| Informe | 2024-0036 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre la Política de Seguridad de la Información del Ministerio de Inclusión, Seguridad Social y Migraciones (MISSM)
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza la Política de Seguridad de la Información (PSI) del Ministerio de Inclusión, Seguridad Social y Migraciones (MISSM), en consonancia con el Esquema Nacional de Seguridad (ENS) y el Reglamento General de Protección de Datos (RGPD).
Marco legal y principios
La PSI se ajusta al Real Decreto 311/2022, que regula el ENS, y al RGPD, garantizando que las medidas de seguridad prioricen la protección de datos personales en caso de conflicto. El informe destaca que:
La seguridad de la información y la protección de datos son ámbitos distintos pero complementarios.
El Comité de Seguridad de los Sistemas de Información (CSSI) y el Delegado de Protección de Datos (DPD) deben colaborar, pero con funciones diferenciadas.
El análisis de riesgos (art. 32 RGPD) prevalece sobre el ENS si exige medidas más estrictas.
Estructura organizativa y roles
La PSI establece una jerarquía clara:
Responsable del sistema global de información: Subsecretaría del MISSM (máxima autoridad en seguridad).
CSSI: Coordina las políticas de seguridad en el ministerio.
Responsables de sistemas de información: Implementan medidas de seguridad en sus ámbitos.
Responsable de seguridad del Ministerio: Toma decisiones técnicas y organizativas.
DPD: Asesora en protección de datos, supervisa cumplimientos y participa en el CSSI con voz pero sin voto (para preservar su independencia).
El informe aclara que el DPD no es responsable del tratamiento, sino un asesor y supervisor, tal como establece el RGPD (art. 37 y 38).
Protección de datos y medidas específicas
La PSI incorpora principios clave del RGPD:
Seguridad desde el diseño y por defecto (arts. 24 y 25 RGPD).
Responsabilidad proactiva (análisis de riesgos e impacto).
Notificación de brechas de seguridad (arts. 33 y 34 RGPD).
Protección de datos sensibles: Se prohíbe el análisis de tráfico cifrado que incluya categorías especialmente protegidas (art. 9 RGPD), salvo que exista una base legal válida.
Observaciones y recomendaciones
Participación del DPD en el CSSI: Debe ser como asesor sin voto para evitar conflictos de intereses.
Excepciones en la PSI: No deben interpretarse como exenciones de la normativa de protección de datos.
Precisión en el art. 15: Se sugiere aclarar que las medidas de seguridad incluyen técnicas y organizativas.
Conclusión
La AEPD considera la PSI favorablemente, siempre que se respeten las funciones del DPD y se apliquen medidas más estrictas cuando el análisis de riesgos así lo exija. El informe refuerza la necesidad de armonizar seguridad de la información y protección de datos, garantizando el cumplimiento del RGPD y la LOPDGDD en el ámbito público.
Este enfoque alinea la política del MISSM con los estándares europeos, reforzando la confianza en los servicios digitales de la Administración.