Este post proviene de esta fuente de noticias

El 17 de mayo de 2022, el SEPD publicó dos dictámenes, uno sobre la Propuesta de Reglamento por el que se establecen medidas para conseguir un elevado nivel común de ciberseguridad en las instituciones, órganos y organismos de la UE (EUI) (“Propuesta sobre ciberseguridad”) y otro sobre la seguridad de la información en las EUI (“Propuesta sobre seguridad de la información”).

El SEPD acoge con satisfacción el objetivo de las propuestas de mejorar la ciberseguridad y la seguridad de la información de las instituciones de la UE, estableciendo normas comunes y requisitos mínimos de seguridad que se ajustan a los objetivos pertinentes de la Estrategia de Ciberseguridad de la UE. Ambas propuestas están interrelacionadas con la propuesta NIS 2.0, que pretende armonizar y reforzar las prácticas de ciberseguridad en toda la Unión Europea, y sobre la que el SEPD ha emitido un dictamen.

Wojciech Wiewiórowski, SEPD, dijo: “Con la Directiva SRI 2.0 que acaban de acordar los colegisladores la semana pasada, la Comisión Europea ha dado un paso más al proponer oportunamente las normas correspondientes para las IUE. Estos serán los primeros actos jurídicos dedicados exclusivamente a regular la seguridad de los datos en las IUE, incluido el SEPD. No hay protección de los datos personales sin una gestión de riesgos y medidas de seguridad eficaces. Al mismo tiempo, es esencial proteger los datos personales tratados en los contextos de la seguridad de la información y la ciberseguridad. Creo que los textos proporcionan una buena base, pero pueden mejorarse con más garantías para los derechos y libertades de las personas cuando sus datos se tratan en operaciones de seguridad”.

En sus dictámenes, el SEPD subraya cómo estas propuestas pueden tener también un impacto positivo en la seguridad de los datos personales, tal como ordena el Reglamento (UE) 2018/1725. Al mismo tiempo, destaca los riesgos para el cumplimiento de la legislación de la UE sobre privacidad y protección de datos que implican las medidas de seguridad ordenadas por las Propuestas. A este respecto, el SEPD recomienda garantizar que todas las medidas de seguridad previstas tengan una base jurídica válida, sean necesarias y proporcionadas.

Para cumplir con ambas propuestas, las IUE, así como el CERT-UE, que actúa como “Centro de Ciberseguridad” de las IUE, tendrán que desplegar procesos y medidas que impliquen un tratamiento adicional de datos personales. Para lograr la seguridad jurídica y la previsibilidad, y para garantizar el cumplimiento del Reglamento (UE) 2018/1725, el SEPD aconseja encarecidamente que ambas propuestas proporcionen un fundamento jurídico claro para el tratamiento de datos personales por parte del CERT-UE y de las IUE, incluyendo, en particular, los fines del tratamiento y las categorías de datos personales que pueden tratarse.

El SEPD cree que la propuesta sobre ciberseguridad, en particular, debe mejorarse para ajustarse a las normas sustantivas de la Directiva NIS 2.0, de modo que se consigan normas coherentes y homogéneas para los Estados miembros de la UE y las instituciones europeas, a fin de contribuir al nivel general de ciberseguridad de la Unión.

Como ya señaló en su Dictamen sobre la SRI 2.0, el SEPD subraya la importancia de integrar la perspectiva de la protección de la intimidad y de los datos en la gestión de la ciberseguridad y la seguridad de la información, a fin de lograr sinergias positivas. Además, proporciona recomendaciones específicas sobre cómo pueden lograrse dichas sinergias mediante las propuestas, incluida la obligación específica de que los funcionarios de la UE responsables de la ciberseguridad y la seguridad de la información cooperen estrechamente con los responsables de la protección de datos, la integración de la gestión de los riesgos de seguridad con la seguridad de los datos personales y la integración de los procedimientos de gestión de los incidentes de seguridad y de las violaciones de datos.

El SEPD aconseja encarecidamente que la Propuesta de Ciberseguridad prevea la participación del SEPD en el “Consejo Interinstitucional de Ciberseguridad”. También cree que la Propuesta debería prever una estrecha cooperación entre el CERT-UE y el SEPD.