Protección de datos personales de la Consejería de Hacienda y Relaciones con la Unión Europea

Orden de 16 de abril de 2025, por la que se aprueba la política de seguridad de la información y de protección de datos personales de la Consejería de Hacienda y Relaciones con la Unión Europea (BOC de 2 de mayo de 2025). Texto completo.

ORDEN DE 16 DE ABRIL DE 2025, POR LA QUE SE APRUEBA LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y DE PROTECCIÓN DE DATOS PERSONALES DE LA CONSEJERÍA DE HACIENDA Y RELACIONES CON LA UNIÓN EUROPEA.

PREÁMBULO

En las últimas décadas se ha ido produciendo una evolución del ordenamiento jurídico, tanto europeo, como estatal y autonómico, tendente a la incorporación de políticas públicas instrumentales, propias del funcionamiento de la Administración Pública, que persiguen forjar un nuevo modelo de relación del sector público con la ciudadanía y de las propias Administraciones Públicas y demás entidades que conforman el sector público entre sí, que redunde en una prestación de servicios públicos de mayor calidad, más eficaz y eficiente, sirviendo mejor a los principios que deben inspirar toda actuación administrativa y garantizando las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para lograr el adecuado nivel de seguridad de los sistemas y la información y la apropiada protección de los datos personales que son tratados, que permita a la ciudadanía y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

La seguridad de la información y la protección de datos personales se conforman, pues, como conceptos interconectados pero con finalidades distintas.

La Ley 39/2015, de 1 de octubre , del Procedimiento Administrativo Común de las Administraciones Públicas, contempla en su artículo 13, sobre derechos de las personas en sus relaciones con las Administraciones Públicas, el relativo a la protección de datos de carácter personal y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

Por otro lado, La Ley 40/2015, de 1 de octubre , de Régimen Jurídico del Sector Público, establece en su artículo 3.2 que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a las personas interesadas, y recoge el Esquema Nacional de Seguridad, en su artículo 156, como instrumento para garantizar adecuadamente la seguridad de la información tratada.

El Esquema Nacional de Seguridad (en lo sucesivo, ENS), regulado actualmente por el Real Decreto 311/2022, de 3 de mayo , persigue crear las condiciones necesarias de seguridad en el uso de los medios electrónicos, impulsar la gestión continuada de la seguridad, promover la prevención, detección y corrección, para una mejor resiliencia en el escenario de ciberamenazas y ciberataques y fomentar un tratamiento homogéneo de la seguridad.

Para ello, determina que el marco organizativo está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad, disponiendo que cada Administración Pública contará con una política de seguridad formalmente aprobada por el órgano competente, definida como el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta, y establece los principios y requisitos que ha de cumplir una política de seguridad que permita dicha protección, recogiendo estos con carácter de mínimos en el artículo 12 del referido Real Decreto. Entre ellos, la política de seguridad deberá identificar de forma inequívoca a las personas responsables de velar por su cumplimiento y deberá ser conocida por todos los miembros de la organización administrativa.

Asimismo, las Guías CCN-STIC de Seguridad de los Sistemas de Información y Comunicaciones del Centro Criptológico Nacional (CCN-STIC Serie 800) establecen las políticas y procedimientos adecuados para la implementación de las medidas contempladas en el ENS. Concretamente, la Guía CCN-STIC-805 considera la Política de Seguridad de la Información como un documento de alto nivel que define lo que significa ‘seguridad de la información’ en una organización y que debe estar redactado de forma sencilla, precisa y comprensible, dejando los detalles técnicos para otros documentos normativos de inferior nivel.

En el ámbito autonómico, la Orden de 31 de julio de 2013, de la Consejería de Presidencia, Justicia e Igualdad, estableció el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma, cuyo artículo 2 obliga a que cada departamento u organismo desarrolle y apruebe su política de seguridad, así como las normas y procedimientos que, en su caso, adecúen a sus particularidades el marco común y las directrices básicas, debiendo aprobarse por orden departamental, en este caso, y publicarse en el Boletín Oficial de Canarias.

Por su parte, la protección de las personas físicas en relación con el tratamiento de sus datos personales es un derecho fundamental, de conformidad con el artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea, el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea y el artículo 18.4 de la Constitución Española.

Para la protección de ese derecho fundamental, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la Protección de las Personas Físicas en Materia de Tratamiento y Circulación de sus Datos Personales (Reglamento General de Protección de Datos), en adelante RGPD , y la Ley Orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y garantía de los derechos digitales (LOPD, en lo sucesivo), determinan, como obligaciones generales de la persona responsable y la encargada del tratamiento, la aplicación de medidas técnicas y organizativas apropiadas, conectando la LOPD específicamente las medidas de seguridad del ENS con el tratamiento de datos personales, e incluyendo, entre ellas, la aplicación de las oportunas políticas de protección de datos personales.

En cumplimiento de los mencionados preceptos, partiendo de la íntima conexión que concurre entre la seguridad de la información y la protección de datos personales, y en unión al principio de eficiencia, se hace conveniente incorporar al ámbito de la política de seguridad de este Departamento las previsiones relativas a la protección de datos personales, optándose por adoptar mediante la presente Orden una Política conjunta de Seguridad de la Información y Protección de Datos Personales en el ámbito de las competencias que le son propias a la Consejería en virtud de su Reglamento Orgánico, aprobado por Decreto 107/2024, de 31 de julio , habiéndose tenido en cuenta, en su diseño, las Guías CCN-STIC 801 Responsabilidades y Funciones en el ENS y la 808 Verificación del cumplimiento de las medidas en el ENS.

En la tramitación de esta Orden se ha dado cumplimiento a los principios de buena regulación a los que se refiere el artículo 129.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y el artículo 66 de la Ley 4/2023, de 23 de marzo, de la Presidencia y del Gobierno de Canarias. Se han aplicado los principios de necesidad, eficacia y eficiencia, en tanto que con la norma se consigue el objetivo pretendido de dar cumplimiento a la obligación que viene impuesta por la normativa referenciada en materia de seguridad de la información y protección de datos personales, evitando remisiones innecesarias o accesorias, y mediante un instrumento conjunto que resulta el más adecuado para su consecución, abarcando ambas materias dada la íntima conexión entre ellas, con la consecuente racionalización, en su aplicación, de la gestión de los recursos públicos. Asimismo, se da cumplimiento al principio de proporcionalidad, al no ser una norma restrictiva de derechos y recoger la regulación imprescindible para atender la necesidad a cubrir con ella; al principio de seguridad jurídica, al integrarse de forma coherente en el marco normativo autonómico en la materia, facilitando su conocimiento y comprensión por parte de sus destinatarios; así como al principio de transparencia, mediante su publicación en la sede electrónica, en la página web departamental y en el Boletín Oficial de Canarias para general conocimiento, de conformidad con el artículo 131 de la Ley 39/2015.

Por otro lado, la presente Orden ha incorporado el enfoque de género en relación con la utilización de un lenguaje no sexista, de conformidad con la Ley Orgánica 3/2007, de 22 de marzo , para la igualdad efectiva de mujeres y hombres, y con la Ley autonómica 1/2010, de 26 de febrero, Canaria de Igualdad entre Mujeres y Hombres, en particular, con los artículos 14.11 y 4.10, respectivamente.

Por su parte, en el procedimiento de elaboración de la presente Orden se ha prescindido de los trámites previstos en los apartados 1 y 2 del artículo 133 de la Ley 39/2015, al amparo del apartado 4 del mismo precepto, al tratarse de una norma departamental de carácter organizativo, en el sentido de limitarse a la aprobación de un documento base para la gestión de la seguridad de la información y de la protección de datos personales en el contexto de las actividades del Departamento.

El expediente de aprobación de la presente Orden incorpora, igualmente, todos los informes preceptivos exigidos legalmente, entre ellos, el emitido por el órgano superior autonómico competente en materia de tecnologías de la información y las comunicaciones en aplicación del artículo 2.3 de la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.

La presente Orden se dicta para garantizar el derecho a la privacidad y a la protección de los datos personales reconocido en el artículo 30 del Estatuto de Autonomía de Canarias y se dicta en ejercicio de las competencias autonómicas previstas en los artículos 104, 106 y 113 del Estatuto de Autonomía de Canarias.

Por lo expuesto, en el ejercicio de la competencia prevista en el artículo 2.2 de la citada Orden de 31 de julio de 2013, y haciendo uso de las facultades que tengo conferidas en virtud de los artículos 58.1.b) y 76.3 de la Ley 4/2023, de 23 de marzo, de la Presidencia y del Gobierno de Canarias, y del artículo 8.2.c) del referenciado Reglamento Orgánico departamental,

DISPONGO:

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1.- Objeto y ámbito de aplicación.

1. La presente Orden tiene por objeto establecer la Política de Seguridad de la Información y Protección de Datos Personales de la Consejería de Hacienda y Relaciones con la Unión Europea, en adelante, PSIPD.

2. La PSIPD se aplicará a toda la información, servicios y sistemas que la Consejería de Hacienda y Relaciones con la Unión Europea gestione en el ámbito de sus competencias, por los órganos superiores de este Departamento y los demás órganos que se encuentren integrados en su estructura.

3. Asimismo, la PSIPD será de aplicación por el resto de departamentos, entidades de derecho público y organismos autónomos de la Administración Pública de la Comunidad Autónoma de Canarias, en el uso de la información, servicios y sistemas que gestione esta Consejería en el ámbito de sus competencias.

4. Finalmente, la PSIPD deberá ser también observada en la relación de terceras partes con las entidades anteriores, en los términos establecidos en el artículo 16 de esta Orden.

Artículo 2.- Misión del Departamento.

La misión de la Consejería de Hacienda y Relaciones con la Unión Europea es la propuesta y ejecución de las directrices generales del Gobierno de Canarias y de la gestión de los servicios y competencias en las áreas materiales que le son propias, de conformidad con la normativa de aplicación y, específicamente, de su Reglamento Orgánico.

Artículo 3.- Marco normativo.

1. El marco normativo para el desarrollo de la gestión de los servicios y competencias de la Consejería, en el ámbito de la administración electrónica, la protección de datos personales y la seguridad, es el siguiente:

A nivel comunitario:

a) El Reglamento general de protección de datos [Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo], de 27 de abril de 2016.

A nivel estatal:

b) La Ley Orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y garantía de los derechos digitales.

c) La Ley 39/2015, de 1 de octubre , del Procedimiento Administrativo Común de las Administraciones Públicas.

d) La Ley 40/2015, de 1 de octubre , de Régimen Jurídico del Sector Público.

e) El Real Decreto 311/2022, de 3 de mayo , por el que se regula el Esquema Nacional de Seguridad.

f) El Real Decreto 203/2021, de 30 de marzo , por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.

g) El Real Decreto 4/2010, de 8 de enero , por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

h) El Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

A nivel autonómico:

i) El Reglamento Orgánico de la Consejería de Hacienda y Relaciones con la Unión Europea, aprobado por Decreto 107/2024, de 31 de julio .

j) El Reglamento de organización y funcionamiento de la Intervención General de la Comunidad Autónoma de Canarias, aprobado por Decreto 76/2015, de 7 de mayo .

k) El Decreto 127/2014, de 23 de diciembre , de aprobación e implantación del Sistema de información económico-financiera y logística de la Comunidad Autónoma de Canarias, con la denominación SEFLogiC.

l) El Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias.

m) La Orden de 30 de abril de 2015, de la Consejería de Presidencia, Justicia e Igualdad, por la que se aprueba la política de identificación y autenticación en el ámbito de la administración electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.

n) La Orden de 25 de febrero de 2021, de la Consejería de Presidencia, Justicia e Igualdad, por la que se aprueba la puesta en funcionamiento de la sede electrónica de la Administración Pública de la Comunidad Autónoma de Canarias, bajo el dominio https://sede.gobiernodecanarias.org

o) La Orden de 8 de abril de 2010, de la Consejería de Presidencia, Justicia e Igualdad, por la que se crea y regula el Registro General Electrónico de la Administración Pública de la Comunidad Autónoma de Canarias.

p) La Orden de 31 de julio de 2013, de la Consejería de Presidencia, Justicia e Igualdad, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.

q) El Acuerdo del Gobierno de Canarias de 25 de junio de 2018, que aprueba las instrucciones que conforman la normativa de seguridad en el uso de los recursos informáticos, telefónicos y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias.

r) La Orden de 23 de enero de 2012, por la que se regula el procedimiento para recabar y emitir los informes preceptivos de la Inspección General de Servicios y de la Dirección General de Telecomunicaciones y Nuevas Tecnologías, previstos en los artículos 6 y 10 del Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias.

s) Las normas aplicables a la administración electrónica, a la seguridad de la información y/o a la protección de datos personales que complementen, desarrollen o sustituyan a las anteriores y que se encuentren dentro del ámbito de aplicación de esta política.

2. En la intranet departamental, una vez entre en funcionamiento, se dispondrá de un repositorio centralizado y actualizado del conjunto normativo de aplicación a esta PSIPD, cuyo contenido será gestionado por la persona Responsable de Seguridad y la persona Delegada de Protección de Datos.

Artículo 4.- Definiciones.

A los efectos previstos en esta Orden, las definiciones, palabras, expresiones y términos han de ser entendidos en el siguiente sentido:

a) Sistema de información: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

b) Infraestructura tecnológica corporativa: aquellos recursos físicos y lógicos, sobre los que se soportan los sistemas de información, los cuales gestiona el órgano superior competente en materia de telecomunicaciones y tecnologías de la información en el ámbito de la Administración Pública de la Comunidad Autónoma de Canarias.

c) Infraestructura tecnológica departamental: aquellos recursos físicos y lógicos, sobre los que se soportan los sistemas de información, los cuales gestiona esta Consejería.

d) Sistemas de información corporativos: aquellos sistemas de información cuyo ámbito de aplicación y uso es general y común para toda la Administración Pública de la Comunidad Autónoma de Canarias.

e) Sistemas de información propios: aquellos sistemas de información cuyo ámbito de aplicación es específico para un área concreta y su gestión pertenece a esta Consejería.

f) Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.

g) Gestión de riesgos: actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos, conforme a los sistemas y procesos establecidos, en su caso, para ello.

h) Datos personales: toda información sobre una persona física identificada o identificable, es decir, aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, psíquica, económica, cultural o social de dicha persona.

i) Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre la información, incluidos los datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

j) Confidencialidad: propiedad o característica de la información consistente en que el conocimiento o acceso a la misma debe ser restringido, no debiendo ponerse a disposición, ni revelarse a individuos, entidades o procesos no autorizados.

k) Integridad: propiedad o característica de la información consistente en que su modificación debe ser restringida, no debiendo alterarse de manera no autorizada.

l) Trazabilidad: propiedad o característica de la información consistente en que los accesos y las actuaciones de los individuos, entidades o procesos sobre la misma deben poder ser trazados y vinculados de forma indiscutible a ellos.

m) Autenticidad: propiedad o característica de la información consistente en que la fuente de la que procede debe estar garantizada y/o que la identidad de los individuos, entidades o procesos que acceden a la misma debe ser verificable.

n) Disponibilidad: propiedad o característica de los servicios consistente en que los individuos, entidades o procesos autorizados deben tener acceso a los mismos cuando lo requieren.

Artículo 5.- Principios básicos de esta PSIPD.

1. Sin perjuicio de los principios básicos establecidos en el ENS, la PSIPD se desarrollará, con carácter general, de acuerdo a los siguientes principios:

a) Confidencialidad: la información y los sistemas que la soportan deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, quedando estos sujetos a las obligaciones de secreto y sigilo profesional incluso después de haber concluido la relación que justificaba su intervención.

b) Integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos adecuados para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección, así como la protección contra su pérdida, destrucción o daño accidental y, en el caso de tratamientos de datos personales, también contra el tratamiento no autorizado o ilícito.

c) Disponibilidad y continuidad: se garantizará un nivel de disponibilidad de los sistemas de información adecuado a los requisitos de los servicios a los que den soporte, y se dotarán de los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.

d) Gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar, de una parte, la gestión de la seguridad de la información, los servicios y los sistemas sobre los que se soportan, y, de otra parte y de forma diferenciada, la gestión de los riesgos para los derechos y libertades de las personas físicas en lo que respecta a la protección de datos personales.

e) Proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de la información y de protección de los datos personales deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos.

f) Concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información y la protección de datos personales. De igual forma, se fomentará, entre otras acciones de capacitación que se consideren necesarias, la formación específica en materia de seguridad de las tecnologías de la información y las comunicaciones, en adelante TIC, de todas aquellas personas que gestionan y administran sistemas de información.

g) Prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad TIC y la protección de datos personales.

h) Seguridad y protección de datos desde el diseño: se promoverá la implantación de los principios de seguridad y de protección de datos desde el diseño, incluyendo las especificaciones en estas materias en todas las fases del ciclo de vida de los servicios y sistemas, desde las primeras fases de concepción de los proyectos.

i) Mejora continua: se revisará periódicamente el grado de eficacia de los controles de seguridad y de protección de datos implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública de la Comunidad Autónoma de Canarias.

j) Función diferenciada: la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos.

2. Además de los principios previstos en el apartado anterior, serán de aplicación a la PSIPD los siguientes principios específicos en materia de protección de datos personales que recoge el RGPD :

a) Licitud, lealtad y transparencia: los datos personales serán tratados de manera lícita, leal y transparente en relación con la persona interesada.

b) Legitimación en el tratamiento de datos personales: solo se tratarán los datos personales cuando dicho tratamiento se encuentre amparado en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD.

c) Limitación de la finalidad: los datos personales serán tratados para el cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

d) Minimización de datos: los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

e) Exactitud: los datos personales serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

f) Limitación del plazo de conservación: los datos personales serán mantenidos de forma que se permita la identificación de las personas interesadas durante no más tiempo del necesario para los fines que justificaron su tratamiento.

g) Atención de los derechos de las personas afectadas: se adoptarán medidas que garanticen el adecuado ejercicio, por las personas físicas cuyos datos personales sean tratados por la Consejería, de los derechos legalmente reconocidos en materia de protección de datos personales y, en particular, los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, a no ser objeto de decisiones individualizadas basadas únicamente en tratamientos automatizados, y portabilidad (cuando proceda), así como el derecho a dirigirse a la persona Delegada de Protección de Datos y a reclamar ante la Autoridad de Control.

3. Finalmente, en el desarrollo de la presente PSIPD será de aplicación el principio de responsabilidad proactiva, en virtud del cual los distintos órganos superiores de la Consejería de Hacienda y Relaciones con la Unión Europea serán responsables del cumplimiento de los principios anteriormente señalados y adoptarán las medidas técnicas y organizativas que les permitan estar en condiciones de demostrar dicho cumplimiento.

CAPÍTULO II

ESTRUCTURA ORGANIZATIVA PARA EL DESARROLLO DE LA PSIPD

Artículo 6.- Organización de la seguridad.

La estructura organizativa de la gestión de la seguridad de la información y la protección de datos personales de la Consejería de Hacienda y Relaciones con la Unión Europea está compuesta por los siguientes agentes:

a) El Comité para la Gestión y Coordinación de la Seguridad de la Información y de la Protección de Datos Personales.

b) Las personas Responsables de la Información.

c) Las personas Responsables de los Servicios.

d) La persona Responsable de Seguridad.

e) Las personas Responsables de los Sistemas y, en su caso, los posibles Administradores o Administradoras de seguridad.

f) Las personas Responsables del Tratamiento.

g) La persona Delegada de Protección de Datos.

Artículo 7.- Comité para la Gestión y Coordinación de la Seguridad de la Información y de la Protección de Datos Personales.

1. Se crea el Comité para la Gestión y Coordinación de la Seguridad de la Información y de la Protección de Datos Personales (en lo sucesivo, Comité), como grupo de trabajo en el seno del Departamento.

2. El Comité estará compuesto por:

a) Presidencia: la persona Responsable de Seguridad.

b) Vocalías:

- Las personas titulares de los órganos superiores del Departamento y de los demás órganos con responsabilidades en materia de protección de datos y seguridad de la información que estén integrados en su estructura, de acuerdo con lo que disponga el Reglamento Orgánico de la Consejería.

- La persona titular de la presidencia de la Junta Económica-Administrativa de Canarias.

- La persona titular del Tribunal Administrativo de Contratos Públicos de la Comunidad Autónoma de Canarias.

- La persona Responsable de los Sistemas designada como Interlocutora en el Comité.

- La persona Delegada de Protección de Datos de la Consejería, con voz, pero sin voto. En el supuesto de que la figura del Delegado de Protección de Datos esté desempeñada por un órgano, asistirá la persona designada por dicho órgano a tal fin.

c) Secretaría: una persona con vínculo funcionarial dependiente de la Secretaría General Técnica de la Consejería, designada por la Presidencia, que actuará con voz, pero sin voto.

3. El Comité coordinará todas las actividades relacionadas con la seguridad de la información y la protección de datos personales en el Departamento y promoverá las medidas necesarias para el cumplimiento de su PSIPD, ejerciendo las siguientes funciones:

a) Elevar los borradores de modificación y actualización de la PSIPD para su aprobación por el órgano responsable.

b) Supervisar los análisis de riesgos e impulsar su evaluación, como principio para la prevención de las amenazas a la confidencialidad, la integridad, autenticidad y la continuidad de los servicios públicos que presta.

c) Impulsar la actualización de los criterios y directrices sobre seguridad de la información y protección de datos personales.

d) Impulsar medidas para mejorar y reforzar los sistemas de seguridad y control.

e) Impulsar el cumplimiento y difusión de la PSIPD, promoviendo las actividades de concienciación y formación en materia de seguridad y protección de datos personales para el personal incluido dentro del ámbito de aplicación definido en la presente Orden.

f) Proponer las directrices y normas de seguridad generales y protección de datos personales dentro del ámbito de aplicación de la PSIPD definido en la presente Orden, para su aprobación por la persona titular del Departamento.

g) Proponer la normativa de seguridad de segundo nivel, definida en el artículo 18 de la presente Orden, para su aprobación por la persona titular del Departamento.

h) Impulsar los proyectos para la adecuación al cumplimiento del Esquema Nacional de Seguridad y de la normativa de protección de datos personales.

i) Impulsar planes de mejora de la seguridad de la información de los sistemas de información de la Consejería de Hacienda y Relaciones con la Unión Europea, así como valorar las propuestas de mejora que formulen los responsables según la materia de que se trate, respecto de los sistemas de información corporativos y/o compartidos que den soporte a la información y/o servicios en el ámbito de la Consejería.

j) Proponer la priorización de las actuaciones en materia de seguridad de la información cuando los recursos sean limitados.

k) Impulsar la utilización de servicios corporativos u horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.

l) Compartir experiencias de éxito en materia de seguridad entre sus miembros para velar por el cumplimiento de la PSIPD y su normativa de desarrollo.

4. El Comité ajustará su funcionamiento a las previsiones contenidas en la Sección 3.ª del Capítulo II, artículos 15 y siguientes, de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. También podrá aprobar las normas de régimen interno que estime procedentes para el mejor desarrollo de sus trabajos.

5. El Comité se deberá reunir con carácter ordinario al menos una vez al año y, con carácter extraordinario, cuando lo decida su Presidencia, previa convocatoria. Las reuniones se realizarán en horario de trabajo y, cuando proceda, por videoconferencia. No se percibirán indemnizaciones por razón del servicio en concepto de asistencia por concurrencia a las reuniones del Comité.

6. Para la válida constitución del Comité será necesaria la asistencia de las personas que desempeñen la Presidencia y la Secretaría o, en su caso, de quienes les sustituyan, y de la mitad al menos de las personas que desempeñan las Vocalías. Todo ello sin perjuicio de lo previsto en la normativa básica de régimen jurídico de las Administraciones Públicas.

7. En caso de ausencia o enfermedad de algún miembro del Comité, este podrá designar, de entre las personas que desempeñan las vocalías en el Comité, excluida la persona Delegada de Protección de Datos, a un suplente, sin que pueda delegarse en una sola persona el voto de más de dos miembros ausentes. En caso de vacante, será suplido por quien designe el órgano administrativo inmediato superior de quien dependa.

8. El Comité podrá recabar la información o asesoramiento pertinente de personal técnico para el ejercicio de sus funciones. En caso necesario este personal podrá ser convocado por el Comité para su asistencia a las reuniones, en calidad de asesores, con voz, pero sin voto.

9. Podrá acordarse la constitución de subgrupos de trabajo para el análisis, elaboración y ejecución de trabajos o actividades específicas, dentro del ámbito de sus funciones.

10. Tanto la persona Responsable de Seguridad como la persona Delegada de Protección de Datos Personales deberán mantener informado al Comité de las disposiciones generales de seguridad y protección de datos personales de carácter básico para toda la Administración Pública de la Comunidad Autónoma que se aprueben.

Artículo 8.- Responsables de la Información y del Tratamiento.

1. Conforme al ENS, serán Responsables de la Información las personas que establecen las necesidades de seguridad de la información que se maneja y efectúan las valoraciones del impacto que tendría un incidente que afectara a su seguridad. Tienen, además, en exclusiva, la potestad de modificar el nivel de seguridad requerido para la misma (Anexo II.5.7.2 del ENS).

Conforme al RGPD , serán Responsables del Tratamiento los órganos que determinen los fines y medios del tratamiento de datos personales.

2. Estas responsabilidades recaerán en la persona titular del órgano que gestione cada procedimiento o trámite.

3. Las funciones de las personas Responsables de la Información y del Tratamiento, dentro de su ámbito de actuación, son las siguientes:

a) Respecto a la información:

- Determinar los niveles de seguridad de la información tratada, valorando los impactos de los incidentes que afecten a la seguridad de la información. La valoración de los niveles de seguridad de la información se realizará de conformidad con el marco establecido en el artículo 40 del ENS, siguiendo los criterios generales establecidos en su Anexo I y considerando la guía elaborada por el Centro Criptológico Nacional a tal efecto, y será objeto de revisión con carácter anual.

- Son responsables, junto a las personas Responsables de los Servicios, de aceptar los riesgos residuales calculados en el análisis de riesgos, y de realizar su seguimiento y control.

b) Respecto al tratamiento: las derivadas de la normativa vigente en materia de protección de datos personales cuando resulte de aplicación respecto a la información gestionada. Entre otras, el registro de las correspondientes actividades de tratamiento, el análisis de riesgos conforme al artículo 24 del RGPD y la evaluación de impacto en la protección de datos en los supuestos de su artículo 35 , garantizar el ejercicio de derechos de las personas interesadas, realizar las notificaciones de violaciones de seguridad a la autoridad de control, a las personas interesadas y a la persona Delegada de Protección de Datos, establecer y aplicar medidas técnicas y organizativas de privacidad y seguridad adecuadas.

Artículo 9.- Responsables de los Servicios.

1. Conforme al ENS, serán Responsables de los Servicios las personas que determinan los requisitos de seguridad de los servicios prestados.

2. Esta responsabilidad recaerá en la persona titular del órgano que gestione cada servicio o competencia.

3. Son funciones de cada Responsable de los Servicios, dentro de su ámbito de actuación, las siguientes:

a) Determinar los niveles de seguridad de los servicios prestados, valorando los impactos de los incidentes que afecten a su seguridad e incluyendo las especificaciones de seguridad en todo el ciclo de vida de los mismos. La valoración de los niveles de seguridad de los servicios se realizará de conformidad con el marco establecido en el artículo 40 del ENS, siguiendo los criterios generales establecidos en su Anexo I y considerando la guía elaborada por el Centro Criptológico Nacional a tal efecto, y será objeto de revisión anual.

b) Se encargan, junto a las personas Responsables de la Información, de aceptar los riesgos residuales calculados en el análisis de riesgos, y de realizar su seguimiento y control.

Artículo 10.- Responsable de Seguridad.

1. Conforme al ENS, es Responsable de Seguridad la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisa la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reporta sobre estas cuestiones.

2. Esta responsabilidad recaerá en la persona titular de la Secretaría General Técnica.

3. Sus funciones son:

a) Promover la seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.

b) Elaborar la normativa de seguridad de segundo nivel y aprobar la normativa de seguridad de tercer nivel, definidas ambas en el artículo 18 de la presente Orden.

c) Asesorar a las personas Responsables de la Información, de los Servicios y de los Sistemas, en el ámbito de la Consejería de Hacienda y Relaciones con la Unión Europea, en seguridad de la información y en las obligaciones de la normativa aplicable en la materia, para el desempeño de sus funciones, y ofrecer el asesoramiento que se solicite al respecto.

d) Tomar parte en el proceso de informe por parte del Departamento sobre cualquier borrador de disposición general sobre seguridad de la información y de los servicios que se promueva con carácter básico para toda la Administración Pública de la Comunidad Autónoma de Canarias.

e) Procurar que la documentación de seguridad se mantenga organizada y actualizada, y de gestionar los mecanismos de acceso a la misma.

f) Promover las actividades de concienciación y formación en materia de seguridad en su ámbito de responsabilidad.

g) Realizar la coordinación y seguimiento de la implantación de los proyectos de adecuación al Esquema Nacional de Seguridad.

h) Actuar como punto de contacto con el órgano superior competente en materia de telecomunicaciones y tecnologías de la información en el ámbito de la Administración Pública de la Comunidad Autónoma de Canarias para cuestiones relativas a seguridad de la información y cooperar para el cumplimiento de las iniciativas corporativas en la materia.

i) Determinar la categoría de seguridad del sistema, con base en las valoraciones efectuadas por las personas Responsables de la Información y de los Servicios, según el procedimiento descrito en el Anexo I del ENS.

j) Elaborar y firmar la Declaración de Aplicabilidad, en la que se determinan las medidas de seguridad que deben aplicarse de acuerdo con las valoraciones de los sistemas (artículo 28 y Anexo II.2 del ENS).

k) Realizar los preceptivos análisis de riesgos en materia de seguridad de la información, con la colaboración de las personas Responsables de los Sistemas y, en su caso, de las personas Responsables de la Información y de los Servicios, seleccionar las salvaguardas a implantar y revisar el proceso de gestión del riesgo, elevando un informe anual al Comité.

l) Coordinar el proceso de Gestión de la Seguridad.

m) Supervisar el cumplimiento del ENS y demás normativa aplicable en seguridad de la información, así como promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información, y analizar los informes de auditoría, elaborando las conclusiones a presentar a las personas Responsables de la Información, de los Servicios y de los Sistemas para que adopten las medidas correctoras adecuadas.

n) Promover la obtención de la Certificación de Conformidad y/o proponer la Declaración de Conformidad para su aprobación por la persona titular del Departamento, previo informe del Comité para la Gestión y Coordinación de la Seguridad de la Información, según corresponda en atención a la categorización de los sistemas.

o) Elaborar informes periódicos de seguridad que incluyan los incidentes más relevantes en cada periodo.

4. En el desempeño de sus funciones, el Responsable de Seguridad podrá recabar acceso de auditoría a los sistemas y a la información, con los fines exclusivos de identificar deficiencias u oportunidades de mejora en materia de seguridad y facilitar el desempeño de su cometido.

5. Cuando la complejidad, distribución, separación física de sus elementos o número de usuarios y usuarias de los sistemas de información lo justifiquen, la persona Responsable de Seguridad podrá designar otras personas responsables de seguridad delegadas que considere necesarias, que tendrán dependencia funcional directa de aquella y serán responsables en su ámbito de todas aquellas acciones que les delegue.

6. Para el ejercicio de sus funciones podrá contar con el asesoramiento y apoyo de personal técnico y del Comité.

Artículo 11.- Responsables de los Sistemas.

1. Conforme al ENS, es Responsable del Sistema la persona que, por sí o a través de recursos propios o contratados, se encarga de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo.

2. Esta responsabilidad se designa según donde estén alojados los sistemas de información:

a) En el caso de sistemas de información corporativos y sistemas de información propios de esta Consejería que se encuentren alojados en infraestructura tecnológica departamental, con carácter general, la responsabilidad recaerá en la persona titular de la Intervención General. No obstante, para aquellos sistemas de información cuyo desarrollo, mantenimiento, explotación y/o gestión tecnológica recaiga, total o parcialmente, en la persona Responsable del Servicio, la responsabilidad se repartirá entre esta y la Intervención General, determinándose las funciones que corresponden a cada una de ellas en la normativa a desarrollar por la Intervención General en virtud de sus competencias departamentales en materia informática de la Consejería.

b) En el caso de sistemas de información corporativos y sistemas de información propios de esta Consejería que se encuentren alojados en infraestructura tecnológica corporativa, la responsabilidad se repartirá entre la persona titular del órgano superior competente en materia de telecomunicaciones y tecnologías de la información en el ámbito de la Administración Pública de la Comunidad Autónoma de Canarias y la persona titular de la Intervención General o la persona Responsable del Servicio cuando el desarrollo, mantenimiento, explotación y/o gestión tecnológica recaiga, total o parcialmente, en esta. Las funciones que corresponden a cada una de ellas serán las que se determinen en la normativa a desarrollar por el órgano superior competente en materia de telecomunicaciones y tecnologías de la información en el ámbito de la Administración Pública de la Comunidad Autónoma de Canarias.

c) En el caso de sistemas de información corporativos y sistemas de información propios de esta Consejería que estén alojados en infraestructura física y/o lógica distinta a las referidas en los apartados a y b, la responsabilidad se repartirá entre la entidad que gestione dicha infraestructura en el marco de un contrato u otro instrumento que articule el acuerdo con la Consejería de Hacienda y Relaciones con la Unión Europea y la persona titular de la Intervención General o la persona Responsable del Servicio cuando el desarrollo, mantenimiento, explotación y/o gestión tecnológica recaiga, total o parcialmente, en esta.

3. La persona titular de la Intervención General tendrá la consideración adicional de Interlocutora de Sistemas y deberá coordinarse con las restantes personas Responsables de los Sistemas en el ámbito de esta PSIPD para el cumplimiento de sus funciones y de las decisiones que dimanen del Comité.

4. Con carácter general, los sistemas de información propios de esta Consejería se alojarán en la infraestructura tecnológica corporativa, debiendo realizarse todas las gestiones correspondientes a tal fin. Excepcionalmente, aquellos sistemas de información que requieran una solución de alojamiento distinto, deberán solicitar, previamente, informe preceptivo al órgano competente en materia de telecomunicaciones y tecnologías de la información en el ámbito de la Administración Pública de la Comunidad Autónoma de Canarias, así como informe, a la persona Responsable de Seguridad y/o la persona Delegada de Protección de Datos, según se trate, sobre los riesgos en que se puede incurrir y las alternativas para tratarlos.

Dicha solicitud deberá estar justificada en razones económicas, tecnológicas y de seguridad.

5. Las personas Responsables de los Sistemas tendrán las siguientes funciones:

a) Desarrollar, operar y mantener los sistemas de Información durante todo su ciclo de vida, así como aprobar los cambios que afecten a la seguridad del modo de operación de los mismos.

b) Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.

c) Colaborar con la persona Responsable de Seguridad en la realización de los preceptivos análisis de riesgos en materia de seguridad de la información.

d) Implantar las medidas necesarias para garantizar la seguridad del sistema desde el diseño inicial y durante todo su ciclo de vida, siguiendo las indicaciones y/o contando con las consideraciones de la persona Responsable de Seguridad.

e) Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.

f) Suspender el manejo de una determinada información o la prestación de un servicio electrónico si es informado de deficiencias graves de seguridad, previo acuerdo con la persona Responsable de dicha información o servicio, y con la persona Responsable de Seguridad.

Artículo 12.- Administrador de Seguridad.

Las personas Responsables de los Sistemas adscritas a esta Consejería podrán designar a uno o varios Administradores o Administradoras de Seguridad para realizar las siguientes funciones operativas:

a) Implementar, gestionar y mantener las medidas de seguridad aplicables a los sistemas de información en su ámbito de gestión.

b) Gestionar, configurar y actualizar, en su caso, el hardware y software en los que se basan los mecanismos y servicios de seguridad de los sistemas de información.

c) Gestionar las autorizaciones concedidas a las personas usuarias de los sistemas.

d) Aplicar los procedimientos de seguridad.

e) Aprobar los cambios de configuración de los sistemas de información.

f) Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.

g) Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.

h) Monitorizar el estado de seguridad de los sistemas, mediante el uso de herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica.

i) Informar a la persona Responsable de Seguridad y a la persona Responsable de los Sistemas afectados de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.

j) Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.

Artículo 13.- La persona Delegada de Protección de Datos.

1. La Consejería designará a una persona u órgano como Delegado de Protección de Datos del Departamento, en cumplimiento de lo previsto en el artículo 37 del RGPD, que asumirá, esencialmente, la función de asesorar y supervisar las actividades de tratamiento de los datos de carácter personal de las personas Responsables del tratamiento.

2. La persona Delegada de Protección de Datos desarrollará, en el ámbito competencial del Departamento, las tareas que atribuye a esta figura el artículo 39 del RGPD, así como las que se deriven de la normativa estatal de protección de datos personales.

3. La persona Delegada tomará parte en el proceso de informe por parte del Departamento de los borradores de proyecto de disposiciones generales sobre protección de datos personales que se promuevan con carácter básico para toda la Administración Pública de la Comunidad Autónoma de Canarias.

4. En el desempeño de sus funciones, la persona Delegada de Protección de Datos tendrá acceso a los datos personales y procesos de tratamiento departamentales, y gozará de las garantías e independencia reconocida en la normativa europea y nacional de protección de datos.

CAPÍTULO III

EJECUCIÓN DE LA PSIPD

Artículo 14.- Resolución de conflictos.

1. En caso de conflicto entre las diferentes personas responsables que componen la estructura organizativa de la PSIPD, este será resuelto por su superior jerárquico. En su defecto, será resuelto por la persona titular del Departamento, oído el Comité.

2. En caso de conflicto entre las personas responsables que componen la estructura organizativa de la PSIPD y los definidos en seguimiento de la normativa de protección de datos de carácter personal, prevalecerá la decisión que determine la persona responsable del tratamiento que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.

Artículo 15.- Obligaciones del personal.

1. Todo el personal incluido dentro del ámbito definido en el artículo 1 de la presente Orden y, en todo caso, aquel que utilice o tenga acceso a la información o a los sistemas de información del Gobierno de Canarias que den soporte a la Consejería de Hacienda y Relaciones con la Unión Europea o a los sistemas propios de la Consejería, deberá ser informado de la PSIPD y tiene las siguientes obligaciones:

a) Conocer y respetar la PSIPD, así como la normativa de seguridad y protección de datos personales que la desarrollen y que le afecten, siendo responsabilidad del Comité y de los órganos superiores y demás órganos integrados en la estructura de la Consejería disponer los medios necesarios para que la información llegue a todas las personas afectadas.

b) Asistir a las acciones de formación y o concienciación en materia de seguridad de la información y protección de datos personales que se realicen.

c) Utilizar los servicios y sistemas de información, así como la información y datos personales en ellos contenida y a la que tengan acceso, con una finalidad profesional acorde a las tareas encomendadas en función de su puesto de trabajo y a los fines y propósitos que motivaron la concesión del acceso.

d) Velar por la confidencialidad, autenticidad, integridad y trazabilidad de la información y los datos personales a los que tenga acceso según la clasificación y características de la misma y por la disponibilidad de los servicios en los que participe o gestione.

e) Notificar eventos que puedan suponer un incidente de seguridad o brecha de datos personales, o evidencien una debilidad que pueda implicar posteriores incidentes o brechas.

f) Colaborar en la resolución de incidentes de seguridad y brechas de datos personales, así como en la realización de acciones preventivas cuando sea necesaria su participación.

g) No realizar acciones intencionadas que perjudiquen la seguridad de los sistemas de información, ni la información y datos personales que contienen o los servicios que prestan.

2. Todo el personal de la Consejería deberá, asimismo:

a) Colaborar, en su ámbito de competencia, a dar cumplimiento a las funciones que, en materia de seguridad de la información y protección de datos personales, corresponden a la persona titular del órgano al que están adscritas, y que se recogen en el Capítulo II de la presente Orden.

b) Velar, en el desempeño de sus labores, por el cumplimiento de los principios básicos establecidos en esta PSIPD y de las consideraciones a tener en cuenta en las relaciones con terceras partes, descritas en el artículo 16 de esta Orden.

c) Colaborar activamente en la implantación y mantenimiento de las medidas organizativas, procedimentales y/o técnicas que en materia de seguridad de la información y protección de datos personales les resulten de aplicación, y en especial en aquellas que sean propias de su ámbito material de competencia.

3. El incumplimiento de estas obligaciones podrá ser sancionado de conformidad con la normativa disciplinaria correspondiente.

Artículo 16.- Terceras partes.

1. A los efectos de la presente Orden se entiende por terceras partes aquellas personas físicas o entidades jurídicas, públicas o privadas, que se relacionan o pretenden relacionarse con la Consejería de Hacienda y Relaciones con la Unión Europea, excluyendo aquellas relaciones que tengan lugar en calidad de administrados y administradas.

2. En las relaciones con terceras partes, se tendrán en cuenta las siguientes condiciones:

a) En ningún caso se facilitará a una tercera persona ningún tipo de información ni acceso a sistemas que no fuesen accesibles públicamente, sin que se hubiese suscrito previo acuerdo de confidencialidad y, en su caso, demás consideraciones establecidas en el apartado b) de este artículo.

b) Los instrumentos jurídicos que se suscriban a efectos de articular las relaciones con terceras personas para la adquisición, uso y desarrollo de sistemas o aplicaciones informáticas, la prestación de servicios tecnológicos o de cualquier otro tipo que impliquen el acceso, cesión y/o uso de servicios, sistemas o aplicaciones, sean propios o de terceras partes, y/o la cesión o el uso de información y tratamiento de datos personales deberán recoger las medidas y consideraciones de seguridad de la información y de protección de datos personales que resulten de aplicación según la legislación vigente en la materia, incluidas, en su caso, la preceptiva y previa acreditación de conformidad con el ENS de la tercera parte de forma acorde a la categorización de la información, servicio o sistema afectado y la suscripción del correspondiente instrumento o acuerdo donde se recojan las obligaciones de las partes en relación a la protección de datos personales, así como la obligación del personal adscrito a las terceras partes de conocer la PSIPD y demás obligaciones a las que queda sujeto en relación al uso o acceso a la información o a los sistemas que den soporte a la Consejería, de conformidad con el artículo 15.1 de esta Orden.

c) A través de dichos instrumentos se establecerán asimismo canales de información y coordinación entre las respectivas personas responsables de gestión de la seguridad de la información, con especial atención a la notificación y reacción ante incidentes de seguridad y violaciones de seguridad de los datos personales.

d) Cuando se presten servicios o se ceda información a terceras personas se les hará partícipes de la PSIPD y de las normas de seguridad o procedimientos de seguridad relacionados con el servicio o la información afectados.

3. Cuando en la articulación de la relación con una tercera parte se detecte, por parte de la persona Responsable de Seguridad y/o la Delegada de Protección de Datos, un posible incumplimiento de algún aspecto de la PSIPD, del cuerpo normativo definido en el artículo 18 de esta Orden y/o de la normativa en materia de seguridad de la información y de protección de datos personales, se pondrá en conocimiento de ello a la persona Responsable de la Información, del Tratamiento o del Servicio que corresponda, a fin de que pueda adoptar las medidas correctoras oportunas en materia de seguridad y/o de protección de datos y, en su caso, decidir sobre la aceptación de los riesgos antes de que se haga efectiva la prestación, uso, acceso o cesión de que se trate. En los casos en los que resulte procedente, se notificará de estas circunstancias adicionalmente a la persona Responsable del Sistema.

4. El acceso a servicios y el tratamiento de la información por personal vinculado a entidades externas se limitará a las tareas o actividades circunscritas en los términos del contrato o acuerdo que regula la relación entre la entidad y esta Consejería, siendo responsabilidad de la persona encargada del seguimiento de la ejecución del servicio darles a conocer la PSIPD departamental y la normativa de seguridad y de protección de datos que les resulte de aplicación.

Artículo 17.- Gestión de riesgos.

1. El proceso de gestión de riesgos engloba tanto la gestión de los riesgos de seguridad de la información como, de forma diferenciada, la gestión de los riesgos para los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales.

2. Dicho proceso comprende las fases de análisis de los riesgos correspondientes, previa categorización de seguridad del sistema en el caso de los riesgos de seguridad, selección de medidas a aplicar y aceptación de los riesgos residuales.

3. El proceso debe realizarse de manera continua, conforme a los principios de responsabilidad proactiva, gestión de la seguridad basada en los riesgos y reevaluación periódica.

4. El proceso de gestión de riesgos de seguridad de la información será revisado cada año por parte de la persona Responsable de Seguridad, que elevará un informe al Comité. A tal efecto, la persona Responsable de Seguridad, con la colaboración de las personas Responsables de los Sistemas y, en su caso, las personas Responsables de la Información y de los Servicios, se encargará de realizar los preceptivos análisis de riesgos en materia de seguridad de la información y de seleccionar las salvaguardas a implantar, que deberán ser proporcionales a los riesgos y estar justificadas.

5. En lo que respecta a la protección de datos personales, el centro directivo responsable o encargado del tratamiento realizará un análisis de riesgos conforme al artículo 24 del RGPD y, en los supuestos de su artículo 35, una evaluación de impacto en la protección de datos, en todo caso, antes de iniciar el proceso de diseño e implementación efectiva de un nuevo tratamiento de datos personales y, una vez implementado, deberá revisarse, en todo caso, cuando se altere la naturaleza, el ámbito, el contexto o los fines del tratamiento. En los demás casos, el proceso de revisión del riesgo se realizará periódicamente cada dos años.

Todos los sistemas de información de la Consejería se ajustarán a los niveles de seguridad requeridos por la normativa de protección de datos personales. En caso de conflicto de esta con la normativa de seguridad, prevalecerá la norma que presente un mayor nivel de exigencia respecto a la protección de datos personales. Igualmente, prevalecerán las medidas a implantar como consecuencia del análisis de riesgos y, en su caso, de la evaluación de impacto previstos en este apartado, en caso de resultar agravadas respecto de las previstas en virtud de los apartados anteriores.

6. Las personas Responsables de la Información, del Tratamiento y de los Servicios se responsabilizarán de los riesgos sobre la información, los datos personales y los derechos y libertades sobre las personas físicas y sobre los servicios, respectivamente y, por tanto, de aceptar los riesgos residuales calculados en los análisis y de realizar su seguimiento y control.

Artículo 18.- Desarrollo normativo de la PSIPD.

1. El cuerpo normativo sobre seguridad de la información y protección de datos personales será de obligado cumplimiento y se desarrollará en tres niveles según el ámbito de aplicación y nivel de detalle técnico, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:

a) Primer nivel normativo: la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información de la Administración Pública de la Comunidad Autónoma de Canarias, la presente Orden, y las disposiciones, directrices y normas generales de seguridad y protección de datos personales dentro del ámbito de aplicación de la PSIPD definido en la presente Orden.

La normativa correspondiente a este primer nivel será elaborada, según la materia específica que comprenda, por la persona Responsable de Seguridad o la persona Delegada de Protección de Datos, en su caso y será aprobada, a propuesta del Comité, por la persona titular del Departamento.

b) Segundo nivel normativo: Políticas Específicas de Seguridad de la Información y Normas de Seguridad TIC (Normas STIC) así como de Protección de Datos Personales (Normas PDP). Las Políticas Específicas desarrollan con un mayor grado de detalle la PSIPD dentro de un ámbito determinado. Las Normas dan respuesta, sin entrar en detalles de implementación ni tecnológicos, a qué se puede hacer y qué no en relación a un cierto tema desde el punto de vista de la seguridad o la protección de datos personales: qué se considera un uso apropiado o inapropiado, las consecuencias derivadas del incumplimiento, entre otros aspectos.

Los documentos relativos a este segundo nivel normativo serán elaborados por la persona Responsable de Seguridad y/o la persona Delegada de Protección de Datos, según la materia específica, y serán aprobados, a propuesta del Comité, por la persona titular del Departamento.

c) Tercer nivel normativo: Procesos, Procedimientos e Instrucciones Técnicas STIC y PDP. Son documentos que dan respuesta, incluyendo detalles de implementación y tecnológicos, a cómo se puede realizar una determinada tarea respetando los principios de seguridad y de protección de datos personales de la organización, así como los procesos internos en ella establecidos.

Los Procesos, Procedimientos e Instrucciones Técnicas STIC serán elaborados por las personas Responsables de los Sistemas y aprobados por la persona Responsable de Seguridad.

Los Procesos, Procedimientos e Instrucciones Técnicas PDP serán elaborados por las personas Responsables del Tratamiento y aprobadas por las mismas, sin perjuicio de las que pueda promover la Secretaría General Técnica en uso de las facultades que tiene este órgano encomendadas específicamente en materia de protección de datos, según se recoge en el Reglamento Orgánico del Departamento.

2. Aparte de los documentos citados en el apartado 1, la documentación de seguridad del sistema podrá contar, bajo criterio de la persona Responsable de Seguridad y/o la persona Delegada de Protección de Datos, con otros documentos de carácter no vinculante: recomendaciones, buenas prácticas, informes, registros, evidencias electrónicas, entre otros aspectos.

3. La persona Responsable de Seguridad será responsable de mantener la documentación de seguridad actualizada y organizada, y de gestionar los mecanismos de acceso a la misma. Lo mismo hará la persona Delegada de Protección de Datos, respecto a la documentación relativa a la protección de datos personales.

4. El Comité establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo normativo con el propósito de normalizarlo en la medida de lo posible en todo el ámbito de aplicación de la PSIPD.

5. En toda la normativa y documentación referente a la seguridad de la información y la protección de datos personales que se derive de la aplicación de esta norma se utilizará un lenguaje que evite el uso de formas discriminatorias o androcéntricas, de forma que la terminología empleada esté en armonía con el principio de igualdad de sexos.

Artículo 19.- Formación y concienciación.

1. El Departamento deberá desarrollar actividades formativas específicas orientadas a la concienciación y formación de su plantilla, así como a la difusión entre esta de la PSIPD y de su desarrollo normativo.

2. El Comité, la persona Responsable de Seguridad y la persona Delegada de Protección de Datos se encargarán de promover las actividades de formación y concienciación en materia de seguridad y protección de datos personales.

Artículo 20.- Actualización de la PSIPD.

1. La PSIPD se someterá a un proceso de revisión cuando resulte preciso, para adaptarse a las circunstancias técnicas o de otra índole y evitar su obsolescencia.

No obstante, la presente PSIPD subsistirá con independencia de los cambios en la denominación de la Consejería o de su reestructuración orgánica, manteniéndose en vigor para todos los órganos que se integren dentro de la Consejería con competencias en materia de hacienda.

2. La propuesta de revisión de la PSIPD la elaborarán la persona Responsable de Seguridad y la persona Delegada de Protección de Datos, con el visto bueno del Comité, antes de su tramitación como Orden Departamental.

Artículo 21.- Auditoría.

1. Los sistemas de información gestionados por esta Consejería serán objeto, al menos cada dos años, de una auditoría regular ordinaria que verifique el cumplimiento de los requerimientos del ENS. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad requeridas.

2. Asimismo, el sistema de gestión de datos personales en el ámbito de esta Consejería será objeto, al menos cada dos años, de una auditoría regular ordinaria que verifique el cumplimiento de los requisitos de la normativa en materia de protección de datos personales. Con carácter extraordinario deberá realizarse dicha auditoría siempre que existan modificaciones sustanciales de cualquier índole que puedan repercutir en el cumplimiento.

3. Las auditorías serán supervisadas por la persona Responsable de Seguridad y la persona Delegada de Protección de Datos.

4. Los informes de auditoría quedarán a disposición del Comité.

DISPOSICIONES ADICIONALES

Primera.- Estabilidad presupuestaria.

La aplicación de las previsiones contenidas en esta Orden no supondrá incremento del gasto público. Por tanto, los órganos y entidades afectadas deberán desarrollar las medidas derivadas de su cumplimiento ateniéndose a sus disponibilidades presupuestarias ordinarias, no dando lugar, en ningún caso, a planteamientos de necesidades adicionales de financiación.

Segunda.- Facultad para dictar instrucciones de interpretación y aplicación.

Se faculta a la Secretaría General Técnica para dictar las instrucciones que sean necesarias para la correcta interpretación y aplicación de la presente Orden, a propuesta de la Intervención General cuando la materia recaiga en su ámbito de competencias.

Tercera.- Deber de colaboración en la implantación de la PSIPD.

Todos los órganos y unidades del Departamento prestarán su colaboración en las actuaciones de implementación de la PSIPD aprobada por esta Orden.

Disposición final única.- Entrada en vigor.

La presente Orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de Canarias.

Comentarios