3. Otras disposiciones. . (2024/36-25)
Resolución de 13 de febrero de 2024, de la Presidenta de la Cámara de Cuentas de Andalucía, por la que se da publicidad al Acuerdo de 9 de noviembre de 2023, del Pleno de la Cámara de Cuentas de Andalucía, por el que se aprueban las normas que regulan la política de seguridad de la información en la Cámara de Cuentas de Andalucía.
13 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 36 - Martes, 20 de febrero de 2024
página 1358/11
6. La persona Responsable de la Seguridad será la encargada de realizar el análisis
de riesgos en tiempo y forma, contando con la colaboración de los correspondientes
Responsables de la Información y de los Servicios.
7. Tras la calificación de la información y la determinación de la categoría de
seguridad del sistema, se obtendrá la matriz de aplicabilidad y el conjunto de medidas
para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad
de la información y del servicio. La evaluación de los riesgos se realizará identificando los
riesgos residuales.
8. Será responsabilidad de los Responsables de la Información y de los Servicios, la
aceptación de los riesgos residuales y el impulso de la ejecución de auditorías de seguridad.
9. En el caso de que existan tratamientos de datos personales, se deberá tener en
cuenta lo dispuesto en el artículo siguiente, de modo que los requisitos identificados
conforme a dicho artículo y, con el asesoramiento específico del Delegado de Protección
de Datos, se puedan añadir a los establecidos conforme al Real Decreto 311/2022, de
3 de mayo, si así fuera necesario, en particular, fijando el nivel de seguridad a un nivel
más alto. En estos casos, si el resultado del análisis es que los tratamientos de datos
personales fuesen de alto riesgo, estos requisitos se elaborarán con la formalidad de
una evaluación de impacto en la protección de datos, conforme al artículo 35 del RGPD
y los criterios establecidos por la Agencia Española de Protección de Datos (AEPD). En
este aspecto también se deberá tener en cuenta la regulación de la seguridad de los
tratamientos de datos personales, especificada en el artículo 32 del RGPD.
Artículo 13. Niveles de desarrollo.
1. La PSI de la Cámara de Cuentas será desarrollada a través de las diferentes
normativas, guías y procedimientos que se aprueben, con la finalidad de que los riesgos
sean tratados adecuadamente.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00297181
Artículo 12. Protección de datos de carácter personal.
1. Se aplicarán a los datos de carácter personal que sean objeto de tratamiento por parte
de la Cámara de Cuentas de Andalucía, las medidas de seguridad apropiadas derivadas
del análisis de riesgos, así como de la evaluación de impacto relativa a la protección de
datos, que se detalla en el RGPD y en la Ley Orgánica 3/2018, de 5 de diciembre.
2. Además, se aplicarán las medidas correspondientes al Anexo II del Real Decreto
311/2022, de 3 de mayo. En el caso de que el análisis de riesgos determine medidas
agravadas respecto a la normativa recogida en las medidas del citado Anexo, las medidas
derivadas del análisis de riesgos serán las que se implementarán en la protección de
datos de carácter personal.
3. En particular, se tendrá en cuenta el artículo 32 del RGPD, en cuanto a la
exigencia de una identificación de riesgos específicos para los derechos y libertades de
las personas en relación a los tratamientos de datos personales, que debe ser previo al
análisis de riesgos de los sistemas donde se implementen dichos tratamientos, de forma
que la categoría de seguridad sea adecuada al riesgo que los tratamientos de datos
personales suponen para los derechos y libertades de las personas.
4. El Responsable del Sistema de Información o los administradores u operadores en
los que delegue, podrán implementar tratamientos de datos personales como consecuencia
de la implantación de medidas de seguridad que tengan un objeto distinto que la protección
de los datos personales, en base a lo dispuesto en el artículo 24 del Real Decreto 311/2022,
de 3 de mayo, y teniendo en cuenta, entre otros, los principios de limitación de finalidad;
prohibición del tratamiento de los datos personales para fines distintos; el principio de
minimización de datos, identificando los datos personales o las categorías de datos
personales que pudieran ser tratados; o del principio de limitación del plazo de conservación,
identificando los plazos máximos de conservación de los datos personales.
Boletín Oficial de la Junta de Andalucía
Número 36 - Martes, 20 de febrero de 2024
página 1358/11
6. La persona Responsable de la Seguridad será la encargada de realizar el análisis
de riesgos en tiempo y forma, contando con la colaboración de los correspondientes
Responsables de la Información y de los Servicios.
7. Tras la calificación de la información y la determinación de la categoría de
seguridad del sistema, se obtendrá la matriz de aplicabilidad y el conjunto de medidas
para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad
de la información y del servicio. La evaluación de los riesgos se realizará identificando los
riesgos residuales.
8. Será responsabilidad de los Responsables de la Información y de los Servicios, la
aceptación de los riesgos residuales y el impulso de la ejecución de auditorías de seguridad.
9. En el caso de que existan tratamientos de datos personales, se deberá tener en
cuenta lo dispuesto en el artículo siguiente, de modo que los requisitos identificados
conforme a dicho artículo y, con el asesoramiento específico del Delegado de Protección
de Datos, se puedan añadir a los establecidos conforme al Real Decreto 311/2022, de
3 de mayo, si así fuera necesario, en particular, fijando el nivel de seguridad a un nivel
más alto. En estos casos, si el resultado del análisis es que los tratamientos de datos
personales fuesen de alto riesgo, estos requisitos se elaborarán con la formalidad de
una evaluación de impacto en la protección de datos, conforme al artículo 35 del RGPD
y los criterios establecidos por la Agencia Española de Protección de Datos (AEPD). En
este aspecto también se deberá tener en cuenta la regulación de la seguridad de los
tratamientos de datos personales, especificada en el artículo 32 del RGPD.
Artículo 13. Niveles de desarrollo.
1. La PSI de la Cámara de Cuentas será desarrollada a través de las diferentes
normativas, guías y procedimientos que se aprueben, con la finalidad de que los riesgos
sean tratados adecuadamente.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00297181
Artículo 12. Protección de datos de carácter personal.
1. Se aplicarán a los datos de carácter personal que sean objeto de tratamiento por parte
de la Cámara de Cuentas de Andalucía, las medidas de seguridad apropiadas derivadas
del análisis de riesgos, así como de la evaluación de impacto relativa a la protección de
datos, que se detalla en el RGPD y en la Ley Orgánica 3/2018, de 5 de diciembre.
2. Además, se aplicarán las medidas correspondientes al Anexo II del Real Decreto
311/2022, de 3 de mayo. En el caso de que el análisis de riesgos determine medidas
agravadas respecto a la normativa recogida en las medidas del citado Anexo, las medidas
derivadas del análisis de riesgos serán las que se implementarán en la protección de
datos de carácter personal.
3. En particular, se tendrá en cuenta el artículo 32 del RGPD, en cuanto a la
exigencia de una identificación de riesgos específicos para los derechos y libertades de
las personas en relación a los tratamientos de datos personales, que debe ser previo al
análisis de riesgos de los sistemas donde se implementen dichos tratamientos, de forma
que la categoría de seguridad sea adecuada al riesgo que los tratamientos de datos
personales suponen para los derechos y libertades de las personas.
4. El Responsable del Sistema de Información o los administradores u operadores en
los que delegue, podrán implementar tratamientos de datos personales como consecuencia
de la implantación de medidas de seguridad que tengan un objeto distinto que la protección
de los datos personales, en base a lo dispuesto en el artículo 24 del Real Decreto 311/2022,
de 3 de mayo, y teniendo en cuenta, entre otros, los principios de limitación de finalidad;
prohibición del tratamiento de los datos personales para fines distintos; el principio de
minimización de datos, identificando los datos personales o las categorías de datos
personales que pudieran ser tratados; o del principio de limitación del plazo de conservación,
identificando los plazos máximos de conservación de los datos personales.
