| Informe | 2025-0040 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre la Política de Seguridad de la Información (PSI) del Ministerio de Política Territorial y Memoria Democrática (MPTMD)
El informe de la Agencia Española de Protección de Datos (AEPD) analiza la adecuación de la propuesta de Política de Seguridad de la Información (PSI) de los servicios centrales del MPTMD a la normativa vigente en materia de protección de datos, especialmente el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD). A continuación, se resumen los aspectos clave:
Cumplimiento del marco normativo
La PSI se alinea con el Esquema Nacional de Seguridad (ENS), que exige que cada ministerio cuente con una política de seguridad aprobada. El proyecto cumple este requisito mediante una Orden Ministerial, cumpliendo los principios de buena regulación (necesidad, eficacia, etc.).
La normativa incide en la gestión del riesgo, la protección de datos personales y la responsabilidad proactiva (principios del RGPD como la protección desde el diseño y por defecto).
Protección de datos personales y análisis de riesgos
El informe destaca que la PSI integra correctamente las obligaciones del RGPD, especialmente:
Análisis de riesgos y evaluación de impacto (EIPD): Cuando un sistema maneje datos personales, se exigirá un análisis de riesgos conforme al artículo 24 del RGPD y, si hay alto riesgo, una evaluación de impacto (EIPD) conforme al artículo 35 del RGPD.
Medidas técnicas y organizativas: Se aplicarán conforme al artículo 32 del RGPD, garantizando un nivel de seguridad adecuado al riesgo.
Principios de proporcionalidad y minimización: Las medidas deben ser estrictamente necesarias y proporcionales, evitando tratamiento excesivo o conservación innecesaria de datos.
Prevalencia de medidas agravadas: Si el análisis de riesgos determina medidas más estrictas que las del ENS, estas prevalecerán para garantizar la protección de datos.
Estructura organizativa y roles
La PSI define una estructura con varios actores clave:
Comité de Seguridad de la Información (CSI): Incluye, entre otros, al Delegado de Protección de Datos (DPD) como asesor (con voz, pero sin voto para preservar su independencia).
Responsable del tratamiento: Debe realizar el análisis de riesgos (artículo 6.b) y garantizar el cumplimiento del RGPD.
Responsable de Información y del Servicio: Gestionan riesgos en sus ámbitos, incluyéndose la protección de datos si estos sistemas manejan información personal.
Posición favorable:
Se aprueba la definición de los actores (responsables, DPD, etc.), aunque se recomienda incorporar explícitamente los artículos 37.5 y 38.3 del RGPD sobre designación y protección del DPD (ej.: que no pueda ser sancionado por su función).
Aspectos críticos y recomendaciones
Tratamientos derivados de medidas de seguridad (artículo 16):
Se critica que el proyecto no especifica su proporcionalidad y finalidad, limitándose a citar el artículo 24 del ENS.
Falta una descripción clara del tratamiento de comunicaciones (ej.: análisis de tráfico), que debe ser estrictamente necesario para evitar vulnerar derechos fundamentales (como el secreto de las comunicaciones).
Solicitud: Incluir los principios de limitación de finalidad, minimización de datos y plazo de conservación.
Uso de IA generativa (artículo 6.s):
La norma prohíbe transferir datos a plataformas externas no evaluadas, pero no aclara si el uso de IA con datos personales cumple con el RGPD (bases legales, información a los afectados, evaluación de riesgos, etc.).
Obligación: Verificar que cualquier tratamiento con IA cumpla con el principio de necesidad y seguridad, especialmente si los datos son personales.
Registro de actividad (artículo 6.l):
Se aprueba su inclusión, siempre que se garantice el derecho al honor, intimidad y protección de datos de los usuarios monitorizados.
Conclusión
El informe valora positivamente el proyecto en lo esencial:
✅ Incorpora los principios del RGPD (protección por defecto, responsabilidad activa, análisis de riesgos).
✅ Define correctamente los roles (DPD, responsables, CSI), aunque recomienda ajustes normativos (arts. 37.5 y 38.3 del RGPD).
✅ Exige análisis de riesgos y evaluación de impacto cuando se traten datos personales.
❌ Aspectos a corregir o mejorar:
Artículo 16: Añadir requisitos de proporcionalidad y describir el tratamiento de datos en medidas de seguridad.
IR generativa: Especificar cómo se garantiza que su uso cumple con el RGPD.
DPD: Incluir sus garantías de independencia (prohibición de sanciones por su labor).
En resumen
La AEPD aprueba el enfoque general de la PSI, siempre que se subsanen los puntos débiles identificados para garantizar la protección de derechos fundamentales en el tratamiento de datos personales. La clave está en integrar plenamente la evaluación de riesgos conforme al RGPD y delimitar claramente los tratamientos de datos en cada medida de seguridad.