| Informe | 2024-0040 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre la Política de Seguridad de la Información del Ministerio de Hacienda (Expediente 2024-0040)
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico favorable, con observaciones, sobre la Política de Seguridad de la Información (PSI) del Ministerio de Hacienda, destacando su alineación con el Esquema Nacional de Seguridad (ENS) —regulado por el Real Decreto 311/2022— y el Reglamento General de Protección de Datos (RGPD, UE 2016/679).
Objetivo y alcance de la PSI
La PSI busca regular la seguridad de la información en el ámbito del Ministerio de Hacienda, incluyendo datos personales, y es de obligado cumplimiento para todo el personal que acceda a los sistemas. Su aprobación responde a la necesidad de adaptarse al ENS y garantizar el cumplimiento de la normativa de protección de datos.
Principales aspectos destacados por la AEPD
Marco normativo:
La PSI debe ser coherente con el ENS y el RGPD, prevaleciendo este último en caso de conflicto.
Se cita el artículo 12.3 del ENS, que exige a cada ministerio aprobar su propia política de seguridad, y el artículo 32 del RGPD, que obliga a implementar medidas técnicas y organizativas para proteger los datos personales.
Gestión de riesgos:
El artículo 4.1.d) establece el principio de gestión de riesgos, esencial para mantener un entorno controlado.
El análisis de riesgos debe considerar tanto la seguridad de la información como la protección de datos personales, priorizando estas últimas si son más exigentes.
Estructura organizativa:
La PSI define una estructura con:
Comité de Dirección de Seguridad de la Información (CDSI): presidido por el subsecretario, vela por el cumplimiento de la PSI.
Grupo de Trabajo Técnico de Seguridad de la Información (GTTSI): dependiente del CDSI, aborda cuestiones técnicas.
Responsables de seguridad, información, sistemas y delegado de protección de datos.
La AEPD recomienda mejorar la redacción del artículo 11 para detallar las funciones del delegado de protección de datos, asegurando su designación conforme al RGPD y la Ley Orgánica 3/2018.
Protección de datos personales:
El artículo 16 refuerza las medidas de seguridad para datos personales, exigiendo:
Implementación de medidas agravadas si el análisis de riesgos lo requiere (según el RGPD).
Evaluaciones de impacto para tratamientos de alto riesgo.
Auditorías que incluyan revisión de medidas técnicas y organizativas para datos personales.
Diferenciación entre seguridad de la información y protección de datos:
La AEPD insiste en que la seguridad de la información se enfoca en la confidencialidad, integridad y disponibilidad de los datos, mientras que la protección de datos es un derecho fundamental (artículo 18.4 de la Constitución y articulo 8 de la Carta de Derechos Fundamentales de la UE).
Recomendaciones de la AEPD
Delegado de Protección de Datos (DPD):
Su participación en el CDSI debe ser sin voto (solo voz).
Las funciones deben alinearse con el RGPD (asesoramiento, supervisión y control del cumplimiento).
Funciones ejecutivas:
El DPD no debe sustituir al responsable del tratamiento, que sigue siendo el garante del cumplimiento normativo.
Conclusión
La AEPD considera la PSI favorable, siempre que se implementen las recomendaciones sobre el DPD y se asegure que las medidas de protección de datos prevalezcan sobre las del ENS cuando sea necesario. La normativa garantiza un marco robusto para la seguridad de la información y los datos personales en la Administración Digital.