| Informe | 2022-0103 |
| Enlace | 📋 |
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) sobre la Política de Seguridad de la Información y de los Servicios en el ámbito de la Administración Digital del Ministerio de Trabajo y Economía Social aborda varios aspectos clave relacionados con la protección de datos personales y la seguridad de la información. A continuación, se presenta un resumen de aproximadamente 500 palabras.
El informe se centra en la necesidad de que cada administración pública cuente con una política de seguridad formalmente aprobada, conforme al artículo 12 del Real Decreto 311/2022. Esta política debe estar alineada con los principios básicos del Esquema Nacional de Seguridad (ENS) y desarrollar requisitos mínimos para garantizar la seguridad de la información. Además, debe ser coherente con la normativa de protección de datos personales, específicamente el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018.
La estructura organizativa del Ministerio incluye varios roles clave, como el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones, los Responsables de la Seguridad, los Responsables de la Información, y el Delegado de Protección de Datos (DPD). El DPD juega un papel crucial en la supervisión y asesoramiento sobre la protección de datos, asegurando que las medidas técnicas y organizativas sean adecuadas para garantizar un nivel de seguridad adecuado al riesgo.
El informe destaca la importancia de la responsabilidad activa en la protección de datos, que implica una valoración previa del riesgo y la adopción de medidas apropiadas. Esto contrasta con el modelo anterior basado en el cumplimiento de listas de requisitos. El DPD debe participar activamente en todas las cuestiones relacionadas con la protección de datos, asegurando que las políticas de seguridad sean coherentes con la normativa vigente.
Se subraya la necesidad de integrar el análisis de riesgos y la evaluación de impacto en la protección de datos dentro de la política de seguridad de la información. Esto implica que las medidas derivadas del análisis de riesgos deben prevalecer sobre las previstas en el ENS si son más estrictas. Además, se debe garantizar la coordinación entre la gestión de riesgos de seguridad y la gestión de riesgos de privacidad.
El informe también aborda la figura del DPD, enfatizando su independencia y la necesidad de que sus funciones no se superpongan con las del responsable de seguridad del ENS. Se recomienda que el DPD tenga un papel asesor y supervisor, sin adoptar decisiones ejecutivas, y que se le dote de los medios necesarios para cumplir eficazmente con sus funciones.
Se hace hincapié en la necesidad de que la política de seguridad incluya referencias explícitas a la protección de datos personales y a la normativa relevante, como el artículo 32 del RGPD. Esto asegura que las medidas de seguridad sean adecuadas al riesgo y que se garantice la resiliencia en los tratamientos de datos personales.
Finalmente, el informe señala la importancia de considerar los tratamientos de datos personales que puedan derivarse de medidas de seguridad con otros objetivos, como la continuidad de procesos o la seguridad física. En estos casos, se debe realizar un análisis de necesidad y proporcionalidad, contando con el asesoramiento del DPD.
En conclusión, el informe de la AEPD subraya la necesidad de una política de seguridad de la información que integre de manera efectiva la protección de datos personales, asegurando la responsabilidad activa y la participación del DPD. Esto garantiza que las medidas adoptadas sean adecuadas al riesgo y que se respeten los derechos y libertades de las personas físicas.