| Informe | 2021-0057 |
| Enlace | 📋 |
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza la normativa propuesta para la Administración Electrónica del Ministerio de Derechos Sociales y Agenda 2030, centrándose en la protección de datos personales y la seguridad de la información. A continuación, se presenta un resumen de aproximadamente 500 palabras.
El informe destaca la necesidad de que la normativa sometida a informe incluya una referencia explícita a la AEPD en su Exposición de Motivos, dado el carácter preceptivo del informe y la fundamentación legal que lo respalda. El objeto de la normativa es la aprobación de la Administración Electrónica del Ministerio y el establecimiento del marco organizativo y tecnológico correspondiente.
El artículo 11 del Real Decreto 3/2010 exige que todos los órganos superiores de las Administraciones públicas dispongan formalmente de una política de seguridad, que se aprobará por el titular del órgano correspondiente. Esta política debe basarse en principios como la seguridad integral, la gestión de riesgos, la prevención, la reacción y recuperación, y la reevaluación periódica. El Proyecto desarrolla estos principios y establece una estructura organizativa para la seguridad de la información, bajo la dirección de la Comisión Ministerial de Administración Digital.
En cuanto a la protección de datos personales, el informe hace referencia al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018. El artículo 4.1 d) del Proyecto establece que la gestión de riesgos será parte esencial del proceso de seguridad, siguiendo lo dispuesto en el RGPD y en la Ley Orgánica 3/2018. Se subraya la importancia de adoptar medidas técnicas y organizativas adecuadas para garantizar la protección de los datos personales, basándose en un análisis de riesgos y, en su caso, en una evaluación de impacto.
La estructura organizativa del departamento incluye, además de la Comisión Ministerial de Administración Digital, al Responsable de Seguridad, los Responsables de la Información, Responsables del Servicio, Responsables del Sistema, y los Delegados de Protección de Datos (DPD). El DPD tiene acceso al registro de actividades de tratamiento de datos personales y actúa con independencia, sin recibir instrucciones en el desempeño de sus funciones.
El artículo 15 del Proyecto regula la gestión de riesgos, que debe realizarse de manera continua y basada en los principios de seguridad y protección de datos. El Responsable del Servicio es el encargado de solicitar el análisis de riesgos y de proponer el tratamiento adecuado. Las fases del proceso de gestión de riesgos se realizarán siguiendo las normas y recomendaciones del Centro Criptológico Nacional y del RGPD.
El artículo 13 establece que la garantía de la protección de datos personales es un objetivo compartido por todas las unidades del Departamento, que deben aplicar medidas de seguridad apropiadas derivadas del análisis de riesgos y de las evaluaciones de impacto. Se subraya que, en caso de que el análisis de riesgos determine medidas agravadas respecto a la normativa del Esquema Nacional de Seguridad, dichas medidas prevalecerán.
El informe también aborda la evolución del modelo de protección de datos desde el cumplimiento a la responsabilidad activa, destacando la importancia del análisis de riesgos y de la evaluación de impacto en la protección de datos. Se subraya el papel fundamental del DPD, que debe participar en todas las cuestiones relativas a la protección de datos personales y supervisar el cumplimiento de la normativa.
Finalmente, el informe concluye que el Proyecto respeta la separación de funciones entre el DPD y el Responsable de Seguridad, diferenciando claramente sus roles y responsabilidades. Se recomienda suprimir la referencia a la Directiva (UE) 2016/680 en el preámbulo, ya que no resulta de aplicación a los tratamientos realizados por el Ministerio. Además, se sugiere añadir una referencia expresa a la protección de datos personales en el principio de seguridad desde el diseño y por defecto.
En resumen, el informe jurídico de la AEPD valora positivamente el Proyecto, destacando su alineación con el RGPD y la Ley Orgánica 3/2018, y subraya la importancia de la gestión de riesgos y la protección de datos personales en la Administración Electrónica del Ministerio de Derechos Sociales y Agenda 2030.