| Informe | 2022-0012 |
| Enlace | 📋 |
**Resumen del informe jurídico de la AEPD sobre la Política de Seguridad de la Información (PSI) del Ministerio de Consumo (2022-0012)**
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza la **Política de Seguridad de la Información (PSI)** del Ministerio de Consumo, evaluando su adecuación al **Reglamento General de Protección de Datos (RGPD)** y a la **Ley Orgánica 3/2018**. La AEPD identifica **deficiencias críticas** en la propuesta y formula recomendaciones para garantizar el cumplimiento normativo.
### **Principales observaciones y recomendaciones**
1. **Falta de integración explícita de la protección de datos en la PSI**
– El borrador se limita a remitirse al **Esquema Nacional de Seguridad (ENS)**, sin desarrollar los principios del **RGPD** (como la **responsabilidad proactiva** o el **análisis de riesgos** previstos en el **artículo 24**).
– La AEPD exige **incorporar de manera expresa** en el **artículo 4** los principios del RGPD (licitud, minimización de datos, integridad y confidencialidad, etc.) y la **gestión de riesgos específica para la privacidad**.
2. **Ausencia de vinculación entre seguridad y protección de datos**
– La PSI no alinea los riesgos de seguridad con los de **protección de datos**, pese a que el **artículo 32 del RGPD** exige medidas técnicas y organizativas proporcionales al riesgo.
– La AEPD recomienda que la política refleje **la coordinación entre la gestión de riesgos de seguridad y la privacidad**, especialmente en tratamientos de alto riesgo (ej. datos biométricos o sectoriales).
3. **Función del Delegado de Protección de Datos (DPD)**
– El texto permite que el **DPD pueda coincidir con el Responsable de Seguridad**, lo que **vulnera el principio de independencia** (artículo 38 RGPD).
– La AEPD insiste en que **deben ser cargos distintos**, salvo excepcionalmente en organizaciones pequeñas, con salvaguardas documentadas que garanticen su autonomía.
4. **Participación del DPD en órganos decisorios**
– Se propone que el DPD tenga **voz, pero no voto**, en el **Grupo de Trabajo de Seguridad de la Información**, garantizando su rol de **asesoramiento y supervisión** sin conflicto de intereses.
5. **Falta de referencias al análisis de impacto (AIPD)**
– El borrador menciona la **evaluación de impacto (artículo 35 RGPD)** de forma superficial, sin especificar cuándo debe aplicarse. La AEPD recuerda que esta es **obligatoria** para tratamientos de alto riesgo.
### **Conclusión**
La AEPD considera que la PSI del Ministerio de Consumo **no cumple plenamente con el RGPD**, ya que:
– No integra de forma explícita los principios de protección de datos.
– No garantiza la independencia del DPD.
– Omite la gestión específica de riesgos para datos personales.
Para su aprobación, recomienda **modificar los artículos 4 y 15**, añadir un apartado sobre principios del RGPD, y ajustar la estructura organizativa para asegurar la separación de funciones entre seguridad y protección de datos.
—
**Nota:** Este resumen sintetiza el informe original (500 palabras aproximadas), destacando las críticas clave de la AEPD y sus exigencias legales.