Disposiciones generales. . (2023/228-5)
Orden de 15 de noviembre de 2023, por la que se establece la política de seguridad de la Consejería de Turismo, Cultura y Deporte en los ámbitos de seguridad interior, seguridad de las tecnologías de la información y comunicaciones y de la protección de datos personales.
21 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 228 - Martes, 28 de noviembre de 2023
página 18113/17
normativa, de acuerdo con el principio de responsabilidad proactiva. En caso de conflicto
con otras normas de seguridad prevalecerá el criterio que presente un mayor nivel de
exigencia respecto a la protección de datos de personales.
2. Los Responsables y Encargados del Tratamiento aplicarán medidas técnicas y
organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que
tales tratamientos pudieran entrañar para los derechos y libertades de las personas físicas.
3. Cuando sea probable que un tipo de tratamiento de datos personales, en particular
si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un
alto riesgo para los derechos y libertades de las personas físicas, el Responsable del
Tratamiento realizará, antes del mismo, una evaluación del impacto de las operaciones de
tratamiento en la protección de datos personales, para lo que recabará el asesoramiento
del Delegado o Delegada de Protección de Datos. Una única evaluación podrá abordar
una serie de operaciones de tratamiento similares que entrañen altos riesgos análogos.
Artículo 21. Gestión de riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre los activos de la
Consejería, conforme a lo dispuesto en el Decreto 171/2020, de 13 de octubre, así como
sobre los tratamientos de datos personales y los sistemas de información, conforme a los
principios de gestión de la seguridad basada en los riesgos y reevaluación periódica.
En todo caso, para la evaluación y gestión de los riesgos se tendrán en cuenta
los criterios que se establezcan con carácter general para la Junta de Andalucía y los
específicos para la Consejería en los diferentes niveles de planificación, conforme a la
normativa que resulte de aplicación.
2. El proceso de gestión de riesgos comprenderá las fases de categorización de los
sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán
ser proporcionales a los riesgos y estar debidamente justificadas. Dicho proceso deberá
revisarse cada año por parte de los responsables de las Unidades de Seguridad de la
Consejería, que elevarán un informe al Comité de Seguridad. En la medida en la que
los riesgos afecten a los tratamientos de datos personales, el Delegado o Delegada de
Protección de Datos participará en esta revisión.
3. El Comité de Seguridad realizará un seguimiento de los riesgos y de la eficacia de
las medidas adoptadas para su tratamiento.
4. Para realizar el análisis de riesgos se utilizarán metodologías y herramientas
reconocidas en la normativa que resulta de aplicación para el ámbito de la Administración
Pública.
5. Los Responsables de la Información y de los Servicios son responsables de
establecer los requisitos de la información y los servicios en materia de seguridad y, por
tanto, de aceptar los riesgos residuales calculados en el análisis de riesgos, así como de
realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
Artículo 22. Clasificación de activos.
Los activos de la Consejería, conforme a lo dispuesto en el Decreto 171/2020, de
13 de octubre, estarán clasificados de acuerdo con su sensibilidad y criticidad para el
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00293147
Artículo 20. Registro de Actividades de Tratamiento.
1. La Consejería contará con un Registro de Actividades de Tratamiento en el que
cada Responsable del Tratamiento inscribirá su actividad bajo su responsabilidad,
siendo la administración, coordinación y control de este registro una de las funciones a
desarrollar por el Delegado o Delegada de Protección de Datos de la Consejería.
2. El Registro de Actividades de Tratamiento incluirá toda la información a la que se
refiere el artículo 30 del Reglamento General de Protección de Datos, y será público y
accesible por medios electrónicos, a través del apartado correspondiente a la protección
de datos del portal web de la Consejería, y se encontrará continuamente actualizado.
Boletín Oficial de la Junta de Andalucía
Número 228 - Martes, 28 de noviembre de 2023
página 18113/17
normativa, de acuerdo con el principio de responsabilidad proactiva. En caso de conflicto
con otras normas de seguridad prevalecerá el criterio que presente un mayor nivel de
exigencia respecto a la protección de datos de personales.
2. Los Responsables y Encargados del Tratamiento aplicarán medidas técnicas y
organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que
tales tratamientos pudieran entrañar para los derechos y libertades de las personas físicas.
3. Cuando sea probable que un tipo de tratamiento de datos personales, en particular
si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un
alto riesgo para los derechos y libertades de las personas físicas, el Responsable del
Tratamiento realizará, antes del mismo, una evaluación del impacto de las operaciones de
tratamiento en la protección de datos personales, para lo que recabará el asesoramiento
del Delegado o Delegada de Protección de Datos. Una única evaluación podrá abordar
una serie de operaciones de tratamiento similares que entrañen altos riesgos análogos.
Artículo 21. Gestión de riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre los activos de la
Consejería, conforme a lo dispuesto en el Decreto 171/2020, de 13 de octubre, así como
sobre los tratamientos de datos personales y los sistemas de información, conforme a los
principios de gestión de la seguridad basada en los riesgos y reevaluación periódica.
En todo caso, para la evaluación y gestión de los riesgos se tendrán en cuenta
los criterios que se establezcan con carácter general para la Junta de Andalucía y los
específicos para la Consejería en los diferentes niveles de planificación, conforme a la
normativa que resulte de aplicación.
2. El proceso de gestión de riesgos comprenderá las fases de categorización de los
sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán
ser proporcionales a los riesgos y estar debidamente justificadas. Dicho proceso deberá
revisarse cada año por parte de los responsables de las Unidades de Seguridad de la
Consejería, que elevarán un informe al Comité de Seguridad. En la medida en la que
los riesgos afecten a los tratamientos de datos personales, el Delegado o Delegada de
Protección de Datos participará en esta revisión.
3. El Comité de Seguridad realizará un seguimiento de los riesgos y de la eficacia de
las medidas adoptadas para su tratamiento.
4. Para realizar el análisis de riesgos se utilizarán metodologías y herramientas
reconocidas en la normativa que resulta de aplicación para el ámbito de la Administración
Pública.
5. Los Responsables de la Información y de los Servicios son responsables de
establecer los requisitos de la información y los servicios en materia de seguridad y, por
tanto, de aceptar los riesgos residuales calculados en el análisis de riesgos, así como de
realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
Artículo 22. Clasificación de activos.
Los activos de la Consejería, conforme a lo dispuesto en el Decreto 171/2020, de
13 de octubre, estarán clasificados de acuerdo con su sensibilidad y criticidad para el
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00293147
Artículo 20. Registro de Actividades de Tratamiento.
1. La Consejería contará con un Registro de Actividades de Tratamiento en el que
cada Responsable del Tratamiento inscribirá su actividad bajo su responsabilidad,
siendo la administración, coordinación y control de este registro una de las funciones a
desarrollar por el Delegado o Delegada de Protección de Datos de la Consejería.
2. El Registro de Actividades de Tratamiento incluirá toda la información a la que se
refiere el artículo 30 del Reglamento General de Protección de Datos, y será público y
accesible por medios electrónicos, a través del apartado correspondiente a la protección
de datos del portal web de la Consejería, y se encontrará continuamente actualizado.
