3. Otras disposiciones. . (2024/92-34)
Orden de 8 de mayo de 2024, por la que se establece la política de seguridad interior y seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería de Universidad, Investigación e Innovación y de sus entidades adscritas.
22 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/20
Europeo y del Consejo de 27 de abril de 2016, la Ley Orgánica 3/2018, de 5 de diciembre,
y por el resto de la normativa general o sectorial de protección de datos personales que
sea de aplicación.
2. Todos los tratamientos de datos personales, automatizados o no automatizados, se
sujetarán a la citada normativa cuando se encuentren dentro de su ámbito de aplicación.
Artículo 38. Medidas técnicas y organizativas.
1. Las medidas técnicas y organizativas a implantar tendrán en cuenta lo previsto
en el artículo 13.h) de la Ley 39/2015, de 1 de octubre, que reconoce a las personas, en
sus relaciones con las Administraciones Públicas, el derecho a la protección de datos
personales, y en particular a la seguridad y confidencialidad de los datos que figuren en
los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
2. Las personas responsables del tratamiento en el ámbito de aplicación de esta
orden, aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo para los derechos y libertades de las personas físicas, que
serán revisadas regularmente, de conformidad con el artículo 32 del Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
3. Todas las personas, físicas o jurídicas, que actúen bajo la autoridad del responsable
de un tratamiento estarán sujetas al principio de confidencialidad previsto en el artículo
5.1.f) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril
de 2016 y en el artículo 5.1 de la Ley Orgánica 3/2018, de 5 de diciembre. Dicho deber
se extiende aún después de finalizada la relación del obligado con dicho responsable del
tratamiento, de acuerdo con el artículo 5.3 de la Ley Orgánica 3/2018, de 5 de diciembre.
Artículo 39. Evaluación de impacto.
1. Cuando sea probable que un tipo de tratamiento de datos personales, en particular
si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un
alto riesgo para los derechos y libertades de las personas físicas, el responsable del
tratamiento realizará, antes del mismo, una evaluación del impacto de las operaciones de
tratamiento en la protección de datos personales, de conformidad con el artículo 35 del
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
2. Una única evaluación podrá abordar una serie de operaciones de tratamiento
similares que entrañen altos riesgos análogos. Para ello, recabará el asesoramiento de la
persona delegada de protección de datos.
Artículo 41. Violación de la seguridad de los datos personales.
1. En caso de violación de la seguridad de los datos personales, el responsable del
tratamiento lo pondrá en conocimiento del delegado o delegada de protección de datos,
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 40. Registro de actividades de tratamiento.
1. El responsable del tratamiento llevará un registro de las actividades de tratamiento
de datos personales efectuadas bajo su responsabilidad, de acuerdo con lo establecido
en el artículo 31 de la Ley Orgánica 3/2018, de 5 de diciembre y el resto de normativa
de datos personales aplicable. Los responsables del tratamiento harán públicas y
mantendrán actualizadas sus actividades de tratamiento en el inventario de actividades
de tratamiento de datos de la Junta de Andalucía.
2. Cada responsable de tratamiento llevará un registro de todas las categorías de
actividades de tratamiento efectuadas por cuenta de un responsable, de conformidad con
lo previsto en aquel artículo.
3. Los responsables o encargados del tratamiento deberán comunicar a la persona
Delegada de Protección de Datos, cualquier adición, modificación o exclusión en el
contenido del registro en virtud de lo establecido en el artículo 31.1, párrafo tercero, de la
Ley Orgánica 3/2018, de 5 de diciembre.
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/20
Europeo y del Consejo de 27 de abril de 2016, la Ley Orgánica 3/2018, de 5 de diciembre,
y por el resto de la normativa general o sectorial de protección de datos personales que
sea de aplicación.
2. Todos los tratamientos de datos personales, automatizados o no automatizados, se
sujetarán a la citada normativa cuando se encuentren dentro de su ámbito de aplicación.
Artículo 38. Medidas técnicas y organizativas.
1. Las medidas técnicas y organizativas a implantar tendrán en cuenta lo previsto
en el artículo 13.h) de la Ley 39/2015, de 1 de octubre, que reconoce a las personas, en
sus relaciones con las Administraciones Públicas, el derecho a la protección de datos
personales, y en particular a la seguridad y confidencialidad de los datos que figuren en
los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
2. Las personas responsables del tratamiento en el ámbito de aplicación de esta
orden, aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo para los derechos y libertades de las personas físicas, que
serán revisadas regularmente, de conformidad con el artículo 32 del Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
3. Todas las personas, físicas o jurídicas, que actúen bajo la autoridad del responsable
de un tratamiento estarán sujetas al principio de confidencialidad previsto en el artículo
5.1.f) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril
de 2016 y en el artículo 5.1 de la Ley Orgánica 3/2018, de 5 de diciembre. Dicho deber
se extiende aún después de finalizada la relación del obligado con dicho responsable del
tratamiento, de acuerdo con el artículo 5.3 de la Ley Orgánica 3/2018, de 5 de diciembre.
Artículo 39. Evaluación de impacto.
1. Cuando sea probable que un tipo de tratamiento de datos personales, en particular
si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un
alto riesgo para los derechos y libertades de las personas físicas, el responsable del
tratamiento realizará, antes del mismo, una evaluación del impacto de las operaciones de
tratamiento en la protección de datos personales, de conformidad con el artículo 35 del
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
2. Una única evaluación podrá abordar una serie de operaciones de tratamiento
similares que entrañen altos riesgos análogos. Para ello, recabará el asesoramiento de la
persona delegada de protección de datos.
Artículo 41. Violación de la seguridad de los datos personales.
1. En caso de violación de la seguridad de los datos personales, el responsable del
tratamiento lo pondrá en conocimiento del delegado o delegada de protección de datos,
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 40. Registro de actividades de tratamiento.
1. El responsable del tratamiento llevará un registro de las actividades de tratamiento
de datos personales efectuadas bajo su responsabilidad, de acuerdo con lo establecido
en el artículo 31 de la Ley Orgánica 3/2018, de 5 de diciembre y el resto de normativa
de datos personales aplicable. Los responsables del tratamiento harán públicas y
mantendrán actualizadas sus actividades de tratamiento en el inventario de actividades
de tratamiento de datos de la Junta de Andalucía.
2. Cada responsable de tratamiento llevará un registro de todas las categorías de
actividades de tratamiento efectuadas por cuenta de un responsable, de conformidad con
lo previsto en aquel artículo.
3. Los responsables o encargados del tratamiento deberán comunicar a la persona
Delegada de Protección de Datos, cualquier adición, modificación o exclusión en el
contenido del registro en virtud de lo establecido en el artículo 31.1, párrafo tercero, de la
Ley Orgánica 3/2018, de 5 de diciembre.
