| Informe | 2025-0062 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre la Política de Seguridad de la Información del Ministerio de Trabajo y Economía Social (MTES)
Contexto y objeto del proyecto
La Agencia Española de Protección de Datos (AEPD) analiza la propuesta de Política de Seguridad de la Información (PSI) del Ministerio de Trabajo y Economía Social (MTES), que actualiza la normativa existente para alinearla con el marco jurídico actual, como el Real Decreto 311/2022 (Esquema Nacional de Seguridad) y el Reglamento General de Protección de Datos (RGPD). El proyecto busca derogar la anterior orden ministerial e introduce nuevos principios, como la clasificación de información y la gestión dinámica de riesgos.
Ámbito de aplicación
Material: Cubre todos los sistemas de información del MTES (recursos físicos, lógicos, datos, etc.).
Subjetivo: Obligatorio para empleados públicos, organismos vinculados y personal externo que acceda a datos del ministerio. Subraya que los organismos sin política propia de seguridad quedarán integrados en la normativa del MTES.
Cumplimento de la normativa de protección de datos
El informe destaca que la PSI del MTES cumple con el RGPD y la Ley Orgánica 3/2018 (LOPDGDD), especialmente en:
Principios clave (artículo 4.2):
Protección de datos personales (medidas técnicas/organizativas conforme al artículo 32 RGPD).
Análisis de riesgos (en línea con el artículo 24 RGPD): evalúa amenazas y aplica medidas proporcionales al riesgo.
Mínimo privilegio: Limita el acceso a datos a lo estrictamente necesario, actuando desde el diseño (artículo 25 RGPD).
Vigilancia continua: Reevaluación periódica de riesgos y actualización de medidas.
Tratamiento de datos personales (artículo 15):
Obliga a aplicar medidas proporcionales al riesgo (análisis conforme al artículo 24 RGPD y evaluaciones de impacto según el artículo 35 RGPD).
Prevalece sobre el ENS: Si el análisis de riesgos determina medidas más estrictas que las del Anexo II del RD 311/2022, estas deben implementarse.
Gestión de incidentes (artículo 5.n y o):
Incluye protocolos para notificar brechas de seguridad a la AEPD y a los afectados (conforme al RGPD), con plazos y documentación obligatoria.
Estructura organizativa y roles
El proyecto define una estructura con nueve roles, incluyendo:
Delegado de Protección de Datos (DPD): Su regulación (artículo 14) se considera adecuada, pero se recomienda:
Especificar cualificaciones profesionales del candidato (art. 37.5 RGPD).
Garantizar su independencia jerárquica (art. 38.3 RGPD).
Responsable del tratamiento: Debe realizar análisis de riesgos y evaluaciones de impacto (art. 5.b y 15.1).
COSTIC: Comité transversal que supervisa la seguridad y forma al personal en protección de datos.
Puntos de mejora identificados
Aunque el informe es favorable, la AEPD sugirió:
Suprimir el último inciso del artículo 5.b (análisis de riesgos), que planteaba establecer «niveles de seguridad más altos» que el RGPD, dado que este no fija umbrales concretos, sino medidas «apropiadas».
Incluir en el texto:
Las cualidades profesionales del DPD (art. 37.5 RGPD).
La independencia del DPD (art. 38.3 RGPD).
Añadir una disposición que regule la «detección de código dañino» (previsto en el artículo 24.2 del ENS), para garantizar la seguridad integral de sistemas.
Conclusión
El proyecto cumple con los requisitos del ENS y el RGPD, integrando la protección de datos en la política de seguridad del MTES. Sin embargo, requiere ajustes menores, como la aclaración de ciertas disposiciones y la inclusión de medidas para detectar código maligno. La AEPD aprueba el texto con reservas, recomendando las modificaciones para garantizar su plena adecuación a la normativa de protección de datos.
En esencia: La PSI del MTES alinea seguridad técnica y derechos fundamentales, pero debe afinar detalles para evitar ambigüedades en la gestión de riesgos y garantizar la independencia de los actores clave, como el DPD.