| Informe | 2025-0011 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD sobre la Política de Seguridad del Ministerio de Juventud e Infancia
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el Proyecto de Orden por la que se aprueba la Política de Seguridad de la Información del Ministerio de Juventud e Infancia, en relación con el Real Decreto 311/2022 (ENS), el RGPD y la LOPDGDD. El objetivo es evaluar su adecuación a los requisitos de seguridad y protección de datos, así como proponer mejoras.
Contexto normativo y obligaciones del ENS
El Real Decreto 311/2022 (ENS) regula la política de seguridad de la información en la Administración Pública, exigiendo a cada Ministerio:
Aprobar una Política de Seguridad con objetivos, marco normativo, roles de seguridad, estructura organizativa y gestión de riesgos (art. 12).
Incluir medidas técnicas y organizativas para proteger los datos personales, alineadas con RGPD y LOPDGDD (art. 3).
Realizar un análisis de riesgos y, en casos de alto riesgo, una Evaluación de Impacto (EIPD).
La AEPD ya ha examinado proyectos similares en otros ministerios (ej. Informes 036/2024 y 040/2024), destacando su papel en la supervisión de la protección de datos.
Análisis del Proyecto de Política de Seguridad
A. Estructura organizativa y roles
El proyecto define las funciones de los responsables de seguridad, sistemas, información y servicios (art. 11 ENS), siguiendo lo dispuesto en el RD 311/2022.
Se menciona la figura del Delegado de Protección de Datos (DPD), con voz pero sin voto en el Comité de Seguridad de la Información (para garantizar su independencia), lo cual es aprobado por la AEPD.
Sugerencias clave:
Incompatibilidad funcional: Se recomienda prohibir que el Responsable de Seguridad sea también el DPD (art. 9.4).
Registro de disidencias: Que el DPD pueda reflejar su opinión en acta si no coincide con decisiones del Comité (art. 8.2.b.iii).
Referencia normativa: Incluir tanto el RGPD como la LO 3/2018 en el art. 11.1 (responsabilidad de roles).
B. Protección de datos (art. 15 y 16)
Art. 15: Define responsable y encargado del tratamiento de forma innecesaria y confusa, ya que el RGPD ya regula estos términos (art. 4.7 y 4.8).
Solicitud de la AEPD: Suprimir el artículo, pues confunde la naturaleza jurídica de estos roles (no son designaciones de la política de seguridad, sino figuras del RGPD).
Art. 16: Aborda la protección de datos con una aproximación más alineada, pero contiene referencias redundantes a «persona designada» (ej. «persona designada responsable»), que deben eliminarse.
C. Resolución de conflictos (art. 17)
El proyecto encomienda la resolución de conflictos al «superior jerárquico», lo que contradice:
El art. 14 del RD 311/2022, que atribuye esta función a la Comisión Ministerial de Administración Digital (CMAD) (creada por Orden JUI/844/2024).
La AEPD recomienda ajustar el artículo para que los conflictos se resuelvan conforme al ENS, a través de la CMAD.
D. Disposición final sobre vigencia
La Disposición Final cuarta establece una vigencia condicionada a que otro Ministerio asuma competencias, lo cual es incongruente porque el proyecto aprueba la política de seguridad del actual Ministerio.
Propuesta: Reformular para evitar contradicciones.
Conclusiones y recomendaciones
La AEPD aprueba favorablemente el Proyecto, pero con sugerencias clave:
Suprimir el art. 15 para evitar duplicidad con el RGPD.
Aclarar los roles (responsable de seguridad vs. DPD) y garantizar su independencia.
Ajustar la resolución de conflictos a lo establecido en el ENS (vía CMAD).
Reformular la disposición sobre vigencia para mayor coherencia.
Este informe subraya la importancia de que las políticas de seguridad en la Administración Pública integren correctamente la protección de datos, siguiendo el marco legal vigente. La AEPD reafirma su papel en la supervisión para asegurar el cumplimiento del RGPD y el ENS, promoviendo la seguridad jurídica y técnica en el tratamiento de datos por las Administraciones.