nacional de seguridad, podría haber evitado la paralización de trámites electrónicos en el Ayuntamiento de Guadarrama, en la Comunidad de Madrid, debido a un cibertaque.
El pasado 14 de octubre de 2020 el Ayuntamiento de Guadarrama sufrió un ataque informático que afectó a sus sistemas de información, imposibilitando la atención y tramitación de todos los procedimientos en todos los departamentos de la Administración Local. Este hecho fue denunciado a la Guardia Civil y notificado al Centro Criptográfico Nacional (CNN) para estudiar la procedencia y el alcance de las posibles consecuencias. Casi dos semanas después, la actividad en el Ayuntamiento no ha podido ser restablecida.
Esto supuso la paralización de todos los plazos para todos aquellos trámites, exclusivamente municipales, que dependen del consistorio. Además, implicó la desconexión de todos los ordenadores y servidores municipales.
En este sentido, es importante que las Administraciones Públicas den cumplimiento a la normativa aplicable en materia de protección de datos personales, y en concreto, implanten las medidas de seguridad adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales y los sistemas de información, protegiendo así a la Administración Pública frente a “ciberamenazas”, como por ejemplo el phishing, que ha crecido considerablemente con el aumento del teletrabajo, y del que ya hablamos en otro artículo. Adicionalmente, la disposición adicional primera de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales establece que las medidas de seguridad en el ámbito del sector público serán las que correspondan al Esquema Nacional de Seguridad.
Este se regula en el Real Decreto 3/2010, en el cual se establece que se deben adoptar una serie de medidas mínimas:
Estas medidas tienen como objetivo conseguir un enfoque integral de la seguridad, para evitar incidencias y reducir su impacto. La implantación de estas medidas dependerá del análisis de riesgos realizado, siendo necesaria una reevaluación periódica para detectar nuevos riesgos en función de, por ejemplo, cambios en los sistemas de información, pero también para monitorizar y verificar la adecuación y efectividad de dichas medidas.
Por todo ello, las Administraciones Locales deben estar preparadas para gestionar un incidente de seguridad, que le permitirá responder de forma rápida, ordenada y eficaz al evento, minimizando sus consecuencias sobre la propia organización y terceras partes implicadas.