| Informe | 2025-0027 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre la Política de Seguridad de la Información (PSI) del Ministerio de Derechos Sociales, Consumo y Agenda 2030
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe favorable al proyecto de Orden que aprueba la Política de Seguridad de la Información (PSI) del Ministerio de Derechos Sociales, Consumo y Agenda 2030, siempre que se ajuste a determinados aspectos clave.
Marco normativo y objetivos
El proyecto de Orden cumple con el Real Decreto 311/2022 (Esquema Nacional de Seguridad – ENS), que obliga a cada ministerio a aprobar su propia PSI. Además, garantiza el cumplimiento del RGPD y la LOPDGDD en el tratamiento de datos personales, incorporando principios como:
Seguridad desde el diseño y por defecto (art. 25 RGPD).
Responsabilidad proactiva (art. 5.2 RGPD), basada en análisis de riesgos y evaluaciones de impacto.
Separación de funciones entre el Delegado de Protección de Datos (DPD) y el Responsable de Seguridad, para evitar conflictos de interés.
Tratamiento de datos personales
El artículo 2 del proyecto regula el tratamiento de datos en el ministerio, destacando:
Principios básicos (licitud, transparencia, minimización, integridad y confidencialidad).
Medidas de seguridad proporcionales derivadas de análisis de riesgos y evaluaciones de impacto (art. 32 RGPD).
Prevalencia del RGPD: Si el análisis de riesgos determina medidas más estrictas que las del ENS, deben aplicarse las del RGPD para garantizar la protección de datos.
Delegado de Protección de Datos (DPD): Su figura queda bien delimitada, con funciones de asesoramiento, supervisión y coordinación, aunque sin capacidad decisoria en órganos como el Comité de Seguridad de la Información (CSI), donde participaría solo con voz pero sin voto.
Estructura organizativa
La PSI establece una jerarquía clara para la gestión de la seguridad:
Comisión Ministerial de Administración Digital (CMAD): Supervisa la política de seguridad y aprueba planes de auditoría y formación.
Comité de Seguridad de la Información (CSI): Coordina la seguridad, aprueba controles y gestiona incidentes.
Responsables designados:
Responsable de Seguridad (RSeg): Garantiza el cumplimiento de medidas de seguridad.
Responsable de la Información (RInf): Determina requisitos basados en confidencialidad e integridad.
Responsable del Servicio (RSer): Define requisitos de seguridad para servicios prestados.
Responsable del Sistema (RSis): Implementa seguridad técnica (no puede solaparse con otros roles).
Delegado de Protección de Datos (DPD): Asesora en cumplimiento del RGPD y supervisa que las medidas se apliquen correctamente.
Sugerencias de mejora
La AEPD recomienda:
Modificar el art. 2.2 para clarificar que las «medidas de seguridad» incluyen técnicas y organizativas (según arts. 24 y 32 RGPD).
Garantizar la independencia del DPD, evitando solapamientos con roles de seguridad operativa.
Reforzar la gestión de riesgos: Incorporar referencias explícitas al art. 32 RGPD y a las indicaciones de la AEPD en la Cláusula Decimosexta.
Conclusión
El proyecto cumple con la normativa de protección de datos, pero debe ajustarse en redacción y garantizar la prevalencia del RGPD sobre el ENS en casos de medidas más exigentes. La estructura organizativa propuesta es sólida, siempre que se respete la autonomía del DPD y se eviten conflictos de interés. La AEPD emite un informe favorable condicionado a estas correcciones.