| Informe | 2024-0004 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD (0004/2024)
El informe jurídico emitido por la Agencia Española de Protección de Datos (AEPD) analiza la Política de Seguridad de la Información del Ministerio de Cultura, ajustada al Esquema Nacional de Seguridad (Real Decreto 311/2022, de 3 de mayo) y al Reglamento General de Protección de Datos (RGPD). La norma deroga la anterior Política de 2019 y busca alinearse con la normativa vigente en seguridad de la información y protección de datos.
Aspectos clave del informe
Base legal y principios
El informe destaca que la política se sujeta al artículo 18.4 de la Constitución, la Ley Orgánica 3/2018 (LOPDGDD) y el RGPD (UE 2016/679), garantizando el derecho fundamental a la protección de datos.
Se enfatiza la importancia del análisis de riesgos (artículo 24 RGPD) y la evaluación de impacto (EIPD), que deben primar sobre las medidas del Esquema Nacional de Seguridad si son más exigentes.
Estructura organizativa
La política define una estructura jerárquica para la seguridad de la información, incluyendo:
La Comisión Ministerial de Administración Digital (máximo órgano decisorio).
El Responsable de Seguridad, el Delegado de Protección de Datos (DPD) y el Grupo de Trabajo de DPD.
Otros actores como los Responsables de Información y Sistemas.
El DPD (artículo 37 RGPD) actúa con independencia, asesorando y supervisando el cumplimiento normativo, pero sin asumir responsabilidades directas del responsable del tratamiento.
Protección de datos y seguridad de la información
Se alinea con el artículo 32 RGPD, que exige medidas técnicas y organizativas para garantizar la confidencialidad, integridad y disponibilidad de los datos.
Se menciona la necesidad de incluir medidas agravadas en el análisis de riesgos si el tratamiento de datos lo requiere, incluso cuando excedan el Anexo II del Esquema Nacional de Seguridad.
Se recomienda corregir el artículo 13 para que refleje explícitamente la primacía de las medidas derivadas del RGPD sobre las del Esquema Nacional.
Funciones del Delegado de Protección de Datos
Su rol se limita al asesoramiento y supervisión (artículo 11 del proyecto), sin interferir en las decisiones del responsable del tratamiento.
Su participación en el Grupo Técnico de Seguridad debe ser consultiva (sin voto), garantizando su autonomía e independencia.
Conclusiones y observaciones
La AEPD aprueba el enfoque basado en riesgos y la integración de la protección de datos en la política de seguridad.
Recomienda ajustar el texto para clarificar la prioridad del RGPD en caso de conflicto con el Esquema Nacional.
Destaca que el responsable del tratamiento (el Ministerio) mantiene la obligación final de cumplir con la normativa, siendo el DPD un facilitador.
Valoración final
El informe valora positivamente la adaptación del Ministerio a los estándares de seguridad y privacidad más exigentes. Sin embargo, subraya la importancia de garantizar que las evaluaciones de riesgo y las medidas de protección de datos prevalezcan sobre otras regulaciones cuando sea necesario para cumplir con el RGPD. La estructura organizativa propuesta cumple con los requisitos legales, siempre que se respeten los roles del DPD y del responsable del tratamiento.
Este informe refuerza la necesidad de un enfoque proactivo y basado en riesgos en la gestión de la seguridad de la información y la protección de datos en el ámbito público.