| Informe | 2025-0060 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre la Política de Seguridad de la Información del Ministerio de Ciencia, Innovación y Universidades
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el proyecto de Orden que aprueba la Política de Seguridad de la Información (PSI) del Ministerio de Ciencia, Innovación y Universidades, enmarcándola dentro del Esquema Nacional de Seguridad (ENS) y las normas de protección de datos (RGPD y LOPDGDD). La AEPD emite una valoración favorable al considerar que el texto se ajusta a la normativa aplicable y garantiza los derechos fundamentales de los ciudadanos.
Marco normativo y principios rectores
La PSI cumple con el Real Decreto 311/2022, que regula el ENS, y con el RGPD y la LOPDGDD, incorporando principios clave como:
Seguridad integral y gestión de riesgos (control continuo de amenazas).
Proporcionalidad (medidas adaptadas al nivel de riesgo).
Seguridad desde el diseño y por defecto (protección incorporada en los sistemas).
Responsabilidad proactiva (evaluación de impacto en tratamientos de alto riesgo).
Destaca la prevalencia de las medidas más estrictas en protección de datos sobre el ENS cuando sea necesario, reforzando la garantía de los derechos fundamentales.
Estructura organizativa y roles
La Orden define una jerarquía de responsabilidades:
Subsecretaría: Dirige la estrategia de seguridad.
Comité de Seguridad: Coordina políticas y auditorías.
Responsable de Seguridad: Supervisa la aplicación de medidas, independiente del área técnica.
Responsable del Tratamiento: Responsable último del cumplimiento del RGPD y LOPDGDD, con obligación de demostrar la seguridad de los datos.
Delegado de Protección de Datos (DPD): Figura clave, con independencia funcional y participación en el Comité sin voto (para evitar conflictos). Sus funciones incluyen asesorar, supervisar y garantizar el cumplimiento normativo, especialmente en evaluaciones de impacto (EIPD) para tratamientos de alto riesgo.
Protección de datos en el tratamiento
El artículo 15 de la Orden desarrolla específicamente:
Principios aplicables al tratamiento de datos (licitud, minimización, integridad, etc.).
Seguridad del tratamiento: Medidas técnicas y organizativas adecuadas al riesgo, con enfoque en la confidencialidad, integridad y disponibilidad.
Evaluación de impacto (EIPD): Obligatoria cuando el tratamiento pueda suponer un alto riesgo para los derechos de los afectados, con intervención del DPD.
Auditorías: Deben incluir revisión de medidas de protección de datos, integrando el ENS y el RGPD.
Coordinación entre ENS y protección de datos
La AEPD subraya la necesidad de alinear ambos marcos. En caso de divergencia, prevalecen las medidas más exigentes derivadas del RGPD (por ejemplo, en tratamientos con alto riesgo, donde las garantías deben ser mayores que las del ENS).
Conclusión
La AEPD considera que el proyecto de Orden:
✅ Se ajusta al RGPD, LOPDGDD y ENS.
✅ Refuerza la protección de datos mediante medidas escalables y evaluaciones de riesgo.
✅ Garantiza la independencia del DPD y su papel activo en la supervisión.
✅ Armoniza la seguridad de la información con los derechos fundamentales.
Por ello, la AEPD informa favorablemente su aprobación, destacando su coherencia con el marco legal y su enfoque proactivo en la gestión de riesgos y protección de datos.
Informe de referencia: AEPD 2025-0060/SJ.