El informe jurídico de la Agencia Española de Protección de Datos (AEPD) se refiere al Proyecto de Orden que aprueba la Política de Seguridad de la Información en el ámbito de la Administración electrónica del Ministerio de Sanidad, Servicios Sociales e Igualdad. Este informe es preceptivo según lo dispuesto en la Ley Orgánica de Protección de Datos de Carácter Personal y el Estatuto de la Agencia.
El informe destaca la necesidad de que la Exposición de Motivos de la norma indique que ha sido sometida al previo informe de la AEPD. El objeto de la norma es la aprobación de la Política de Seguridad de la Información y la estructura organizativa de gestión de la seguridad del Ministerio, en desarrollo del Esquema Nacional de Seguridad (ENS).
La AEPD subraya la interrelación entre el ENS y la normativa de protección de datos. Según la Ley Orgánica 15/1999, los responsables de los ficheros deben adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos personales. El Reglamento de desarrollo de esta ley, aprobado por Real Decreto 1720/2007, establece las medidas de seguridad que deben contener los sistemas de información con datos personales.
El informe señala que, aunque el ENS no se limita a los ficheros con datos personales, la mayoría de la información administrativa contiene datos de esta naturaleza. Por lo tanto, las previsiones del ENS deben ser concurrentes y no excluyentes de las medidas del Reglamento de desarrollo de la Ley Orgánica 15/1999.
La AEPD critica que el Proyecto de Orden mantenga las garantías de seguridad y los procedimientos de prevención de riesgos como compartimentos diferenciados. El informe sugiere que las exigencias de protección de datos deben ser valoradas en todo momento al establecer las directrices de seguridad de los sistemas de información, independientemente de que contengan o no datos personales.
El informe recomienda clarificar que la función de responsable de seguridad, tal como se establece en la normativa de protección de datos, debe incluir las responsabilidades relacionadas con la garantía de la seguridad de los datos personales. Además, la descripción de la política de seguridad en el Anexo debe considerar las medidas específicas de seguridad cuando la información contenga datos personales.
La AEPD también destaca la necesidad de que la Política de Seguridad haga referencia expresa a las normas de protección de datos en cada uno de sus epígrafes. En cuanto a las cuestiones organizativas, se sugiere especificar las funciones de los distintos órganos del Departamento en relación con la seguridad de la información.
En conclusión, la AEPD considera necesario modificar el Proyecto de Orden para establecer los criterios mínimos de seguridad exigidos por la legislación de protección de datos como parte de la política de seguridad. Esto incluye adaptar la estructura de seguridad a las exigencias de la normativa de protección de datos, especialmente en la determinación de las funciones de cada uno de los órganos que integran la estructura de seguridad.