| Informe | 2025-0025 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre la Orden Ministerial de Política de Seguridad de la Información del Ministerio de Industria y Turismo (2025-0025)
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico favorable, con recomendaciones, sobre el proyecto de Orden Ministerial de Política de Seguridad de la Información (PSI) del Ministerio de Industria y Turismo. El objetivo de esta Orden es alinear la seguridad de la información con el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, y garantizar el cumplimiento del RGPD (Reglamento General de Protección de Datos) y la LOPDGDD (Ley Orgánica 3/2018).
Aspectos clave del informe
Fundamento legal y objetivo de la Orden
La AEPD valora positivamente que el proyecto haya recabado informes previos de la Secretaría General Técnica y de la propia AEPD.
La Orden busca cumplir con el artículo 12.3 del Real Decreto 311/2022, que exige a cada Ministerio aprobar su propia Política de Seguridad de la Información (PSI).
Se estructura en 19 artículos, una disposición adicional, una derogatoria y una final, regulando órganos de gobierno y competencias.
Integración de la protección de datos en la PSI
El proyecto incorpora múltiples referencias al RGPD y la LOPDGDD, especialmente en:
Principios de seguridad:
«Seguridad desde el diseño y por defecto» (artículo 3), vinculando la protección de datos con la seguridad de la información.
«Gestión de riesgos» como proceso continuo (artículo 3).
Medidas técnicas y organizativas:
Se exige el cumplimiento estricto del artículo 5 del RGPD (licitud, transparencia, minimización, integridad, etc.).
Se recomienda incluir en el artículo 17 una referencia expresa a estas medidas, así como a la evaluación de impacto (EIPD) cuando sea necesaria.
Conflictos normativos:
En caso de conflicto entre la normativa de seguridad y la de protección de datos, prevalecerá la más exigente (según el criterio del Delegado de Protección de Datos).
Figura del Delegado de Protección de Datos (DPD)
El artículo 11 regula sus funciones, alineándose con el RGPD (artículo 37) y la LOPDGDD (artículo 34).
Debe ser designado por cualificación profesional y conocimientos especializados en protección de datos.
Funciones:
Asesorar en identificación de riesgos y adopción de medidas.
Supervisar la gestión de brechas de datos (incidentes de seguridad).
Velar por el cumplimiento de las medidas agravadas derivadas del análisis de riesgos.
Recomendaciones clave de la AEPD
Ampliar el artículo 17 para incluir:
Principios del RGPD (artículo 5): licitud, transparencia, minimización, exactitud, etc.
Medidas de seguridad «técnicas y organizativas» (no solo «medidas de seguridad»).
Prevalencia de la normativa de protección de datos en conflictos.
Medidas agravadas derivadas del análisis de riesgos (superiores a las del ENS).
Diferenciación de responsabilidades:
El Responsable de Seguridad (RSeg) y el Responsable de Sistemas (RInf) deben ser independientes.
Si no es posible, se exigen medidas compensatorias para evitar conflictos de interés.
Metodología de gestión de riesgos
Se alinea con el artículo 32 del RGPD y el capítulo II del ENS:
Análisis continuo de riesgos.
Evaluación de impacto para tratamientos de alto riesgo.
Equilibrio entre coste, eficacia y nivel de protección.
Conclusiones del informe
El proyecto cumple con la normativa, pero se recomienda reforzar el artículo 17 para clarificar:
La aplicación plena del RGPD y la LOPDGDD.
La distinción entre seguridad de la información y protección de datos personales (derecho fundamental según el artículo 18.4 de la Constitución y el RGPD).
La asignación clara de funciones entre el DPD y el RSeg (evitando solapamientos).
La AEPD informa favorablemente, subsanando los aspectos sugeridos para garantizar el cumplimiento pleno del marco legal.
En resumen:
La AEPD aprueba el proyecto de Orden, pero urge perfeccionar su articulado para reforzar la protección de datos, garantizar la separación de funciones y asegurar que las medidas de seguridad prioricen el cumplimiento del RGPD sobre el ENS.