| Informe | 2023-0003 |
| Enlace | 📋 |
**Resumen del informe jurídico de la AEPD (N/REF: 0003/2023)**
La Agencia Española de Protección de Datos (AEPD) analiza en este informe el proyecto de *Política de Seguridad de la Información* del Ministerio de Justicia, destacando su adecuación parcial a los principios de responsabilidad activa del **Reglamento General de Protección de Datos (RGPD)** y la **Ley Orgánica 3/2018** (LOPDGDD), pero señalando la necesidad de mejoras sustanciales.
### **Principales hallazgos y recomendaciones**:
1. **Enfoque integral en protección de datos**:
– El proyecto debe integrar explícitamente los principios del RGPD (en especial, los artículos **24, 25 y 32**) en su política de seguridad, superando el modelo tradicional de «cuadro de cumplimiento» por uno basado en **análisis de riesgos** y **evaluación de impacto** (artículo 35 RGPD).
– Se echa en falta un **artículo específico sobre protección de datos**, que detalle medidas técnicas y organizativas adaptadas a tratamientos de datos personales (seudonimización, cifrado, resiliencia, etc.), priorizando estas últimas sobre los requisitos del **Esquema Nacional de Seguridad (ENS)** cuando sean más estrictas (artículo 3 Real Decreto 311/2022).
2. **Rol del Delegado de Protección de Datos (DPD)**:
– Se valora positivamente su inclusión en el **Comité de Gobierno de Seguridad y Riesgos** (voz pero sin voto), pero es esencial clarificar su **independencia** y evitar conflictos de interés con el responsable de seguridad.
– El DPD debe participar activamente en:
– Identificación y gestión de riesgos derivados de tratamientos de datos personales.
– Supervisión de incidentes de seguridad que afecten a datos personales (notificación obligatoria según artículos **33 y 34 RGPD**).
– Asesoramiento en medidas de seguridad con otros fines que impliquen tratamientos adicionales de datos (ej.: monitorización de comunicaciones).
3. **Sistema de incidentes y brechas de seguridad**:
– Las políticas deben alinearse con el RGPD en la gestión de incidentes, garantizando:
– Notificación a la AEPD en **72 horas** (artículo 33.1 RGPD).
– Comunicación a los afectados cuando suponga un alto riesgo (artículo 34.1 RGPD).
– Debe especificarse que los registros de actividad (artículo 24 ENS) cumplan con los principios de **proporcionalidad** y **minimización**, evitando excesos en la monitorización.
4. **Responsabilidades diferenciadas**:
– La figura del **Responsable del Tratamiento** (según RGPD) debe figurar claramente en la estructura, desconcentrando funciones de seguridad para cumplir con el principio de segregación de roles.
5. **Conclusión final**:
– El proyecto es un avance en la integración de seguridad y protección de datos, pero requiere:
– Una **visión unificada** de gestión de riesgos que priorice el RGPD en datos personales.
– Mayor desarrollo de medidas vinculadas al **responsable proactivo**, incluyendo evaluaciones de impacto y auditorías periódicas.
– Refuerzo del papel del DPD como garante del cumplimiento normativo, no solo con voz en órganos directivos, sino con **medios materiales y acceso a la máxima dirección**.
La AEPD insta a revisar el texto para asegurar que, al aprobarse la política, se cumpla con la normativa vigente y se protejan efectivamente los derechos fundamentales de los ciudadanos.