| Informe | 2022-0085 |
| Enlace | 📋 |
### **Resumen del Informe Jurídico de la AEPD (N/REF: 0085/2022)**
El informe analiza el Proyecto de **Política de Seguridad de la Información (PSI)** del **Ministerio de Asuntos Económicos y Transformación Digital**, evaluándolo desde la perspectiva del **Reglamento General de Protección de Datos (RGPD)**, la **Ley Orgánica 3/2018 (LOPDGDD)** y el **Esquema Nacional de Seguridad (ENS)**. A continuación, se destacan los aspectos clave:
—
### **1. Contexto normativo y principios**
– El proyecto cumple con el **artículo 12 del ENS (RD 311/2022)**, que exige una política de seguridad formalmente aprobada, alineada con principios como:
– **Gestión basada en riesgos** (prevención, detección y respuesta).
– **Seguridad como proceso integral** (vigilancia continua y reevaluación periódica).
– **Diferenciación de responsabilidades** en la estructura organizativa.
– Sin embargo, la AEPD subraya que el ** RGPD introduce un modelo de «responsabilidad activa»** (artículos 24, 25 y 32), donde:
– Las medidas de seguridad deben garantizar **confidencialidad, integridad y disponibilidad**, pero también prever **riesgos específicos para los derechos y libertades** de los afectados.
– Se prioriza el **análisis de riesgos** (art. 24 RGPD) y la **Evaluación de Impacto (EIPD)** (art. 35 RGPD) como base para adoptar medidas técnicas y organizativas.
– El **Delegado de Protección de Datos (DPD)** debe tener un rol **activo y asesor**, pero no ejecutivo, para supervisar el cumplimiento.
—
### **2. Estructura organizativa y roles**
El proyecto integra al **DPD** en la estructura (ej. con voz en el **Grupo de Trabajo Técnico de Seguridad de la Información – GTTSI**), lo que se valora positivamente, pero se recomienda:
– **Separación clara de funciones** entre:
– **Responsable de Seguridad (RSEG)**: gestiona la seguridad técnica (ENS).
– **DPD**: supervisa el cumplimiento del RGPD, sin conflictos de interés.
– **Critica a la identificación del «Responsable de la Información» con el «responsable del tratamiento» (RGPD)**:
– Solo debe considerarse responsable del tratamiento si **determina fines y medios** (art. 4.7 RGPD).
– Debe evitarse la confusión, ya que el ENS y el RGPD tienen objetivos distintos (seguridad vs. protección de datos).
—
### **3. Medidas de seguridad y protección de datos**
– El proyecto recoge medidas del **ENS (Anexo II)**, pero la AEPD recuerda que:
– Las **medidas mínimas del ENS no eximen** de aplicar los requisitos del **artículo 32 RGPD** (p. ej., cifrado, resiliencia, verificación periódica).
– **Debe incluirse una referencia explícita al análisis de riesgos y EIPD** en el artículo 11 (evaluación de riesgos) y 13 (protección de datos), vinculando ambos procesos.
– **Falta integración entre gestión de riesgos de seguridad (ENS) y privacidad (RGPD)**:
– Recomienda que el **DPD participe** en la identificación de riesgos para datos personales y en la definición de niveles de seguridad más altos si el riesgo lo requiere.
– **Auditorías periódicas** deben evaluar el cumplimiento del **artículo 32.1.d RGPD** (verificación regular de medidas de seguridad).
—
### **4. Figura del Delegado de Protección de Datos (DPD)**
– **Puntos positivos**:
– Su intervención en el **GTTSI** (con voz, pero sin voto) cumple con el principio de independencia (art. 38.1 RGPD).
– **Recomendaciones**:
– **Formalizar su rol** en un artículo específico, detallando:
– Su participación en **identificación de riesgos**, **EIPD** y **gestión de brechas de datos** (arts. 33-34 RGPD).
– **No intervenir en decisiones ejecutivas** (responsabilidad del titular del tratamiento).
– **Dotarle de medios materiales y humanos** para ejercer sus funciones (art. 39 RGPD).