BOJA

Boletín Oficial de la Junta de Andalucía
Número 68 - Martes, 9 de abril de 2024

página 42583/14

E) Medidas de seguridad.
Los datos deben protegerse empleando las medidas que una persona ordenada debe
tomar para evitar que dichos datos pierdan su razonable confidencialidad, integridad y
disponibilidad. De acuerdo con la evaluación de riesgos realizada, se deben implantar, al
menos, las medidas de seguridad siguientes:
- El marco de control de medidas de seguridad al que atenderá el servicio contratado,
se circunscribirá al cumplimiento de las medidas de seguridad recogidas en el Real
Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad,
atendiendo a la naturaleza de los datos tratados.
Al evaluar la adecuación del nivel de seguridad, el encargado del tratamiento tendrá
particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular
como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, o la comunicación o
acceso no autorizados a dichos datos.
En todo caso, el encargado del tratamiento se compromete a garantizar, teniendo
en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance,
el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad
variables para los derechos y libertades de las personas físicas, la aplicación de medidas
técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al
riesgo, que en su caso incluya, entre otros:
• La seudonimización y el cifrado de datos personales.
• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento.
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida en caso de incidente físico o técnico.
• Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
En concreto se aporta el siguiente listado de controles enfocados a proteger y
asegurar la comunicación telemática de ambos sistemas:
• Todos los intercambios de información y prestación de servicios con otros sistemas
deberán ser objeto de una autorización previa. Todo flujo de información estará
prohibido salvo autorización expresa.
Depósito Legal: SE-410/1979. ISSN: 2253-802X

https://www.juntadeandalucia.es/eboja

00299531

a) Devolver al responsable del tratamiento los datos de carácter personal y, si
procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe
comportar el borrado total de los datos existentes en los equipos informáticos utilizados
por el encargado. No obstante, el encargado puede conservar una copia, con los datos
debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución
de la prestación.
No obstante, el Responsable del Tratamiento podrá requerir al encargado para que
en vez de la opción a), cumpla con la b) o con la c) siguientes:
b) Entregar al encargado que designe por escrito el responsable del tratamiento, los
datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida
prestación. La entrega debe comportar el borrado total de los datos existentes en los
equipos informáticos utilizados por el encargado. No obstante, el encargado puede
conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse
responsabilidades de la ejecución de la prestación.
c) Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el encargado
debe certificar su destrucción por escrito y debe entregar el certificado al responsable
del tratamiento. No obstante, el encargado puede conservar una copia, con los datos
debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución
del convenio.