3. Otras disposiciones. . (2023/74-45)
Resolución de 14 de marzo de 2023, del Servicio Andaluz de Empleo, por la que se aprueba la Política de Seguridad Interior, Seguridad TIC y de Protección de Datos de Carácter Personal en el ámbito de la Agencia.
16 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 74 - Jueves, 20 de abril de 2023
página 6784/11
18. Protección de datos de carácter personal.
18.1. Incidencia de la normativa de protección de datos de carácter personal.
Todos los sistemas de información del SAE se ajustarán a lo exigido por el
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos, en adelante, RGPD); la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía
de los derechos digitales (en adelante, LOPDGDD), que adapta el ordenamiento jurídico
español al RGPD y completa y desarrolla sus disposiciones, así como, el resto de la
normativa general o sectorial de protección de datos de carácter personal que sea de
aplicación. Todos los tratamientos de datos de carácter personal, automatizados o no
automatizados, se sujetarán a la citada norma cuando se encuentren dentro de su ámbito
de aplicación.
En dicho ámbito cada responsable del tratamiento de datos de carácter personal,
aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y ser capaz
de demostrar que los tratamientos de datos de carácter personal son conformes con dicha
normativa, de acuerdo con el principio de responsabilidad proactiva, de conformidad con
el artículo 24 del RGPD. En caso de conflicto con la normativa de seguridad prevalecerá
el criterio que presente un mayor nivel de exigencia respecto a la protección de los datos
de carácter personal.
Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza,
el alcance, el contexto y los fines del tratamiento de datos de carácter personal, así
como riesgos de probabilidad y gravedad variables para los derechos y libertades de las
personas físicas, y de conformidad con el artículo 32 del RGPD, la persona responsable
y la encargada del Tratamiento en el ámbito de aplicación de este documento, aplicarán
medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad
adecuado al riesgo, que en su caso incluya, entre otros:
a) La seudonimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento.
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida en caso de incidente físico o técnico.
d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00281822
establecido en el artículo 31 del Real Decreto 311/2022, de 3 de mayo, por el que se
regula el Esquema Nacional de Seguridad, y la Instrucción Técnica de Seguridad de
Auditoría de la Seguridad de los Sistemas de Información, aprobada por Resolución
de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública.
Los informes de auditoría serán presentados a la persona responsable del Sistema
competente, al Delegado de Protección de Datos, si afectara a éstos, y a la persona
responsable de la Unidad de Seguridad TIC. Estos informes serán analizados por
esta última persona que presentará sus conclusiones a la persona responsable del
Sistema para que adopte las medidas correctoras adecuadas. Los resultados obtenidos
determinarán las líneas de actuación a seguir y las posibles modificaciones a realizar
sobre los controles y la normativa de seguridad.
Con el fin de optimizar la utilización de los recursos públicos y garantizar una mejor
coordinación entre Seguridad TIC y Seguridad de Protección de Datos, siempre que
sea posible, las auditorías de seguridad de sistemas de información y las auditorías
de protección de datos o medidas análogas de verificación, evaluación y valoración de
seguridad de los tratamientos se realizarán de manera conjunta.
Boletín Oficial de la Junta de Andalucía
Número 74 - Jueves, 20 de abril de 2023
página 6784/11
18. Protección de datos de carácter personal.
18.1. Incidencia de la normativa de protección de datos de carácter personal.
Todos los sistemas de información del SAE se ajustarán a lo exigido por el
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos, en adelante, RGPD); la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía
de los derechos digitales (en adelante, LOPDGDD), que adapta el ordenamiento jurídico
español al RGPD y completa y desarrolla sus disposiciones, así como, el resto de la
normativa general o sectorial de protección de datos de carácter personal que sea de
aplicación. Todos los tratamientos de datos de carácter personal, automatizados o no
automatizados, se sujetarán a la citada norma cuando se encuentren dentro de su ámbito
de aplicación.
En dicho ámbito cada responsable del tratamiento de datos de carácter personal,
aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y ser capaz
de demostrar que los tratamientos de datos de carácter personal son conformes con dicha
normativa, de acuerdo con el principio de responsabilidad proactiva, de conformidad con
el artículo 24 del RGPD. En caso de conflicto con la normativa de seguridad prevalecerá
el criterio que presente un mayor nivel de exigencia respecto a la protección de los datos
de carácter personal.
Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza,
el alcance, el contexto y los fines del tratamiento de datos de carácter personal, así
como riesgos de probabilidad y gravedad variables para los derechos y libertades de las
personas físicas, y de conformidad con el artículo 32 del RGPD, la persona responsable
y la encargada del Tratamiento en el ámbito de aplicación de este documento, aplicarán
medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad
adecuado al riesgo, que en su caso incluya, entre otros:
a) La seudonimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento.
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida en caso de incidente físico o técnico.
d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00281822
establecido en el artículo 31 del Real Decreto 311/2022, de 3 de mayo, por el que se
regula el Esquema Nacional de Seguridad, y la Instrucción Técnica de Seguridad de
Auditoría de la Seguridad de los Sistemas de Información, aprobada por Resolución
de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública.
Los informes de auditoría serán presentados a la persona responsable del Sistema
competente, al Delegado de Protección de Datos, si afectara a éstos, y a la persona
responsable de la Unidad de Seguridad TIC. Estos informes serán analizados por
esta última persona que presentará sus conclusiones a la persona responsable del
Sistema para que adopte las medidas correctoras adecuadas. Los resultados obtenidos
determinarán las líneas de actuación a seguir y las posibles modificaciones a realizar
sobre los controles y la normativa de seguridad.
Con el fin de optimizar la utilización de los recursos públicos y garantizar una mejor
coordinación entre Seguridad TIC y Seguridad de Protección de Datos, siempre que
sea posible, las auditorías de seguridad de sistemas de información y las auditorías
de protección de datos o medidas análogas de verificación, evaluación y valoración de
seguridad de los tratamientos se realizarán de manera conjunta.
