Sin título

Informe	2021-0048
Enlace	📋

El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza la Política de Seguridad de la Información del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, en el contexto del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018. A continuación, se presenta un resumen de aproximadamente 500 palabras.

El informe destaca la necesidad de que la política de seguridad de la información del Ministerio se alinee con el RGPD y la normativa española de protección de datos. El artículo 1.1 del texto sometido a informe establece que su objeto es la aprobación de dicha política, en cumplimiento del artículo 11 del Real Decreto 3/2010, que exige a las Administraciones públicas disponer formalmente de una política de seguridad.

El informe subraya la importancia de la gestión de riesgos y la protección de datos personales. El artículo 4.1.d) del texto menciona que la gestión de riesgos será parte esencial del proceso de seguridad, en línea con los artículos 24, 25 y 32 del RGPD y el artículo 28 de la Ley Orgánica 3/2018. Además, se enfatiza la necesidad de adoptar medidas técnicas y organizativas adecuadas para garantizar la protección de los datos personales, conforme al análisis de riesgos y, en su caso, a la evaluación de impacto en la protección de datos.

La estructura organizativa del Ministerio incluye varios roles clave, como el Responsable de la Información, el Responsable del Servicio, el Responsable de Seguridad y el Delegado de Protección de Datos (DPD). El DPD, en particular, tiene un papel fundamental en el diseño e implantación de la política de seguridad, asegurando que se cumplan las obligaciones establecidas por el RGPD y la normativa española.

El informe también aborda la necesidad de diferenciar claramente entre la seguridad de la información y la protección de datos personales. La seguridad de la información se refiere a la confidencialidad, integridad y disponibilidad de los datos, mientras que la protección de datos personales es un derecho fundamental que abarca un conjunto más amplio de principios, derechos y obligaciones. La AEPD subraya que la garantía de la seguridad de los datos personales no se limita exclusivamente al ámbito de la seguridad de la información.

Se destaca la importancia de la figura del DPD, quien debe ser independiente y no recibir instrucciones respecto al desempeño de sus funciones. El DPD debe asesorar al responsable del tratamiento y supervisar el cumplimiento de las obligaciones de protección de datos. El informe menciona que, en organizaciones pequeñas, podría ser admisible que una misma persona o órgano colegiado asuma ambas funciones, siempre que se garanticen la independencia y la ausencia de conflictos de intereses.

El texto sometido a informe respeta la separación de funciones entre el responsable de seguridad y el DPD, remitiéndose a la regulación contenida en el RGPD y la Ley Orgánica 3/2018. Se ha optado por la designación de un DPD único para todo el Departamento, adscrito a la Subsecretaría del Ministerio y con funciones correspondientes a la Inspección General de Servicios.

En conclusión, el informe de la AEPD subraya la necesidad de que la política de seguridad de la información del Ministerio se alinee con el RGPD y la normativa española, enfatizando la importancia de la gestión de riesgos y la protección de datos personales. La figura del DPD es crucial para asegurar el cumplimiento de las obligaciones de protección de datos, y debe ser independiente y dotada de los medios necesarios para el adecuado ejercicio de sus funciones.