En breve: El ENS y el RGPD son normas distintas que se encuentran en las medidas de seguridad. El ENS protege los sistemas de información del sector público y su cadena de proveedores; el RGPD protege los datos personales. Se solapan en las medidas técnicas y organizativas: la disposición adicional primera de la LOPDGDD las conecta, lo que permite reutilizar gran parte del trabajo de un marco para el otro.
El ENS y el RGPD son dos normas distintas con un punto de encuentro: las medidas de seguridad. El ENS protege los sistemas de información del sector público y su cadena de proveedores; el RGPD protege los datos personales. Se solapan en las medidas técnicas y organizativas: la disposición adicional primera de la LOPDGDD establece que las administraciones cumplen el artículo 32 del RGPD aplicando el ENS. Trabajar bien uno te adelanta gran parte del otro.
Es una de las confusiones más habituales que me encuentro cuando una administración o una empresa que licita con el sector público se sienta a ordenar su cumplimiento: ¿el ENS y el RGPD son lo mismo? ¿Si certifico el el ENS ya cumplo protección de datos? ¿Tengo que hacer dos análisis de riesgos, dos inventarios, dos auditorías? La respuesta corta es que no son lo mismo, pero comparten un terreno común tan grande que ignorarlo es perder dinero y tiempo. Vamos a separar lo que protege cada uno, a marcar con precisión dónde se solapan y a explicar cómo reutilizar el trabajo de una norma para la otra.
¿Qué protege el ENS y qué protege el RGPD?
La diferencia de fondo está en el objeto de cada norma, y es la clave para no mezclarlas.
El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022 y con base legal en la Ley 40/2015, protege los sistemas de información: servidores, aplicaciones, redes, copias de seguridad, procesos. Su pregunta es «¿están mis sistemas seguros y son confiables?». Mide la seguridad sobre cinco dimensiones —confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad (el llamado CIDAT)— y clasifica cada sistema en categoría básica, media o alta según el impacto que tendría un incidente. Si quieres el detalle del marco completo, lo desarrollo en la guía completa del ENS.
El RGPD (Reglamento UE 2016/679), por su parte, protege a las personas físicas en lo relativo al tratamiento de sus datos personales. Su pregunta es «¿estoy tratando los datos de las personas de forma lícita, leal y segura?». Cubre mucho más que la seguridad: licitud del tratamiento, información a los interesados, derechos de acceso o supresión, base jurídica, plazos de conservación, transferencias internacionales… La seguridad es solo una de sus piezas, no toda la norma.
Dicho de otro modo: el ENS es una norma de seguridad de la información; el RGPD es una norma de protección de datos que, entre muchas otras cosas, también exige seguridad. Por eso uno no sustituye al otro, pero por eso mismo se cruzan en un punto muy concreto.
¿Dónde se solapan exactamente el ENS y el RGPD?
El solape vive en un único artículo del RGPD: el artículo 32, «Seguridad del tratamiento». Ese artículo obliga al responsable y al encargado a aplicar «medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo». Y cita expresamente, entre otras, el cifrado y la seudonimización, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas, la recuperación tras un incidente y la verificación periódica de la eficacia de esas medidas.
Esa lista del artículo 32 es, casi palabra por palabra, el lenguaje del ENS. Las cinco dimensiones del CIDAT son las mismas propiedades de seguridad que el artículo 32 pide garantizar. Y hay un segundo punto de contacto previo: el artículo 5.1.f del RGPD, el principio de «integridad y confidencialidad», que enuncia como objetivo lo que el artículo 32 concreta en medidas. Donde el RGPD dice «garantiza la confidencialidad, integridad y disponibilidad», el ENS responde «aquí tienes el catálogo de controles del Anexo II para lograrlo».
El solape, por tanto, no es una coincidencia: es el conjunto de medidas de seguridad técnicas y organizativas. Fuera de ese conjunto, cada norma va por su lado. El ENS no te dice nada sobre cómo informar a un interesado ni sobre la base jurídica de un tratamiento; el RGPD no te exige categorizar tus sistemas en básica/media/alta ni pasar la auditoría de conformidad del CCN.
La pieza legal que une las dos normas: la DA 1ª de la LOPDGDD
Aquí está el dato que cierra el círculo y que mucha gente desconoce. La Ley Orgánica 3/2018 (LOPDGDD), que adapta el RGPD en España, incluye una disposición adicional primera titulada «Medidas de seguridad en el ámbito del sector público». Esa disposición es la bisagra entre ambos mundos, y dice dos cosas decisivas:
- Apartado 1: el Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
- Apartado 2: los responsables del sector público (los enumerados en el artículo 77.1 de la propia ley) aplicarán a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, e impulsarán un nivel equivalente en las empresas o fundaciones vinculadas a ellos sujetas a derecho privado. Y cuando un tercero preste el servicio (concesión, encomienda de gestión o contrato), sus medidas deben ser las de la administración de origen y ajustarse al ENS.
La consecuencia es nítida: para una administración pública, cumplir el ENS es la forma de cumplir el artículo 32 del RGPD. No son dos marcos de seguridad rivales que haya que conciliar a mano; el legislador español ya los conectó. El propio CCN-CERT lo ha enunciado sin rodeos: el ENS recoge las medidas que debe aplicar el sector público para cumplir con los requisitos del RGPD en este ámbito. Esto encaja en el mapa normativo más amplio que describo en mi análisis de la normativa de ciberseguridad en España (RGPD, ENS, NIS2 y DORA), donde el ENS y el RGPD son dos de las capas que conviven sobre el mismo sistema.
ENS vs RGPD: tabla comparativa
Esta es la comparación que utilizo para que un comité de dirección entienda en treinta segundos que está ante dos normas con un punto de encuentro, no ante una norma duplicada.
| Criterio | ENS | RGPD |
|---|---|---|
| Qué protege | Los sistemas de información (datos, servicios, infraestructura) | Los datos personales de las personas físicas |
| Norma de referencia | RD 311/2022; base en la Ley 40/2015 | Reglamento UE 2016/679; LOPDGDD 3/2018 en España |
| A quién obliga | Sector público y proveedores que le prestan servicios | Cualquier responsable o encargado que trate datos personales (público o privado) |
| Enfoque | Seguridad de la información (cinco dimensiones, CIDAT) | Protección de datos integral (licitud, derechos, seguridad, etc.) |
| Cómo se mide | Categoría básica / media / alta por impacto | Análisis de riesgos para los derechos y libertades; EIPD si alto riesgo |
| Punto de solape | Medidas técnicas y organizativas de seguridad: Anexo II del ENS ≈ artículo 32 del RGPD (unidos por la DA 1ª de la LOPDGDD) | |
| Quién supervisa | CCN; auditoría de conformidad y certificación | AEPD (y autoridades autonómicas) |
| Régimen sancionador | No tiene multas propias; el incumplimiento es responsabilidad administrativa | Multas de hasta 20 millones de € o el 4 % de la facturación anual |
¿Puedo reutilizar el trabajo del ENS para cumplir el RGPD (y al revés)?
Sí, y es justo lo que recomiendo hacer para no pagar dos veces por lo mismo. El solape se traduce en entregables compartidos. Estos son los que reutilizo en casi todos los proyectos:
- Inventario de activos y sistemas. El ENS exige conocer tus sistemas; el RGPD exige saber dónde están los datos personales. Un único inventario alimenta ambos: qué sistema trata qué datos, con qué nivel de criticidad.
- Análisis de riesgos. El análisis de riesgos del ENS (sobre las cinco dimensiones) y la evaluación de riesgos del artículo 32 del RGPD comparten metodología. La DA 1ª pide precisamente adaptar los criterios de riesgo del ENS al artículo 32. Se hace un análisis técnico que sirve para los dos, aunque el RGPD añade la perspectiva de los derechos de las personas.
- Medidas de seguridad del Anexo II. Cifrado, control de acceso, registro de actividad, copias de seguridad, gestión de incidentes… son exactamente las medidas que el artículo 32 espera ver implantadas. Implantar el Anexo II del ENS es, en la práctica, documentar las medidas técnicas y organizativas que el RGPD te va a exigir demostrar.
- Gestión de incidentes y notificación de brechas. El ENS te obliga a tener un procedimiento de respuesta a incidentes; el RGPD te obliga a notificar las brechas de datos personales a la AEPD en 72 horas. Un mismo flujo de detección y respuesta cubre ambas obligaciones, con una rama específica para la notificación a la autoridad.
- Evidencias para auditoría. Los registros, políticas y trazas que generas para la auditoría de conformidad del ENS son la mejor prueba de responsabilidad proactiva (accountability) que el RGPD exige al responsable.
Lo que no puedes reutilizar, porque no existe en el ENS, es la capa puramente «de datos» del RGPD: el registro de actividades de tratamiento, las bases jurídicas, las cláusulas informativas, los contratos de encargado, la gestión de derechos de los interesados o la evaluación de impacto (EIPD) cuando el tratamiento entraña alto riesgo. Esa parte hay que construirla por separado, y suele coordinarla el delegado de protección de datos (DPO), que en las administraciones públicas es obligatorio.
¿Y las empresas privadas? El ENS por arrastre
Una idea muy extendida —y equivocada— es que el ENS «solo va con las administraciones». En la práctica, el ENS llega a muchas empresas privadas por arrastre contractual. La DA 1ª lo dice y los pliegos lo confirman: si prestas un servicio al sector público que implica tratar sus datos o sistemas, debes aplicar las medidas del ENS que correspondan a la categoría del servicio. Esto convierte la conformidad con el ENS en requisito de muchas licitaciones.
Para esas empresas, el cruce ENS-RGPD se vuelve doblemente rentable: la conformidad con el ENS que te exige el contrato público te deja, casi de regalo, gran parte de las medidas de seguridad del artículo 32 que el RGPD ya te exigía como responsable de tus propios tratamientos. Lo desarrollo aplicado al sector público y su cadena de proveedores. Si tu empresa trata datos y quiere ordenar a la vez seguridad y privacidad, el punto de partida natural es mi guía de cumplimiento del RGPD para empresas.
¿Por dónde empezar: ENS o RGPD?
No hay un orden universal, pero sí una lógica que funciona casi siempre. Si eres una administración pública o un proveedor obligado por contrato, empieza por el ENS: te da el marco de seguridad estructurado (inventario, categorización, medidas del Anexo II) y, hecho ese trabajo, el artículo 32 del RGPD queda en gran parte cubierto. Sobre esa base, añades la capa de datos del RGPD: registro de tratamientos, bases jurídicas, derechos e información a los interesados.
Si eres una empresa privada sin contratos públicos, empieza por el RGPD, porque es tu obligación directa, y usa el ENS (o la el sistema de gestión de seguridad de la información) como catálogo de referencia para concretar las medidas técnicas del artículo 32. La secuencia importa menos que el principio: haz un solo inventario, un solo análisis de riesgos y un solo conjunto de medidas, y deja que sirvan a las dos normas. Trabajar los marcos por separado, con dos equipos y dos calendarios, es el error que más sobrecostes genera.
Errores frecuentes en la intersección ENS-RGPD
- Creer que el ENS «cubre» el RGPD. Cubre la seguridad (artículo 32), no el resto: licitud, derechos, información, transferencias. Certificar el ENS y olvidar el registro de tratamientos es incumplir el RGPD.
- Creer que el RGPD «cubre» el ENS. Tampoco: el RGPD no te exige categorizar sistemas ni pasar la auditoría de conformidad del CCN. Son obligaciones específicas del ENS.
- Duplicar el análisis de riesgos. Hacer uno para seguridad y otro para protección de datos, sin reaprovechar, multiplica el coste sin aportar valor.
- Olvidar a los proveedores. Tanto el ENS (por la DA 1ª y los pliegos) como el RGPD (contratos de encargado del tratamiento) extienden las obligaciones a la cadena de proveedores. Es donde más brechas reales se producen.
Preguntas frecuentes sobre ENS y RGPD
¿El ENS cubre el RGPD?
No del todo. El ENS cubre la parte de seguridad del RGPD —el artículo 32, medidas técnicas y organizativas— gracias a la disposición adicional primera de la LOPDGDD, que conecta ambos marcos para el sector público. Pero el RGPD es mucho más amplio: licitud del tratamiento, información a los interesados, derechos, bases jurídicas, plazos de conservación y transferencias internacionales quedan fuera del ENS. Certificar el ENS te adelanta la seguridad, no el resto del cumplimiento de protección de datos.
¿Dónde se solapan el ENS y el RGPD?
Se solapan en las medidas de seguridad técnicas y organizativas. El artículo 32 del RGPD exige garantizar confidencialidad, integridad, disponibilidad y resiliencia, y el ENS proporciona el catálogo concreto de controles (Anexo II) y las cinco dimensiones CIDAT para lograrlo. El artículo 5.1.f del RGPD (principio de integridad y confidencialidad) enuncia el objetivo que el ENS materializa en controles. La DA 1ª de la LOPDGDD es la norma que une legalmente ambos terrenos.
¿Puedo aprovechar el ENS para cumplir el RGPD?
Sí, y es lo recomendable. Un único inventario de sistemas, un único análisis de riesgos y un único conjunto de medidas del Anexo II del ENS sirven simultáneamente para acreditar la seguridad del tratamiento que pide el artículo 32 del RGPD. La gestión de incidentes del ENS también alimenta la notificación de brechas a la AEPD. Lo que el ENS no te da —registro de tratamientos, bases jurídicas, cláusulas informativas, EIPD, gestión de derechos— hay que construirlo aparte, normalmente bajo la coordinación del DPO.
¿Qué diferencia hay entre la seguridad del ENS y la del RGPD?
El RGPD fija el objetivo de forma abierta («medidas apropiadas al riesgo») y deja al responsable elegir cómo lograrlo; el ENS aporta el cómo detallado: un catálogo cerrado de medidas, organizado por categorías y dimensiones, y verificado mediante auditoría de conformidad. Por eso encajan tan bien: el ENS es una respuesta tasada y auditable a la exigencia genérica del artículo 32. En el sector público, además, esa respuesta no es opcional: la DA 1ª la hace obligatoria.
Conclusión: dos normas, un solo proyecto de cumplimiento
El ENS y el RGPD no compiten: se complementan. El ENS asegura los sistemas; el RGPD protege a las personas. Comparten el terreno de las medidas de seguridad, y en el sector público ese terreno está cosido por la disposición adicional primera de la LOPDGDD, que convierte el ENS en la vía para cumplir el artículo 32 del RGPD. Para cualquier administración —o cualquier proveedor que licite con ella— la conclusión práctica es una: ordénalo todo como un único proyecto de cumplimiento, con un inventario, un análisis de riesgos y un conjunto de medidas que sirvan a las dos normas, y construye por separado solo la capa propia del RGPD que el ENS no toca. Si quieres ayuda para encajar las piezas en tu caso concreto, puedes contactar conmigo o conocer mi trabajo de consultoría en Castilla y León y Las Palmas.
Fuentes
- Reglamento (UE) 2016/679 (RGPD) — artículos 5.1.f y 32, EUR-Lex
- Ley Orgánica 3/2018 (LOPDGDD) — disposición adicional primera, BOE
- Real Decreto 311/2022, por el que se regula el ENS — BOE
- Ley 40/2015, de Régimen Jurídico del Sector Público (base legal del ENS) — BOE
- AEPD — Agencia Española de Protección de Datos (guías sobre seguridad del tratamiento, artículo 32 RGPD)
- CCN-CERT — El ENS recoge las medidas para cumplir el RGPD en el sector público
- Portal ENS del CCN (Centro Criptológico Nacional)
Imagen: «Some days are like a big jigsaw puzzle…» de katerha — CC BY 2.0 (licencia). Fuente: Flickr.