Las Tecnologías de la Información y la Comunicación (en adelante, TIC) se han convertido en un mecanismo esencial a la hora de alcanzar los objetivos de cualquier organización pública, suponiendo a su vez, importantes beneficios en cuanto a la eficacia y eficiencia de esta. Por otro lado, la transformación digital del sector público debe incorporar la seguridad de todos los elementos TIC como un elemento más a tener en cuenta: sistemas, comunicaciones, infraestructuras y el propio personal del Ministerio.

Por ello, la seguridad debe considerarse desde una visión integral de los sistemas de información, así como desde un punto de vista global, al cubrir cualquier ámbito que se considere que puede afectar de un modo u otro a la seguridad de los servicios y de la información. Esa necesaria aproximación integral al ámbito de la seguridad de la organización desde el punto de vista TIC proporcionará enfoques preventivos que minimicen la aparición de incidentes (formación, concienciación, medidas técnicas, etc.), como mecanismos de detección y respuesta efectiva a los incidentes a los efectos de garantizar la continuidad de los servicios prestados.

El marco de relación entre la Administración Pública y los ciudadanos a través de los medios electrónicos se encuentra establecido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. En su artículo 13 se recoge, entre los derechos de las personas en sus relaciones con las Administraciones Públicas, el relativo «a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas».

Por otra parte, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en su artículo 3, trata los principios generales relativos a las relaciones de las administraciones a través de medios electrónicos. Así mismo, en su artículo 156 se contempla el Esquema Nacional de Interoperabilidad y el Esquema Nacional de Seguridad (en adelante, ENS). Ambas leyes han sido objeto de desarrollo en estas materias en virtud del Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.

Asimismo, el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de las relaciones entre la Administración Pública y los ciudadanos a través de los medios electrónicos, estableciendo los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada y los servicios prestados.

Así, el artículo 12.3 del citado Real Decreto 311/2022, de 3 de mayo, exige que, en la Administración General del Estado, cada ministerio contará con su política de seguridad, que aprobará la persona titular del Departamento. Esta política de seguridad se establecerá de acuerdo con los principios básicos recogidos en el capítulo II del citado Real Decreto, y se desarrollará aplicando los requisitos mínimos referidos en su artículo 12.6, que se refieren a la seguridad como proceso integral, la gestión de la seguridad basada en los riesgos, la prevención, detección, respuesta y conservación, la existencia de líneas de defensa, la vigilancia continua, la reevaluación periódica y la diferenciación de responsabilidades.

Del mismo modo, la política de seguridad de la Información debe referenciar y ser coherente con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos); en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; así como en las normas aplicables a la Administración Digital del Departamento que desarrollen o complementen las anteriores y que se encuentren dentro del ámbito de aplicación de la Política de Seguridad de la Información.

En atención a cuanto ha quedado expuesto, el Ministerio de Consumo ha situado los sistemas TIC como elementos estratégicos coadyuvantes para el desarrollo y cumplimiento de las competencias que se le atribuyen. Dichos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la confidencialidad de la información tratada, la integridad, la disponibilidad, la autenticidad, o la trazabilidad de los servicios prestados. Los órganos directivos y las unidades administrativas que conforman el Ministerio deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes.

Así mismo, al disponer de una gran exposición digital a los efectos de proporcionar servicios digitales a ciudadanos y empresas, en diversos ámbitos, así como disponer de procedimientos de control y monitorización del juego online legal e ilegal, protección y promoción de los derechos de las personas consumidoras y usuarias, arbitraje, investigación y control de calidad, vigilancia de mercado, entre otros y todo ello en un entorno de amenazas digitales en constante evolución y de distinta naturaleza, la gestión de la seguridad se convierte en una necesidad para el aseguramiento del ejercicio de las funciones encomendadas, siendo imprescindible la implementación de un plan de seguridad que vele por la calidad de los servicios, y la información en sí misma. Un plan que permita gestionar los riesgos relacionados con las TIC y confiera una estructura organizativa y operativa para poder implantar las medidas requeridas.

Finalmente, tanto el personal del Ministerio de Consumo como las terceras partes que prestan servicio al mismo, deben ser partícipes del citado plan, ya que su participación es requisito imprescindible tanto para su puesta en marcha, como para lograr la mitigación de los riesgos, estableciéndose un entorno coherente en cuanto a lo que el tratamiento de la seguridad se refiere: la dirección estratégica definiendo las medidas a adoptar para controlar y gestionar los riesgos, los técnicos o usuarios finales, encargados de implantar, configurar, tratar y/o manipular los sistemas de información, así como el personal encargado de medir y supervisar la calidad de las medidas implantadas.

Con la presente orden se pretende, por tanto, aprobar la Política de Seguridad de la Información del Ministerio de Consumo, así como establecer la estructura organizativa para definirla, implantarla y gestionarla.

Esta orden cumple con los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre. Así, atiende a la necesidad de aprobar la Política de Seguridad de la Información del Ministerio de Consumo, y da cumplimiento al mandato contenido en el artículo 12.3 del Real Decreto 311/2022, de 3 de mayo. Además, es eficaz y proporcionada en el cumplimiento de este propósito sin afectar en forma alguna a los derechos y deberes de la ciudadanía. También contribuye a dotar de mayor seguridad jurídica a la organización y funcionamiento de la Administración General del Estado, en lo que se refiere al Ministerio de Consumo. Cumple también con el principio de transparencia, ya que identifica claramente su propósito, aunque al tratarse de una norma puramente organizativa, su tramitación no ha requerido de la consulta pública previa y de los trámites de audiencia e información pública. No obstante, su memoria ofrece una explicación completa de su contenido. Finalmente, es también adecuada al principio de eficiencia, ya que no impone cargas administrativas.

Durante su tramitación, se han recabado los informes de la Comisión Ministerial de Administración Digital del Ministerio de Consumo y de la Agencia Española de Protección de Datos.

En virtud de lo anterior, con la aprobación previa de la Ministra de Hacienda y Función Pública, dispongo:

Artículo 1. Objeto y ámbito de aplicación.

1. Constituye el objeto de la presente orden la aprobación de la Política de Seguridad de la Información (en adelante, PSI) en el ámbito de la Administración Digital del Ministerio de Consumo, así como el establecimiento del marco organizativo global en materia de Seguridad de la Información del Departamento.

2. La PSI será de obligado cumplimiento para todos los órganos superiores y directivos del Departamento que no tengan establecida su propia política de seguridad, siendo aplicable a los activos empleados por el Departamento en la prestación de los servicios de la Administración Digital.

3. Se podrán adscribir a la presente PSI aquellos organismos públicos dependientes del Departamento que así lo soliciten y que no tengan establecida su propia política de seguridad.

4. La PSI será de obligado cumplimiento para todo el personal en la utilización de medios digitales en el ámbito de actuación del Departamento, la información en soporte papel que gestione en el ámbito de sus competencias, así como para toda persona que acceda tanto a los Sistemas TIC como a la propia información que sea gestionada por el Departamento, con independencia de cuál sea su destino, adscripción o relación con este.

Artículo 2. Misión.

El Ministerio de Consumo, de acuerdo con el Real Decreto 495/2020, de 28 de abril, por el que se desarrolla la estructura orgánica básica del Ministerio de Consumo y se modifica el Real Decreto 139/2020, de 28 de enero, por el que se establece la estructura orgánica básica de los departamentos ministeriales, es el Departamento de la Administración General del Estado al que le corresponde la propuesta y ejecución de la política del Gobierno en materia de consumo y protección de los consumidores y de juego.

Artículo 3. Marco regulatorio.

1. El marco normativo en que se desarrollan las actividades del Ministerio de Consumo en el ámbito de la prestación de los servicios electrónicos a los ciudadanos, sin perjuicio de la legislación específica, se compone de:

a) El texto refundido de la Ley de Propiedad Intelectual, aprobado por Real Decreto Legislativo 1/1996, de 12 de abril, y su normativa de desarrollo.

b) El Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento nacional de identidad y sus certificados de firma electrónica.

c) El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

d) El Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en al ámbito de la Administración Electrónica.

e) La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

f) La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

g) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

h) La Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

i) El Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información que traspone la Directiva Europea NIS (Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.

j) La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

k) La Orden PCI/487/2019, de 26 de abril, por la que se publica la Estrategia Nacional de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional.

l) El Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.

m) El Real Decreto 495/2020, de 28 de abril, por el que se desarrolla la estructura orgánica básica del Ministerio de Consumo y se modifica el Real Decreto 139/2020, de 28 de enero, por el que se establece la estructura orgánica básica de los departamentos ministeriales.

n) El Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.

o) La Orden CSM/1271/2021, de 15 de noviembre, por la que se crea la Comisión Ministerial de Administración Digital del Ministerio de Consumo y se regula su composición y funciones.

p) Las normas aplicables a la administración electrónica y seguridad de la información que complementen, desarrollen o sustituyan a las anteriores y que se encuentren dentro del ámbito de aplicación de la política de seguridad de la información del ministerio.

2. Del mismo modo, las actuaciones que desarrolle el Ministerio de Consumo en aplicación de la presente orden se adecuarán a las normas aplicables a la Administración Electrónica del Departamento que desarrollen o complementen las disposiciones normativas citadas en el apartado anterior vinculadas al ámbito de aplicación de la PSI.

Artículo 4. Principios rectores de la Política de Seguridad.

1. Principios básicos. Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información, y, por tanto, la presente política de seguridad se establece de acuerdo los siguientes principios:

b) Responsabilidad diferenciada: En los sistemas de información se diferenciará el responsable de la información, que determina los requisitos de seguridad de la información tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable del sistema, que se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema; y el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad. En los supuestos de tratamientos de datos personales se identificará además a la persona, organismo o unidad responsable de tratamiento y, en su caso, al encargado de tratamiento, de acuerdo con lo dispuesto en el artículo 4, apartados 7 y 8 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

b) Responsabilidad diferenciada: En los sistemas de información se diferenciará el responsable de la información, que determina los requisitos de seguridad de la información tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable del sistema, que se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema; y el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad. En los supuestos de tratamientos de datos personales se identificará además a la persona, organismo o unidad responsable de tratamiento y, en su caso, al encargado de tratamiento, de acuerdo con lo dispuesto en el artículo 4, apartados 7 y 8 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

c) Seguridad integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas de información.

d) Gestión de Riesgos: De acuerdo con lo establecido en los artículos 24, 25 y 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, así como en el artículo 7 del Real Decreto 311/2022, de 3 de mayo, el análisis y gestión de riesgos será parte esencial del proceso de seguridad, debiendo constituir una actividad continua y permanentemente actualizada.

La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerán un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales.

e) Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.

f) Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido, dedicado y diferenciado.

g) Seguridad desde el diseño y por defecto: Los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto, debiendo tener en cuenta la protección de datos personales en los supuestos en que aplique.

2. Principios particulares y responsabilidades específicas. Las directrices fundamentales de seguridad se concretan en un conjunto de principios particulares y responsabilidades específicas, que se configuran como objetivos instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que inspiran las actuaciones del Departamento en dicha materia. Se establecen los siguientes:

a) Protección de datos personales: Se adoptarán las medidas técnicas y organizativas destinadas a garantizar una adecuada protección de los datos. Tal y como se establece en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en Ley Orgánica 3/2018, de 5 de diciembre, dichas medidas deberán ser apropiadas en función del análisis de riesgos, así como de una evaluación de impacto relativa a la protección de datos cuando sea probable que un tratamiento, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

b) Gestión de activos de información: Los activos de información del Departamento se encontrarán inventariados y categorizados y estarán asociados a un responsable.

c) Seguridad ligada a las personas: Se implantarán los mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a los activos de información, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos.

d) Seguridad física: Los activos de información serán emplazados en áreas seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que contienen dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales.

e) Seguridad en la gestión de comunicaciones y operaciones: Se establecerán los procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación y actualización de las Tecnologías de la Información y Comunicaciones. La información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad.

f) Control de acceso: Se limitará el acceso a los activos de información por parte de usuarios, procesos y otros sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y autorización acordes a la criticidad de cada activo. Además, quedará registrada la utilización del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organización.

g) Adquisición, desarrollo y mantenimiento de los sistemas de información: Se contemplarán los aspectos de seguridad de la información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.

h) Gestión de los incidentes de seguridad: Se implantarán los mecanismos apropiados para la correcta identificación, registro y resolución de los incidentes de seguridad.

i) Gestión de la continuidad: Se implantarán los mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de sus procesos de negocio, de acuerdo con las necesidades de nivel de servicio de sus usuarios.

j) Cumplimiento: Se adoptarán las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información.

k) Derechos y deberes de los empleados públicos: Los empleados públicos que prestan servicio al Departamento tienen el derecho y el deber de conocer y aplicar la presente PSI y todas las directrices generales, normas y procedimientos de seguridad de la información que puedan afectar a sus funciones, así como de participar en acciones de difusión y formación orientadas a mejorar el estado de la seguridad de la información.

3. Aplicabilidad de los principios y requisitos mínimos marcados en el Esquema Nacional de Seguridad. Sin perjuicio de lo establecido en los apartados 1 y 2, y tal y como se recoge en el artículo 12 del Real Decreto 311/2022, de 3 de mayo, la presente PSI se establecerá asimismo en base a los principios básicos y se desarrollará aplicando los requisitos mínimos contemplados en los artículos 5 y 12.6 del citado Real Decreto.

Artículo 5. Ordenación normativa.

1. El cuerpo normativo sobre seguridad de la información es de obligado cumplimiento y se estructura de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:

a) Primer nivel: Constituido por la PSI que se aprueba mediante la presente orden.

b) Segundo nivel: Constituido por las normas y directrices generales de seguridad que, respetando lo estipulado por la PSI, determinan el ámbito de uso de los recursos tecnológicos del Departamento y de sus organismos públicos dependientes desde el punto de vista de la seguridad, sin considerar aspectos técnicos relativos a su implementación.

Las normas y directrices generales de seguridad de este segundo nivel normativo serán aprobadas por Resolución de la persona titular de la Subsecretaría de Consumo, a propuesta del Comité de Seguridad de la Información del Departamento.

c) Tercer nivel: Constituido por los procedimientos, guías, e instrucciones técnicas que sean adoptados cumpliendo con lo expuesto en los niveles normativos anteriores, y que determinan las acciones, tareas o instrucciones de carácter técnico a realizar en el desempeño de un proceso aplicado a ámbitos o sistemas de información particulares.

Su aprobación corresponde al Responsable de la Seguridad, previo acuerdo en el Comité de Seguridad de la Información del Departamento.

2. La estructura normativa podrá incorporar asimismo otros instrumentos tales como estándares de seguridad, buenas prácticas, informes técnicos, a criterio de cada uno de los órganos u organismos adscritos a la presente PSI y siempre dentro del ámbito de sus competencias y responsabilidades.

3. El personal de cada uno de los órganos u organismos adscritos a la presente PSI tendrá la obligación de conocer y cumplir, además de la presente PSI, todas las directrices generales, normas y procedimientos de seguridad de la información que puedan afectar a sus funciones.

4. Este marco normativo estará a disposición de todos los miembros del Departamento.

Artículo 6. Estructura organizativa.

La organización de la seguridad debe tener en cuenta la propia organización del Departamento, en consecuencia, las responsabilidades en seguridad de la información deben emerger de todos los ámbitos, garantizándose la actuación coordinada y eficaz, de acuerdo con lo previsto en el artículo 11 del Real Decreto 311/2022, de 3 de mayo, y en la correspondiente guía CCN-STIC sobre responsabilidades y funciones en el ENS.

La estructura organizativa para la gestión de la seguridad de la información en el ámbito descrito por la PSI del Ministerio de Consumo está compuesta por los siguientes agentes:

1. La persona titular de la Subsecretaría de Consumo.

2. El Comité de Seguridad de la Información del Departamento.

3. La persona designada como Responsable de la Seguridad.

4. La persona designada como Responsable de los Sistemas.

5. Las personas designadas como Responsables de la Información y Responsables de los Servicios.

6. Las personas designadas como Delegado de Protección de Datos y Delegados de Protección de Datos de los organismos públicos adscritos al departamento.

7. Las personas designadas como Administradores de los Sistemas.

Artículo 7. Competencias de la persona titular de la Subsecretaria de Consumo en el ámbito de la Seguridad de la Información.

La persona titular de la Subsecretaría de Consumo es, en el ejercicio de sus competencias, de conformidad con lo previsto en el artículo 5.3.x) del Real Decreto Real Decreto 495/2020, de 28 de abril, la responsable de definir, dirigir, planificar, coordinar y supervisar la aplicación de la estrategia sobre tecnologías de la información y las comunicaciones y resto de recursos tecnológicos del Ministerio y de sus diferentes organismos, así como de la implantación de medidas de seguridad informática. A este respecto:

a) Coordinará todas las actividades relacionadas con la seguridad de los servicios prestados por la Subsecretaría, tanto de carácter horizontal, común o compartido, como de carácter sectorial.

b) Impulsará la adecuación a la normativa aplicable de seguridad de la información y de protección de datos.

c) Será responsable de la modificación y actualización de esta PSI, así como de aprobar la normativa de seguridad de segundo nivel propuestas por el Comité de Seguridad de la Información del Departamento.

d) Será responsable de promover la mejora continua en la gestión de la seguridad de la información en el ámbito del Departamento.

Artículo 8. El Comité de Seguridad de la Información del Departamento.

1. Con carácter permanente, se crea el Comité de Seguridad de la Información del Ministerio de Consumo (en adelante, CSID) con el objeto de dotar al Departamento de un órgano colegiado de carácter horizontal responsable de establecer, gestionar, coordinar y supervisar la estrategia en materia de seguridad de la información y el cumplimiento del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

2. El CSID estará compuesto por los siguientes miembros:

a) Presidencia: Corresponderá a la persona titular de la División de Tecnologías y Servicios de la Información (en adelante DTSI). Tendrá voz y voto de calidad en la toma de decisiones del CSID. Podrá autorizar la asistencia a las reuniones de expertos en las materias que se vayan a tratar, ya sean personal interno o externo, que tendrán el carácter de asesores, con voz, pero sin voto.

b) Vocales:

i. La persona designada como Responsable de los Sistemas.

ii. Las personas designadas como Responsables de la Información, y como Responsables de los Servicios en el ámbito del Departamento.

iii. Las personas designadas como Delegado de Protección de Datos, y como Delegados de Protección de Datos de los organismos públicos adscritos al departamento. Actuarán, con voz pero sin voto, para garantizar su independencia en atención a la naturaleza de sus funciones de apoyo y asistencia.

c) Secretaría: Corresponderá a la persona designada como Responsable de la Seguridad del Departamento, que tendrá voz y voto y que ejecutará las decisiones del CSID, convocará sus reuniones y preparará los temas a tratar.

3. La persona titular de la Presidencia podrá convocar, en razón de los asuntos a tratar, a representantes de cualquier órgano y unidad que accedan a sistemas de información del Departamento, así como a personal experto en calidad de asesores, que actuarán con voz, pero sin voto.

4. En casos de vacante, ausencia, enfermedad, abstención, recusación u otra causa legal, la persona a la que corresponda la Presidencia será sustituida por la persona que designe la persona titular de la Subsecretaría de Consumo y, en su defecto, por el miembro del órgano colegiado de mayor jerarquía, antigüedad y edad, por este orden. En el caso de los Vocales, estos serán sustituidos por aquellos representantes que estos designen.