Política de Seguridad de la Información y Protección de Datos Personales de la Administración

Orden de 25 de marzo de 2026, de la Consejería de Presidencia, Reto Demográfico, Igualdad y Turismo, por la que se aprueba la Política de Seguridad de la Información y Protección de Datos Personales de la Administración del Principado de Asturias (BOPA de 9 de abril de 2026). Texto completo.

ORDEN DE 25 DE MARZO DE 2026, DE LA CONSEJERÍA DE PRESIDENCIA, RETO DEMOGRÁFICO, IGUALDAD Y TURISMO, POR LA QUE SE APRUEBA LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES DE LA ADMINISTRACIÓN DEL PRINCIPADO DE ASTURIAS.

ORDEN

La Administración del Principado de Asturias depende de los sistemas de información para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas, en función del riesgo, para protegerlos frente a daños accidentales o deliberados que puedan afectar a la autenticidad, trazabilidad, integridad o confidencialidad de la información -entendiéndose como información la unidad de datos tratada, sean o no de carácter personal y atendiendo a su clasificación en niveles de seguridad- tratada o la disponibilidad de los servicios prestados.

El objetivo último de la seguridad de la información es garantizar que la entidad pueda cumplir con sus objetivos, desarrollar sus funciones o competencias y prestar los servicios para la cual ha sido constituida la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Mediante Resolución de 19 de septiembre de 2014, de la Consejería de Economía y Empleo, se acuerda la aprobación de la política de seguridad de los sistemas de información en la Administración del Principado de Asturias (BOPA núm. 227 de 30 de septiembre de 2014).

El tiempo transcurrido desde la entrada en vigor de esa norma conlleva la necesidad de su adaptación a los últimos cambios normativos en la materia, derivados, fundamentalmente del Real Decreto 311/2022, de 3 de mayo , por el que se regula el Esquema Nacional de Seguridad (ENS). Asimismo, se considera oportuno contemplar, en este ámbito, la protección de datos personales, con sujeción a lo previsto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (en adelante, RGPD ).

La Seguridad de la Información en los sistemas prevista en el citado Real Decreto 311/2022, de 3 de mayo y la protección de los datos personales deben ser un todo integrado y coordinado sin que ello implique la perdida de competencias y responsabilidades que de cada norma se deriven. No es posible para una organización, cumplir el RGPD sin el cumplimiento adecuado del ENS en sus sistemas y en los flujos de información que se incluyan en los mismos.

A tales efectos, a través de la presente orden se aprueba la Política de Seguridad de la Información y Protección de Datos Personales de la Administración del Principado de Asturias, dando cobertura integral a ambos marcos (RGPD/ENS), en lo que supone garantizar los niveles adecuados de seguridad en el tratamiento de la información para asegurar su integridad, disponibilidad, confidencialidad, autenticidad y trazabilidad, estableciendo las medidas de seguridad necesarias tanto para el uso seguro y responsable, como para el aprovechamiento de los recursos tecnológicos de los que dispone esta Administración.

El artículo 2 del Decreto 22/2023, de 31 de julio, del Presidente del Principado de Asturias, de reestructuración de las Consejerías que integran la Administración de la Comunidad Autónoma, señala las funciones y competencias que corresponden a la Consejería de Presidencia, Reto Demográfico, Igualdad y Turismo, entre las que se encuentran las relativas a gestión centralizada del soporte tecnológico y los servicios informáticos y de comunicaciones de la Administración del Principado de Asturias. Por su parte, el Decreto 73/2023, de 18 de agosto , por el que se establece la estructura orgánica básica de esta Consejería, atribuye a la Dirección General de Estrategia Digital e Inteligencia Artificial, entre otras funciones, las relativas a la dirección, diseño, desarrollo, implantación, mantenimiento y gestión de los programas y políticas de seguridad en materia de sistemas de información para todos los ámbitos de la Administración del Principado de Asturias.

Asimismo, el artículo 1.7 del citado Decreto 73/2023, de 18 de agosto, establece que, con nivel orgánico de Servicio, dependerá de la titular de la Consejería, el Delegado de Protección de Datos. De conformidad con lo previsto en el artículo 2 bis.1, le corresponden al Delegado de Protección de Datos, las funciones atribuidas por el artículo 39 del RGPD, así como aquellas previstas por la normativa vigente en la materia.

De acuerdo con lo dispuesto en los artículos 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y 31 de la Ley del Principado de Asturias 2/1995, de 13 de marzo, sobre Régimen Jurídico de la Administración, la presente orden se ajusta a los principios de buena regulación, siendo el instrumento necesario para lograr los fines descritos en materia de seguridad de la información y protección de datos personales, constituyendo una medida eficaz y proporcional en tanto que contiene la regulación imprescindible para la satisfacción del interés perseguido por la norma, de acuerdo con el principio de seguridad jurídica. Asimismo, en aplicación del principio de eficiencia, la norma evita cargas administrativas innecesarias o accesorias.

Por último, se justifica la adecuación al principio de transparencia mediante su exposición en el portal de transparencia del Principado de Asturias.

Asimismo, en la tramitación de esta orden, se ha sometido la misma al Comité de Estrategia Digital y de Seguridad de la Información del Principado de Asturias (CEDISI). Consta en el expediente, el informe de la Dirección General de Presupuestos y Finanzas.

En su virtud, de conformidad con los artículos 38.i) de la Ley del Principado de Asturias 6/1984, de 5 de julio, del Presidente y del Consejo de Gobierno y 21.4 de la Ley del Principado de Asturias 2/1995, de 13 de marzo, sobre Régimen Jurídico de la Administración, por la presente,

DISPONGO

Artículo 1.-Aprobación de la Política de Seguridad de la Información y Protección de Datos Personales de la Administración del Principado de Asturias.

Se aprueba la Política de Seguridad de la Información y Protección de Datos Personales de la Administración del Principado de Asturias, cuyo texto se incorpora como anexo.

Artículo 2.-Ámbito de aplicación.

La Política objeto de aprobación será aplicable a la Administración del Principado de Asturias y a su sector público que haga uso de los recursos o sistemas de información gestionados por la Dirección General competente en materia de tecnologías de la información. Asimismo, resultará aplicable a todos los tratamientos de datos personales de los que sean responsables los órganos de la Administración del Principado de Asturias.

Disposición derogatoria única.-Derogación normativa

Se deroga la Resolución de 19 de septiembre de 2014, de la Consejería de Economía y Empleo, por la que se acuerda la aprobación de la política de seguridad de los sistemas de información en la Administración del Principado de Asturias.

Quedan, asimismo derogadas a la entrada en vigor de la presente orden, cuantas disposiciones de igual o inferior rango emanadas de los órganos de la Administración del Principado de Asturias, se opongan a lo dispuesto en la misma.

Disposición final única.-Entrada en vigor

La presente orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del Principado de Asturias.

Anexo

Política de Seguridad de la Información y Protección de Datos Personales

1.-Introducción.

La Administración del Principado de Asturias depende de los sistemas de información para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas, en función del riesgo, para protegerlos frente a daños accidentales o deliberados que puedan afectar a la autenticidad, trazabilidad, integridad o confidencialidad de la información - entendiéndose como información la unidad de datos tratada, sean o no de carácter personal y atendiendo a su clasificación en niveles de seguridad-tratada o la disponibilidad de los servicios prestados.

El objetivo último de la seguridad de la información es garantizar que la entidad pueda cumplir con sus objetivos, desarrollar sus funciones o competencias y prestar los servicios para la cual se ha sido constituida la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

La Administración del Principado de Asturias debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos donde se traten datos personales, se adquieran servicios TIC o se presten servicios que afecten a los sistemas de información.

La Administración del Principado de Asturias atendiendo a las normas esenciales de aplicación en el Estado Español entiende que la Seguridad de la Información en los sistemas regulada de forma general por ENS y la protección de los datos personales regulada específicamente por RGPD deben ser un todo integrado y coordinado sin que ello implique la perdida de competencias y responsabilidades que de cada norma se deriven.

No es posible para una organización cumplir el RGPD sin el cumplimiento adecuado del ENS en sus sistemas y en los flujos de información se incluyan en los mismos.

Es así que la presente PSIPD dará cobertura integral a ambos marcos (RGPD/ENS) dentro de lo que se legisle y normalice en el corpus documental al amparo de punto 10 “Desarrollo de la Política de Seguridad” de esta PSIPD.

2.-Alcance.

La presente política se aplicará a la Administración del Principado de Asturias y a su sector público que haga uso de los recursos o sistemas de información gestionados por la Dirección General con competencias en el ámbito TIC. Asimismo, se aplicará a todos los tratamientos de datos personales de los que sean responsables los órganos de la Administración del Principado de Asturias.

Están obligados a conocer y cumplir con el presente documento y la normativa de seguridad que lo desarrolla, todos los usuarios con acceso autorizado a los sistemas de información y a la información que contenga datos personales, incluidos en este ámbito ya sean o no empleados públicos y con independencia de la naturaleza de su relación jurídica con las entidades del Sector Público del Principado de Asturias comprendidas dentro de este alcance.

Los entes que se encuentren dentro del ámbito de aplicación de esta política podrán complementarla con documentos específicos que recojan sus particularidades y requisitos adicionales en materia de seguridad, siempre que estos se ajusten al marco general establecido.

3.-Misión del organismo.

La Administración del Principado de Asturias, bajo la dirección del Consejo de Gobierno, desarrolla su actuación para alcanzar los objetivos establecidos por las leyes y el resto del ordenamiento jurídico, sirviendo con objetividad a los intereses generales y actuando de acuerdo con los principios de eficacia, jerarquía, descentralización, desconcentración y coordinación, con sometimiento pleno a la Constitución , a la Ley y al Derecho.

Las competencias que corresponden a la Comunidad Autónoma Principado de Asturias serán ejercidas por los órganos superiores de la Administración del Principado, conforme a lo establecido en el Estatuto de Autonomía para Asturias.

La Administración del Principado de Asturias considera esencial garantizar los niveles adecuados de seguridad en el tratamiento de la información, para asegurar su integridad, disponibilidad, confidencialidad, autenticidad y trazabilidad, estableciendo las medidas de seguridad necesarias tanto para el uso seguro y responsable, como para el aprovechamiento de los recursos tecnológicos de los que dispone la Administración del Principado de Asturias. En muchos casos compartidos con el objetivo de una Administración electrónica, eficaz y confiable.

Para ello se adoptarán medidas que serán bien calculadas, adaptadas a los niveles de riesgo asumidos por la Administración del Principado de Asturias y que se encuentren debidamente procedimentadas, documentadas y aplicadas.

3.1.-Principios básicos.

De acuerdo con el artículo 5 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el ENS, los principios básicos deben de considerar como objeto último de la seguridad de la información el garantizar que una organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. Por ello, en materia de seguridad de la información deberán tenerse en cuenta los siguientes principios básicos:

• Alcance estratégico: La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles de la entidad y deberá coordinarse e integrarse con el resto de las iniciativas estratégicas de forma coherente.

• Seguridad como proceso integral, que estará constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los sistemas de información, procurando evitar cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas de información.

• Gestión de la seguridad basada en los riesgos. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales.

• Prevención, detección, respuesta y conservación. Se contemplarán acciones orientadas a prevenir ataques y riesgos de seguridad, detectar posibles amenazas de manera temprana, responder de manera efectiva ante incidentes y conservar la integridad y disponibilidad de la información.

• Existencia de líneas de defensa multicapa, específicamente diseñadas para reaccionar ante incidentes y reducir la probabilidad de compromiso del sistema en su totalidad. Las líneas de defensa incluirán medidas organizativas, físicas y lógicas que permitan minimizar el impacto de potenciales incidentes.

• Vigilancia continua que garantizará la protección constante de la información y los servicios, mediante la detección temprana, análisis y respuesta rápida ante posibles amenazas y vulnerabilidades. Reevaluación periódica. Que asegure que los sistemas mantengan niveles adecuados de protección y estén alineados con las normas, necesidades y exigencias actuales de seguridad.

• Seguridad por defecto y desde el diseño: Los sistemas deben estar diseñados y configurados para garantizar la seguridad por defecto. Los sistemas proporcionarán la funcionalidad mínima necesaria para prestar el servicio para el que fueron diseñados.

• Diferenciación de responsabilidades. Se mantendrá la responsabilidad de la seguridad de los sistemas de información diferenciada de la responsabilidad sobre la prestación de los servicios.

Asimismo, en materia de protección de datos personales deberán respetarse los siguientes principios:

• Licitud, lealtad y transparencia. Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.

• Legitimación en el tratamiento de datos personales: Sólo se tratarán los datos de carácter personal cuando dicho tratamiento se encuentre amparado en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD.

• Limitación de la finalidad. Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

• Minimización de datos. Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que sean tratados.

• Exactitud. Los datos personales serán exactos y, si fuera necesario, actualizados. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

• Limitación del plazo de conservación. Los datos se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que pudieran derivarse de su tratamiento. Los datos podrán conservarse durante períodos más largos cuando sean tratados exclusivamente con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, de acuerdo con lo establecido en el RGPD .

• Integridad y confidencialidad. Los datos serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas y organizativas apropiadas.

• Responsabilidad proactiva. El responsable del tratamiento deberá aplicar las medidas técnicas y organizativas adecuadas a fin de garantizar y poder demostrar que el tratamiento de los datos se hace conforme con la normativa vigente en materia de protección de datos.

• Atención de los derechos de los afectados: Se adoptarán medidas en la organización que garanticen el adecuado ejercicio por los afectados, cuando proceda, de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, y a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles, respecto de sus datos de carácter personal.

• Proporcionalidad: Se establecerán medidas de protección, detección y recuperación de forma que resulten proporcionales a los potenciales riesgos y a la criticidad y valor de la información, de los tratamientos de datos personales y de los servicios afectados.

• Proceso de verificación: Se implantará un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos.

• Protección de datos por defecto: Se promoverá que los sistemas titularidad del centro directivo con competencias en el ámbito TIC, se diseñen y configuren de forma que garanticen la protección de datos por defecto.

• Protección de datos desde el diseño: Se promoverá la implantación del principio de protección de datos desde el diseño con el objetivo de cumplir los requisitos definidos en el RGPD y, por tanto, los derechos de los interesados de forma que la protección de datos se encuentre presente en las primeras fases de concepción de un proyecto.

4.-Marco legal y regulatorio.

La base regulatoria que afecta al desarrollo de las actividades de la Administración del Principado de Asturias, y que implica la implementación explícita de medidas de seguridad o de protección en los sistemas de información, se desarrolla al amparo de la legislación del procedimiento administrativo común y de régimen jurídico del sector público, por el reglamento general de protección de datos personales y por las normativas específicas en materia de seguridad en el marco de la administración electrónica, en especial el Esquema Nacional de Seguridad y sus Instrucciones Técnicas y otras normativas sectoriales que resulten de aplicación.

La normativa que integra dicho marco se recogerá y se mantendrá actualizada en una norma de seguridad, dentro del primer nivel normativo que desarrolla esta política, bajo la denominación ‘Cumplimiento Normativo’, la cual estará disponible y permanentemente actualizada en la sede electrónica del Principado de Asturias.

Se considera igualmente de aplicación todo el cuerpo normativo de cumplimiento asociado a la Administración Electrónica y publicado en las respectivas Sedes electrónicas y dentro del marco de la presente política.

5.-Organización de la seguridad: Funciones y responsabilidades.

La organización de la Seguridad de los Sistemas de Información está constituida por las Autoridades responsables del establecimiento y aplicación de los procedimientos y normas de seguridad del sistema.

Siguiendo el principio que establece el Real Decreto 311/2022 , del 3 de mayo por el que se regula el ENS, de considerar la seguridad como una función diferenciada, la Administración del Principado de Asturias definirá a los Responsables de la seguridad de la información en una estructura de tres niveles organizativos atendiendo a sus responsabilidades:

Nivel 1 - Gobierno:

• Responsable de la Información.

• Responsable del Servicio.

• Responsable del Tratamiento (RGPD).

Nivel 2 - Supervisión:

• Responsable de Seguridad.

• Delegado de Protección de Datos (RGPD).

Nivel 3 - Operativo:

• Responsable del Sistema.

• Encargado del tratamiento (RGPD).

De acuerdo a estos criterios la Administración del Principado de Asturias:

• Cuenta formalmente con un órgano colegiado de Seguridad y Estrategia Digital para la toma de decisiones en materia de seguridad de la información corporativa, el Comité de Estrategia Digital y Seguridad de la Información del Principado de Asturias en adelante CEDISI.

5.1.-Comités: Funciones y responsabilidades.

5.1.1.-Comité para la Gestión y Coordinación de la Seguridad de la Información-CEDISI.

Las funciones de gobierno recogidas en el ENS serán asumidas, dentro de la Administración del Principado de Asturias, por el CEDISI en calidad de órgano colegiado, Se trata de un Comité, no técnico, que se responsabiliza de alinear la estrategia de la organización con las actividades en materia de seguridad de la información, cuya regulación se prevé en el Decreto 37/2018, de 18 de julio , de organización y desarrollo de los instrumentos de funcionamiento de las tecnologías de la información y las comunicaciones y de la seguridad de la información de la Administración del Principado de Asturias y su sector público. Su constitución persigue entre otras funciones, la estandarización de criterios y prácticas en materia de seguridad de la información y facilitar el intercambio de información relevante entre este Comité y otras estructuras directivas de la organización.

Entre las funciones mínimas que desarrollará el CEDISI, recogidas en el artículo 6 del mencionado decreto, se encuentran:

• Informar preceptivamente los programas y planes sobre sistemas de información de la Administración del Principado de Asturias y que hayan de ser sometidos a la consideración del Consejo de Gobierno.

• Informar regularmente del estado de la seguridad de la información.

• Revisar y validar la propuesta de estrategia TIC para su elevación al Consejo de Gobierno.

• Promover el desarrollo de la estrategia y la organización de la administración digital y la seguridad de la información en el Principado de Asturias, impulsando la revisión y actualización de la Política de Seguridad de la Información, en coherencia con las directrices y estándares que el propio Comité debe informar.

• Fomentar la formación en materia TIC, seguridad de la Información y de administración electrónica en el ámbito de la Administración del Principado de Asturias.

• Promover la mejora continua del sistema de gestión de la seguridad de la información asumiendo los riesgos residuales corporativos y aprobando los planes periódicos de adecuación al Esquema Nacional de Seguridad (ENS).

• Determinar los siguientes aspectos en materia de seguridad y protección de datos:

1. Las funciones de seguridad en la organización de la Administración del Principado de Asturias, definiendo para cada uno, los deberes y responsabilidades del cargo, así como el procedimiento para su designación y renovación.

2. El catálogo de servicios y sistemas de información, según el ENS y la legislación vigente en materia de protección de datos.

3. Asegurar, informar y aprobar la identificación y nombramiento formal de todos los responsables de la seguridad de la información de cada sistema del catálogo de servicios de acuerdo a las funciones y roles del ENS y legislación vigente en materia de protección de datos.

5.1.2.-Comités de Seguridad de la Información-STIC.

Podrán constituirse otros comités de seguridad de la información, con funciones meramente operativas, con la finalidad de gestionar y dar cumplimiento a los requisitos de seguridad definidos para cada sistema de información.

Estos grupos de trabajo operarán la seguridad de los sistemas, atendiendo a las directrices establecidas por los responsables de la seguridad designados.

El CEDISI será informado de la formación de estos grupos de trabajo por el Responsable de Seguridad del ámbito de información correspondiente.

5.2.-Roles: Funciones y responsabilidades.

En la Administración del Principado de Asturias, en el marco de la seguridad de la información y privacidad de los datos, se definen las responsabilidades mínimas para cada uno de los roles identificados.

ENS.

a) Responsable de la información:

• Identificar los activos esenciales de Información de su ámbito competencial y evaluar el impacto de un potencial incidente de Seguridad.

• Establecer los requisitos de seguridad de la información tratada en el marco establecido por el anexo I del ENS.

• Responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección.

b) Responsable del servicio:

• Identificar los activos esenciales de servicio de su ámbito competencial y evaluar el impacto de un potencial incidente de Seguridad.

• Establecer los requisitos de seguridad del servicio en el marco del anexo I del ENS.

c) Responsable de la seguridad de la información:

• Determinar las medidas adecuadas y proporcionadas para satisfacer los requisitos de seguridad de la información y de los servicios.

• Elaborar y aprobar la Declaración de Aplicabilidad, atendiendo a los requerimientos del Responsable de la Información y del Servicio.

• Determinación de la categoría del sistema, atendiendo a las valoraciones del Responsable de la Información y del Servicio.

• Comprobar que las medidas de seguridad de la información han sido adecuadamente implementadas por el Responsable del Sistema.

• Participar en la elaboración y en la propuesta de la Política de Seguridad de la Información y los procedimientos, normativas e instrucciones en aplicación del ENS.

• Analizar los riesgos antes del despliegue de los sistemas de inteligencia artificial en la entidad, atendiendo a las valoraciones del Responsable de la Información y del Servicio y, en su caso, del Delegado de Protección de Datos y supervisar su despliegue.

• Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo con lo establecido en la Política de Seguridad de la Información de la organización.

• Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.

• Calificar la peligrosidad de los ciberincidentes, contando con los responsables de la información y de los servicios.

• Constituirse como punto de contacto con las autoridades competentes en materia de seguridad y como punto de contacto especializado para la coordinación con el CSIRT de referencia. Notificando sin dilaciones indebidas y cuando sea preciso a las autoridades competentes.

• Promover las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones en materia de seguridad.

• Proponer líneas estratégicas de actuación en materia de seguridad de la información.

d) Responsable del sistema:

• Implantar, desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento, alineado con las medidas establecidas por el responsable de seguridad.

• Adoptar las medidas correctoras derivadas de las auditorías de seguridad.

• Suspender cautelarmente el manejo de cierta información o la prestación de un cierto servicio en caso de detección de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser comunicada al Responsable de la información, el Responsable del Servicio y el Responsable de Seguridad.

RGPD .

a) Responsable del tratamiento:

• Determinar los fines y medios esenciales del tratamiento, bien por decisión directa o porque así le viene impuesto por una norma con rango legal.

• Mantener y actualizar el registro de actividades de tratamiento de datos personales dentro de su ámbito de actuación y comunicarlo al delegado de protección de datos.

• Publicar el inventario de actividades de tratamiento en el Portal de Transparencia, conforme a lo establecido en el artículo 6 bis de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

• Atender las solicitudes relativas al ejercicio de los derechos en materia de protección de datos, garantizando la correcta gestión y resolución de las mismas en los plazos establecidos.

• Aplicar medidas de protección de datos desde el diseño y por defecto, asegurando que los tratamientos de datos personales respeten la privacidad desde su concepción y a lo largo de todo su ciclo de vida.

• Aprobar las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo para los derechos y libertades de las personas, basándose en un análisis de riesgos previo que permita identificar y mitigar los posibles impactos sobre los derechos y libertades de las personas.

• Cumplir con el deber de información en la recogida de los datos personales, de acuerdo con el principio de transparencia.

• Garantizar el cumplimiento del deber de confidencialidad, adoptando las medidas necesarias para asegurar que los datos personales no sean divulgados o sean accesibles a personas no autorizadas.

• Realizar evaluaciones de impacto relativas a la protección de datos, cuando el tratamiento implique un alto riesgo para los derechos y libertades de las personas, con el asesoramiento del delegado de protección de datos y los responsables de seguridad y sistemas.

• Notificar las brechas de seguridad de datos personales a la Agencia Española de Protección de Datos, cuando las brechas puedan entrañar un riesgo para los derechos y libertades de las personas y a las personas afectadas, cuando el riesgo derivado de la brecha sea alto.

• Seleccionar encargados de tratamiento que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con la normativa en materia de protección de datos y garantice la protección de los derechos de los interesados.

• Cumplir con las garantías, excepciones y requisitos establecidos en la normativa en materia de protección de datos en relación con las transferencias internacionales de datos.

• Bloquear los datos cuando proceda a su rectificación o supresión.

• Consultar a la Agencia Española de Protección de Datos antes de proceder a realizar un tratamiento cuando la evaluación de impacto relativa a la protección de datos determine que el tratamiento entraña un alto riesgo para los derechos y libertades de las personas y no sea capaz de mitigarlo adecuadamente.

Cuanto dos o más responsables de tratamiento determinen conjuntamente los fines y los medios del tratamiento, serán considerados corresponsables del tratamiento. En estos casos, los corresponsables deben determinar de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el RGPD , en particular, en cuanto al ejercicio de los derechos de los interesados ya sus respectivas obligaciones de suministro de información. En todo caso, deberá establecerse un punto de contacto para los interesados, sin perjuicio de que estos puedan ejercer sus derechos ante cualquiera de los corresponsables.

b) Delegado de protección de datos:

• Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud de la legislación sobre protección de datos aplicable.

• Supervisar el cumplimiento de la legislación sobre protección de datos aplicable y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorias correspondientes.

• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.

• Cooperar con la autoridad de control.

• Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, y realizar consultas, en su caso, sobre cualquier otro asunto.

• Prestar la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento.

• Planificar, coordinar, dirigir y controlar las actividades de tratamiento llevadas a cabo por los responsables de tratamiento de las Consejerías que integran la Administración del Principado de Asturias.

• Resolver las reclamaciones presentadas por las personas interesadas en relación con los tratamientos de datos personales llevados a cabo por los responsables de tratamiento, de su ámbito de actuación.

c) Encargado del tratamiento:

• Tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable.

• Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes.

• Aplicar las medidas técnicas y organizativas de seguridad necesarias o convenientes para asegurar la confidencialidad, disponibilidad e integridad de los datos personales a los que tenga acceso.

• Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos en materia de protección de datos personales, o tramitar, por su cuenta, las solicitudes, si así está establecido en el contrato o acto jurídico que les vincule.

• Notificar al responsable del tratamiento, sin dilación indebida, las brechas de seguridad de los datos personales a su cargo de las que tenga conocimiento.

• Apoyar al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

• Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.

• Informar al responsable del tratamiento de cualquier cambio previsto en la incorporación o sustitución de otros encargados.

• Suprimir o devolver, a elección del responsable de tratamiento, todos los datos personales una vez finalice la prestación de los servicios de tratamiento.

• Designar un delegado de protección de datos, cuando proceda, y comunicarlo al responsable de tratamiento.

• Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

• Cualquier otra que le atribuya la normativa en materia de protección de datos.

5.3.-Proceso de designación de Responsables.

El nombramiento de los responsables de la seguridad de la información definidos en esta política corresponde al CEDISI en calidad de órgano colegiado, de acuerdo a las funciones definidas en el artículo 6 del Decreto 37/2018 de 18 de julio.

Los roles que se encuentran asociados a órganos colegiados, unidades organizativas, o cargo institucional identificado, asumirán las responsabilidades del rol de forma implícita al aceptar el nombramiento o cargo.

Para la Administración del Principado de Asturias la designación es la siguiente:

• El Responsable de la información y el Responsable del Servicio, recaerá en las personas titulares de la Secretaría General Técnica y de cada Dirección General dentro de su ámbito de competencia, así como en la unidad organizativa correspondiente en el caso de cada Organismo.

• En el caso en que confluya información proveniente de diferentes ámbitos en un mismo sistema de información, proveniente de diferentes organismos, direcciones o servicios pertenecientes a la misma Consejería, serán las Secretarías Generales Técnicas quienes coordinen, a los diferentes responsables de la Información y Servicio.

• El Responsable de Seguridad, será nombrado a propuesta del titular de la Consejería competente por razón de la materia.

El Responsable de Seguridad, deberá estar ubicado dentro la Consejería que realiza la propuesta y ocupará al menos el rango de Dirección General. La Secretaría General Técnica de cada Consejería, ejercerá las funciones de Responsable de Seguridad mientras que el nombramiento no se produzca.

En el caso en que confluya información proveniente de diferentes ámbitos de información en un mismo sistema de información, será el CEDISI quien nombre a conveniencia al responsable de seguridad para dicho sistema, el responsable ocupará al menos un rango de Dirección General y se mantendrá la independencia jerárquica con el Responsable del Sistema. La Secretaría General Técnica de la Consejería en la que se encuentre adscrita la dirección general con competencias TIC, ejercerá las funciones de Responsable de Seguridad mientras que el nombramiento no se produzca.

El Responsable de Seguridad de la información podrá designar cuantos Responsables de Seguridad Delegados considere necesarios. La designación corresponde al propio Responsable de Seguridad, que delega funciones, aunque continúa ostentando la responsabilidad.

Cada Responsable de Seguridad Delegado mantendrá una dependencia funcional directa del Responsable de Seguridad, a quien reportarán.

• Será nombrado Responsable del Sistema, la persona titular de la Dirección General con competencias en materia TIC, para aquellos sistemas de información cuya gestión, desarrollo, operación o mantenimiento se encuentren bajo su competencia directa, conforme a la estructura orgánica vigente y a su marco funcional.

El Responsable de Sistema podrá designar cuantos Responsables del Sistema Delegados consideren necesarios. Esta designación corresponde al Responsable del Sistema, que delega funciones manteniendo su responsabilidad.

Cada Responsable del Sistema Delegado mantendrá una dependencia funcional directa del Responsable del Sistema, a quien reportarán.

Cada Consejería podrá proponer una organización alternativa adaptada a sus necesidades para su nombramiento por el CEDISI, ya sea mediante órganos colegiados o individuales con rango mínimo de Dirección General.

Para organismos autónomos y entes instrumentales con autonomía organizativa y presupuestaria, será cada entidad la que defina los roles ENS aplicables a sus sistemas propios en el documento específico de particularidades de la Política de Seguridad de la Información, dentro del apartado de Organización de la Seguridad, y de acuerdo con su normativa interna y conveniencia organizativa.

No obstante, la Dirección General con competencias en materia TIC podrá participar en calidad de unidad asesora, impulsora de estándares técnicos o proveedora de servicios compartidos o infraestructuras TIC, cuando así se derive de convenios, encomiendas, encargos o resoluciones específicas.

Para todas las entidades dentro del alcance de esta Política, se mantendrá en todo momento la segregación de funciones entre el Responsable de Seguridad y el Responsable del Sistema, asegurando la independencia jerárquica entre ambos.

• La responsabilidad del tratamiento recaerá los órganos centrales de las Consejerías (secretarías generales técnicas y direcciones generales), así como en los órganos y centros directivos de los organismos y entes adscritos a los mismos.

• Los Delegados de Protección de Datos se publicitarán en el portal de transparencia del Principado de Asturias y será comunicado a la Agencia Española de Protección de Datos por los cauces existentes.

• Los Encargados del Tratamiento serán designados por los Responsables del Tratamiento cuando sea necesario que un tercero trate datos personales en su nombre. Esta designación se formalizará mediante un contrato o acto jurídico, de acuerdo con lo establecido en el Reglamento General de Protección de Datos (RGPD), asegurando que el tratamiento se realice conforme a las instrucciones del responsable y bajo las garantías exigidas por la normativa vigente.

5.4.-Resolución de conflictos.

Habida cuenta de la independencia en las funciones de los distintos responsables, no cabe esperar que se produzcan conflictos entre los mismos, pues las obligaciones respecto a los sistemas de información y a los tratamientos de datos personales, vienen derivadas de la normativa aplicable, en función de la información tratada o de los servicios prestados. Con carácter general, siempre deberá cumplirse la normativa de mayor exigencia. En caso de discrepancia, los datos de carácter personal constituyen un objeto protegido de mayor rango y marcarán la pauta a seguir.

En última instancia, en caso de no resolución de acuerdo con la jerarquía de la normativa, el CEDISI será quien tome el acuerdo oportuno de resolución.

6.-Protección de datos personales.

El Principado de Asturias trata datos de carácter personal, según se describe en el Registro de Actividades de Tratamiento.

Los responsables de tratamiento deberán evaluar los riesgos para los derechos y libertades de las personas relacionados con los datos personales tratados previo a su tratamiento, proponiendo un plan de actuación para la corrección de aquellos riesgos que superen el umbral autorizado.

Cuando del análisis de riesgos realizado resulte probable que el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas, los responsables de tratamiento deberán realizar, antes del tratamiento, una evaluación de impacto de las operaciones de tratamiento en la protección de datos.

7.-Concienciación y formación.

Además de las actividades desempeñadas por el CEDISI en base a su Decreto, la Administración del Principado de Asturias desarrollará actividades específicas en materia de seguridad de la información y protección de datos personales, encaminadas a la concienciación y formación de los empleados, así como a la difusión entre los mismos de la Política de Seguridad de la Información y Protección de Datos y su desarrollo normativo.

De acuerdo al principio de Seguridad Integral recogido en el Esquema Nacional de Seguridad, se impulsarán líneas de actuación al objeto de lograr la plena conciencia respecto a que la seguridad de la información afecta a todos los miembros de la Administración y a todas las actividades desarrolladas. En tal sentido se articularán los medios necesarios para sensibilizar a todo el personal respecto a los riesgos a los que están expuestos los sistemas de información y los tratamientos de datos personales.

La seguridad de la información y la protección de los datos personales, es el resultado de un proceso que depende tanto de factores técnicos como humanos. Por tanto, se pretende que todos los usuarios con acceso a los sistemas de información de la Administración del Principado de Asturias y que intervengan en los tratamientos de datos personales llevados a cabo por los responsables de tratamiento, conozcan y entiendan sus responsabilidades en materia de seguridad de la información y protección de datos. Quienes participen en cualquier fase del tratamiento de la información deberán responder, en la medida de sus competencias normalizadas/formalizadas, de la seguridad y buen uso de dicha información, colaborando de esta forma en reducir los riesgos a los que están expuestos los sistemas de información.

La Administración del Principado de Asturias dispondrá los medios para publicar, dar a conocer y facilitar el cumplimiento de esta Política de Seguridad de la Información y Protección de Datos, y los documentos que la desarrolla descritos en el apartado 10, así como para verificar su aplicación y efectividad.

Se establecerá un programa de concienciación continua para atender a todo el personal de la Administración del Principado de Asturias, en particular a los de nueva incorporación. Las personas con responsabilidad en el uso, operación o administración de sistemas de información y en el tratamiento de datos personales recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.

8.-Gestión de riesgos.

Todos los sistemas afectados por esta Política serán sometidos periódicamente a análisis de riesgos, con el objeto de evaluar las amenazas a las que pueden estar expuestos. Este análisis se repetirá:

• Regularmente, al menos una vez al año.

• Cuando varíe la información manejada.

• Cuando varíen los servicios prestados.

• Cuando se produzca un incidente grave de seguridad.

• Cuando se reporten vulnerabilidades graves.

• Cuando se produzcan modificaciones en el análisis de riesgos de protección de datos o en las evaluaciones de impacto.

El Responsable del Tratamiento será el encargado de elaborar el análisis de riesgos específico en materia de protección de datos, evaluando los riesgos que el tratamiento pueda suponer para los derechos y libertades de las personas, y adoptando las medidas necesarias para su mitigación, conforme a lo establecido en el RGPD .

Por su parte, el Responsable de Seguridad, una vez valorados los activos esenciales de información y de servicio aprobados por los responsables correspondientes, se encargará de categorizar los sistemas de información, realizar los análisis de riesgos preceptivos sobre las dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) y seleccionar las salvaguardas necesarias para minimizar los riesgos hasta niveles aceptables.

En este proceso, se coordinarán los planes de tratamiento del riesgo y se contará con la opinión del Delegado de Protección de Datos en lo que respecta a la protección de datos personales.

En particular, para realizar el análisis de riesgos, como norma general se utilizará una metodología reconocida de análisis y gestión de riesgos.

9.-Gestión de incidentes de seguridad.

El Principado de Asturias, dispondrá de un procedimiento para la gestión ágil de los eventos e incidentes de seguridad que supongan una amenaza para la información y los servicios. Este procedimiento se integrará con otros relacionados con los incidentes de seguridad de otras normas sectoriales como la de protección de datos personales u otra que afecte al organismo para coordinar la respuesta desde los diferentes enfoques y comunicar a los diferentes organismos de control sin dilaciones indebidas y, cuando sea preciso, a las Fuerzas y Cuerpos de Seguridad el Estado o los juzgados.

10.-Desarrollo de la Política de Seguridad y Protección de Datos.

La presente Política de Seguridad de la Información y Protección de Datos será complementada por medio de un cuerpo normativo de seguridad y recomendaciones de seguridad (normativas y procedimientos de seguridad, procedimientos técnicos de seguridad, informes, registros y evidencias electrónicas).

El cuerpo normativo sobre seguridad de la información se desarrollará en tres niveles por ámbito de aplicación, nivel de detalle técnico y obligatoriedad de cumplimiento, de manera que cada norma de un determinado nivel de desarrollo fundamentándose en las normas de nivel superior.

Estableciendo los siguientes niveles:

• Primer nivel normativo: Constituido por la presente Política de Seguridad de la Información, y las directrices generales de seguridad.

• Segundo nivel normativo: Constituido por las normas de seguridad derivadas de las directrices generales, establecen los requisitos que deben ser alcanzados para satisfacer y cumplir los objetivos de seguridad establecidos en la política de seguridad.

• Tercer nivel normativo: Constituido por procedimientos, guías e instrucciones técnicas. Son documentos que, cumpliendo con lo expuesto en la Política de Seguridad de la Información, determinan las acciones o tareas a realizar en el desempeño de un proceso.

Corresponde al CEDISI la revisión de la Política de Seguridad de la Información y Protección de Datos, siendo el Servicio con competencias en materia de seguridad, la unidad responsable de la aprobación de los restantes documentos, y ocupándose de su difusión para que la conozcan las partes afectadas.

Del mismo modo, la presente Política de Seguridad de la Información y Protección de Datos integra la Política de Privacidad de la Administración del Principado de Asturias, en materia de protección de datos.

La Política de seguridad de la Información y Protección de Datos, y su normativa asociada, será conocida y estará a disposición de todos los miembros de la Administración del Principado de Asturias, particularmente para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones. Estará actualizada y disponible para su consulta en los repositorios habilitados para tal efecto.

11.-Terceras partes.

Cuando la Administración del Principado de Asturias preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información y Protección de Datos, se establecerán canales para reporte y coordinación entre las partes y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando utilicen servicios de terceros o se ceda información a terceros, se les hará partícipes de esta Política de Seguridad y Protección de Datos y de la Normativa de Seguridad y Protección de Datos que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se designará un punto o persona de contacto para la seguridad de la información tratada y el servicio prestado que canalice y supervise tanto el cumplimiento de los requisitos de seguridad del servicio que presta o solución que provea, como las comunicaciones relativas a la seguridad de la información y la gestión de los incidentes para el ámbito de dicho servicio.

Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad y protección de datos, al menos al mismo nivel que el establecido en esta Política.

En la adquisición de derechos de uso de activos en la nube tendrá en cuenta los requisitos establecidos en las medidas de seguridad del anexo II del R. D. 311/2022 y las Guías de Seguridad CCN-STIC.

Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla, de modo que la Administración del Principado de Asturias pueda supervisarlos o solicitar evidencias del cumplimiento de estos, incluso auditorías de segunda o tercera parte. Se establecerán procedimientos específicos de reporte y resolución de incidencias que deberán ser canalizadas por el POC de los terceros implicados y, además, cuando afecte a datos personales por el Delegado de Protección de Datos. Los terceros garantizarán que su personal está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política o el que específicamente se pueda exigir en el contrato.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados previo a las actuaciones.

Cuando la entidad adquiera, desarrolle o implante un sistema de Inteligencia Artificial, además de cumplir con lo establecido en la normativa vigente en la materia, deberá contar con el informe del Responsable de la Seguridad, que consultará al Responsable de la Información y del Servicio y, cuando sea necesario, al del Sistema, debiendo también el Delegado de Protección de Datos emitir su parecer.

12.-Actualización de la Política de Seguridad de la Información y Protección de Datos.

La Política de Seguridad de la Información y Protección de Datos se revisará anualmente por parte del CEDISI para asegurar que sigue cumpliendo con los requisitos del marco normativo de referencia y que mantiene su idoneidad y eficacia.

Las Normativas de Seguridad se mantendrán adecuadamente actualizadas como base para la elaboración de las instrucciones concretas que favorecen y posibilitan la seguridad en los distintos procedimientos operativos. La normativa se ajustará a los criterios generales que marca la Política de Seguridad de la Información, y estará planteada de manera realista de acuerdo a las necesidades concretas de la organización de la Administración del Principado de Asturias, a los cambiantes desarrollos de las Tecnologías de la Información y a las buenas prácticas y estándares de seguridad.

Las normativas de tercer Nivel se reevaluarán y actualizarán periódicamente; se pretende, de esta manera, adecuar su eficacia a la constante evolución de los riesgos a los que están expuestos los Sistemas de Información.

13.-Incumplimiento.

En caso de conocimiento, por parte de cualquier actor, de algún incumplimiento de esta Política o de las normas y procedimientos derivados de ella, se deberá informar de acuerdo a la normativa de gestión de incidentes de seguridad.

El Responsable de Seguridad, en el ejercicio de sus competencias, gestionará el análisis de la situación intentando, en primer lugar, contrarrestar los riesgos o problemas que tales incumplimientos hayan podido generar, y, en segundo lugar y en función de cada caso informar, y en ocasiones formar, al usuario que incumple y a sus responsables.

El Responsable de Seguridad elaborará los informes pertinentes sobre los casos de incumplimiento y realizará traslado de los mismos al CEDISI y en caso de una brecha relacionada con el RGPD se informará también a Delegado de Protección de datos.