El informe jurídico de la Agencia Española de Protección de Datos (AEPD) se refiere al Proyecto de Orden que aprueba la Política de Seguridad de la Información (PSI) en el ámbito de la Administración Electrónica del Ministerio de Justicia. Este informe es preceptivo según lo dispuesto en la Ley Orgánica de Protección de Datos y el Estatuto de la AEPD.
El objeto del Proyecto es la aprobación de la PSI y su marco organizativo y tecnológico. La Exposición de Motivos del Proyecto destaca la necesidad de que todos los órganos superiores de las Administraciones públicas dispongan formalmente de su política de seguridad, conforme al Real Decreto 3/2010, que regula el Esquema Nacional de Seguridad.
El informe subraya la importancia de la gestión de riesgos y la protección de datos de carácter personal. El artículo 2.1 d) del Proyecto establece que el análisis y gestión de riesgos será esencial para mantener un entorno controlado y minimizar riesgos hasta niveles aceptables. Además, el artículo 2.2 a) indica que se adoptarán medidas técnicas y organizativas para garantizar la seguridad de los datos personales.
La estructura organizativa del Ministerio incluye la designación de responsables de seguridad, información, servicio y sistema. Estos responsables deben cumplir con la legislación sobre protección de datos y establecer requisitos de seguridad para la información que manejan.
El informe también destaca la necesidad de adaptar el Proyecto al Reglamento General de Protección de Datos (RGPD), que introduce un modelo de responsabilidad activa. Este modelo exige una valoración previa del riesgo y la adopción de medidas adecuadas para garantizar la protección de datos. El Delegado de Protección de Datos (DPO) juega un papel fundamental en este nuevo enfoque, participando en todas las cuestiones relacionadas con la protección de datos y supervisando el cumplimiento de la normativa.
El informe concluye que el Proyecto debe ser modificado para incluir al DPO en la estructura organizativa y para reflejar el nuevo enfoque basado en el análisis de riesgos y la evaluación de impacto. Esto implica modificar los artículos 2.1 d), 2.2 a) y 14.2 del Proyecto, eliminando referencias a listas tasadas de medidas y adaptando las funciones de los responsables de seguridad y de información al nuevo marco normativo.
En resumen, el informe de la AEPD subraya la necesidad de adaptar la PSI del Ministerio de Justicia al RGPD, incorporando un enfoque basado en la gestión de riesgos y la responsabilidad activa, y asegurando la participación del DPO en todas las fases del diseño e implementación de la política de seguridad.