El informe jurídico de la Agencia Española de Protección de Datos (AEPD) sobre el Proyecto de Real Decreto que regula el Esquema Nacional de Seguridad (ENS) aborda la necesidad de alinear este esquema con la normativa vigente en materia de protección de datos personales. A continuación, se presenta un resumen de aproximadamente 500 palabras.
El ENS, establecido en la Ley 40/2015, tiene como objetivo garantizar la seguridad de la información tratada y los servicios prestados por las entidades del sector público, asegurando el acceso, confidencialidad, integridad, trazabilidad, autenticidad, disponibilidad y conservación de los datos. El proyecto de real decreto busca actualizar el ENS para adaptarlo a los cambios tecnológicos y normativos recientes, como la transformación digital, el nuevo escenario de ciberseguridad y el avance de las tecnologías de aplicación.
La AEPD destaca la importancia de que el ENS incluya medidas específicas para la protección de datos personales, conforme a la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y el Reglamento General de Protección de Datos (RGPD). La disposición adicional primera de la LOPDGDD establece que el ENS debe incluir medidas para evitar la pérdida, alteración o acceso no autorizado de datos personales, adaptando los criterios de determinación del riesgo al artículo 32 del RGPD.
El informe subraya la diferencia entre la seguridad de la información y la protección de datos personales. Mientras que la seguridad de la información se centra en garantizar la confidencialidad, integridad y disponibilidad de los datos, la protección de datos personales es un derecho fundamental que abarca un conjunto más amplio de principios, derechos y obligaciones. La AEPD enfatiza que la seguridad de la información es solo una parte de la protección de datos personales, y que las medidas del ENS deben ser complementarias a las exigencias del RGPD y la LOPDGDD.
El articulado del proyecto de real decreto contiene dos previsiones relevantes para los sistemas de información que traten datos personales. El artículo 28.2 establece que estos sistemas deben cumplir con el RGPD, la LOPDGDD y la normativa específica, sin perjuicio de los requisitos del real decreto. La disposición adicional cuarta aplica los requisitos del ENS a los sistemas de información que permitan el tratamiento de datos personales, en consonancia con la LOPDGDD y la Ley Orgánica 7/2021.
El Anexo II del proyecto, referido a las Medidas de Seguridad, menciona la anonimización y pseudonimización de datos personales como refuerzos adicionales. Sin embargo, la AEPD considera que estas referencias son insuficientes y propone modificaciones para garantizar un adecuado cumplimiento de la normativa sobre protección de datos.
La AEPD sugiere incluir un artículo específico que determine la aplicación del RGPD y la LOPDGDD a los sistemas de información que traten datos personales, y que prevalezcan las medidas derivadas del análisis de riesgos y, en su caso, de la evaluación de impacto sobre las previstas en el ENS. Además, propone eliminar el apartado 2 del artículo 28 y la disposición adicional cuarta, ya que resultan innecesarios.
El informe también aborda la necesidad de incluir en la política de seguridad de la información los riesgos derivados del tratamiento de datos personales, y de garantizar que las medidas de seguridad del ENS sean proporcionales y necesarias. Se propone modificar el artículo 24, que regula el registro de la actividad y detección de código dañino, para incluir referencias explícitas a los principios de necesidad y proporcionalidad, y para asegurar que los tratamientos de datos personales se realicen de manera estrictamente necesaria y proporcionada.
En conclusión, la AEPD considera que el proyecto de real decreto debe ser modificado para garantizar una adecuada protección de los datos personales, alineando el ENS con la normativa vigente en materia de protección de datos. Las sugerencias de la AEPD buscan asegurar que las medidas de seguridad del ENS sean complementarias y no excluyentes de las exigencias del RGPD y la LOPDGDD, y que se realice un análisis de riesgos y, en su caso, una evaluación de impacto en la protección de datos.