| Informe | 2025-0020 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre la Política de Seguridad de la Información (PSI) del Ministerio de Educación, Formación Profesional y Deportes
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe favorable, con una sugerencia de mejora, sobre el proyecto de Orden por la que se aprueba la Política de Seguridad de la Información (PSI) del Ministerio de Educación, Formación Profesional y Deportes, así como su estructura de gobierno y gestión.
Aspectos clave del informe
Cumplimiento normativo y marco legal
La PSI se ajusta al Real Decreto 311/2022, de 3 de mayo, que regula el Esquema Nacional de Seguridad (ENS) en la Administración General del Estado, garantizando la seguridad de los sistemas de información y el tratamiento de datos personales.
La normativa busca alinear la seguridad de la información con la protección de datos personales, especialmente con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).
Principios y estructura de la PSI
La política se basa en principios de seguridad de la información, como la gestión de riesgos, la protección de datos personales y el cumplimiento legal.
Se establece una estructura organizativa para gestionar la seguridad:
Comité de Dirección de Seguridad de la Información (CDSI): Supervisa la política y coordina su cumplimiento.
Comité Operativo de Seguridad de la Información (COSI): Aborda aspectos técnicos y opera bajo el CDSI.
Responsable de Seguridad: Toma decisiones para garantizar la protección de los sistemas.
Delegado de Protección de Datos (DPD): Asesora en materia de protección de datos y supervisa su cumplimiento.
Gestión de riesgos y medidas de seguridad
El proyecto exige la realización de un análisis de riesgos para los sistemas que manejen datos personales, siguiendo lo dispuesto en el artículo 32 del RGPD y el Esquema Nacional de Seguridad.
En caso de que las medidas derivadas del análisis de riesgos sean más estrictas que las del ENS, deben prevalecer las de protección de datos para garantizar el cumplimiento del RGPD.
Se incluyen directrices sobre registro de actividades de usuarios, análisis de comunicaciones (limitado a fines de seguridad) y evaluación de impacto en la protección de datos (EIPD) cuando sea necesario.
Rol del Delegado de Protección de Datos (DPD)
El DPD debe actuar con independencia y participar como asesor en los comités (CDSI y COSI), pero sin voto.
Su función es supervisar el cumplimiento de la normativa de protección de datos y apoyar al Responsable del Tratamiento en la adopción de medidas.
Sugerencia de mejora
La AEPD recomienda modificar el artículo 14 para incluir explícitamente «medidas técnicas y organizativas» junto a las de seguridad, en línea con los artículos 24 y 32 del RGPD.
Conclusión
El informe califica favorablemente el proyecto de PSI, destacando su alineación con el RGPD y el ENS. Sin embargo, sugiere ajustar la redacción para reforzar la mención a las medidas técnicas y organizativas en la gestión de riesgos y protección de datos personales. Así, se garantiza un enfoque integral en la seguridad de la información y el cumplimiento de los derechos fundamentales en materia de protección de datos.
La AEPD subraya la importancia de que el Ministerio implemente estas medidas de manera efectiva, asegurando la coordinación entre la seguridad de la información y la protección de datos personales.