Resumen del dictamen del Supervisor Europeo de Protección de Datos sobre la Propuesta de Reglamento sobre la seguridad de la información en las instituciones, órganos y organismos de la Unión

(El texto completo de este dictamen puede consultarse en anglais, français et allemand en el sitio web del SEPD www.edps.europa.eu)

(2022/C 258/06)

El 22 de marzo de 2022, la Comisión Europea adoptó una Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la seguridad de la información en las instituciones, órganos y organismos de la Unión (en lo sucesivo, «la Propuesta»).

El SEPD acoge con satisfacción el objetivo de la Propuesta de mejorar la seguridad de la información manejada por los IUE mediante el establecimiento de normas comunes de seguridad de la información y el fomento de una cultura coherente de la seguridad de la información en un instrumento jurídico específico.

El SEPD observa que la seguridad de los datos personales con arreglo al mandato del RPDUE tiene un alcance que solo se solapa parcialmente con el ámbito de la seguridad de la información en virtud de la Propuesta. Esta última se centra en la confidencialidad de la información, mientras que el RPDUE también garantiza la integridad y la disponibilidad. Además, las disposiciones sobre seguridad de los datos personales del RPDUE abordan específicamente los riesgos para los derechos y libertades de las personas físicas.

La Propuesta exige que los IUE adopten medidas de seguridad de la información que inevitablemente implicarán el tratamiento de datos personales y de comunicaciones electrónicas, incluidos los datos de tráfico. El SEPD considera que debe quedar claro que todas las medidas de seguridad de la información que implican el tratamiento de datos personales deberán ajustarse al marco jurídico vigente en materia de protección de datos y privacidad, y que las IUE deberán adoptar las salvaguardias técnicas y organizativas pertinentes para garantizar este cumplimiento de manera responsable.

Para lograr la seguridad jurídica y la previsibilidad, y para garantizar el cumplimiento del RPDUE, el SEPD recomienda encarecidamente que la Propuesta, o al menos un acto delegado que la Comisión adopte posteriormente, defina claramente las actividades de tratamiento de datos personales autorizadas a efectos de dicho Reglamento. El SEPD también llama la atención sobre la necesidad de garantizar el cumplimiento de las normas del RPDUE relativas a las transferencias de datos personales a terceros países y organizaciones internacionales. Además, el SEPD recomienda explicar en un considerando que se aplicarán todas las disposiciones del RPDUE, incluidas las normas sobre transferencias internacionales.

El SEPD destaca la importancia de la integración de la perspectiva de protección de datos y privacidad en la gestión de seguridad de la información con el fin de lograr sinergias positivas entre la Propuesta y la legislación de protección de datos y privacidad, y ofrece recomendaciones específicas respecto a cómo se pueden lograr dichas sinergias: la obligación específica de que el funcionariado de la UE responsable de la seguridad de la información coopere estrechamente con la persona delegada de protección de datos designada de conformidad con el artículo 43 del RPDUE; la integración del cifrado de extremo a extremo en la lista de medidas mínimas de seguridad de la Propuesta, cuando proceda, y en particular cuando se intercambie información sensible no clasificada; y un proceso integrado de gestión de incidentes que sirva tanto a las obligaciones en materia de seguridad de la información como a las obligaciones en materia de protección de datos en las notificaciones de violación de la seguridad de los datos.

1. INTRODUCCIÓN Y ANTECEDENTES

1.	El 22 de marzo de 2022, la Comisión Europea adoptó una Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la seguridad de la información en las instituciones, órganos y organismos de la Unión (1) (en lo sucesivo, «la Propuesta»).

2.	En la misma fecha, la Comisión Europea adoptó otra propuesta de Reglamento por el que se establecen medidas destinadas a garantizar un elevado nivel común de ciberseguridad en las instituciones, los órganos y los organismos de la Unión (2) (en lo sucesivo, la «Propuesta de ciberseguridad»).

Ambas propuestas se habían previsto en la Estrategia de Ciberseguridad de la UE para la Década Digital, presentada el 16 de diciembre de 2020 (3) (en lo sucesivo, «la Estrategia»). La Estrategia tiene por objeto reforzar la autonomía estratégica de la Unión en los ámbitos de la ciberseguridad y mejorar su resiliencia y su respuesta colectiva, así como construir una internet global y abierta con fuertes vallas para hacer frente a los riesgos para la seguridad y los derechos y libertades fundamentales de las personas en Europa (4).

La Propuesta constituye una de las iniciativas reguladoras de la Estrategia y, en particular, en el ámbito de la ciberseguridad de las instituciones, órganos y organismos de la UE (en lo sucesivo, «IUE»). Según la Estrategia, el objetivo de la Propuesta es doble:

—	facilitar la interoperabilidad de los sistemas de información clasificada, permitiendo una transferencia de información sin fisuras entre las diferentes entidades, y

—

permitir un enfoque interinstitucional para el manejo de información clasificada de la UE y de la información sensible no clasificada, que también pueda servir como modelo de interoperabilidad entre los Estados miembros, que indique que la UE también deberá seguir desarrollando su capacidad de comunicación segura con los socios pertinentes, aprovechando en la medida de lo posible los acuerdos y procedimientos existentes.

El SEPD observa que el objeto de la Propuesta también está directamente relacionado con la Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión y por la que se deroga la Directiva (UE) 2016/1148 («Propuesta SRI 2.0»). El SEPD recuerda que emitió el Dictamen 5/2021 sobre la Estrategia de Ciberseguridad (5) y la Directiva SRI 2.0 («Dictamen SRI 2.0») (6). Por este motivo, el presente Dictamen se remite al Dictamen SRI 2.0.

Según la exposición de motivos de la Propuesta, debido a la creciente cantidad de información sensible no clasificada y de información clasificada de la Unión Europea (ICUE) que las IUE deben compartir entre sí, y teniendo en cuenta la drástica evolución del panorama de amenazas, la Administración europea está expuesta a ataques en todos sus ámbitos de actividad. La información que tratan las IUE es muy atractiva para quienes nos amenazan y debe protegerse adecuadamente.

Según la exposición de motivos, la Propuesta debería:

—	establecer categorías armonizadas y exhaustivas de información , así como de normas comunes de tratamiento para todas las IUE,

—	establecer un programa de cooperación sencillo en materia de seguridad de la información entre las IUE capaz de fomentar una cultura coherente de la seguridad de la información en toda la Administración europea,

—	modernizar las políticas de seguridad de la información en todos los grados de clasificación y categorización para todas las IUE, teniendo en cuenta la transformación digital y el desarrollo del teletrabajo como práctica estructural.

El 22 de marzo de 2022, la Comisión consultó al Supervisor Europeo de Protección de Datos de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (RPDUE) (7). Los comentarios y recomendaciones del presente Dictamen se limitan a las disposiciones de la Propuesta que son más pertinentes desde el punto de vista de la protección de datos y la privacidad.

4. CONCLUSIONES

31.

En vista de lo anterior, el SEPD formula las recomendaciones siguientes:

—

El SEPD recomienda encarecidamente que la Propuesta defina claramente las actividades de tratamiento de datos personales que están permitidas a efectos de dicho Reglamento, en particular: categorías de datos personales; categorías de personas interesadas; definición de funciones según proceda (responsable, persona encargada del tratamiento, corresponsables del tratamiento), períodos de conservación, personas destinatarias en caso de transmisión a entidades no sujetas al RPDUE. El SEPD considera que estos elementos deberán figurar explícitamente en la Propuesta o, al menos, en un acto delegado que la Comisión adopte posteriormente. La propuesta deberá prever dicha delegación.

—

El SEPD recomienda explicar en un considerando que se aplicarán todas las disposiciones del RPDUE, incluidas las normas sobre transferencias internacionales. El considerando 6 también puede utilizarse para incluir cualquier otra recomendación general de protección de datos formulada en el presente dictamen que no tenga por objeto modificar las disposiciones sustantivas.

—	El SEPD recomienda encarecidamente que se incluya el cifrado de extremo a extremo en la lista de medidas mínimas de seguridad de la Propuesta, cuando proceda, y en particular cuando se intercambie información sensible no clasificada.

—

El SEPD recomienda añadir en el artículo 5, apartado 3, que en los factores considerados por el proceso de gestión de riesgos para la seguridad de la información se tengan en cuenta también las amenazas derivadas del acceso basado en la jurisdicción de terceros países (por ejemplo, por parte de sus autoridades públicas).

—

El SEPD recomienda encarecidamente explicar en un considerando pertinente las ventajas de contar con una gestión integrada de los riesgos para la seguridad de la información y un proceso integrado de gestión de incidentes que sirva tanto a las obligaciones en materia de seguridad de la información como a las obligaciones en materia de protección de datos en las notificaciones de violación de la seguridad de los datos.

—

El SEPD recomienda encarecidamente que la propuesta establezca la obligación específica de que el personal funcionario de la UE responsable de la seguridad de la información coopere estrechamente con la persona responsable de protección de datos designada de conformidad con el artículo 43 del RPDUE, cuando se trate de actividades como la aplicación de la protección de datos desde el diseño y por defecto a las medidas de seguridad de la información, la selección de medidas de seguridad que impliquen datos personales, la gestión integrada de riesgos y la gestión integrada de incidentes de seguridad.

Bruselas, 17 de mayo de 2022.

Wojciech Rafał Wiewiórowski

(1) COM(2022) 119 final.

(2) COM(2022) 122 final.

(3) La Estrategia de Ciberseguridad de la UE para la Década Digital «Configurar el futuro digital de Europa» (europa.eu), incluida una Comunicación conjunta con el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad (JOIN (2020) 18)

(4) Véase el capítulo I. INTRODUCCIÓN, página 4, de la Estrategia.

(5) Comunicación conjunta de la Comisión Europea y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad publicaron al Parlamento Europeo y el Consejo, titulada «La estrategia de ciberseguridad de la UE para la década digital».

(6) Dictamen 5/2021 del SEPD sobre la Estrategia de Ciberseguridad y la Directiva SRI 2.0.

(7) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.° 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).