La disposició addicional primera sobre mesures de seguretat en l'àmbit del sector públic de la LOPDGDD remet amb caràcter general a l'Esquema Nacional de Seguretat, que es converteix, per tant, en l'estàndard de seguretat de tot el sector públic:
Disposició addicional primera. Mesures de seguretat en l'àmbit del sector públic.
- L'Esquema Nacional de Seguretat ha d'incloure les mesures que s'han d'implantar en el cas de tractament de dades personals per evitar-ne la pèrdua, l'alteració o l'accés no autoritzat, adaptant els criteris de determinació del risc en el tractament de les dades al que estableix l'article 32 del Reglament (UE) 2016/679.
- Els responsables enumerats en l'article 77.1 d'aquesta Llei orgànica han d'aplicar als tractaments de dades personals les mesures de seguretat que corresponguin de les previstes en l'Esquema Nacional de Seguretat, així com impulsar un grau d'implementació de mesures equivalents a les empreses o fundacions vinculades als mateixos subjectes al dret privat.
En els casos en què un tercer presti un servei en règim de concessió, comanda de gestió o contracte, les mesures de seguretat s'han de correspondre amb les de l'Administració pública d'origen i s'han d'ajustar a l'Esquema Nacional de Seguretat.
L'article 17.3 de la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques, estableix en relació amb l'arxivament de documents que «els mitjans o suports en què s'emmagatzemin documents han de comptar amb mesures de seguretat, d'acord amb el que preveu l'Esquema Nacional de Seguretat, que garanteixin la integritat, l'autenticitat, la confidencialitat, la qualitat, la protecció i la conservació dels documents emmagatzemats. En particular, han d'assegurar la identificació dels usuaris i el control d'accessos, així com el compliment de les garanties previstes en la legislació de protecció de dades». Aquesta consideració suposa que el que preveu l'ENS és aplicable a qualsevol informació de les administracions públiques sense distinció del suport en què es trobi. D'altra banda, afegeix a la seguretat de la informació la dimensió o característica de la traçabilitat, que en termes pràctics podria dir-se que és el factor de la seguretat que permet identificar unívocament les persones o els processos que accedeixen a la informació i les accions que han fet.
Per la seva banda, l'ENS en l'article 1 estableix que està constituït pels «principis bàsics i els requisits mínims per a una protecció adequada de la informació», que «serà aplicat per les administracions públiques per assegurar l'accés, la integritat, la disponibilitat, l'autenticitat, la confidencialitat, la traçabilitat i la conservació de les dades, les informacions i els serveis utilitzats en mitjans electrònics que gestionin en l'exercici de les seves competències». L'aplicació d'aquesta norma es refereix a qualsevol informació en poder de les administracions públiques sense diferenciar-ne el contingut, tant si està constituïda per dades personals com per qualsevol altra informació