El Consejo Jurídico de la Región de Murcia, en sesión celebrada el día 8 de abril de 2025, con la asistencia de los señores que al margen se expresa, ha examinado el expediente remitido en petición de consulta por la Ilma. Sra. Secretaria General de la Consejería de Economía, Hacienda, Fondos Europeos y Transformación Digital (por delegación del Excmo. Sr. Consejero), mediante oficio registrado el día 16 de diciembre de 2024 (COMINTER 235665), sobre Proyecto de Decreto por el que se establece la Política de Seguridad de la Información de la Administración Regional (exp. 2024_438), aprobando el siguiente Dictamen.

ANTECEDENTES

PRIMERO.- Durante el período comprendido entre el 23 de octubre y el 10 de noviembre de 2023 se sometió a consulta pública previa la futura norma, por la que se pretende regular la política de seguridad de la información de la Administración regional, sin que haya llegado a formularse aportación ciudadana alguna, según consta en el expediente mediante la comunicación interior remitida por la Dirección General de Interior, Calidad y Simplificación Administrativa a la Dirección General de Transformación Digital.

SEGUNDO.- En fecha indeterminada, la Dirección General de Transformación Digital, dependiente de la entonces Consejería de Economía, Hacienda y Empresa, elaboró un Proyecto de Orden por la que se establece la política de seguridad de la información en la Administración Regional.

Dicho texto se acompañó de la elaboración de una Memoria de Análisis de Impacto Normativo (MAIN) en su modalidad abreviada, de 13 de diciembre de 2023. Justifica la necesidad y oportunidad de la nueva norma en los cambios tecnológicos, normativos -en particular, en materia de protección de datos, Esquema Nacional de Seguridad y seguridad de redes y sistemas de información- y organizativos, que se han producido desde la aprobación de la todavía vigente Orden de 28 de marzo de 2017, del Consejero (sic) de Hacienda y Administración Pública, por la que se establece la política de seguridad de la información en la Administración regional, y que la futura disposición derogará.

Destaca la MAIN que en su elaboración se han tomado en consideración las diferentes guías editadas por el Centro Criptológico Nacional-Centro Nacional de Inteligencia (CCN-CNI), relacionadas con la Política de Seguridad de la Información en aplicación del Esquema Nacional de Seguridad, y adaptándolas a las peculiaridades y competencias de la organización regional.

Se sintetiza el contenido y finalidad de la futura norma como sigue: “La normativa propuesta define la organización de la gestión de la seguridad de la información en cumplimiento de la normativa en vigor, establece los principios generales de protección, los mecanismos para la adecuación de dicha política a un entorno cambiante, los cauces para la resolución de conflictos que sobre la materia regulada puedan producirse, contempla medidas proactivas de concienciación y formación, las obligaciones al personal y las consecuencias de su incumplimiento y contempla la forma y alcance que esta norma a terceras partes (sic)”.

Como novedades respecto a la vigente Orden de 28 de marzo de 2017, cambia el rol de responsable de seguridad, se incorpora el de responsable de seguridad de la información y se adecua la regulación a los cambios operados por el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante ENS), que deroga el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Entre dichos cambios, destaca la MAIN los que afectan a la valoración y categorización de los sistemas de información y a los roles definidos en la Orden de 28 de marzo de 2017.

La MAIN efectúa, asimismo, el análisis de los impactos por razón de género, por razón de orientación sexual, identidad o expresión de género, en la infancia y la adolescencia, y en la familia, concluyendo que la futura norma tendrá un impacto neutro o nulo en dichos ámbitos.

En cuanto al impacto presupuestario, se afirma que no tendrá un impacto adicional al previsto, no viéndose afectada la cofinanciación comunitaria, ni existe incidencia en el déficit público. Y ello porque el coste financiero de aplicación de la disposición estaría incluido en los contratos de servicios que, con carácter periódico y continuo, impulsa la Dirección General de Transformación Digital, como las contrataciones en materia de Comunicaciones y Ciberseguridad. Por lo demás, no afecta a ingresos públicos, no conlleva recaudación y no hace necesaria la adquisición de nuevos materiales o servicios.

TERCERO.- El 18 de diciembre de 2023, la Dirección General de Transformación Digital remite a la Secretaría General de la Consejería de adscripción el borrador del proyecto normativo, la MAIN y la comunicación interior con los resultados de la consulta pública, para que continúe la tramitación del Proyecto, mediante la publicación del trámite de información pública y audiencia, lo que se lleva efecto en el Boletín Oficial de la Región de Murcia (BORM) núm. 25, de 31 de enero de 2024. El anuncio publicado contiene un enlace al Portal de la Transparencia donde podía accederse al Proyecto normativo y a la MAIN.

CUARTO.- Con fecha 26 de marzo se incorpora al expediente una nueva versión de la MAIN, según la cual no se formularon alegaciones ni observaciones durante el trámite participativo reseñado en el Antecedente tercero de este Dictamen.

QUINTO.- Consta en el expediente que se dio traslado del Proyecto al resto de Consejerías para formulación de alegaciones. Sólo efectuó observaciones la Inspección General de Servicios, mediante informe de 24 de abril de 2024.

Según explica la MAIN intermedia de 24 de julio de 2024, dichas observaciones y sugerencias “se refieren fundamentalmente a aspectos relacionados con la protección de datos, materia en la que dicho órgano fue designado por el Consejo de Gobierno como Delegado de Protección de Datos. Las alegaciones recibidas se han asumido en su totalidad…”.

Como consecuencia de la incorporación de las observaciones de la Inspección, se elabora un nuevo borrador del Proyecto.

SEXTO.- El 24 de julio de 2024, el Director General de Transformación Digital eleva al Consejero de adscripción una propuesta para la aprobación del Proyecto como Orden.

SÉPTIMO.- Con fecha 3 de septiembre de 2024, el Servicio Jurídico de la Consejería impulsora del Proyecto informa que el rango de la futura norma ha de ser el Decreto de Consejo de Gobierno, ante la ausencia de potestad reglamentaria suficiente para establecer la regulación proyectada por parte del Consejero, por lo que concluye señalando la procedencia de devolver el expediente a la Dirección General proponente, para que reconsidere la forma del Proyecto.

OCTAVO.- Asumida la observación efectuada por el Servicio Jurídico acerca del rango de la futura disposición, se elabora un Proyecto de Decreto y una nueva propuesta, de 7 de octubre de 2024, que el Director General de Transformación Digital dirige al Consejero de adscripción, para que éste lo eleve al Consejo de Gobierno, en orden a su aprobación como Decreto.

NOVENO.- Recabado el preceptivo informe de la Dirección de los Servicios Jurídicos, se evacua el 28 de noviembre de 2024, con el número 83/2024, en sentido favorable al Proyecto, si bien se formulan diversas observaciones y sugerencias de mejora. De ellas, las hay de técnica normativa y otras dirigidas a clarificar la regulación, ganar en el rigor de la redacción, y completar las previsiones reglamentarias. No se efectúan reparos de legalidad, que adviertan acerca de una contravención del ordenamiento jurídico en el texto proyectado.

DÉCIMO.- Las observaciones efectuadas por la Dirección de los Servicios Jurídicos son objeto de valoración en una nueva versión de la MAIN, fechada el 13 de diciembre de 2024, en la que se indica cuáles de aquéllas han sido asumidas e incorporadas al Proyecto y cuáles no, con una sucinta justificación del rechazo.

Una vez incorporadas las modificaciones operadas sobre el texto por la aceptación de las observaciones de la Dirección de los Servicios Jurídicos, se elabora una nueva y última versión del Proyecto que, como copia autorizada del mismo, consta como documento número 14 del expediente administrativo.

Dicho texto, bajo el título “Decreto Nº XX/202X, de XXXXX de XXXX, por el que se establece la política de seguridad de la información en la Administración Regional”, está compuesto por una parte expositiva innominada y 18 artículos divididos en tres capítulos (“I. Disposiciones Generales” (artículos 1 a 5); “II. Organización de la política de seguridad de la información” (artículos 6 a 12); y “III. Desarrollo, revisión y control del cumplimiento de la política de seguridad de la información” (artículos 13 a 18). El Proyecto se completa con una parte final compuesta por una disposición transitoria, una derogatoria y dos finales.

En tal estado de tramitación, y una vez incorporado el preceptivo extracto de secretaría y un índice de documentos, se remite el expediente al Consejo Jurídico en solicitud de dictamen, mediante comunicación interior del pasado 16 de diciembre de 2024.

A la vista de los referidos antecedentes procede realizar las siguientes

CONSIDERACIONES

PRIMERA.- Carácter del Dictamen.

El artículo 12.5 de la Ley 2/1997, de 19 de mayo, del Consejo Jurídico de la Región de Murcia (LCJ), determina que el Consejo deberá ser consultado en relación con “los proyectos de reglamentos o disposiciones de carácter general que se dicten en desarrollo o ejecución de leyes de la Asamblea Regional o que constituyan desarrollo legislativo de legislación básica del Estado”.

La consulta se ha efectuado como preceptiva, al considerar que el Proyecto constituye el desarrollo normativo de la legislación básica del Estado, en la medida en que concreta y complementa lo establecido en el ENS. El carácter básico de esta norma se establece en su Disposición final primera, al señalar que el Real Decreto se dicta en virtud de lo establecido, entre otros títulos competenciales (telecomunicaciones y seguridad pública), en el artículo 149.1,18ª de la Constitución Española (CE), que atribuye al Estado la determinación de las bases del régimen jurídico de las Administraciones Públicas.

SEGUNDA.- Marco competencial y habilitación reglamentaria.

I. De conformidad con el artículo 149.1,18ª CE, se aprueba la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), que junto a la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPAC), constituyen un avance decisivo en la utilización de medios electrónicos por parte de las Administraciones Públicas, tanto en lo relativo a su funcionamiento como a sus relaciones con otras Administraciones Públicas y con los ciudadanos. Ambas normas contienen disposiciones en las que se establecen exigencias de seguridad en la utilización de las tecnologías de la información y, así, el artículo 46 LRJSP, en términos parcialmente coincidentes con los del artículo 17.3 LPAC, exige que los medios o soportes que almacenen documentos cuenten con medidas de seguridad acordes con el Esquema Nacional de Seguridad (ENS), regulado por Real Decreto 311/2022, de 3 de mayo. Éste, a su vez, tiene por objeto, según s e indica en el artículo 156 LRJSP, “establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”.

El Esquema Nacional de Seguridad en el ámbito de la Administración electrónica fue establecido por el Real Decreto 3/2010, de 8 de enero, norma que ha venido rigiendo la política de seguridad de la información de las Administraciones Públicas hasta su derogación por el Real Decreto 311/2022, de 3 de mayo, hoy vigente. Su artículo 12.1 define la política de seguridad de la información como el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta.

El indicado precepto básico establece, asimismo, el contenido mínimo que ha de cumplir el instrumento que apruebe dicha política de seguridad:

- Los objetivos o misión de la organización.

- El marco regulatorio en el que se desarrollarán las actividades.

- Los roles o funciones de seguridad, definiendo para cada uno, sus deberes y responsabilidades, así como el procedimiento para su designación y renovación.

- La estructura y composición del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad y la relación con otros elementos de la organización.

- Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.

- Los riesgos que se derivan del tratamiento de los datos personales.

El artículo 12.2 ENS dispone que cada Administración Pública contará con una política de seguridad formalmente aprobada por el órgano competente, que habrá de ser acorde con los principios básicos del ENS establecidos en los artículos 5 a 11 del indicado real decreto y que se desarrollará aplicando los requisitos mínimos establecidos por el artículo 12.6 ENS.

Además, incide en la materia la normativa sobre protección de datos constituida por el Reglamento 2016/679, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos o RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDP). De hecho, la Disposición adicional primera de la referida Ley Orgánica ordena que las medidas de seguridad del ENS se implanten en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 RGPD. Esa misma disposición adicional también prescribe la implantación de las medidas de seguridad del ENS a las entidades del sector público y a las del sector p rivado que colaboren con éstas en la prestación de servicios públicos que involucren el tratamiento de datos personales.

En el ámbito europeo, la creciente preocupación por la ciberseguridad ha ido alumbrando numerosas normas, entre las que destaca el Reglamento (UE, Euratom) 2023/2841, del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, por el que se establecen medidas destinadas a garantizar un elevado nivel común de ciberseguridad en las instituciones, los órganos y los organismos de la Unión y, antes, la ya derogada Directiva (UE) 2016/1148, del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, y la Directiva (UE) 2022/2555, del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).

La indicada Directiva (UE) 2016/1148 fue traspuesta al ordenamiento jurídico interno mediante el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, y, en desarrollo de éste, se dictó el Real Decreto 43/2021, de 26 de enero.

La sentencia del Tribunal Constitucional 142/2018 analizó el concepto de ciberseguridad y concluyó que se trata de una materia que se incardina en las competencias exclusivas del Estado en materia de seguridad pública y telecomunicaciones. Así, en el fundamento jurídico cuarto, la sentencia afirma lo siguiente:

“La ciberseguridad, como sinónimo de la seguridad en la red, es una actividad que se integra en la seguridad pública, así como en las telecomunicaciones. A partir de su conceptuación como conjunto de mecanismos dirigidos a la protección de las infraestructuras informáticas y de la información digital que albergan, fácilmente se infiere que, en tanto que dedicada a la seguridad de las tecnologías de la información, presenta un componente tuitivo que se proyecta específicamente sobre el concreto ámbito de la protección de las redes y sistemas de información que utilizan los ciudadanos, empresas y administraciones públicas. El uso cotidiano de las tecnologías de la información y la comunicación ha provocado que se conviertan en un elemento esencial para el desarrollo económico y las relaciones sociales. No obstante, es también un hecho constatado que las amenazas a la seguridad de la red comportan un riesgo que afecta a los ámbitos más diversos, por cuanto pueden afectar a la disponibilidad, integridad y confidencialidad de la información (...).

Atendiendo a lo que se ha expuesto, puede concluirse que la ciberseguridad se incluye en materias de competencia estatal en cuanto, al referirse a las necesarias acciones de prevención, detección y respuesta frente a las ciberamenazas, afecta a cuestiones relacionadas con la seguridad pública y la defensa, las infraestructuras, redes y sistemas y el régimen general de telecomunicaciones”.

Sobre esta base, la sentencia estimó parcialmente el recurso y declaró inconstitucionales y nulos determinados preceptos de la ley catalana objeto del recurso de inconstitucionalidad, que invadían las competencias del Estado en materia de seguridad pública y telecomunicaciones. En cambio, afirmó la constitucionalidad de aquellos aspectos en los que la norma autonómica se limitaba a articular la protección de “las redes y sistemas de información de la Administración de la Generalitat y de su sector público y los de los particulares y otras administraciones públicas que se relacionan por medios electrónicos con dicha administración” (FJ 7).

Como sintetiza el Consejo de Estado en el Dictamen 93/2022, antes citado, “el Tribunal reconoce que la ciberseguridad no es un concepto o materia reconducible a un único título competencial, sino que "puede proyectarse sobre otros planos, como es el caso de la administración electrónica, que abarca la organización de medios y previsión de medidas de protección de la administración y, por extensión, la protección de los derechos de los ciudadanos cuando se relacionan con la administración por medios electrónicos" (FJ 5).

En su Dictamen 891/2017, el Consejo de Estado perfilaba la distribución competencial entre Estado y Comunidades Autónomas en materia de ciberseguridad en los siguientes términos:

“…la conexión entre ciberseguridad y seguridad pública es (...) evidente, pudiendo por tanto entenderse aquélla incardinada en la mencionada competencia exclusiva del Estado (...). Esta conclusión, sin embargo, no impide, (...) que las comunidades autónomas puedan, al amparo de las competencias que sus respectivos Estatutos de Autonomía les reconocen, adoptar determinadas medidas que coadyuven a garantizar la protección de sus infraestructuras y la seguridad de las tecnologías de la información y la comunicación (TIC)”.

Con respecto al alcance de las medidas que pueden adoptar las Comunidades Autónomas, el dictamen afirmaba:

“Tales medidas han de limitarse, según se ha argumentado, a cuestiones instrumentales, de carácter técnico u organizativo, o a actividades de apoyo y fomento de la protección de las redes y sistemas de información, pero no pueden, en modo alguno, menoscabar la competencia exclusiva del Estado en materia de seguridad pública (que, sin ninguna duda, comprende, por ejemplo, las competencias normativas necesarias para regular la investigación y el análisis de los ciberataques, por tratarse de una función directamente conectada con la protección de la seguridad de las tecnologías de la información (...) ni dar lugar a una cláusula general de atribución de competencias a la Agencia [de Ciberseguridad de Cataluña, sobre cuya regulación versaba el Dictamen] en materia de ciberseguridad (...). Tampoco pueden dichas medidas proyectarse sobre otros ámbitos cuya regulación solo el Estado puede asumir al amparo de los correspondientes títulos competenciales (ta l es el caso, por ejemplo, de la intervención de las comunicaciones, regulada en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, o de la intervención de los sistemas informáticos o telemáticos, que ha de ajustarse a lo dispuesto en la Ley de Enjuiciamiento Criminal de 1882...)”.

II. En el ámbito autonómico, en el expediente se ha pretendido justificar la competencia de la Comunidad Autónoma para dictar la futura norma en el artículo 10.Uno.1 del Estatuto de Autonomía para la Región de Murcia (EAMU), que le otorga la competencia exclusiva para la organización, régimen jurídico y funcionamiento de sus instituciones de autogobierno, complementada con la prevista en el apartado 29 del mismo artículo 10.Uno, sobre el procedimiento administrativo derivado de sus peculiaridades organizativas.

Entiende el Consejo Jurídico, por el contrario, que el título competencial que se ejerce con ocasión del Proyecto sometido a consulta no puede residenciarse en el artículo 10.Uno,1 EAMU, dados los estrictos límites que se le han fijado en cuanto a su alcance. En efecto, como ya afirmamos en nuestro Dictamen 95/2004, tanto la jurisprudencia constitucional (STC núm. 50/1999) como la doctrina de los órganos consultivos, vienen indicando que la competencia relativa a la libre organización de la propia Administración autonómica ha sido reconocida en diversas ocasiones como algo inherente a la autonomía (STC 227/1988), cuyo contenido es la potestad para crear, modificar y suprimir los órganos, unidades administrativas o entidades que configuran las respectivas Administraciones autonómicas o dependen de ellas (SSTC 35/1982, 165/1986, 13/1988 y 227/1988). Especifica el Tribunal Constitucional que conformar libremente la estructura orgánica, así como establecer su aparato adm inistrativo (STC 165/1986, FJ 6), establecer cuáles son "los órganos e instituciones" que configuran las respectivas Administraciones (STC 35/1982, FJ 2), son decisiones que corresponden únicamente a las Comunidades Autónomas y, en consecuencia, el Estado debe abstenerse de cualquier intervención en este ámbito (STC 227/1988 y a sensu contrario STC 13/1988).

El Tribunal Constitucional también ha reiterado (STC 32/1981) que, fuera de este ámbito de actividad autonómica exclusiva, el Estado puede establecer desde la competencia sobre las bases del régimen jurídico de las Administraciones públicas del art. 149.1.18ª CE, principios y reglas básicas sobre aspectos organizativos y de funcionamiento de todas las Administraciones públicas. Esto significa que la potestad organizativa autonómica para determinar el régimen jurídico de la organización y funcionamiento de la propia Administración no tiene carácter exclusivo, sino que debe respetar y, en su caso, desarrollar las bases establecidas por el Estado (STC 227/1988). En definitiva, salvo en lo relativo a la creación de la propia Administración, la potestad de autoorganización, incluso en lo que afecta a los aspectos de organización interna y de funcionamiento, no puede incluirse en la competencia exclusiva de autoorganización recogida para la Comunidad Autónoma de la R egión de Murcia en el artículo 10.Uno,1 EAMU, que sólo autoriza para la regulación de órganos institucionales básicos, pero no para la estructuración de la Administración propia, ya que no puede atribuirse a la expresión instituciones de autogobierno “un alcance mayor que el que deriva de la Constitución (art.152.1) y de los propios Estatutos -Asamblea Legislativa, Consejo de Gobierno y Presidente-” (STC 76/1983, de 5 de agosto). Ello fuerza a concluir que la competencia que aquí se ejerce deriva del artículo 51 EAMU y, como ha quedado expresado, se ha de ejercer dentro de los límites que el propio precepto estatutario establece en concordancia con el artículo 149.1, 18ª CE.

Ahora bien, la competencia estatal sobre el régimen jurídico de las Administraciones públicas, al proyectarse sobre una decisión interna de las Comunidades Autónomas, como es la de definir el modelo organizativo de la propia administración, no puede tener una energía ilimitada. Debe distinguirse entre las decisiones que son estrictamente de configuración organizativa, de las reglas que disciplinan la actividad de los órganos administrativos y el régimen estatutario de sus funcionarios. Estas últimas son las que han de quedar comprendidas dentro del concepto de régimen jurídico a que se refiere el artículo 149.1.18ª CE, mientras que las primeras quedan directamente habilitadas por el artículo 51 EAMU.

Por la Comunidad Autónoma se dictó el Decreto n.º 302/2011, de 25 de noviembre, de Régimen Jurídico de la Gestión Electrónica de la Administración Pública de la Comunidad Autónoma de la Región de Murcia, que en numerosos preceptos establece exigencias de seguridad en el uso de los medios electrónicos en el ámbito de la Administración regional, que afectan a muy diversos aspectos: protección de datos (art. 8); sede electrónica (art. 25); gestión y conservación de documentos (art. 48 y 52); o registros electrónicos (art. 57). En la fijación de tales exigencias, a menudo se efectúan remisiones al ENS como estándar o norma de referencia aplicable.

Por Orden de 28 de marzo de 2017, del Consejero (sic) de Hacienda y Administración Pública, se establece la política de seguridad de la información en la Administración Regional. Esta disposición, vigente en la actualidad, será derogada por el Decreto proyectado, que justifica su oportunidad y necesidad en los cambios tecnológicos, normativos y organizativos habidos desde la aprobación de aquélla, y en la necesidad de adaptación al nuevo contexto.

Entre los cambios organizativos que se citan en el expediente como justificación de la nueva norma, está la creación, por Decreto-Ley 5/2022, de 20 de octubre, de dinamización de inversiones empresariales, libertad de mercado y eficiencia pública, del organismo autónomo “Agencia de Transformación Digital de la Región de Murcia”, que está llamado a pilotar, una vez comience a funcionar de manera efectiva, la política de seguridad de la información en el ámbito de la Administración regional.

III. Como ya se anticipó en la Consideración primera, el Proyecto sometido a consulta desarrolla el ENS, norma básica conforme a lo establecido en su Disposición final primera, y cuya Disposición final segunda, si bien habilita al entonces Ministro de Asuntos Económicos y Transformación Digital para dictar las disposiciones necesarias para la aplicación y desarrollo del real decreto, lo hace sin perjuicio de las competencias de las Comunidades Autónomas de desarrollo y ejecución de la legislación básica del Estado.

Además de este reconocimiento genérico a la competencia autonómica de desarrollo normativo, el ENS contiene una habilitación específica a la actuación reglamentaria de las Comunidades Autónomas, cuando el artículo 12.2 dispone que “cada administración pública contará con una política de seguridad formalmente aprobada por el órgano competente”, y que “cada órgano o entidad con personalidad jurídica propia comprendido en el ámbito subjetivo del artículo 2 deberá contar con una política de seguridad formalmente aprobada por el órgano competente”, si bien la totalidad o una parte de los sujetos de un sector público institucional podrán quedar incluidos en el ámbito subjetivo de la política de seguridad aprobada por la Administración con la que guarden relación de vinculación, dependencia o adscripción, cuando así lo determinen los órganos competentes en el ejercicio de las potestades de organización.

El Decreto proyectado tiene por objeto hacer efectiva la habilitación específica prevista en la norma básica y procede a aprobar la política de seguridad de la información en el conjunto de la Administración regional, sin perjuicio de salvaguardar las que tengan establecidas los organismos públicos dependientes o vinculados con ella.

Corolario de lo expuesto es que la Comunidad Autónoma ostenta competencia material para dictar la futura disposición, en la medida que constituye desarrollo de la normativa básica en materia de régimen jurídico de las Administraciones Públicas, y lleva a efecto el mandato de regulación contenido en el artículo 12.2 ENS, para que cada Administración apruebe su política de seguridad de la información. Por otra parte, no se advierte en la regulación proyectada, una extralimitación competencial mediante la invasión de las competencias exclusivas del Estado en materia de seguridad y telecomunicaciones.

IV. En cuanto a la competencia orgánica para la aprobación de la disposición, coincide el Consejo Jurídico con los órganos preinformantes en que le corresponde al Consejo de Gobierno, en tanto que titular de la potestad reglamentaria originaria, ex artículos 21.1, 22.12 y 52.1 de la Ley 6/2004, de 28 de diciembre, del Estatuto del Presidente y del Consejo de Gobierno de la Región de Murcia. En particular, no ha de corresponder al titular de la Consejería competente por razón de la materia, en la medida en que las determinaciones del Proyecto exceden del ámbito puramente organizativo y doméstico de su departamento, y no existe una específica habilitación legal a dicho Consejero para poder establecer dichas regulaciones a modo de ejercicio derivado de la potestad reglamentaria, conforme a lo señalado por los artículo 38 y 52.1 de la citada Ley 6/2004, de 28 de diciembre.

TERCERA.- Procedimiento de elaboración.

I. El régimen jurídico del procedimiento a seguir en la elaboración de la disposición objeto del presente Dictamen ha de atenerse a lo que, tanto la normativa básica contenida en el Título VI de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPAC), como el artículo 53 de la Ley 6/2004, de 28 de diciembre, del Estatuto del Presidente y del Consejo de Gobierno de la Región de Murcia, prevén para la elaboración de las disposiciones de carácter general.

Si bien la futura norma inició su tramitación como Proyecto de Orden, tras el informe del Servicio Jurídico de la Consejería promotora, se modificó el rango de la futura norma y se elaboró un nuevo Proyecto, ahora de Decreto. Comoquiera que los trámites realizados hasta dicho momento resultan coincidentes tanto para la elaboración de disposiciones de carácter general con rango de Orden como de Decreto, de modo acertado se conservó la consulta previa, y también los trámites participativos de audiencia e información pública, así como la consulta efectuada al resto de Consejerías y organismos públicos de la Administración regional. Consta, asimismo, la propuesta que el Director General de Transformación Digital dirige al Consejero de adscripción, para que este eleve el Proyecto al Consejo de Gobierno en orden a su aprobación como Decreto.

El preceptivo informe jurídico de la Vicesecretaría de la Consejería proponente, al que se refiere el artículo 53.2 de la Ley 6/2004, de 28 de diciembre, cabe considerarlo emitido al constar la expresa conformidad de la titular de dicho órgano con el informe del Servicio Jurídico que de ella depende.

Por el contrario, no se ha incorporado al expediente la propuesta de acuerdo que el Consejero que asume la iniciativa normativa someterá al Consejo de Gobierno, para la aprobación del Proyecto como Decreto.

II. Se ha elaborado una MAIN, que se ha ido actualizando a lo largo del procedimiento de elaboración reglamentaria y en la que se han consignado los impactos de la futura regulación. No obstante, ha de advertirse que el análisis sobre el impacto presupuestario de la futura norma resulta insuficiente. A tal efecto, afirma la MAIN que la futura norma no tendrá un impacto presupuestario adicional, no viéndose afectada la cofinanciación comunitaria, ni el déficit público. Y ello porque el coste financiero de aplicación de la disposición estaría incluido en los contratos de servicios que, con carácter periódico y continuo, impulsa la Dirección General de Transformación Digital, como las contrataciones en materia de comunicaciones y ciberseguridad. Por lo demás, no afecta a ingresos públicos, no conlleva recaudación y no hace necesaria la adquisición de nuevos materiales o servicios.

Como ya hemos señalado en anteriores Dictámenes (por todos, el 435/2019), estas afirmaciones que de manera tan contundente se formulan para tomar la decisión, sin embargo, no deben entenderse suficientes a la luz de las directrices que marca la Guía Metodológica para la elaboración de una memoria de análisis de impacto normativo (MAIN) en la Región de Murcia, aprobada por Acuerdo del Consejo de Gobierno de 28 de julio de 2022.

En lo que al impacto en materia de presupuestos respecta, la Guía señala en su apartado 2.5.1, que se considera como impacto presupuestario “todo aquello que suponga un incremento o disminución de gastos o ingresos”.

En el último párrafo de su apartado 1 “Introducción”, prevé que “En aquellos casos en los que se estime que de la propuesta normativa no se derivan impactos apreciables en ninguno de los ámbitos establecidos en esta guía, o estos no son significativos de tal forma que no corresponda la elaboración de una MAIN completa, se elaborará una MAIN abreviada con el contenido mínimo que se recoge en el apartado 3 de esta Guía”. Concreta ese contenido mínimo en su apartado “3.- Contenido de la Memoria Abreviada”, y en él, por lo que interesa al impacto presupuestario, indica en su número 3.4 “En todo caso se especificarán los aspectos presupuestarios del proyecto normativo, haciendo una mención concreta a los posibles costes en recursos materiales y recursos humanos, siguiendo el esquema recogido en el apartado 2.5”.

Es decir, la circunstancia de que el impacto presupuestario no sea apreciable, porque se considere que no existe incremento o disminución de gastos o ingresos, o que aunque genere una incidencia en los gastos e ingresos, no sea “significativo”, faculta para redactar la MAIN abreviada, pero el contenido mínimo exige que “En todo caso”, sin excepción, se especifiquen los aspectos presupuestarios del proyecto normativo haciendo una mención concreta a los posibles costes en recursos materiales y recursos humanos.

Lo que la Guía pretende, de manera simplificada evidentemente, es que queden reflejados los efectos presupuestarios que pueda tener la adopción de una determinada norma, sean o no asumibles con los recursos de los que ya se disponga en el momento de elaborar la propuesta.

Como decimos, el mayor o menor impacto presupuestario permite a los órganos impulsores considerar la necesidad de realizar una MAIN completa o abreviada pero, una vez adoptada esa decisión, incluso en la abreviada hay que especificar los efectos que sobre el presupuesto genere y en tanto que la aplicación de la norma suponga una mínima actividad en el seno de la Administración originará unos gastos a los que hacer frente, gastos cuyo compromiso de ejecución ha de contar con el debido soporte presupuestario para no incurrir en nulidad por aplicación del artículo 36 TRLH, ya que está vedada la ejecución de gastos al margen del presupuesto por aplicación del principio de universalidad presupuestaria, consagrado en el artículo 46.3 EAMU, al señalar que el presupuesto de la Comunidad Autónoma incluirá la totalidad de los gastos e ingresos de los organismos y entidades integrantes de la Comunidad Autónoma. Al margen del presupuesto pueden existir cobros o pagos, pero no ingresos o gastos.

Como hemos dicho, una cosa es que los gastos derivados de la aprobación de la norma sean perfectamente asumibles con los créditos de los que disponga el departamento impulsor, o el resto de departamentos de la Comunidad Autónoma, lo que no niega su existencia e impacto presupuestario, y otra bien distinta, es que hubieran de dotarse de nuevos créditos. En ese caso, la propia Guía nos da la pista de cuál es la intención que se persigue al decir en el apartado 2.5.2.1, respondiendo a la pregunta de si un proyecto normativo afecta al presupuesto del departamento impulsor que “Si existiera impacto presupuestario por afectar el proyecto normativo a los presupuestos de la CARM, será necesario identificar la partida presupuestaria afectada y cuantificar los gastos e ingresos presupuestarios, financieros o no financieros que pudiera generar el proyecto normativo, o bien justificar la imposibilidad de cuantificación de dicho impacto.

Una vez cuantificado el impacto presupuestario habrá que determinar si el coste que supone puede ser asumido con los créditos disponibles sin necesidad de modificaciones presupuestarias, para lo cual será necesario identificar las partidas presupuestarias afectadas especificando la respectiva valoración monetaria. Si el coste no puede ser financiado con los créditos presupuestarios disponibles sin recurrir a modificaciones presupuestarias, será necesario detallar la modificación que se propone, su cuantificación y su fuente de financiación”.

En cualquier caso, la propia MAIN, al justificar la oportunidad y necesidad de la nueva norma apunta extremos de indudable relevancia presupuestaria, cuando señala que permitirá una reducción de costes en la gestión de los servicios, gracias a “menores periodos de interrupción de los servicios prestados por la CARM a los ciudadanos; menor número de incidentes de seguridad y, por tanto, reducción de los costes derivados de identificarlos y resolverlos; mayor eficiencia en los recursos destinados a construir y proteger los sistemas de información; mayor eficiencia en el uso de los sistemas de información,…”. Y que son objetivos “esperados y medibles” los siguientes: “reducción del número de incidentes de seguridad en tasa anual. Reducción del tiempo medio de la puesta en operación de los sistemas afectados por un incidente de seguridad”

Como conclusión de lo expuesto se obtiene, en el caso examinado, al igual que en otros ya vistos por este Órgano consultivo, que la MAIN no responde al contenido exigido por la Guía, pues debieron hacerse unas referencias a los recursos presupuestarios que la puesta en marcha de la norma va necesariamente a implicar o a ahorrar, referencias siquiera mínimas, pero suficientes para alcanzar su fin de ilustrar al órgano que deba decidir sobre su aprobación.

Como recuerda el Consejo de Estado en su Dictamen 93/2022, sobre el Proyecto de Real Decreto por el que se regula el Esquema Nacional de Seguridad, tras efectuar una consideración acerca de la insuficiencia del análisis de impacto presupuestario contenido en la MAIN del referido proyecto normativo, afirma que “no se trata de una cuestión menor ni de un aspecto puramente accesorio. Conviene recordar que, en los últimos años, tanto el Tribunal Supremo como el Consejo de Estado han insistido en la importancia de las memorias para explicar el contenido y efectos de las normas, especialmente en su dimensión económica. Desde la sentencia de 27 de noviembre de 2006 (recurso número 51/2005), la jurisprudencia explica que las memorias sirven para proporcionar al titular de la potestad reglamentaria "información sobre los costes que las medidas adoptadas puedan suponer a fin de que, contraponiendo estos con las ventajas que aquellas han de representar, evidenciadas en la memor ia justificativa, la decisión se adopte con conocimiento de todos los aspectos, tanto negativos como positivos". Por este motivo, se han anulado normas por insuficiencia de las memorias que las acompañaban (entre otras, sentencias de diciembre de 2011 (recurso número 6507/2009), 18 de junio de 2012 (recurso número 6513/2009), 2 de diciembre de 2016 (recurso número 903/2014), 22 de marzo de 2018 (recurso número 458/2016), 15 de marzo de 2019 (recurso número 618/2017))”.

III. Consta que se publicó en el Boletín Oficial de la Región de Murcia un anuncio por el que se confería trámite de audiencia. Sin embargo, no se ha cumplido con la exigencia establecida en el artículo 53.3, b) de la Ley 6/2004, de 28 de diciembre, de dejar constancia en el expediente acerca de la motivación del procedimiento escogido para dar audiencia a los ciudadanos afectados.

CUARTA.- Del contenido mínimo exigible al instrumento por el que se aprueba la política de seguridad de la información: incumplimiento.

De conformidad con el artículo 12.1 ENS, el instrumento que aprueba la política de seguridad de la información de una determinada organización “deberá incluir, como mínimo, los siguientes extremos:…”.

El carácter básico de la norma, que deriva de los títulos competenciales puestos en juego al dictarla (Disposición final primera ENS), determina la obligación de respetar dicho contenido mínimo en el instrumento por el que la Administración regional establece su política de seguridad de la información. Ello supone que podrá incorporar otros elementos o extremos adicionales, pero no podrá omitir ninguno de los aspectos que, como contenido mínimo e indisponible, fija la norma básica.

A diferencia de la Orden de 28 de marzo de 2017, que quedará derogada con la entrada en vigor del futuro Decreto, éste no contempla, al menos de forma expresa y clara, dos de los contenidos exigidos por el ENS, como son los objetivos o misión de la organización y el marco regulatorio en el que se desarrollarán las actividades. Estos extremos sí están contenidos en la política de seguridad de la información vigente, en los artículos 8 y 9 de la Orden citada, pero no se han incorporado dos preceptos similares al Proyecto, por lo que no quedarían recogidos estos contenidos necesarios. Debe corregirse esta omisión en el Decreto proyectado.

Del mismo modo, tampoco se contempla la determinación de los riesgos que se derivan del tratamiento de los datos personales, en orden a cumplimentar el requisito mínimo de contenido que el artículo 12.1, f) ENS establece para los instrumentos aprobatorios de la política de seguridad de la información. Atendido el contenido del artículo 4 del Proyecto, debería completarse la regulación allí establecida con la indicada determinación de riesgos, o bien incluir un nuevo artículo en el Proyecto con dicho contenido.

Esta observación reviste carácter esencial.

QUINTA.- Observaciones al texto.

- Artículo 3. Términos y definiciones.

El precepto dispone que los términos utilizados en el futuro Decreto tendrán el sentido que se establece en diversas normas estatales, así las aprobatorias del ENS y del Esquema Nacional de Interoperabilidad (ENI), y europeas, como el RGPD y dos Directivas. Entre estas últimas incluye a la Directiva (UE) 2016/1148, del Parlamento Europeo y del Consejo, de 6 de julio de 2016, que fue derogada, con efectos de 18 de octubre de 2024, por la Directiva 2022/2555, de 14 de diciembre de 2022.

Las definiciones de la Directiva derogada, que se contenían en su artículo 4, fueron traspuestas al ordenamiento jurídico español por el artículo 3 del Real Decreto-Ley 12/2018, de 7 de septiembre. Además, de conformidad con el artículo 44 de la Directiva 2022/2555, “las referencias a la Directiva derogada se entenderán hechas a la presente Directiva con arreglo a la tabla de correspondencias que figura en el anexo III”, donde se establece la correspondencia entre el artículo 4 de la directiva derogada y el artículo 6 de la hoy vigente. De ahí que no parezca necesario mantener las referencias a las definiciones de la Directiva 2016/1148, salvo que se constatara que no todas ellas fueron debidamente traspuestas al ordenamiento español o no tuvieran su equivalente en las definiciones establecidas en la nueva directiva.

Efectuada dicha comprobación, se advierte que en la trasposición realizada por el artículo 3 del Real Decreto-Ley 12/2018, de 7 de septiembre, no se incluyó la definición correspondiente a la “estrategia nacional de seguridad de las redes y sistemas de información” que contenía la directiva derogada; pero sí se establece en el artículo 6 de la Directiva 2022/2555 la definición de “estrategia nacional de ciberseguridad”. En cualquier caso, ninguno de ambos términos se utiliza en el Proyecto de Decreto.

En atención a lo expuesto, entiende el Consejo Jurídico que cabría sustituir la alusión a la Directiva (UE) 2016/1148, del Parlamento Europeo y del Consejo, de 6 de julio de 2016, por la del Real Decreto-Ley que la traspuso, el 12/2018, de 7 de septiembre, que sí está vigente.

- Artículo 4. Sistemas de información que traten datos personales.

Dispone el apartado 1 que, cuando un sistema de información trate datos personales y aquel sea competencia de la Agencia de Transformación Digital, ésta desempeñará el rol de encargado del tratamiento recogido en el RGPD.

La posibilidad de que un organismo autónomo desempeñe el papel de encargado del tratamiento está prevista en el artículo 33.5 LOPDP, en cuya virtud, en el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano de la Administración General del Estado, la Administración de las Comunidades Autónomas, las Entidades que integran la Administración Local o a los Organismos vinculados o dependientes de las mismas, si bien habrá que instrumentar dicha designación “mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el artículo 28.3 RGPD”.

Salvo error u omisión, la condición de encargado del tratamiento que se otorga a la Agencia de Transformación Digital no ha sido objeto de regulación en otras normas, tales como el Decreto-Ley de creación del organismo o sus futuros Estatutos -cuyo Proyecto se ha podido consultar pues se ha sometido a consideración del Consejo Jurídico de forma simultánea al que es objeto del presente Dictamen-, por lo que, para cumplir con lo establecido en la Ley, habría de justificarse la adecuación de la designación como encargado del tratamiento a lo establecido en el artículo 28.3 RGPD, en el sentido de que el Proyecto cumple con el contenido mínimo exigido por el indicado precepto comunitario.

Esta consideración reviste carácter esencial

- Artículo 6. Organización de la seguridad.

En la letra e) debe consignarse en singular la palabra “Responsables” por razones de homogeneidad con el resto de figuras o roles enumerados en el precepto.

- Artículo 7. Comité de Seguridad de la Información.

a) De conformidad con el artículo 12.1, letra d) ENS, el instrumento aprobatorio de la política de seguridad de la información de cualquier organización, ha de establecer la estructura y composición del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad y la relación con otros elementos de la organización. Con carácter general, la regulación proyectada cumple con estos requisitos de contenido mínimo, pero ha de advertirse que el Comité se crea como un órgano colegiado dependiente de la Consejería competente en materia de informática, por lo que el Proyecto ha de respetar, también, las exigencias establecidas por los artículos 23 y 24 de la Ley 7/2004, de 28 de diciembre, de organización y régimen jurídico de la Administración Pública de la Comunidad Autónoma de la Región de Murcia, para la creación de órganos colegiados de ella dependientes.

Sin embargo, el Proyecto, que es la norma de creación del Comité de Seguridad de la Información, no define de forma expresa sus fines y objetivos, en contra de lo que exige el artículo 23.2, a) de la Ley 7/2004, de 28 de diciembre, lo que ha de ser corregido.

Esta consideración reviste carácter esencial.

b) El precepto guarda silencio acerca del régimen de funcionamiento del órgano, por lo que operaría aquí la remisión que efectúa el artículo 23.3 de la Ley 7/2004, de 28 de diciembre, al régimen jurídico básico de los órganos colegiados, contenido en el “capítulo II del título II de la Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, sin perjuicio de las peculiaridades organizativas contenidas en la presente ley o en su norma de creación”.

Tras la Sentencia del Tribunal Constitucional 50/1999, de 6 de abril, que declaró contrarios al orden constitucional de competencias diversos preceptos de dicho capítulo II del Título II de la Ley 30/1992, de 26 de noviembre, la LRJSP estableció el régimen básico de los órganos colegiados en su capítulo II (De los órganos de las Administraciones Públicas), sección 3ª (Órganos colegiados de las distintas Administraciones Públicas), subsección 1ª (Funcionamiento). Dicho régimen no agota las posibilidades de regulación de los órganos colegiados, sino que deja numerosos aspectos de aquél a la potestad normativa de las distintas Administraciones Públicas, tales como las atribuciones del presidente, el régimen de los vocales o miembros, o el establecimiento de normas propias de funcionamiento, que complementen las citadas reglas básicas. La regulación de estos extremos, sin embargo, no ha sido abordada de forma general por la legislación regional, singularmente m ediante una actualización del régimen de los órganos colegiados de la Administración regional, contenida en la Ley 7/2004, de 28 de diciembre.

Ante este marco normativo, entiende el Consejo Jurídico que el régimen del órgano colegiado proyectado quedaría incompleto, si no se regulan en el Proyecto, directamente o por remisión, aquellos aspectos de los órganos colegiados ya citados supra que posibilitarán un adecuado funcionamiento del Comité.

Ha de advertirse, además, que en la medida en que el órgano que se crea no es de los contemplados en el artículo 15.2 LRJSP, pues no participan en él representantes de otras Administraciones Públicas distintas de la regional ni organizaciones representativas de intereses sociales, el propio órgano tiene vetada la posibilidad de dotarse a sí mismo de sus propias normas de funcionamiento, lo que hace más conveniente si cabe que sea el Proyecto, el que aborde dicha labor regulatoria.

c) El apartado 3, c) del precepto objeto de consideración establece quienes tienen la consideración de vocales del órgano y procede a su enumeración, que se cierra con la previsión de que podrán asistir asesores, con voz, pero sin voto.

Nada cabe objetar a la posibilidad de asistencia de los asesores, pero sí a su ubicación sistemática, porque cierra la enumeración de los vocales, como si los asesores fueran también vocales, cuando es evidente que no lo son.

Debe, en consecuencia, extraerse de la relación de vocales la previsión de asistencia de asesores a las sesiones del Comité.

Por otra parte, debería indicarse que la presencia de tales asesores ha de ser propuesta por alguno de los miembros del órgano.

d) El vocal perteneciente a la Inspección General de Servicios se denomina como “representante” de aquélla. Sin embargo, la Ley 7/2004, de 28 de diciembre, reserva ese término para hacer alusión a los miembros de otras Administraciones Públicas que formen parte del órgano colegiado (art. 23.4), y no a miembros del personal de la propia Administración General de la Comunidad Autónoma que también lo integren. En términos similares se pronuncia el artículo 15.2 LRJSP.

Por lo tanto, en este caso podría resultar más adecuado hacer referencia a dicho vocal como funcionario de la Inspección General de Servicios o emplear un término semejante.

e) El apartado 4 prevé la posibilidad de crear comités de seguridad de la información delegados, dependientes funcionalmente del Comité de Seguridad de la Información, y que serán responsables en su ámbito de las actuaciones que se les deleguen. Nada se dice en el Proyecto acerca de quién propone su creación, ni qué rango ha de tener el acto o disposición por el que se cree, si bien tendría que sujetarse a las exigencias sobre la naturaleza y rango de la disposición creadora del nuevo órgano colegiado establecidas en el artículo 24 de la Ley 7/2004, de 28 de diciembre, y a las que en sede de delegación de competencias establece el artículo 9 LPAC.

Dada la integración del Comité de Seguridad de la Información en la Consejería competente en materia de informática, y que los eventuales órganos delegados se crearían sólo para el ejercicio por delegación de funciones propias de dicho Comité, entiende el Consejo Jurídico que su creación correspondería al titular de la Consejería mediante Orden.

- Artículo 8. Responsable de la información y responsable del servicio.

a) Cabría ubicar cada una de estas figuras en un precepto distinto, destinando un artículo a cada una de ellas, al modo de lo que se hace con el resto de roles.

b) El artículo 13.2 ENS dispone que el responsable de la información determinará los requisitos de la información tratada. Sin embargo, de la lectura del apartado1 del precepto proyectado, no se desprende con claridad que a él le corresponde la función que le asigna la norma básica. Se sugiere, en consecuencia, comenzar el precepto con una fórmula similar a la siguiente:

“1. De conformidad con el artículo 13.2 del Decreto 322/2011, de 3 de mayo, el responsable de la información determinará los requisitos de la información tratada”.

Y, a continuación, en un apartado 2, el contenido del párrafo primero del precepto proyectado.

Otro tanto cabría hacer respecto al responsable del servicio, a quien el artículo 13.1 ENS asigna la determinación de los requisitos de los servicios prestados, función básica ésta que debería encabezar la regulación proyectada para esta figura, con indicación de la norma básica que se la asigna, sin perjuicio de, como hace el precepto proyectado, establecer a continuación y en un apartado diferente, en quién ha de recaer la responsabilidad asociada a dicho rol y las funciones específicas que, en desarrollo de la referida función básica está llamado a realizar.

c) La fórmula empleada para determinar a quién corresponden los roles regulados en el precepto resulta un tanto genérica e indeterminada y podría dar lugar a dificultades en su aplicación práctica. En efecto, se indica que será responsable de la información, “para cada sistema de información, la persona titular del órgano administrativo, con rango inferior a Consejería, con competencia suficiente para decidir sobre la finalidad, el contenido, el uso y el tratamiento de la información contenida en aquél”. Del mismo modo, el responsable del servicio será, “para cada servicio de información, la persona titular del órgano administrativo, con rango inferior a Consejería, con competencia suficiente para decidir sobre la finalidad y prestación del servicio que sustenta”.

La exigencia de que estos responsables sean personas titulares de órganos administrativos, lo que excluye a los de las meras unidades administrativas, y la regla contenida en el artículo 8.3 LRJSP, con la que resulta coherente la fórmula utilizada en el precepto proyectado de “con competencia suficiente”, orientaría la interpretación en el sentido de que dichos responsables serán los titulares de los órganos inferiores que tengan competencia sobre las materias correspondientes (información y servicio). No obstante, resultaría clarificador ofrecer una referencia más concreta, de modo que se estableciera que, de ordinario, en el ámbito de las Consejerías, el órgano responsable de la información será el titular de la Secretaría General o de las correspondientes direcciones generales, y el responsable del servicio el de la Vicesecretaría, o el de las subdirecciones generales. Adviértase que la indicación de estos concretos órganos en esta consideración se realiza a efectos meramente ejemplificativos, sin que deba interpretarse como que el Consejo Jurídico entiende que han de ser los titulares de estos órganos y no otros los responsables de la información y del servicio. De hecho, al referirse estas atribuciones a cada sistema de información y dada la variedad de los que gestiona la Administración regional, se considera adecuado no establecer de modo cerrado la atribución competencial a un órgano determinado, sino hacerlo en forma genérica, pero la indicación de qué órganos son los que de modo ordinario asumen estos roles podría ser una importante ayuda interpretativa para la determinación de los responsables en cada caso.

- Artículo 9. Responsable del Sistema.

Se sugiere un cambio de redacción de la función que se le asigna en el apartado 2, a). En la redacción proyectada, se le atribuye la de “ejecutar las medidas de seguridad exigidas por la normativa vigente en materia de seguridad o, en su ausencia, las que determine el Responsable de Seguridad”. En su virtud, el responsable del sistema sólo tendría que ejecutar las decisiones del responsable de seguridad en defecto de norma de seguridad aplicable, cuando lo cierto es que el responsable de seguridad es quien ha de “determinar las decisiones para satisfacer los requisitos de seguridad de los sistemas de información” (artículo 9.3, c) del Proyecto).

Parece evidente que, en ejercicio de esta función, la inmensa mayoría de las decisiones que tome el responsable de seguridad serán en interpretación y aplicación práctica de la normativa de seguridad, decisiones que habrán de ser ejecutadas por el responsable del sistema. De ahí que no se considere totalmente correcta la redacción proyectada, pues podría interpretarse que el responsable del sistema sólo tendría que ejecutar las decisiones del responsable de seguridad cuando éstas fueran adoptadas con la finalidad de suplir eventuales lagunas u omisiones de regulación en materia de seguridad.

Se sugiere, en consecuencia, suprimir el inciso “en su ausencia”.

- Artículo 13. Desarrollo de la política de seguridad de la información.

Tras establecer el apartado 1 del precepto los distintos niveles documentales en los que se estructura la política de seguridad de la información (normas de seguridad, procedimientos de seguridad, instrucciones técnicas de seguridad, y guías y manuales de seguridad), el apartado 2, atribuye su aprobación a “la Presidencia del Comité de Seguridad de la Información”, si bien respecto de las normas de seguridad lo hará “con el asesoramiento previo del Comité”, previsión que no se contiene respecto del resto de documentos.

Ha de indicarse que la razón de ser de la colegialidad de los órganos se basa, de ordinario, en la pluralidad de la titularidad del órgano y en la conjunción de las voluntades individuales de sus miembros para la conformación de una voluntad, la colegial, que es superior y distinta de la individual de aquéllos. El órgano colegiado reduce a la unidad las diversas voluntades de sus componentes, para obtener una decisión única, que será un acto dictado por el órgano colegiado.

Esta dimensión colegial, de inspiración dogmática, pero que es la que justifica e impregna la regulación positiva del régimen jurídico de los órganos colegiados, se compadece mal con la atribución individualizada de una competencia al Presidente del órgano colegiado, diferente de las que corresponden a éste como colegio.

El Presidente de los órganos colegiados, al que en expresión clásica se suele calificar como “primum inter pares”, se configura como un elemento decisivo en el funcionamiento de los órganos colegiados, especialmente en lo que atañe a las reglas que rigen la formación colectiva de la voluntad, así como también asume de ordinario la representación del órgano colegiado, configurándose como la cabeza visible del órgano. Pero su relevancia institucional no debería intensificarse o extremarse hasta el punto de asignarle funciones individuales, que podrían ser residenciadas en el propio órgano colegiado.

De ahí que se sugiera al órgano promotor de la iniciativa normativa la posibilidad de asignar la aprobación de los documentos de seguridad, bien al Comité de Seguridad de la Información, como órgano colegiado -en cuyo caso habría de incorporarse dicha función a las enumeradas en el artículo 7 del Proyecto-, bien a la Dirección General de la Agencia de Transformación Digital, pero no a su titular en su condición de Presidente del Comité, sino como órgano unipersonal.

- Artículo 15. Concienciación y formación.

En el apartado 1 se dispone el establecimiento de programas de concienciación con destino “a los miembros de la Administración regional”. De conformidad con el Diccionario de la Real Academia Española, el término miembro, en su tercera acepción, significa “individuo que forma parte de un conjunto, comunidad o cuerpo moral”. Con este significado, el término sería admisible, englobando a todas las personas que, con independencia de la naturaleza de su relación, prestan servicios a la Administración regional, ya sea con estatuto funcionarial o laboral (empleados públicos, conforme a lo señalado en el artículo 8 del texto refundido del Estatuto Básico del Empleado Público, aprobado por Real Decreto Legislativo 5/2005, de 30 de octubre) o por nombramiento político (altos cargos, a los que se refiere el artículo 2 de la Ley 5/1994, de 1 de agosto, del Estatuto Regional de la Actividad Política). No obstante, la expresión “miembro de la Admini stración regional” no es de uso habitual en las disposiciones de carácter general de nuestro ordenamiento autonómico, y podría resultar poco precisa, por lo que quizás sería preferible utilizar otras expresiones más descriptivas, como “empleados públicos y cualesquiera otras personas que desempeñen funciones o asuman responsabilidades públicas en el ámbito de la Administración regional”.

Esta observación se hace extensiva al artículo 16.1 del Proyecto, que utiliza la expresión “todos los integrantes de la Administración Pública de la Región de Murcia”.

- Artículo 18. Terceras partes.

a) En el apartado 1, el término “partícipe” debe consignarse en plural.

b) En el apartado 4, se contempla la posibilidad de excepcionar alguno de los aspectos de la política de seguridad de la información, cuando un tercero, que va a prestar servicios a la Administración regional o al que se va a ceder información de la que aquella es titular, no pueda satisfacer las exigencias de la política de seguridad en ese concreto extremo.

Prevé el precepto proyectado que habrá de evacuarse un informe por el Responsable de Seguridad, que precise los riesgos en los que se incurre y la forma de tratarlos, y que, “antes de seguir adelante”, dicho informe sea aprobado por los responsables de la información y de los servicios afectados.

Entiende el Consejo Jurídico que el informe del Responsable de Seguridad ha de configurarse no sólo como preceptivo y previo a la formalización de los servicios o a la cesión de la información, sino que también ha de ser vinculante en un efecto, en la medida en que sólo el informe favorable del responsable de seguridad, con el visto bueno de los responsables de la información y los servicios afectados, posibilitará la excepción de seguridad.

Aunque del contexto se desprende que el informe tendrá ese carácter habilitante, comoquiera que el artículo 80.1 LPAC dispone que, salvo disposición expresa en contrario, los informes serán facultativos y no vinculantes, el carácter vinculante en un efecto o habilitante del informe del Responsable de Seguridad ha de ser establecido de modo explícito en el precepto.

- Disposición final primera. Habilitación para la aplicación, desarrollo y ejecución.

La disposición faculta al Director General de la Agencia de Transformación Digital para adoptar las medidas que resulten necesarias para la “aplicación, desarrollo y ejecución de esta norma”.

La habilitación para el desarrollo del futuro Decreto podría interpretarse como una atribución de potestad reglamentaria derivada, en ejercicio de la cual pudiera el indicado Director General dictar normas jurídicas complementarias de aquél. Sin embargo, dicha interpretación ha de ser rechazada, pues ex artículo 32.1 del Estatuto de Autonomía para la Región de Murcia y artículo 22.12 de la Ley 6/2004, de 28 de diciembre, del Estatuto del Presidente y del Consejo de Gobierno de la Región de Murcia, la potestad reglamentaria originaria reside en el Consejo de Gobierno de la Comunidad Autónoma. También ostentan dicha potestad los Consejeros, pero sólo para la regulación de materias de ámbito doméstico u organizativo interno de la Consejería, conforme a lo dispuesto en los artículos 38 y 52.1 de la indicada Ley 6/2004, de 28 de diciembre; potestad regulatoria que, no obstante, puede extenderse a la regulación ad extra, mediante una específica habilitación efectuada por una norma con rango legal.

En cualquier caso, carecen de potestad reglamentaria los órganos inferiores de las Consejerías, en particular las direcciones generales, conforme al elenco de funciones y facultades que les atribuye el artículo 19 de la Ley 7/2004, de 28 de diciembre, sin perjuicio de la posibilidad de dictar instrucciones y órdenes de servicio para dirigir las actividades de sus órganos jerárquicamente dependientes (art. 6 LRJSP), careciendo dichos instrumentos de carácter normativo. Dicha consideración no se ve alterada por el rango de secretario general que ostenta el Director General de la Agencia, ex artículo 38 del Decreto-Ley 5/2022, de 20 de octubre, de dinamización de inversiones empresariales, libertad de mercado y eficiencia pública, que crea el referido organismo autónomo.

Del mismo modo, de conformidad con el artículo 129.4 LPAC, las leyes podrán habilitar directamente a autoridades independientes u otros organismos que tengan atribuida esta potestad, para aprobar normas en desarrollo o aplicación de las mismas, cuando la naturaleza de la materia así lo exija. En el caso de la Agencia de Transformación Digital, ésta no tiene atribuida la potestad reglamentaria por su norma de creación, ni existe una habilitación legal específica para el desarrollo de la eventual Ley habilitante.

Procede, en consecuencia, eliminar el término “desarrollo”.

Esta consideración reviste carácter esencial.

SEXTA.- Observaciones de técnica normativa.

I. Los apartados en los que se dividen los artículos deben numerarse en cardinales arábigos en cifra, salvo que sólo haya uno, conforme a lo establecido en la Directriz 31 de las de Técnica Normativa, aprobadas por Acuerdo del Consejo de Ministros de 22 de julio de 2005, y que se aplican en el ámbito de la Administración regional en defecto de norma propia. Si bien en la mayoría de los artículos del Proyecto se cumple esta directriz, cabría aplicarla también a los artículos 2 y 3.

II. De conformidad con esa misma Directriz 31, cuando deba subdividirse un apartado, se hará en párrafos señalados con letras minúsculas, ordenadas alfabéticamente: a), b), c). Cuando el párrafo o bloque de texto deba, a su vez, subdividirse, circunstancia que ha de ser excepcional, se numerarán las divisiones con ordinales arábigos (1º, 2º, 3º).

No se adecua a esta regla la subdivisión del artículo 7.3, c), que numera los párrafos correspondientes a cada vocal del Comité de Seguridad de la Información como i, ii, iii, etc.

III. De conformidad con la Directriz 80, la primera cita de una norma en la parte dispositiva del texto ha de hacerse completa, con expresión de su tipo, número y año, fecha de aprobación y denominación oficial.

Esta directriz no se ha cumplido en el artículo 4 del Proyecto en relación con la cita del Reglamento General de Protección de Datos y con la LOPDP, lo que ha de ser corregido. Adviértase que la única cita completa de dichas normas se contiene en la parte expositiva del futuro Decreto, no en su parte dispositiva.

De conformidad con la indicada Directriz 80, las restantes citas podrán abreviarse, señalando únicamente tipo, número y año, en su caso, y fecha. Esta regla, si bien se cumple con carácter general en el Proyecto, no se sigue con las citas del RGPD en el propio artículo 4, ahora en el apartado 2, y en el 8.3, lo que debe ser corregido.

En atención a todo lo expuesto, el Consejo Jurídico formula las siguientes

CONCLUSIONES

PRIMERA.- La Comunidad Autónoma cuenta con competencia material para aprobar la norma, que habrá de adoptar la forma de Decreto del Consejo de Gobierno.

SEGUNDA.- El procedimiento de elaboración reglamentaria se ha ajustado a lo establecido en las normas que lo disciplinan, sin que se advierta la omisión de trámites preceptivos, sin perjuicio de las observaciones realizadas en la Consideración tercera a las carencias del análisis del impacto presupuestario de la futura norma contenido en la MAIN.

TERCERA. - Revisten carácter esencial las observaciones efectuadas en la Consideración cuarta, en relación con la necesidad de adecuar el Proyecto al contenido mínimo básico del instrumento aprobatorio de la política de seguridad de la información, y, en la Consideración quinta, a los artículos 4, en relación con la justificación de los requisitos exigidos por la normativa de protección de datos para designar como encargado del tratamiento a la Agencia de Transformación Digital, y 7, sobre la necesidad de completar el contenido del precepto con los fines y objetivos del Comité de Seguridad de la Información.

También es esencial la observación efectuada en la Consideración quinta a la Disposición final primera.

CUARTA.- El resto de las observaciones, de incorporarse al texto, contribuirían a su mejora técnica y a una más adecuada inserción en el conjunto del ordenamiento.

No obstante, V.E. resolverá.

204

205

206

207

208

209

210

211

212

VOLVER IMPRIMIR SUBIR