Acceso gratuito
Acceso gratuito
Entrar
Entrar
Poltica de seguridad de las tecnologas de la informacin y comunicaciones, seguridad interior, y proteccin de datos personales
Orden de 13 de marzo de 2025, por la que se establece la poltica de seguridad de las tecnologas de la informacin y comunicaciones, seguridad interior, y proteccin de datos personales de la Consejera de Sostenibilidad y Medio Ambiente (BOJA de 19 de marzo de 2025). Texto completo.
ORDEN DE 13 DE MARZO DE 2025, POR LA QUE SE ESTABLECE LA POLTICA DE SEGURIDAD DE LAS TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES, SEGURIDAD INTERIOR, Y PROTECCIN DE DATOS PERSONALES DE LA CONSEJERA DE SOSTENIBILIDAD Y MEDIO AMBIENTE.
El Esquema Nacional de Seguridad en el mbito de la administracin electrnica (en adelante, ENS), cuyo objeto es el establecimiento de los principios y requisitos de una poltica de seguridad en la utilizacin de medios electrnicos que permita la adecuada proteccin de la informacin, actualmente incluido en el artculo 156 #(036563) ar.156# de la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico, se regula por el Real Decreto 311/2022, de 3 de mayo #(054752)#, por el que se regula el Esquema Nacional de Seguridad.
Su finalidad ltima es la creacin de las condiciones necesarias de confianza en el uso de los medios electrnicos, a travs de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrnicos, que permita a la ciudadana y a las Administraciones pblicas, el ejercicio de derechos y el cumplimiento de deberes a travs de estos medios.
Para dar cumplimiento a los requisitos y finalidades del ENS en su propio mbito, la Junta de Andaluca aprob el Decreto 1/2011, de 11 de enero #(009739)#, por el que se establece la poltica de seguridad de las tecnologas de la informacin y comunicaciones en la Administracin de la Junta de Andaluca, cuyo artculo 10 ordena que cada Consejera en su mbito de aplicacin disponga formalmente de su propio Documento de Poltica de Seguridad TIC aprobado por su persona titular.
El citado decreto cre un Comit de Seguridad de las Tecnologas de la Informacin y Comunicaciones (TIC) corporativo para toda la Junta de Andaluca dependiente de la Consejera competente en materia de direccin e impulso de la poltica de telecomunicaciones y seguridad de los sistemas de informacin, junto con un grupo de personas expertas en seguridad TIC de la Administracin de la Junta de Andaluca. Adems, estableci que cada Consejera y ente instrumental de la Administracin de la Junta de Andaluca deban constituir su propio Comit de Seguridad TIC mediante Orden de cada Consejera.
Por otro lado, para la gestin ordinaria de la seguridad dispona la existencia de un Responsable de Seguridad corporativo y uno en cada Consejera o ente instrumental a designar por el respectivo Comit de Seguridad TIC. Esta figura asumira las funciones de Responsable de Seguridad descritos en la normativa reguladora del Esquema Nacional de Seguridad.
Posteriormente, el Decreto 70/2017, de 6 de junio, modific el Decreto 1/2011, de 11 de enero #(009739)#. Dicha modificacin, segn su exposicin de motivos, responda a la necesidad de reforzar el gobierno de la seguridad TIC en la Administracin de la Junta de Andaluca y se centraba, fundamentalmente, en introducir cambios en la organizacin corporativa de la seguridad TIC, potenciando la estructura de gobierno mediante la definicin de atribuciones especficas a las Consejeras en relacin con su propia seguridad y con la de las entidades vinculadas o dependientes de ellas, clarificando la aplicacin del principio de funcin diferenciada y delimitando las funciones que deben desempeñar las distintas reas implicadas en el mantenimiento de la seguridad, en lnea con los perfiles con responsabilidad en seguridad definidos en la normativa reguladora del Esquema Nacional de Seguridad.
Consecuentemente, la novedad ms significativa fue la sustitucin del Responsable de Seguridad TIC tanto corporativo como de las Consejeras por una Unidad de Seguridad TIC corporativa de la Junta de Andaluca y en otra Unidad de Seguridad TIC por cada Consejera (y tambin en el Servicio Andaluz de Salud y en el Servicio Andaluz de Empleo) con funciones ms definidas, cuya persona titular sera la que asumira el papel, funciones y responsabilidades encomendados al Responsable de Seguridad por el Esquema Nacional de Seguridad. Solamente los entes instrumentales mantendran la figura del Responsable de Seguridad TIC como puesto unipersonal y no como unidad.
En cumplimiento del artculo 11 del ENS, sobre el principio de funcin diferenciada, la responsabilidad de la seguridad de los sistemas de tecnologas de informacin y comunicaciones estar diferenciada de la responsabilidad sobre la prestacin de servicios.
En la elaboracin de esta orden se ha tenido en cuenta la normativa actualmente aplicable en materia de datos personales, en especial el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril #(037364)# de 2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos y por el que se deroga la Directiva 95/46/CE #(060443)# (Reglamento general de proteccin de datos #(037364)# ); la Ley Orgnica 3/2018, de 5 de diciembre #(050868)#, de Proteccin de Datos Personales y garanta de los derechos digitales, y la Ley Orgnica 7/2021, de 26 de mayo #(053793)#, de proteccin de datos personales tratados para fines de prevencin, deteccin, investigacin y enjuiciamiento de infracciones penales y de ejecucin de sanciones penales.
En la presente orden se adopta una poltica de proteccin de datos personales de la Consejera, que se considera proporcionada al importante volumen y nivel de riesgo de los tratamientos de datos que lleva a cabo la Consejera, de conformidad con lo dispuesto en el artculo 24.2 del Reglamento General de Proteccin de Datos y el artculo 27.2 #(053793) ar.27# de la Ley Orgnica 7/2021, de 26 de mayo. En esta poltica se han recogido medidas que ya se venan adoptando proactivamente, sin ser obligatorias, y que se ha demostrado en la praxis que se trata de buenas prcticas que han mejorado la gestin de la proteccin de los datos personales en la Consejera.
Con el Decreto 171/2020, de 13 de octubre #(053113)#, se establece la Poltica de Seguridad Interior en la Administracin de la Junta de Andaluca. La organizacin as resultante tendr para cada uno de los niveles: corporativo, de Consejera y de provincia; un rgano colegiado identificado como comit con funciones de carcter deliberativo y decisorio, y sendas unidades que darn soporte al sistema y tendrn carcter ejecutivo.
Cerrando el modelo, una persona o equipo, responsables de la seguridad interior para los activos de cada Consejera en cada provincia, sern el verdadero nodo de integracin del funcionamiento del sistema.
Teniendo en cuenta los principios de simplificacin, economa, eficacia y eficiencia administrativas se ha aconsejado evitar la creacin ex-novo de un comit para la seguridad interior en cada Consejera, optando por incluir las que hubieran sido sus funciones y tareas entre las de los actuales Comits de Seguridad TIC, que debern modificar su denominacin, funciones y -eventualmente- composicin para incluir los relativos al mbito de la seguridad interior. Esta solucin organizativa supone adems un nuevo avance en la coordinacin entre la seguridad fsica y la ciberseguridad, favoreciendo las sinergias posibles entre ambas materias.
En consecuencia, para dar cumplimiento a lo dispuesto en el Decreto 171/2020, de 13 de octubre #(053113)#, se dicta por la Consejera de Agricultura, Pesca y Desarrollo Sostenible, la Orden de 30 de marzo #(053649)# de 2021 por la que se establece la poltica de seguridad de la informacin.
El Decreto 170/2024, de 26 de agosto #(057215)#, por el que se establece la estructura orgnica de la Consejera de Sostenibilidad y Medio Ambiente, dispone en su disposicin transitoria cuarta que “A los efectos del cumplimiento de lo dispuesto en el artculo 10 #(009739) ar.10# del Decreto 1/2011, de 11 de enero, por el que se establece la poltica de seguridad de las tecnologas de la informacin y comunicaciones en la Administracin de la Junta de Andaluca, y en tanto la Consejera no disponga de una Poltica de Seguridad TIC propia, se regir por la establecida en la Orden de 30 de marzo #(053649)# de 2021, por la que se establece la poltica de seguridad de la informacin de la Consejera de Agricultura, Ganadera, Pesca y Desarrollo Sostenible, en lo que le resulte aplicable. Igualmente continuar en funciones el Comit de Seguridad de la Informacin establecido en aquella y requerido por el citado artculo 10 del Decreto 1/2011, y por el artculo 9 #(053113) ar.9# del Decreto 171/2020, de 13 de octubre, por el que se establece la Poltica de Seguridad Interior en la Administracin de la Junta de Andaluca.
Por tanto, es necesario la aprobacin de una orden de la Consejera de Sostenibilidad y Medio Ambiente que establezca la Poltica de Seguridad de Tecnologas de la Informacin y Comunicaciones, Seguridad Interior y proteccin de datos de datos personales.
Por lo expuesto, en la presente orden se abordar por un lado la regulacin, composicin y rgimen de funcionamiento del Comit de Seguridad Interior y Seguridad TIC. Adems regular los objetivos de la poltica de seguridad interior y de la seguridad TIC y proteccin de datos personales de la Consejera de Sostenibilidad y Medio Ambiente.
Tambin se ha tenido en cuenta la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel comn de ciberseguridad en toda la Unin, por la que se modifican el Reglamento (UE) nm. 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).
Por ltimo, esta orden tiene en cuenta las competencias atribuidas a la Agencia Digital de Andaluca en materia de desarrollo y ejecucin de las polticas de seguridad de los sistemas de informacin y telecomunicaciones, y de gestin de los recursos comunes para la prevencin, deteccin y respuesta a incidentes y amenazas de ciberseguridad en el mbito de la Administracin de la Junta de Andaluca y del sector pblico andaluz.
La orden consta de cuarenta y siete artculos, distribuidos en cuatro captulos, una disposicin derogatoria y dos disposiciones finales.
El Captulo I contiene las disposiciones generales sobre el objeto de la presente orden y su mbito de aplicacin. Contiene la regulacin del Comit de Seguridad Interior y Seguridad TIC de la Consejera de Sostenibilidad y Medio Ambiente, su composicin, atribuciones y rgimen de funcionamiento. Dispone la existencia en su seno de un Grupo de Respuesta a Incidentes en los Sistemas de Informacin para la toma urgente de decisiones en caso de contingencia grave que afecte a la seguridad de los sistemas de informacin crticos de esta Consejera.
El Captulo II se refiere a la poltica de seguridad interior de esta Consejera, regulando la estructura organizativa de la gestin de la seguridad interior en la misma, as como la gestin de riesgos y auditoras de seguridad en esta materia.
El Captulo III se refiere a la poltica de seguridad TIC de esta Consejera, regulando as la estructura organizativa de la gestin de seguridad TIC en la misma, as como la gestin de riesgos y auditoras de seguridad en esta materia.
El Captulo IV est dedicado a aspectos organizativos para recoger la incidencia de la normativa de proteccin de datos, y especialmente del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril #(037364)# de 2016, que aprueba el Reglamento General de Proteccin de Datos #(037364)#, que afectan directamente a la seguridad TIC. Entre ellos el principio de integridad y confidencialidad de los datos personales recogido en su artculo 5.1.f). que supone que los datos personales sern tratados de tal manera que se garantice una seguridad adecuada de los mismos, incluida la proteccin contra el tratamiento no autorizado o ilcito y contra su prdida, destruccin o daño accidental, mediante la aplicacin de medidas tcnicas u organizativas apropiadas. Adems de asumir la incidencia de los aspectos fundamentales del nuevo Reglamento General de Proteccin de Datos #(037364)#, recoge sus figuras fundamentales, como son el Responsable del Tratamiento, el Encargado del Tratamiento y el Delegado de Proteccin de Datos, en la poltica de seguridad TIC y Seguridad Interior de la Consejera.
En la elaboracin y tramitacin de la presente orden, se ha actuado conforme a los principios de buena regulacin a los que se refiere el artculo 129.1 #(013300) ar.129# de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas. En cuanto a los principios de necesidad y eficacia, la orden no hace sino desarrollar el artculo 10.1 #(009739) ar.10# del Decreto 1/2011, de 11 de enero, como estaba obligada, teniendo el rango normativo de orden en cumplimiento de lo dispuesto en su apartado 2; cumple con el de proporcionalidad al desarrollar estrictamente con el mandato del decreto, no imponiendo ms obligaciones a la ciudadana ni a la Administracin que los establecidos en l y regulando figuras necesarias para el cumplimiento de la finalidad perseguida; sobre el de seguridad jurdica, se han tenido en cuenta todas las normas europeas, estatales y autonmicas de aplicacin; acerca del de transparencia, al tratarse de una disposicin de organizacin interna no ha habido consulta previa ni trmite de audiencia a la ciudadana, limitndose los informes a los internos de la Administracin; y, por fin, es eficiente porque no slo evita imponer cargas administrativas adicionales, sino que se limita a utilizar los recursos ya existentes para dar los servicios requeridos sin que suponga ningn incremento de gasto.
En la elaboracin de esta orden se ha tenido en cuenta la perspectiva de igualdad de gnero, de conformidad con la Ley 12/2007, de 26 de noviembre #(018791)#, para la promocin de la igualdad de gnero en Andaluca y la Ley Orgnica 3/2007, de 22 de marzo #(005606)#, para la igualdad efectiva de mujeres y hombres.
En su virtud, a propuesta de la Secretara General Tcnica de la Consejera, en uso de las atribuciones que me vienen conferidas por el artculo 26 #(006103) ar.26# de la Ley 9/2007, de 22 de octubre, de la Administracin de la Junta de Andaluca, el Decreto del Presidente 169/2024 de 29 de julio, sobre reestructuracin de Consejeras, y el Decreto 170/2024, de 26 de agosto #(057215)#, por el que se establece la estructura orgnica de la Consejera de Sostenibilidad y Medio Ambiente,
DISPONGO
CAPTULO I
Disposiciones generales
Artculo 1. Objeto.
1. En aplicacin del Real Decreto 311/2022, de 3 de mayo #(054752)#, la presente orden tiene por objeto establecer la poltica de seguridad de esta Consejera en los siguientes mbitos:
a) Seguridad de las tecnologas de la informacin y comunicaciones (en adelante TIC), en cumplimiento con lo establecido en el artculo 10.2 #(009739) ar.10# del Decreto 1/2011, de 11 de enero, por el que se establece la poltica de seguridad de las tecnologas de la informacin y comunicaciones en la Administracin de la Junta de Andaluca, y dems disposiciones que resulten de aplicacin.
b) Seguridad interior, en el marco de lo contemplado en el Decreto 171/2020, de 13 de octubre #(053113)#, por el que se establece la Poltica de Seguridad Interior de la Junta de Andaluca y dems disposiciones que resulten de aplicacin.
c) Proteccin de datos personales, en el marco de lo recogido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos y por el que se deroga la Directiva 95/46/CE #(060443)# (Reglamento General de Proteccin de Datos), as como en la Ley Orgnica 3/2018, de 5 de diciembre #(050868)#, de Proteccin de Datos Personales y garanta de los derechos digitales, y dems disposiciones que resulten de aplicacin.
2. La presente orden tambin tiene por objeto regular la organizacin funcional de la seguridad TIC y seguridad interior en la Consejera.
Artculo 2. mbito de aplicacin.
1. La poltica de seguridad TIC se aplicar a todos los sistemas de informacin que son responsabilidad de la Consejera, para el ejercicio de las competencias que tiene atribuidas, siempre que sean utilizados en el mbito de la Administracin de la Junta de Andaluca, por alguno de los rganos o unidades administrativas centrales o perifricos que dependan funcionalmente de la Consejera. Asimismo, deber ser observada por aquellas personas que tengan acceso a sus sistemas de informacin.
2. La poltica de seguridad TIC definida en esta Orden tambin ser de aplicacin a todas las entidades vinculadas o dependientes de la Consejera mientras no dispongan de una Poltica de Seguridad TIC propia.
3. Lo establecido en esta orden en relacin con la Poltica de Seguridad Interior, ser de aplicacin tanto en la Consejera como en sus entidades vinculadas o dependientes mientras no dispongan de una Poltica de Seguridad Interior propia.
4. La poltica de proteccin de datos personales se aplicar a todas las actividades de tratamiento de responsabilidad de los rganos de la Consejera en el ejercicio de las competencias que tiene atribuidas. Tambin ser aplicable a las actividades de tratamiento que los rganos de la Consejera lleven a cabo por cuenta de otros responsables del tratamiento en calidad de encargados, en lo que no se oponga a lo establecido en el acto jurdico de encargo de tratamiento, en las instrucciones o polticas del responsable.
Artculo 3. Comit de Seguridad Interior y Seguridad TIC.
El Comit de Seguridad Interior y Seguridad de las Tecnologas de la Informacin y Comunicaciones, (en adelante, Comit de Seguridad Interior y Seguridad TIC), actuar como rgano de direccin y seguimiento en materia de seguridad de los activos TIC y del tratamiento de datos personales de titularidad de la Consejera o cuya gestin tenga encomendada. Asimismo, y de acuerdo con lo dispuesto en el artculo 9 #(053113) ar.9# del Decreto 171/2020, de 13 de octubre, le corresponder la direccin y seguimiento en materia de seguridad interior.
Artculo 4. Composicin del Comit de Seguridad Interior y Seguridad TIC.
1. El Comit de Seguridad Interior y Seguridad TIC estar compuesto por las siguientes personas:
a) Presidencia: La persona titular de la Viceconsejera.
b) Vicepresidencia: La persona titular de la Secretara General Tcnica.
c) Vocalas: Las personas titulares de todos los rganos directivos centrales y la persona titular de la Coordinacin General de la Secretara General Tcnica.
d) Secretara: La persona titular del Servicio de sistemas de informacin sectorial asignado a la Consejera, con voz y voto. En los casos de vacante, ausencia, enfermedad u otra causa legal, ser sustituida por una persona funcionaria que designe la presidencia del Comit de Seguridad Interior y Seguridad TIC.
e) La persona titular de la Unidad de Seguridad TIC, la de la Unidad de Seguridad Interior y la persona o personas que asuman la figura del Delegado o Delegada de Proteccin de Datos asistirn en calidad de personas asesoras a las reuniones del Comit, salvo que puntualmente se disponga lo contrario de forma expresa por parte de la presidencia. El Comit podr convocar a sus reuniones a las personas que en cada caso autorice la presidencia, por propia iniciativa o a propuesta de cualquiera de sus miembros. As mismo podr recabar del personal tcnico especializado, propio o externo, la informacin pertinente para la toma de decisiones.
2. En caso de vacante, ausencia, enfermedad u otras causas legales, la persona titular de la Presidencia ser sustituida por la persona titular de la Vicepresidencia. Tanto la Vicepresidencia como las Vocalas podrn designar una persona que les sustituya en estas circunstancias entre personal funcionario que ocupe puestos de trabajo de nivel 28 o superior.
3. En la composicin del Comit ha de garantizarse, en la medida de lo posible, la representacin paritaria de mujeres y hombres, conforme a lo establecido en el artculo 19.2 #(006103) ar.19# de la Ley 9/2007, de 22 de octubre, y a la definicin de representacin equilibrada contenida en el artculo 3.3 #(018791) ar.3# de la Ley 12/2007, de 26 de noviembre, para la Promocin de la Igualdad de Gnero en Andaluca.
Artculo 5. Funciones del Comit de Seguridad Interior y Seguridad TIC.
1. Al Comit le corresponde aplicar, en el mbito de la Consejera, las previsiones contenidas en la normativa reguladora del Esquema Nacional de Seguridad en el mbito de la administracin electrnica (en adelante, ENS), y en la normativa reguladora de la poltica de seguridad de las tecnologas de la informacin y comunicaciones en la Administracin de la Junta de Andaluca y determinar la poltica de seguridad que se ha de emplear en la utilizacin de los medios electrnicos que permita la adecuada proteccin de la informacin.
2. En particular, le corresponde:
a) Aprobar el desarrollo de la poltica de seguridad TIC de segundo nivel y de Seguridad Interior,
b) Velar por el desarrollo, implantacin, concienciacin, formacin y divulgacin, as como por el cumplimiento y actualizacin de la poltica de seguridad TIC y Seguridad Interior en la Consejera.
c) Planificar y priorizar las iniciativas necesarias para cumplir con las directrices, los objetivos y los principios bsicos marcados en la presente poltica de seguridad TIC y Seguridad Interior. En especial, la elaboracin, actualizacin y reevaluacin peridica de los anlisis de riesgos necesarios.
d) Proporcionar, dentro de los lmites establecidos en los programas asignados por las leyes anuales de presupuestos a la Consejera, los medios y recursos necesarios para posibilitar la realizacin de las iniciativas planificadas.
e) Coordinar a alto nivel todas las actuaciones de seguridad, velando para que la definicin y el desarrollo de las mismas se adecen en todo momento a las directrices marcadas por la poltica de seguridad TIC y Seguridad Interior, involucrando a las diferentes reas implicadas.
f) Velar para que todos los mbitos de responsabilidad y actuacin en relacin a la seguridad TIC y Seguridad Interior, as como su tratamiento queden perfectamente definidos, aprobando los nombramientos necesarios para ello. Especialmente, para asegurar que la totalidad de miembros de la estructura de seguridad definida conozcan sus funciones y responsabilidades.
g) Designar un Grupo de Respuesta a Incidentes de Seguridad de la Informacin.
h) Designar la persona responsable la Unidad de Seguridad TIC de la Consejera.
i) Designar la persona responsable que ostentar la condicin de Responsable de Seguridad Interior de la Consejera.
j) Promover y fomentar la divulgacin y formacin en cultura de la seguridad TIC y cultura de la Seguridad Interior, as como la mejora continua de la seguridad en la organizacin, aprobando los planes de mejora de seguridad TIC propuestos por la Unidad de Seguridad TIC, y velando por la asignacin y cumplimiento de las responsabilidades oportunas. As como los planes de mejoras de Seguridad Interior propuestos por la Unidad de Seguridad Interior, y velando por la asignacin y cumplimiento de las responsabilidades oportunas.
k) Velar porque la seguridad TIC se tenga en cuenta en todos los proyectos TIC desde su especificacin inicial hasta su puesta en operacin. En particular deber velar por la creacin y utilizacin de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogneo de todos los sistemas TIC.
l) Coordinar que el desarrollo normativo que tenga incidencia en el desarrollo o explotacin de sistemas de informacin se adeca a lo establecido en la poltica de seguridad TIC y Seguridad Interior.
m) Resolver los conflictos que puedan aparecer entre las diferentes personas responsables o entre diferentes reas de la organizacin en materia de seguridad TIC y Seguridad Interior.
n) Coordinar las medidas tcnicas y organizativas apropiadas establecidas en la normativa de proteccin de datos personales, para garantizar un nivel de seguridad adecuado al riesgo, de acuerdo con los correspondientes anlisis de riesgos y, en su caso, con las evaluaciones de impacto relativas a la proteccin de datos, contando con el asesoramiento de la persona o personas que asuman la figura del Delegado o Delegada de Proteccin de Datos.
ñ) La definicin, aprobacin y seguimiento de los objetivos, iniciativas y planes estratgicos para la seguridad interior, incluido el Plan de Seguridad Interior.
o) Velar por la disponibilidad de los recursos necesarios para desarrollar las iniciativas y planes estratgicos definidos.
p) El establecimiento de directrices comunes y la supervisin del cumplimento de la normativa de seguridad interior.
q) La aprobacin del modelo de relacin con los Puntos Coordinadores de Seguridad Interior.
r) El anlisis y la adopcin de decisiones en la respuesta a incidentes susceptibles de generar una crisis de seguridad interior.
s) Las previsiones para la designacin de los Puntos Coordinadores de Seguridad Interior.
Artculo 6. Rgimen de funcionamiento del Comit de Seguridad Interior y Seguridad TIC.
1. El Comit de Seguridad Interior y Seguridad TIC se reunir con carcter ordinario una vez al año y con carcter extraordinario por acuerdo de la presidencia, a iniciativa propia o previa solicitud razonada de uno de sus miembros.
2. El Comit podr ser convocado, celebrar sus sesiones, adoptar acuerdos y aprobar actas, tanto de forma presencial como utilizando redes de comunicacin a distancia, con las medidas adecuadas que garanticen la identidad de las personas comunicante, la confidencialidad y la autenticidad de la informacin entre ellas transmitida, de conformidad con lo establecido en el artculo 91.3 #(006103) ar.91# de la Ley 9/2007, de 22 de octubre. Las personas miembros del Comit estn obligadas a respetar la confidencialidad de toda la informacin a la que tengan acceso.
3. El Comit se regir por esta orden, por la normativa reguladora de la poltica de seguridad de las tecnologas de la informacin y comunicaciones en la Administracin de la Junta de Andaluca, as como por el resto de normativa aplicable, como la reguladora del ENS y las normativas de seguridad interior y de proteccin de datos personales.
Artculo 7. Grupo de Respuesta a Incidentes Crticos en los Sistemas de la Informacin.
1. El Comit de Seguridad Interior y Seguridad TIC nombrar un Grupo de Respuesta a Incidentes de Seguridad de la Informacin, cuya funcin ser la toma urgente de decisiones en caso de contingencia grave que afecte a la seguridad de los sistemas de informacin crticos de la Consejera. Ser la persona titular de la Presidencia del Comit quien determine la existencia de tales contingencias y las califique como graves. Las decisiones adoptadas por este grupo sern ratificadas por el Comit en su conjunto cuando sea necesario.
2. La composicin del Grupo de Respuesta a Incidentes de Seguridad de la Informacin vendr determinada por el Comit contando con el apoyo del Responsable de Seguridad TIC, Responsable de Seguridad Interior y el o la Delegado o Delegada de Proteccin de Datos de la Consejera. Esta composicin podr variar segn requiera el Incidente ocurrido.
3. Corresponde al Grupo de Respuesta a Incidentes de Seguridad de la Informacin, entre sus funciones, notificar a la autoridad competente en materia de seguridad de las redes y sistemas de informacin, concretamente a su equipo de respuesta a incidentes de seguridad informtica (CSIRT o CERT), los incidentes de seguridad TIC, en los casos y en los trminos que determine la normativa aplicable.
4. La notificacin mencionada en el apartado anterior podr realizarse bien directamente, bien a travs de AndalucaCERT o por el medio o procedimiento que disponga la poltica de seguridad de las tecnologas de la informacin y comunicaciones de la Junta de Andaluca que determine la Direccin General competente en materia de desarrollo y ejecucin de las polticas de seguridad de los sistemas de informacin y telecomunicaciones de la Administracin de la Junta de Andaluca y del sector pblico andaluz o el Comit Corporativo de Seguridad interior de la Junta de Andaluca.
Artculo 8. Obligaciones del personal.
1. Todo el personal que preste servicios en la Consejera tiene la obligacin de conocer y cumplir la poltica de seguridad TIC y Seguridad Interior, la normativa de seguridad derivada y la poltica de proteccin de datos personales siendo responsabilidad del Comit de Seguridad Interior y Seguridad TIC disponer los medios necesarios para que la informacin llegue a las personas afectadas.
2. Todo el personal que se incorpore a la Consejera o vaya a tener acceso a alguno de sus sistemas de informacin o la informacin gestionada por ellos deber ser informado de la poltica de seguridad TIC y Seguridad Interior.
3. Proceder el ejercicio de las acciones pertinentes para la exigencia de las responsabilidades legales que correspondan por el incumplimiento manifiesto de la poltica de seguridad TIC, Seguridad Interior o de la normativa de seguridad derivada, y en materia de proteccin de datos personales.
4. El personal de la Consejera deber cumplir adems con las instrucciones y normas que regulen el comportamiento del personal empleado pblico en el uso de los sistemas informticos y redes de comunicaciones de la Administracin de la Junta de Andaluca.
5. Cualquier persona que acte bajo la autoridad del responsable o del encargado de un tratamiento de datos personales en el mbito de aplicacin de esta orden y tenga acceso a datos personales solo tratar dichos datos siguiendo instrucciones del responsable, salvo que est obligada a ello en virtud del ordenamiento jurdico de la Unin Europea o del Estado español.
6. Todo el personal que preste servicios en la Consejera est comprometido con la preservacin de la seguridad interior, siendo responsable de utilizar correctamente los activos y de participar, durante el desempeño ordinario de sus funciones y tareas, en la deteccin precoz de cuantos indicios puedan servir a la prevencin de riesgos para la seguridad interior.
Artculo 9. Resolucin de conflictos.
1. Los conflictos entre las diferentes personas, unidades u rganos responsables que componen la estructura organizativa de la Poltica de Seguridad Interior sern resueltos por el superior jerrquico comn. En su defecto, prevalecer la decisin del Comit de Seguridad Interior y Seguridad TIC.
2. Los conflictos entre las diferentes personas, unidades u rganos responsables que componen la estructura organizativa de la Poltica de Seguridad TIC sern resueltos por el superior jerrquico comn. En su defecto, prevalecer la decisin del Comit de Seguridad Interior y Seguridad TIC.
3. En los conflictos entre las personas responsables que componen la estructura organizativa de la Poltica de Seguridad Interior, Poltica de Seguridad TIC y la Poltica de Proteccin de Datos Personales, prevalecer la decisin que presente un mayor nivel de exigencia respecto a la proteccin de los datos personales. En cualquier caso, cuando la persona o personas que asuman la figura del Delegado o Delegada de Proteccin de Datos aprecien la existencia de una vulneracin relevante en materia de proteccin de datos lo documentar y lo comunicar inmediatamente al rgano directivo que tenga la condicin de responsable o al encargado del tratamiento.
4. En todos los apartados anteriores les ser aplicable el artculo 110 #(006103) ar.110# de la Ley 9/2007, de 22 de octubre, de la Administracin de la Junta de Andaluca.
CAPTULO II
Poltica de seguridad interior
Artculo 10. Objetivos en materia de seguridad interior.
1. La poltica de seguridad interior contra riesgos intencionales persigue la consecucin de los siguientes objetivos:
a) Asegurar el funcionamiento como sistema eficaz, eficiente y explcitamente definido, de toda la actividad que la Consejera despliegue para la prevencin de daños intencionales sobre su personal y personas usuarias, sobre sus activos y sobre la continuidad de su funcionamiento y servicios, as como para la reaccin cuando tales daños se produzcan.
b) Garantizar el cumplimiento de toda la normativa que sea de aplicacin a las actuaciones de la Consejera en esta materia.
c) Colaborar a la seguridad a travs de la proteccin del personal, personas usuarias y activos de la Consejera.
2. La preservacin de la seguridad interior ser considerada objetivo comn de todas las personas al servicio de la Consejera, siendo stas responsables de utilizar correctamente los activos y de participar, durante el desempeño ordinario de sus funciones y tareas, en la deteccin precoz de cuantos indicios puedan servir a la prevencin de riesgos para la seguridad interior.
Artculo 11. Principios bsicos en materia de seguridad interior.
La poltica de seguridad interior de la Administracin de la Junta de Andaluca se desarrollar, con carcter general, de acuerdo con los siguientes principios:
a) Anticipacin y prevencin.
b) Eficiencia y sostenibilidad en el uso de los medios.
c) Preservacin de la resiliencia.
d) Unidad de accin, coordinacin y colaboracin.
e) Prioridad en la proteccin de la vida y salud de las personas frente a la integridad de los activos.
f) Proporcionalidad en los costes econmicos y operativos de las medidas de seguridad.
g) Mantenimiento de la integridad, disponibilidad y continuidad en el funcionamiento de los activos.
h) Aseguramiento de la continuidad de los servicios.
i) Responsabilidad estratificada, identificable y compartida.
j) Actuacin planificada.
Artculo 12. Unidad de Seguridad Interior.
La Consejera, de acuerdo con lo establecido en el artculo 10 #(053113) ar.10# del Decreto 171/2020, de 13 de octubre, por el que se establece la Poltica de Seguridad Interior en la Administracin de la Junta de Andaluca, contar con una Unidad de Seguridad Interior que desempeñar las funciones relacionadas en el citado artculo y que tendr como responsables a las personas designadas por el Comit de Seguridad Interior y Seguridad TIC.
Artculo 13. Organizacin y gestin de la seguridad interior.
La estructura organizativa de la gestin de la seguridad interior en la Consejera est compuesta por las siguientes figuras:
a) El Comit de Seguridad Interior y seguridad de las Tecnologas de la Informacin y Comunicaciones.
b) La Unidad de Seguridad Interior.
c) Los puntos coordinadores de seguridad interior en cada provincia.
Artculo 14. Responsable de Seguridad Interior.
La persona responsable de la Unidad de Seguridad Interior de la Consejera tendr la condicin de Responsable de Seguridad Interior, en los trminos que establece el Decreto 171/2020, de 13 de octubre #(053113)#.
Artculo 15. Gestin de los riesgos en materia de seguridad interior.
La gestin de los riesgos para la seguridad interior se acomodar a lo previsto en el Modelo de Seguridad Interior, en el Plan Corporativo de Seguridad Interior, en el Plan de Seguridad Interior de la Consejera y en los dems instrumentos de planificacin previstos en el artculo 17 #(053113) ar.17# del Decreto 171/2020, de 13 de octubre.
Artculo 16. Auditoras de la seguridad en materia de seguridad interior.
Las auditoras realizadas en la Consejera en materia de seguridad interior se realizarn conforme a las previsiones que se contengan en el Modelo de Seguridad Interior, en el Plan Corporativo de Seguridad Interior, en el Plan de Seguridad Interior de la Consejera y en los dems instrumentos de planificacin previstos en el artculo 17 #(053113) ar.17# del Decreto 171/2020, de 13 de octubre.
Artculo 17. Clasificacin y control de activos en materia de seguridad interior.
En relacin con la Seguridad Interior, la clasificacin y control de activos se acomodar a lo previsto en el Modelo de Seguridad Interior, en el Plan Corporativo de Seguridad Interior, en el Plan de Seguridad Interior de la Consejera de Sostenibilidad y Medio Ambiente y en los dems instrumentos de planificacin previstos en el artculo 17 #(053113) ar.17# del Decreto 171/2020, de 13 de octubre.
CAPTULO III
Poltica de seguridad TIC
Artculo 18. Objetivos en materia de seguridad TIC.
Son objetivos de la poltica de seguridad TIC:
a) Garantizar la seguridad TIC y proteger los activos o recursos de informacin.
b) Definir la estructura de la organizacin de la seguridad TIC de la Consejera.
c) Marcar las directrices, los objetivos y los principios bsicos de seguridad TIC de la Consejera.
d) Orientar la organizacin para la prestacin de servicios basados en la gestin de riesgos.
e) Servir de marco de desarrollo de las normas, procedimientos y procesos de gestin de la seguridad TIC.
Artculo 19. Desarrollo de la seguridad TIC en la Consejera.
1. Las medidas sobre la seguridad TIC, de obligado cumplimiento, se desarrollarn en cuatro niveles con diferente mbito de aplicacin, detalle tcnico y obligatoriedad de cumplimiento, pero de manera que cada elemento de desarrollo se fundamente en el nivel superior. Dichas medidas conformarn el Plan Director de Seguridad de los Sistemas de Informacin de la Consejera.
2. En todos estos niveles se prestar especial atencin a las exigencias derivadas del Esquema Nacional de Seguridad, as como a la normativa aplicable en materia de proteccin de datos personales.
3. Los niveles de desarrollo son los siguientes:
a) Primer nivel: Poltica de seguridad TIC, constituido por la presente Orden. Es de obligado cumplimiento en toda la Consejera.
b) Segundo nivel: Normas de seguridad. Son de obligado cumplimiento en toda la Consejera y deben ser aprobadas por el Comit de Seguridad Interior y Seguridad TIC. Describen de forma general los principios y normas de seguridad que sern concretados en los niveles posteriores.
c) Tercer nivel: Procedimientos. Describen las acciones a realizar, de una manera ms especfica, en un proceso relacionado con la seguridad. Son dependientes de las normas de seguridad y sern aprobados por la persona titular de la Secretara General Tcnica.
d) Cuarto nivel: Documentacin tcnica. En este ltimo nivel se puede incluir todo tipo de documentacin tcnica o especializada que se considere necesario para completar y facilitar el desarrollo de las medidas de seguridad. La aprueba la persona titular del Servicio de sistemas de informacin sectorial asignado a la Consejera.
4. El Comit de Seguridad Interior y Seguridad TIC establecer los mecanismos necesarios para compartir la documentacin derivada del desarrollo con el propsito de regularizarlo, en la medida de lo posible, en todo el mbito de aplicacin de la poltica de seguridad TIC.
La siguiente tabla resume el marco de desarrollo y la competencia para su aprobacin:
Tabla omitida.
5. La Unidad de Seguridad TIC se encargar de la gestin de los documentos indicados, debiendo asegurar que sta sea completa y proporcione informacin suficiente para definir las necesidades de proteccin de la informacin y los activos asociados a la misma en el mbito de la Consejera.
Artculo 20. Principios bsicos en materia de seguridad TIC.
Los principios bsicos que regirn la poltica de seguridad TIC de la Consejera sern, adems de los establecidos en la normativa reguladora de la poltica de seguridad de las tecnologas de la informacin y comunicaciones en la Administracin de la Junta de Andaluca y en el ENS, en el mbito de la administracin electrnica, los siguientes:
a) Principio de prevencin. Se evitar, o al menos prevendr en la medida de lo posible, que la informacin o los servicios se vean perjudicados por incidentes de seguridad. Para ello, se deben implementar las medidas mnimas de seguridad determinadas por las normas y leyes que le sean de aplicacin, as como cualquier control adicional identificado a travs de una evaluacin de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, estarn claramente definidos y documentados.
b) Principio de deteccin. Dado que los servicios se pueden degradar rpidamente debido a incidentes que, en funcin de su gravedad, pueden producir desde una simple desaceleracin hasta la detencin de los mismos, se debe monitorizar la operacin de los servicios de manera continua para detectar anomalas en los niveles de prestacin requeridos, actuando en consecuencia. La monitorizacin es especialmente relevante para establecer lneas de defensa. Para ello, se implantarn mecanismos de deteccin, anlisis y reporte que lleguen a las personas responsables regularmente, a efectos de detectar cundo se produce una desviacin significativa de los parmetros de servicio marcados.
c) Principio de reaccin. Deber minimizarse el tiempo requerido de recuperacin, de forma que el impacto de los incidentes de seguridad sea el menor posible, para lo cual se establecern mecanismos para responder eficazmente a los incidentes de seguridad, designando un punto de contacto para centralizar y gestionar el intercambio de informacin asociada a los incidentes de seguridad, as como estableciendo protocolos para el intercambio de informacin relacionada con dichos incidentes.
d) Principio de recuperacin: Se deber garantizar, en la medida de lo posible, la disponibilidad de los servicios ofrecidos a la ciudadana, en funcin de la criticidad de los mismos.
e) Principio de vigilancia continua: En todo momento, se deber de realizar una vigilancia continua que permita la deteccin de actividades o comportamientos anmalos que habiliten a la Consejera a proporcionar una repuesta oportuna. Esta vigilancia continua, al mismo tiempo, permitir realizar una evaluacin permanente del estado de la seguridad de los activos que forman parte de la Consejera, facilitando la medicin de la evolucin, deteccin de vulnerabilidades e identificacin de las deficiencias de configuracin que corresponda al activo de informacin. Esta evaluacin de la seguridad por cada activo, permite a la Consejera reevaluar y actualizar de forma permanente las medidas de seguridad de sus activos, adecuando su eficacia a la evolucin de los riesgos y los sistemas de proteccin.
f) Disponibilidad, Integridad y confidencialidad de los datos personales: Los datos personales sern tratados de tal manera que se garantice un nivel de seguridad adecuado al riesgo para los derechos y libertades de las personas fsicas, incluida la proteccin contra el tratamiento no autorizado o ilcito y contra su prdida, destruccin o daño accidental, mediante la aplicacin de medidas tcnicas u organizativas apropiadas.
Artculo 21. Unidad de Seguridad TIC.
1. La Consejera, de acuerdo con lo establecido en el artculo 11 #(009739) ar.11# del Decreto 1/2011, de 11 de enero, contar con una Unidad de Seguridad TIC, garantizando el principio de funcin diferenciada recogido en el artculo 5.j) de dicho decreto, y contemplado en el artculo 11 del ENS, que ejerza las funciones de Responsabilidad de Seguridad TIC de la Consejera, debiendo ser designada la persona responsable de la citada Unidad entre personal funcionario por el Comit de Seguridad TIC de la misma.
2. La Unidad de Seguridad TIC tendr las siguientes atribuciones, de acuerdo con lo dispuesto en el artculo 11.1. del Decreto 1/2011, de 11 de enero #(009739)# :
a) Labores de soporte, asesoramiento e informacin al Comit de Seguridad TIC de la Consejera, as como de ejecucin de las decisiones y acuerdos adoptados por ste.
b) Diseño y ejecucin de los programas de actuacin propios de la Consejera, incluyendo, entre otros, planes directores de seguridad, proyectos de desarrollo normativo, auditoras de cumplimiento y planes de adecuacin legal.
c) Definicin, implantacin y mantenimiento de los controles de carcter organizativo para la proteccin de los datos, aplicaciones y sistemas, as como la gestin de riesgos en materia de seguridad TIC de la Consejera.
d) Supervisin sistemtica de los controles de carcter procedimental, operacional y medidas tcnicas de proteccin de los datos, aplicaciones y sistemas de la Consejera.
e) Definicin y supervisin de los criterios y requisitos tcnicos de seguridad aplicados en las distintas fases del ciclo de vida de los soportes, sistemas y aplicaciones de la Consejera por parte de los Servicios o Departamentos responsables de la prestacin de los servicios de tecnologas de la informacin y comunicaciones. Antes de la puesta en produccin de nuevos sistemas de informacin o de evolutivos de los existentes, la Unidad de Seguridad TIC deber evaluar los aspectos de seguridad y comunicar los posibles riesgos al Responsable de la Informacin y Responsable del Servicio.
f) Definicin y ejecucin de los programas formativos y de concienciacin relacionados con buenas prcticas de seguridad TIC en el mbito de la Consejera, procurando promover, en el proceso de seleccin de las personas participantes en estos programas, la concurrencia de mujeres.
g) Coordinacin, direccin y seguimiento de la actividad en materia de seguridad TIC de las entidades vinculadas o dependientes de la Consejera, en el momento en que se apruebe la poltica de seguridad TIC de dichas entidades.
h) Aplicacin de los criterios y directrices de gestin de la seguridad TIC emanadas de la Unidad de Seguridad TIC Corporativa.
i) Y cuantas otras le sean encomendadas por el rgano directivo de la Consejera del que dependa funcional u orgnicamente.
Artculo 22. Organizacin y gestin de la seguridad TIC.
1. La estructura organizativa de la gestin de la seguridad TIC de la Consejera, en relacin con el ENS en el mbito de la administracin electrnica, est compuesta por las siguientes figuras:
a) El Comit de Seguridad Interior y seguridad TIC.
b) El Grupo de Respuesta a Incidentes en los Sistemas de Informacin.
c) Unidad de Seguridad TIC, la persona responsable de esta Unidad de Seguridad tendr la condicin de Responsable de Seguridad TIC en dicha Consejera.
d) Responsables de la Informacin.
e) Responsables del Sistema.
f) Responsables del Servicio.
2. Adems, en el mbito de la Consejera, las siguientes figuras ostentan atribuciones directamente relacionadas con la seguridad TIC, que son las que les asigna la normativa sobre proteccin de datos personales:
a) Responsables de los tratamientos de datos personales.
b) Encargados de los tratamientos de datos de datos personales.
c) El Delegado o Delegada de Proteccin de Datos, en adelante DPD.
Artculo 23. Responsable de Seguridad TIC.
La persona responsable de la Unidad de Seguridad TIC de la Consejera tendr la condicin de Responsable de Seguridad TIC, en los trminos establecidos en la normativa reguladora del Esquema Nacional de Seguridad.
Artculo 24. Responsable de la Informacin.
1. Los Responsables de la Informacin sern los rganos directivos que determinarn los requisitos de la informacin tratada.
2. Las principales funciones, dentro de su mbito de actuacin, son las siguientes:
a) Ayudar a determinar los requisitos de seguridad TIC, categorizando la informacin mediante la valoracin de los impactos de los incidentes que puedan producirse.
b) Proporcionar la informacin necesaria a la Unidad de Seguridad TIC para realizar los preceptivos anlisis de riesgos, con la finalidad de establecer las salvaguardas a implantar. Para ello contar con la ayuda de los Responsables de los Servicios y de las personas Responsables de los Sistemas.
c) Verificar que los anlisis de riesgos realizados se corresponden en todo momento con la informacin aportada para la realizacin de los mismos.
Artculo 25. Responsable del Servicio.
1. Los Responsables de los Servicios sern las personas titulares de los rganos directivos o unidades administrativas que determinarn los requisitos de los servicios prestados.
2. Las principales funciones, dentro de su mbito de actuacin, son las siguientes:
a) Determinar los requisitos de seguridad de los servicios a prestar, categorizando los servicios mediante la valoracin de los impactos de los incidentes que puedan producirse.
b) Proporcionar la informacin necesaria a la Unidad de Seguridad TIC para realizar los preceptivos anlisis de riesgos, con la finalidad de establecer las salvaguardas a implantar. Para ello contar con la ayuda de los Responsables de la Informacin y de los Responsables de los Sistemas.
c) Verificar que los anlisis de riesgos realizados se corresponden en todo momento con la informacin aportada para la realizacin de los mismos.
Artculo 26. Responsable del Sistema.
1. El Responsable del Sistema ser la persona que, por s o a travs de recursos propios o contratados, se encargar de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisin de la operacin diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad. Adems, figurarn en la documentacin de seguridad de los sistemas de informacin. Para cada sistema de informacin deber existir una persona Responsable de Sistema, siendo posible que una misma persona sea responsable de varios sistemas.
2. Las responsabilidades en materia de Seguridad TIC que ostentar el Responsable del Sistema sern:
a) Supervisar el desarrollo, operacin y mantenimiento de los sistemas de informacin durante todo su ciclo de vida, as como las especificaciones de los mismos, la instalacin y verificacin de su correcto funcionamiento.
b) Ser la primera persona responsable de la seguridad de los sistemas de informacin que dirija, velando porque la seguridad TIC est presente en todas y cada una de las partes de sus ciclos de vida. Especialmente deber velar por que el desarrollo de los sistemas siga las directrices de seguridad establecidas de manera horizontal por la Junta de Andaluca de acuerdo con los criterios y requisitos tcnicos de seguridad aplicables definidos por la Unidad de Seguridad TIC de la Consejera.
c) Creacin, mantenimiento y actualizacin continua de la documentacin de seguridad de los sistemas de informacin, con el asesoramiento de la Unidad de Seguridad TIC.
d) Asesorar en la definicin de la topologa y sistema de gestin de los sistemas de informacin estableciendo los criterios de uso y los servicios disponibles en el mismo.
e) Aprobar toda modificacin sustancial de la configuracin de cualquier elemento del sistema.
f) Cerciorarse de que las medidas especficas de seguridad se integren adecuadamente dentro del marco general de seguridad.
g) Asesorar en colaboracin con la Unidad de Seguridad TIC, a los Responsables de la Informacin y a los Responsables de los Servicios, en el proceso de la gestin de riesgos en materia de seguridad TIC.
h) Suspender el manejo de una cierta informacin o la prestacin de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfaccin de los requisitos establecidos. Esta decisin debe ser acordada con las personas Responsables de la Informacin afectada, del Servicio afectado y con la Unidad de Seguridad TIC, antes de ser ejecutada.
Artculo 27. Los Puntos o Personas de Contacto (POC).
De conformidad con lo previsto en el apartado 5, del artculo 13 del ENS, en el caso de servicios externalizados, salvo por causa justificada y documentada, la organizacin prestataria de dichos servicios deber designar un POC (Punto o Persona de Contacto) para la seguridad de la informacin tratada y el servicio prestado, que cuente con el apoyo de los rganos directivos, y que canalice y supervise, tanto el cumplimiento de los requisitos de seguridad del servicio que presta o solucin que provea, como las comunicaciones relativas a la seguridad de la informacin y la gestin de los incidentes para el mbito de dicho servicio. Dicho POC de seguridad ser el propio Responsable de Seguridad de la organizacin contratada, formar parte de su rea o tendr comunicacin directa con la misma.
Artculo 28. Funcin diferenciada.
De conformidad con lo previsto en apartado 3, del artculo 13 del ENS, el Responsable de Seguridad TIC ser distinto del Responsable del Sistema, no debiendo existir dependencia jerrquica entre ambos. En aquellas situaciones excepcionales en las que la ausencia justificada de recursos haga necesario que ambas funciones recaigan en la misma persona o en distintas personas entre las que exista relacin jerrquica, debern aplicarse medidas compensatorias para garantizar la finalidad del principio de diferenciacin de responsabilidades previsto en el artculo 11 del ENS.
Artculo 29. Clasificacin y control de activos en materia de Seguridad TIC.
1. Los recursos informticos y la informacin de la Consejera se encontrarn inventariados, con una persona responsable asociada y, en caso de ser necesario, una persona custodia de los mismos. Los inventarios se mantendrn actualizados para asegurar su validez.
2. Los activos de informacin estarn clasificados de acuerdo a su sensibilidad y criticidad para el desarrollo de la actividad de la Consejera, en funcin de la cual se establecern las medidas de seguridad exigidas para su proteccin.
Artculo 30. Gestin de riesgos en materia de Seguridad TIC.
1. La gestin de riesgos deber realizarse de manera continua sobre el sistema de informacin, conforme a los principios de gestin de la seguridad basada en los riesgos y con reevaluacin peridica de los mismos.
2. En cumplimiento de lo previsto en el artculo 41 del ENS, la facultad para efectuar las valoraciones a las que se refiere el artculo 40 del ENS, as como, en su caso, su posterior modificacin, corresponder al responsable o responsables de la informacin o servicios afectados. Con base en las valoraciones señaladas, la determinacin de la categora de seguridad del sistema corresponder al responsable o responsables de la seguridad.
3. Al evaluar la adecuacin del nivel de seguridad se tendrn particularmente en cuenta los riesgos que presente el tratamiento de datos personales, en particular como consecuencia de la destruccin, prdida o alteracin accidental o ilcita de datos personales transmitidos, conservados o tratados de otra forma, as como la comunicacin o acceso no autorizados a dichos datos.
4. El Responsable del Servicio o el Responsable de la Informacin ser el encargado de aceptar los riesgos residuales calculados en el anlisis sobre la informacin y los servicios, y de realizar su seguimiento y control.
5. El proceso de gestin de riesgos, que comprende las fases de categorizacin de los sistemas, anlisis de riesgos y seleccin de medidas de seguridad a aplicar, que debern ser proporcionales a los riesgos y estar justificadas, deber revisarse al menos con periodicidad anual por parte de la Unidad de Seguridad TIC, que elevar un informe al Comit de Seguridad TIC.
Artculo 31. Auditoras de la seguridad en materia de Seguridad TIC.
1. Los sistemas de informacin sern objeto de una auditora regular ordinaria, cada dos años, que verifique el cumplimiento de los requerimientos del ENS. Estas auditoras ordinarias, as como las extraordinarias se harn de acuerdo con lo establecido en el artculo 31 del ENS.
2. Los informes de auditora sern presentados a la persona responsable del sistema competente, al Delegado o Delegada de Proteccin de Datos, si afectara a estos, y a la persona responsable de la Unidad de Seguridad TIC. Estos informes sern analizados por esta ltima persona que presentar sus conclusiones a la persona Responsable del Sistema para que adopte las medidas correctoras adecuadas. Los resultados obtenidos determinarn las lneas de actuacin a seguir y las posibles modificaciones a realizar sobre los controles y la normativa de seguridad.
3. Con el fin de optimizar la utilizacin de los recursos pblicos y garantizar una mejor coordinacin entre seguridad TIC y seguridad de proteccin de datos, siempre que sea posible, las auditoras de seguridad de sistemas de informacin y las auditoras de proteccin de datos o medidas anlogas de verificacin, evaluacin y valoracin de seguridad de los tratamientos se realizarn de manera conjunta.
CAPTULO IV
Poltica de proteccin de datos personales
Artculo 32. Objetivos de la poltica de proteccin de datos personales.
1. La presente orden tiene como objetivo establecer las directrices generales de actuacin y funcionamiento en materia de proteccin de datos personales en la Consejera, al objeto de garantizar el cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016; la Ley Orgnica 3/2018, de 5 de diciembre #(050868)# ; la Ley Orgnica 7/2021, de 26 de mayo #(053793)#, de proteccin de datos personales tratados para fines de prevencin, deteccin, investigacin y enjuiciamiento de infracciones penales y de ejecucin de sanciones penales, y dems normativa que resulte de aplicacin.
2. La presente poltica de proteccin de datos personales de la Consejera se adopta como medida de responsabilidad proactiva demostrable, proporcionada al importante volumen y nivel de riesgo de los tratamientos de datos que lleva a cabo la Consejera, de conformidad con lo dispuesto en el artculo 24.2 del Reglamento General de Proteccin de Datos y el artculo 27.2 #(053793) ar.27# de la Ley Orgnica 7/2021, de 26 de mayo.
Artculo 33. Principios bsicos en materia de proteccin de datos personales.
De conformidad con lo dispuesto en el artculo 5 #(037364) ar.5# del Reglamento General de Proteccin de Datos, los datos personales sern tratados con arreglo a los principios de:
a) Licitud, lealtad, transparencia.
b) Limitacin de la finalidad.
c) Minimizacin de los datos.
d) Exactitud.
e) Limitacin del plazo de conservacin.
f) Integridad y confidencialidad.
g) Responsabilidad proactiva.
Artculo 34. Adopcin, mbito de aplicacin y marco normativo.
1. Se adopta la poltica de proteccin de datos personales de la Consejera como medida de responsabilidad proactiva demostrable, proporcionada al importante volumen y nivel de riesgo de los tratamientos de datos que lleva a cabo la Consejera, de conformidad con lo dispuesto en el artculo 5 #(037364) ar.5#,2 #(037364) ar.2# y 24.2 #(037364) ar.24# del Reglamento General de Proteccin de Datos, el artculo 27.2 #(053793) ar.27# de la Ley Orgnica 7/2021, de 26 de mayo, y Captulo I del Titulo V de la Ley Orgnica 3/2018 Ley de 5 de diciembre #(050868)#, de Proteccin de Datos Personales y garanta de los derechos digitales.
2. Esta poltica de proteccin de datos personales de la Consejera ser de aplicacin a todas las actividades de tratamiento de responsabilidad de los rganos de la Consejera en el ejercicio de las competencias que tiene atribuidas. Tambin ser aplicable a las actividades de tratamiento que los rganos de la Consejera lleven a cabo por cuenta de otros responsables del tratamiento en calidad de encargados, en lo que no se oponga a lo establecido en el acto jurdico de encargo de tratamiento o en las instrucciones o polticas del responsable.
3. Esta poltica de proteccin de datos personales de la Consejera se aplicar en el marco de lo dispuesto en la Ley Orgnica 7/2021, de 26 de mayo #(053793)#, de proteccin de datos personales tratados para fines de prevencin, deteccin, investigacin y enjuiciamiento de infracciones penales y de ejecucin de sanciones penales, el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y en la Ley Orgnica 3/2018, de 5 de diciembre #(050868)#, de Proteccin de Datos Personales y garanta de los derechos digitales.
4. En dicho mbito, cada Responsable del Tratamiento de datos personales aplicar las medidas tcnicas y organizativas apropiadas a fin de garantizar y ser capaz de demostrar que los tratamientos de datos personales son conformes con dicha normativa, de acuerdo con el principio de responsabilidad proactiva, segn lo previsto en el artculo 5.2 del Reglamento General de Proteccin de Datos y el artculo 6.5 #(053793) ar.6# de la Ley Orgnica 7/2021, de 26 de mayo.
Artculo 35. Responsables de los tratamientos de datos personales.
1. Los Responsables de los tratamientos de datos personales son los rganos de la Consejera respecto a los tratamientos sobre los que determinen sus fines y medios, salvo que las normas aplicables sobre asignacin de atribuciones en materia de proteccin de datos personales dispongan otra cosa.
2.La condicin de Responsable del tratamiento coincidir con la de Responsable de la Informacin.
Artculo 36. Encargados de los tratamientos de datos personales.
1. En el caso en el que los Responsables de los tratamientos designaran a un Encargado del tratamiento, lo harn nicamente a uno que ofrezca garantas suficientes para aplicar las medidas tcnicas y organizativas apropiadas para que el tratamiento sea conforme al Reglamento General de Proteccin de Datos y garantice la proteccin de los derechos de las personas interesadas, de conformidad con el artculo 28 #(037364) ar.28# del Reglamento General de Proteccin de Datos. Dicho encargado tratar los datos exclusivamente por cuenta del responsable, siguiendo las instrucciones documentadas de este, a no ser que est obligado a ello en virtud del ordenamiento jurdico de la Unin Europea o del Estado español.
2. El tratamiento por el encargado se regir por un contrato u otro acto jurdico con arreglo al Derecho de la Unin Europea o de los Estados miembros de la misma, incluido el ordenamiento jurdico español, que vincule al encargado respecto del responsable y establezca el objeto, la duracin, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categoras de interesados, y las obligaciones y derechos del responsable y las estipulaciones previstas en el artculo 28.3 del Reglamento General de Proteccin de Datos y dems normativa de aplicacin.
3. Dichas estipulaciones se incluirn, al menos, en los siguientes actos jurdicos:
a) Todos los contratos, incluidos los menores.
b) Encargos a medios propios.
c) Encomiendas de gestin.
d) Convenios que impliquen encargo de tratamiento de datos.
e) Subvenciones que impliquen encargo de tratamiento de datos.
4. Su incorporacin se efectuar de acuerdo con los modelos tipo de pliegos recomendados por la Comisin Consultiva de Contratacin Pblica y con los modelos de documentos propios de la Consejera que se harn pblicos en la intranet y la red social corporativa y con las instrucciones en materia de contratacin y otras materias.
5. Cuando se requiera de la Agencia Digital de Andaluca la realizacin de actuaciones que supongan un encargo de tratamiento de datos personales, ste se regir por las estipulaciones como encargada del tratamiento de la Administracin de la Junta de Andaluca que constan en sus Estatutos. Estas estipulaciones se completarn con un documento emitido en el momento de la toma de requisitos donde se especificarn:
a) Las actividades de tratamiento afectadas que sean responsabilidad de rganos de la Consejera.
b) Las categoras de datos.
c) Las categoras de personas interesadas.
d) El nivel de seguridad mnimo exigido, por proteccin de datos personales, en cada una de las dimensiones de la seguridad, de conformidad con el Esquema Nacional de Seguridad.
e) El alcance geogrfico y temporal del tratamiento.
Artculo 37. Delegado o Delegada de Proteccin de Datos.
1. La Consejera contar con una persona o grupo de personas que ostenten la condicin de Delegado o Delegada de Proteccin de Datos a efectos de lo establecido en los artculos 37 #(037364) ar.37# a 39 #(037364) ar.39# del Reglamento General de Proteccin de Datos y, cuando sea de aplicacin, en los artculos 40 #(053793) ar.40# a 42 #(053793) ar.42# de la Ley Orgnica 7/2021, de 26 de mayo. Su mbito de actuacin se extender a los rganos de la Consejera. No obstante, su mbito de actuacin se podr extender a entidades instrumentales adscritas a la Consejera a las que se considere aconsejable, por su reducido tamaño o reducido volumen o nivel de riesgo de los tratamientos de datos personales que lleven a cabo. En el caso de rganos perifricos, su mbito de actuacin se limitar a las actividades de tratamiento que lleven a cabo en el ejercicio de las competencias propias de esta Consejera.
2. La figura del Delegado o Delegada de Proteccin de Datos podr ser asumida por una persona o grupo de personas de la Consejera, bien en base a la existencia de una o ms plazas especficas en la Relacin de Puestos de Trabajo o bien por simple asignacin de funciones, de acuerdo con la legislacin vigente. La persona o personas que asuman la figura del Delegado o Delegada de Proteccin de Datos sern designadas por la persona titular de la Viceconsejera entre personal funcionario adscrito a la Consejera, gozando de independencia funcional, sin que puedan recibir instrucciones sobre el desempeño de sus funciones, ni ser removidas o sancionadas por dicho desempeño, salvo que incurriera en dolo o negligencia grave.
En el caso de que la figura del DPD la asuma un grupo de personas, se designar a una de ellas como representante del grupo.
El personal funcionario que asuma la figura del Delegado o Delegada de Proteccin de Datos deber contar con conocimientos especializados en derecho y la prctica en materia de proteccin de datos, sistemas de informacin y seguridad de la misma, procesos, servicios y estructura de la entidad y normativa aplicable a la entidad y procedimientos administrativos, garantizndose los recursos suficientes para desarrollar su labor de forma efectiva, y comunicndose al Consejo de Transparencia y Proteccin de Datos de Andaluca, en el plazo de diez das, su designacin, nombramiento y cese, conforme al artculo 34.3 #(050868) ar.34# de la LOPDGDD.
3. Son funciones de la persona o personas que asuman la figura del Delegado o Delegada de Proteccin de Datos, adems de la supervisin del cumplimiento de la poltica de proteccin de datos personales de la Consejera, las establecidas en los artculos 35.2 #(037364) ar.35# y 39.1 #(037364) ar.39# del RGPD, en los artculos 36.1, #(050868) ar.36# 37 #(050868) ar.37# y 65.4 #(050868) ar.65# de la LOPDGDD, y, en su caso, en el artculo 42 #(053793) ar.42# de la Ley Orgnica 7/2021, de 26 de mayo, que son las siguientes:
a) Informar y asesorar al responsable o al encargado del tratamiento y al personal que se ocupen del tratamiento de las obligaciones que les incumben en materia de proteccin de datos personales.
b) Supervisar el cumplimiento de lo dispuesto en la normativa sobre proteccin de datos personales y en la poltica de proteccin de datos personales de la Consejera, incluida la asignacin de responsabilidades, la concienciacin y formacin del personal que participa en las operaciones de tratamiento, y las auditoras correspondientes.
c) Ofrecer el asesoramiento que se le solicite acerca de la evaluacin de impacto relativa a la proteccin de datos, tanto en la necesidad de su realizacin como en su elaboracin y en la necesidad o no de consulta previa a la autoridad de control, y supervisar su aplicacin.
d) Actuar como punto de contacto entre la Consejera y el Consejo de Transparencia y Proteccin de Datos de Andaluca, en cuanto autoridad de control en materia de proteccin de datos, para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artculo 36 #(037364) ar.36# del Reglamento General de Proteccin de Datos, y realizar las otras consultas que se puedan suscitar en la materia.
Artculo 38. Registro de actividades de tratamiento.
1. Cada rgano responsable del tratamiento llevar un registro de las actividades de tratamiento de datos personales efectuadas bajo su responsabilidad, de acuerdo con lo establecido en el artculo 30 del Reglamento General de Proteccin de Datos y el resto de normativa de datos personales aplicable.
2. Cada rgano encargado del tratamiento llevar un registro de todas las categoras de actividades de tratamiento efectuadas por cuenta de un responsable, de acuerdo con el precepto citado en el apartado anterior. Cuando un mismo rgano ostente la condicin de responsable de unas actividades de tratamiento y de encargado de otras, podr incluir en un mismo registro dichas actividades de tratamiento de datos personales, siempre que quede definido con claridad cuales efecta como responsable y cuales como encargado por cuenta de otro responsable.
3. La persona titular del rgano aprobar mediante resolucin la creacin, actualizacin y modificacin del registro de las actividades de tratamiento de datos personales de dicho rgano comunicndolo a la persona o personas que asuman la figura del Delegado o Delegada de Proteccin de Datos.
4. Los registros de las actividades de tratamiento de datos personales de los rganos de la Consejera, una vez aprobados, se publicarn junto con su base legal en el Inventario de Actividades de Tratamiento de la Administracin de la Junta de Andaluca en su portal web, de conformidad con el artculo 6 #(032892) ar.6# bis de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la informacin pblica y buen gobierno.
5. Al objeto de ofrecer una mayor claridad y transparencia hacia la ciudadana, las actividades de tratamiento de igual contenido en todas las Delegaciones Territoriales de Sostenibilidad y Medio Ambiente en cada provincia, se registrarn de manera uniforme y se publicarn conjuntamente en el Inventario de Actividades de Tratamiento de la Administracin de la Junta de Andaluca. El resto de las actividades de tratamiento que sean especficas de alguna Delegacin Territorial concreta se registrarn y publicarn separadamente.
Artculo 39. Ejercicio de derechos en materia de proteccin de datos personales.
1. Una Instruccin de la Viceconsejera establecer un protocolo para la atencin del ejercicio de derechos de las personas interesadas en materia de proteccin de datos personales.
2. Dicho protocolo recoger tanto las obligaciones impuestas a la Consejera por la normativa de proteccin de datos personales como las impuestas por cualquier otra normativa aplicable a las administraciones pblicas, como la de procedimiento administrativo comn o la de documentacin y archivos.
3. Las solicitudes de ejercicio de derechos sern resueltas mediante resolucin de la persona titular del rgano responsable del tratamiento, y en dicha resolucin se dispondrn las medidas tcnicas y organizativas que fueran pertinentes para satisfacer el derecho a la proteccin de datos personales de las personas interesadas. No obstante, se podrn adoptar cautelarmente dichas medidas tcnicas y organizativas a la mayor brevedad y antes de que recaiga resolucin con el fin de evitar o minimizar los posibles perjuicios a los derechos y libertades de las personas interesadas.
Artculo 40. Proteccin de datos personales desde el diseño y por defecto.
1. Conforme al principio de proteccin de datos personales desde el diseño, al que se refiere el artculo 25.1 #(037364) ar.25# del Reglamento General de Proteccin de Datos, el responsable del tratamiento aplicar, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas tcnicas y organizativas apropiadas, como la seudonimizacin, concebidas para aplicar de forma efectiva los principios de proteccin de datos, como la minimizacin de datos, e integrar las garantas necesarias, a fin de cumplir los requisitos de dicho Reglamento y proteger los derechos de las personas interesadas.
2. Conforme al principio de proteccin de datos personales por defecto del artculo 25.1 #(037364) ar.25# del Reglamento General de Proteccin de Datos, el responsable del tratamiento aplicar las medidas tcnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines especficos del tratamiento. Esta obligacin se aplicar a la cantidad de datos personales recogidos, a la extensin de su tratamiento, a su plazo de conservacin y a su accesibilidad. Tales medidas garantizarn en particular que, por defecto, los datos personales no sean accesibles, sin la intervencin de la persona, a un nmero indeterminado de personas fsicas.
3. Se garantizar ambos principios desde el diseño en la elaboracin de cualquier proyecto, plan, disposicin de carcter general, contrato, acto jurdico que se vaya a aprobar o sistema de informacin que se vaya a desarrollar o contratar.
4. Para garantizar la aplicacin de los principios de proteccin de datos desde el diseño y por defecto en el procedimiento de elaboracin de disposiciones generales, el rgano directivo proponente incorporar, en la documentacin previa al acuerdo de inicio, una memoria de garanta del principio de proteccin de datos personales desde el diseño y por defecto suscrita por su titular. Esta memoria ser puesta en conocimiento de la persona que ostente la condicin de Delegado o Delegada de Proteccin de Datos por parte de la unidad administrativa u rgano que lleve a cabo la tramitacin del procedimiento, y contendr, al menos, referencia a:
a) Si la aprobacin del proyecto requerira un alta, baja o modificacin de actividades de tratamiento en el Registro de Actividades de Tratamiento. En caso de alta o modificacin se incluira, adems, la informacin establecida en el artculo 30 #(037364) ar.30# del RGPD y su base legal.
b) Si se han aplicado los principios de proteccin de datos por defecto y de minimizacin.
c) Si la aprobacin del proyecto conllevar la puesta en funcionamiento o modificacin de algn tipo de tratamiento que requiera la realizacin de una Evaluacin de Impacto relativa a la Proteccin de Datos personales.
d) Si la aprobacin del proyecto conlleva algn encargo de tratamiento o comunicacin de datos personales.
e) Si el tratamiento contempla la existencia de decisiones automatizadas individuales, incluida la elaboracin de perfiles y, en su caso, las medidas adecuadas para salvaguardar los derechos, libertades e intereses legtimos de las personas interesadas.
5. La persona titular del rgano responsable de la tramitacin del procedimiento en la Consejera solicitar a la Comisin Consultiva de la Transparencia y la Proteccin de Datos el preceptivo informe de los anteproyectos de leyes y proyectos de disposiciones generales elaborados por la Consejera. A tal fin, consultar a la persona o personas que asuman la figura del Delegado de Proteccin de Datos si un determinado anteproyecto de ley o proyecto de disposiciones generales pudiera incidir en dicha materia de proteccin de datos, de forma que resultase necesaria la emisin del referido informe.
6. Para garantizar la aplicacin de los principios de proteccin de datos desde el diseño y por defecto en los sistemas de informacin y proyectos TIC, se realizar una valoracin de los proyectos desde el punto de vista de proteccin de datos en la toma de requisitos, y en todo caso con carcter previo a la contratacin de los servicios necesarios. La normativa de desarrollo informtico y de seguridad TIC incorporar las medidas necesarias para garantizar esta valoracin y, de ser necesaria, la participacin de la persona que ostente la condicin de Delegado o Delegada de Proteccin de Datos, en la fase de diseño del proyecto, antes de adquirirse compromisos contractuales y econmicos.
Artculo 41. Seguridad.
1. Teniendo en cuenta el estado de la tcnica, los costes de aplicacin y la naturaleza, el alcance, el contexto y los fines del tratamiento de datos personales, as como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas fsicas, y de conformidad con el artculo 32 #(037364) ar.32# del Reglamento General de Proteccin de Datos, el Responsable y el Encargado del Tratamiento en el mbito de aplicacin de esta orden, aplicarn medidas tcnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) La seudonimizacin y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rpida en caso de incidente fsico o tcnico.
d) Un proceso de verificacin, evaluacin y valoracin regulares de la eficacia de las medidas tcnicas y organizativas para garantizar la seguridad del tratamiento.
2. La seguridad de los tratamientos por medios total o parcialmente automatizados se preservar mediante la aplicacin del Esquema Nacional de Seguridad, actualmente regulado en el Real Decreto 311/2022, de 3 de mayo #(054752)#, por el que se regula el Esquema Nacional de Seguridad, de conformidad con la disposicin adicional primera de la Ley Orgnica 3/2018, de 5 de diciembre #(050868)#. En todo caso, prevalecern las medidas a implantar como consecuencia del anlisis de riesgos y, en su caso, de la evaluacin de impacto relativa a la proteccin de datos, cuando resulten agravadas respecto de las previstas en el Esquema Nacional de Seguridad.
Artculo 42. Seguridad de tratamientos no automatizados.
1. La seguridad de los tratamientos por medios no automatizados y la parte no automatizada de los parcialmente automatizados, como los efectuados en soporte papel, se llevar a cabo a travs de la aplicacin de la normativa aplicable en materia de proteccin de datos y de documentacin y archivos.
2. Se aplicarn las medidas de seguridad previstas en el Real Decreto 1720/2007, de 21 de diciembre #(006306)#, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos personales en lo que no se oponga a la actual normativa de proteccin de datos. Consecuentemente, la categorizacin de los niveles de seguridad aplicables a cada tratamiento no se determinar exclusivamente segn las categoras de datos sino en funcin un anlisis de riesgos por proteccin de datos para los derechos y libertades de las personas interesadas.
3. Los rganos o unidades administrativas competentes en materia de rgimen general y asuntos generales, de intendencia y de archivo sern responsables de proporcionar los medios necesarios para la aplicacin de dichas medidas, y de adoptar las medidas que sean de general aplicacin a la Consejera o, en su caso, a la respectiva Delegacin Territorial.
Artculo 43. Anlisis de riesgo por proteccin de datos personales.
1. Al objeto de determinar las medidas tcnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la normativa de proteccin de datos, el responsable realizar, con el asesoramiento de la persona o personas que asuman la figura de Delegado o Delegada de Proteccin de Datos, por cada actividad de tratamiento de datos, un anlisis de riesgo para los derechos y libertades de las personas interesadas, atendiendo a la naturaleza, al mbito, al contexto y a los fines de la actividad de tratamiento. En la realizacin del anlisis de riesgo deber seguirse el protocolo aprobado en el artculo 47.1.c) de esta orden.
2. El resultado de los anlisis de riesgo se concretar en un documento suscrito por la persona titular del rgano responsable del tratamiento o de la unidad administrativa competente, que incluir, al menos, los siguientes elementos:
a) Descripcin del tratamiento.
b) Riesgos para los derechos y libertades de las personas interesadas.
c) Categorizacin de los niveles de seguridad y de cada una de las dimensiones de la seguridad de conformidad con el Esquema Nacional de Seguridad.
d) Medidas tcnicas y organizativas a adoptar para reducir el riesgo.
e) Aceptacin del riesgo residual.
Artculo 44. Evaluacin de Impacto relativa a la Proteccin de Datos (EIPD).
1. Cuando un tipo de tratamiento de datos personal, en particular si utiliza nuevas tecnologas, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas fsicas, el Responsable del tratamiento realizar, antes del tratamiento, una evaluacin del impacto de las operaciones de tratamiento en la proteccin de datos personales (EIPD), debiendo seguirse el protocolo al que se refiere el artculo 47.1.c) de esta orden,de conformidad con el artculo 35 del Reglamento General de Proteccin de Datos y el resto de normativa aplicable. Para ello recabar el asesoramiento de la persona que ostente la condicin de Delegado o Delegada de Proteccin de Datos.
2. El resultado de la EIPD se concretar en un informe suscrito por la persona titular del rgano responsable del tratamiento que incluir, al menos:
a) Una descripcin sistemtica de las operaciones de tratamiento previstas y de los fines del tratamiento.
b) Una evaluacin de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
c) Una evaluacin de los riesgos para los derechos y libertades de las personas interesadas.
d) Las medidas previstas para afrontar los riesgos, incluidas garantas, medidas de seguridad y mecanismos que garanticen la proteccin de datos personales y para demostrar la conformidad con la normativa en materia de proteccin de datos personales.
e) La decisin sobre formular o no la consulta previa al Consejo de Transparencia y Proteccin de Datos de Andaluca a la que se refiere el artculo 36 del Reglamento General de Proteccin de Datos y dems normativa de aplicacin.
3. La consulta previa al Consejo de Transparencia y Proteccin de Datos de Andaluca a la que se refiere el artculo 36 del Reglamento General de Proteccin de Datos ser suscrita por la persona titular del rgano responsable del tratamiento. La persona que ostente la condicin de Delegado o Delegada de Proteccin de Datos dar traslado de la misma a la autoridad de control.
Artculo 45. Violaciones de la seguridad de datos personales.
1. Se aprobar, mediante instruccin de la Viceconsejera, un protocolo de gestin de posibles violaciones de la seguridad de datos personales, de conformidad con los artculos 33 y 34 del Reglamento General de Proteccin de Datos y el resto de normativa de datos personales aplicable. Mediante este protocolo, que tendr un carcter complementario respecto al procedimiento de gestin de incidentes de seguridad TIC, se garantizar:
a) La prontitud en la deteccin de las violaciones, puesta en marcha de las medidas previstas en el protocolo y en la puesta de conocimiento de las personas que deben intervenir en su gestin.
b) La adopcin de las medidas de contencin, gestin y correccin de las mismas.
c) La notificacin de las mismas, en los casos preceptivos, al Consejo de Transparencia y Proteccin de Datos de Andaluca, como autoridad de control en materia de proteccin de datos para las entidades pblicas andaluzas y la comunicacin a las personas interesadas de ser conveniente o legalmente obligatorio.
d) El cumplimiento la obligacin legal de documentar todas las violaciones de la seguridad, documentacin que estar a disposicin de la autoridad de control.
e) La llevanza, por parte de los rganos responsables del tratamiento, de un inventario de violaciones de la seguridad que permita conocerlas y analizarlas, al objeto de disponer de la informacin necesaria para aplicar un ciclo de mejora continua de la seguridad.
2. En caso de violacin de la seguridad de los datos personales, el rgano responsable del tratamiento la notificar a la autoridad de control competente sin dilacin indebida y en un plazo mximo de 72 horas despus de que haya tenido constancia de ella, a menos que sea improbable que dicha violacin de la seguridad constituya un riesgo para los derechos y las libertades de las personas fsicas.
3. Cuando sea probable que la violacin de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas fsicas, el rgano responsable del tratamiento la comunicar a las personas interesadas sin dilacin indebida. La comunicacin deber contener como mnimo la informacin a que se refiere el artculo 34.2 del del Reglamento General de Proteccin de Datos y podr omitirse en los casos previstos en el artculo 34.3 del citado Reglamento General.
Artculo 46. Formacin, concienciacin y sensibilizacin.
1. El rgano competente en materia de formacin del personal de la Consejera, con el asesoramiento de la persona o personas que asuman la figura del Delegado o Delegada de Proteccin de Datos, elaborar y aprobar un plan anual de formacin, concienciacin y sensibilizacin sobre proteccin de datos personales. Dicho plan ser complementario a los planes anuales de formacin del resto de entidades que ofrece formacin al personal de la Consejera como el Instituto Andaluz de Administracin Pblica.
Artculo 47. Protocolos e Instrucciones.
1. Se establecern, mediante Instruccin de la Viceconsejera, protocolos para garantizar un cumplimiento sistemtico, uniforme y demostrable de las principales obligaciones en materia de proteccin de datos personales. En particular, se aprobarn, al menos, los siguientes protocolos:
a) Protocolo sobre atencin al ejercicio de derechos en materia de proteccin de datos, con el contenido previsto en el artculo 39.2 de esta orden.
b) Protocolo sobre gestin de violaciones de la seguridad de datos personales, que contendr las garantas expresadas en el artculo 45.1 de esta orden.
c) Protocolo sobre gestin de la seguridad de los datos personales, anlisis de riesgo por proteccin de datos personales y evaluacin de impacto relativa a proteccin de datos.
2. Aquellas Instrucciones que versen sobre otros aspectos de la actividad administrativa, tales como contratacin, elaboracin de disposiciones generales, transparencia u otras, debern incorporar cualquier aspecto que sea necesario o aconsejable desde el punto de vista de la normativa en materia de proteccin de datos.
Artculo 48. Comunicaciones oficiales con la autoridad de control.
1. La persona titular del rgano responsable del tratamiento suscribir los siguientes documentos y comunicaciones relacionados con las potestades del Consejo de Transparencia y Proteccin de Datos de Andaluca como autoridad de control en materia de proteccin de datos:
a) Aquellos relacionados con reclamaciones y denuncias de las personas interesadas ante la autoridad de control en materia de proteccin de datos contra la actuacin del rgano responsable del tratamiento del que sean titulares.
b) Aquellos relacionados con actuaciones inspectoras de la autoridad de control.
c) Las notificaciones de violaciones de la seguridad de los datos personales a la autoridad de control, de conformidad con el artculo 33 #(037364) ar.33# del Reglamento General de Proteccin de Datos o, en su caso, del artculo 38 #(053793) ar.38# de la Ley Orgnica 7/2021, de 26 de mayo.
d) La consulta previa antes de proceder al tratamiento cuando una evaluacin de impacto relativa a la proteccin de los datos muestre que el tratamiento entrañara un alto riesgo si el responsable no toma medidas para mitigarlo, de conformidad con el artculo 36 #(037364) ar.36# del Reglamento General de Proteccin de Datos o, en su caso, en el artculo 36 #(053793) ar.36# de la Ley Orgnica 7/2021, de 26 de mayo.
e) Las consultas generales sobre cumplimiento de obligaciones e interpretacin de la normativa en materia de proteccin de datos.
f) Los dems documentos relacionados con la autoridad de control que sean de competencia del rgano responsable del tratamiento.
2. La persona que ostente la condicin de Delegado o Delegada de Proteccin de Datos, en su condicin de interlocutor con la autoridad de control, dar traslado a los rganos responsables del tratamiento de las comunicaciones y documentos que le sean remitidos desde la autoridad de control. As mismo, dar traslado a la autoridad de control de las comunicaciones y documentos mencionados en el apartado anterior a ella dirigidos que reciba de los rganos responsables del tratamiento, sin perjuicio de que estos los remitan directamente a dicha autoridad de control o por ausencia o indisponibilidad de la persona que ostente la condicin de Delegado o Delegada de Proteccin de Datos.
Artculo 49. Auditoras internas y externas e Inspeccin General de Servicios.
1. El rgano competente para la coordinacin de las tareas necesarias para el cumplimiento de la legislacin vigente en materia de proteccin de datos elaborar y aprobar un plan bienal de auditora en la Consejera. La persona o personas que asuman la figura del Delegado o Delegada de Proteccin de Datos prestarn su asesoramiento en la elaboracin de dicho plan.
2. El plan de auditora incluir acciones anuales de auditora interna sectorial, centrados en aspectos concretos o sectores de actividad de la Consejera. Se emitir un informe anual con los resultados de las auditoras realizadas que se pondr en conocimiento de los rganos responsables del tratamiento afectados, del Comit de Seguridad Interior y TIC y de la persona o personas que asuman la figura del Delegado o Delegada de Proteccin de Datos.
3. En el segundo año del plan se llevar a cabo una auditora externa, ya sea general o centrada en los aspectos concretos que se establezcan en el plan. Los resultados de las auditoras externas se pondrn en conocimiento de los rganos responsables del tratamiento afectados y del Comit de Seguridad Interior y TIC.
4. Los informes de resultados de las acciones inspectoras realizadas por la Inspeccin General de Servicios se pondrn en conocimiento de los rganos responsables del tratamiento afectados y del Comit de Seguridad Interior y TIC.
Disposicin derogatoria nica. Derogacin normativa.
Quedan derogadas cuantas disposiciones de igual o inferior rango que se opongan a lo dispuesto en esta orden.
Disposicin final primera. Desarrollo y ejecucin.
Se faculta a la persona titular de la Viceconsejera para dictar cuantas instrucciones sean necesarias y adoptar cuantas medidas tcnicas sean oportunas para el desarrollo, difusin y ejecucin de la presente orden.
Disposicin final segunda. Entrada en vigor.
La presente orden entrar en vigor a partir del da siguiente al de su publicacin en el Boletn Oficial de la Junta de Andaluca.
Comentarios
Noticia aún sin comentar.
Escribir un comentario
Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contrasea:
Si desea registrase en la Administracin al Da y poder escribir un comentario, puede hacerlo a travs el siguiente enlace: Registrarme en La Administracin al Da.
- El INAP no es responsable de los comentarios escritos por los usuarios.
- No est permitido verter comentarios contrarios a las leyes espaolas o injuriantes.
- Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.
Últimos estudios
Transformacin urbana y energtica: del soft law a la legislacin espaola
Crticas y alternativas al modelo espaol de zonificacin urbanstica
Entre la teora y la praxis. Transformando la Administracin y la gestin pblica en Espaa. Entrevista a Manuel Pastor Sainz-Pardo
Conexión al Diario
Ágora
Publicaciones
Lo más leído:
- Tribunal Supremo: Mantiene la Sala que el ordenamiento jurdico espaol no permite convertir al personal temporal de la Administracin en funcionario de carrera o personal fijo
- Tribunal Supremo: En la tramitacin y resolucin de un procedimiento sancionador la AEPD tiene la facultad de ampliar el contenido del expediente a cuestiones relacionadas con las reclamaciones que dan origen a su actuacin
- INAP: Esta semana se publican en la web del INAP los resultados de los procesos selectivos encomendados a la Comisin Permanente de Seleccin
- Tribunal Supremo: Procede la devolucin de lo satisfecho como cuota del ITP, por razn de la resolucin por incumplimiento contractual, sin que sea necesaria una declaracin judicial al respecto
- Actualidad: ngel Gabilondo: Los ciudadanos reclaman una Administracin ms gil y eficaz
- Actualidad: Todas las ofertas de empleo pblico, en el boletn semanal del Ministerio para la Transformacin Digital y de la Funcin Pblica
- INAP: Disponible para consulta el nmero 37 de la revista Gestin y Anlisis de Polticas Pblicas (GAPP)
- INAP: Procesos selectivos: Comisin Permanente de Seleccin
- Actualidad: La Comunidad de Madrid autoriza 306 millones para una nueva fase de la Lanzadera de Inversiones pblicas en municipios
- Estudios y Comentarios: Transformacin urbana y energtica: del soft law a la legislacin espaola
Atención al usuario: publicacionesinap.es
© INAP-2025
