Hace unas semanas me plantearon profesionalmente una duda muy sencilla relativa al valor jurídico u obligatoriedad de cumplimiento de las Guías del Centro Criptológico Nacional (CCN) en el ámbito de las Administraciones Públicas. Aparentemente es una cuestión sencilla, pero nos introduce sutilmente en ese ámbito regulatorio de la Administración que, con un fundamento técnico, puede imponer obligaciones a todo el Sector Público e incluso a los proveedores de productos o servicios del Sector privado que suministran a dichas organizaciones.

El CCN, regulado entre otras normas por el Real Decreto 421/2004, tiene relativamente pocas funciones, articuladas todas a través del concepto de la «seguridad», permitiéndosele elaborar y difundir normas, instrucciones, guías y recomendaciones (CCN-STIC),  valorar y acreditar la capacidad de los productos de cifra, constituir el organismo de certificación, llegando incluso el ENS a darle un cierto peso interpretativo respecto a sus Anexos, los cuales se van convirtiendo poco a poco en doctrina cuyo cumplimiento no se discute.

Esto nos hace reflexionar sobre dos aspectos relativos, primeramente, al alcance del concepto de la seguridad y, en segundo lugar, a las consecuencias de no seguir los criterios que indique el CCN. En primer lugar, respecto al concepto de la seguridad nos encontramos con uno de los conceptos más vaporosos, extensivos y potencialmente invasivos que podamos imaginar. Basta recordar el alcance de las medidas recogidas en el Anexo I del ENS, distribuidas en 3 grandes grupos (Marco organizativo, operacional y medidas de protección) que desarrolla aspectos tan dispares como Protección de las instalaciones e infraestructuras, Áreas separadas y con control de acceso, Identificación de las personas, Acondicionamiento de los locales,  Protección frente a incendios, Gestión del personal, Deberes y obligaciones, concienciación, … y muchas más. Simplemente hay que imaginar a una Administración realizando una obra nueva, generando una nueva instalación en un local y en la que -evidentemente- cuando entre en servicio tratará información en sistemas automatizados y mixtos. ¿debe considerar el ENS además de los demás requisitos normativos y arquitectónicos? La respuesta es evidente pudiendo encontrarse en una situación compleja al tener que conjugar las diferentes normativas.

La siguiente cuestión radica en determinar si las normas del CCN son de obligado cumplimiento, a lo que debe contestarse que lo son de forma indirecta. Por un lado, para su validez, deben aprobarse mediante resolución de la Secretaría de Estado de Administraciones Públicas previa autorización del correspondiente «Ministerio de Hacienda y Administraciones Públicas, a propuesta del Comité Sectorial de Administración Electrónica». Por otro, conforme a la DA1ª de la  nueva LOPDGDD, el cumplimiento de lo contenido en el ENS se convierte en el modo de cumplir con la seguridad en protección de datos el ámbito del Sector Público, teniendo los órganos de control la capacidad de declarar la infracción en caso de «no adoptar de aquellas medidas técnicas y organizativas que resulten apropiadas«… y las apropiadas son las que marca el ENS e interpreta el CCN.

En resumen, y respondiendo a la pregunta del post ¿son obligatorias las guías e instrucciones del CCN? Bueno, no puedo afirmarlo, pero seguramente si actúas en el ámbito del Sector Público estarás más tranquilo si las cumples.