El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la compatibilidad entre la figura del delegado de protección de datos (DPD) del Reglamento General de Protección de Datos (RGPD) y el responsable de seguridad de la información (RSEG) del Esquema Nacional de Seguridad (ENS). A continuación, se presenta un resumen de aproximadamente 500 palabras.
El informe comienza diferenciando los ámbitos de la seguridad de la información y la protección de datos personales. La seguridad de la información se centra en garantizar la confidencialidad, integridad y disponibilidad de la información, independientemente de su formato. En el ámbito de las Administraciones Públicas españolas, el ENS establece los principios y requisitos mínimos para asegurar la seguridad de la información tratada. Por otro lado, la protección de datos personales es un derecho fundamental que busca garantizar el control de las personas sobre sus datos personales y su uso.
El DPD es una figura esencial en el RGPD, encargada de asesorar y supervisar las actividades de tratamiento de datos personales. Sus funciones incluyen informar y asesorar al responsable o encargado del tratamiento, supervisar el cumplimiento de la normativa, ofrecer asesoramiento sobre evaluaciones de impacto, cooperar con la autoridad de control y actuar como punto de contacto. El DPD debe actuar con independencia y no recibir instrucciones en el desempeño de sus funciones.
El RSEG, por su parte, es responsable de determinar las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios en el ámbito del ENS. Su función es garantizar la seguridad de la información, mientras que el DPD se centra en garantizar los derechos y libertades de las personas cuyos datos son tratados.
El informe destaca que, aunque ambas figuras tienen roles importantes, sus funciones y objetivos son distintos. El DPD debe actuar con total independencia y no puede recibir instrucciones de otras figuras involucradas en la seguridad de la información. Esto implica que el DPD no puede ser la misma persona que el RSEG, ya que esto generaría un conflicto de intereses y pondría en riesgo la independencia del DPD.
Además, el informe señala que el análisis de riesgos realizado por el DPD para las evaluaciones de impacto en protección de datos es diferente del análisis de riesgos realizado por el RSEG para la seguridad de la información. El DPD se enfoca en los riesgos para los derechos y libertades de las personas, mientras que el RSEG se centra en los riesgos para la información de las Administraciones Públicas.
El informe concluye que, en general, debe existir una separación clara entre el DPD y el RSEG. Solo en casos excepcionales, y con las debidas garantías de independencia y ausencia de conflicto de intereses, podría considerarse la designación de una misma persona para ambos roles. En tales casos, sería necesario adoptar medidas organizativas que aseguren la independencia del DPD y documentar adecuadamente la designación, justificando los motivos y las medidas adoptadas.
En resumen, el informe de la AEPD subraya la importancia de mantener la independencia y la segregación de funciones entre el DPD y el RSEG para garantizar el cumplimiento de la normativa de protección de datos y la seguridad de la información. La compatibilidad entre ambas figuras solo es posible en situaciones excepcionales y con las debidas garantías.