3. Otras disposiciones. . (2024/92-34)
Orden de 8 de mayo de 2024, por la que se establece la política de seguridad interior y seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería de Universidad, Investigación e Innovación y de sus entidades adscritas.
22 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/21
efectuará la valoración del riesgo que la misma suponga para los derechos y libertades
de las personas físicas, y la notificará al Consejo de Transparencia y Protección de Datos
de Andalucía sin dilación indebida y, con un plazo máximo de 72 horas posteriores a
computar desde que haya tenido constancia de ella, salvo que sea improbable que dicha
violación de la seguridad constituya un riesgo para los derechos y las libertades de las
personas físicas.
Si la notificación a la autoridad de control no tiene lugar en dicho plazo máximo, esta
deberá ir acompañada de la indicación de los motivos de la dilación.
Cuando sea probable que la violación de la seguridad de los datos personales entrañe
un alto riesgo para los derechos y libertades de las personas físicas, el responsable del
tratamiento la comunicará al interesado sin dilación indebida.
Todo ello de acuerdo con lo establecido en los artículos 33 y 34 del Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y en el resto de la
normativa de datos personales aplicable.
En todo caso, el responsable del tratamiento documentará cualquier violación
de seguridad de los datos personales, incluidos los hechos relacionados con ella, sus
efectos y las medidas correctivas adoptadas.
2. La notificación a la autoridad de control a la que se refiere el apartado anterior se
realizará a través del formulario elaborado por el Consejo de Transparencia y Protección
de Datos para las notificaciones de violaciones de seguridad que, dentro de su ámbito
competencial, hayan de serle notificadas por parte de los responsables de tratamiento.
Artículo 42. Delegado de protección de datos personales.
1. El delegado de protección de datos personales será designado atendiendo a sus
cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho
y la práctica en materia de protección de datos, de conformidad con lo establecido en los
artículos 37 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27
de abril de 2016 y 35 de la Ley Orgánica 3/2018, de 5 de diciembre. En la designación
deberá especificarse el alcance de la misma, indicando los responsables de tratamiento
para los que ejercerá sus funciones.
2. El responsable y el encargado del tratamiento garantizarán que el delegado de
protección de datos no reciba ninguna instrucción en lo que respecta al desempeño
de dichas funciones, de acuerdo con el artículo 38.3 del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo de 27 de abril de 2016. No será destituido ni
sancionado por el responsable o el encargado por desempeñar sus funciones, salvo que
incurriera en dolo o negligencia grave en su ejercicio.
3. La designación, nombramiento y cese del delegado de protección de datos deberá
comunicarse en el plazo de diez días al Consejo de Transparencia y Protección de Datos
de Andalucía.
Artículo 44. Responsables del tratamiento de datos personales.
Los responsables del tratamiento de datos personales en el ámbito de aplicación
de esta orden son los órganos directivos que determinen los fines y medios de los
tratamientos, de conformidad con el artículo 4.7 del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo de 27 de abril de 2016.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 43. Los delegados de protección de datos personales en las entidades
vinculadas o dependientes.
La dirección de cada entidad vinculada o dependiente deberá nombrar un delegado
de protección de datos personales que se comunicará al Consejo de Transparencia y
Protección de Datos de Andalucía y al Comité de Seguridad Interior y Seguridad TIC
de la Consejería. El delegado de protección de datos será designado de acuerdo con lo
previsto en el 41.1 de la presente orden.
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/21
efectuará la valoración del riesgo que la misma suponga para los derechos y libertades
de las personas físicas, y la notificará al Consejo de Transparencia y Protección de Datos
de Andalucía sin dilación indebida y, con un plazo máximo de 72 horas posteriores a
computar desde que haya tenido constancia de ella, salvo que sea improbable que dicha
violación de la seguridad constituya un riesgo para los derechos y las libertades de las
personas físicas.
Si la notificación a la autoridad de control no tiene lugar en dicho plazo máximo, esta
deberá ir acompañada de la indicación de los motivos de la dilación.
Cuando sea probable que la violación de la seguridad de los datos personales entrañe
un alto riesgo para los derechos y libertades de las personas físicas, el responsable del
tratamiento la comunicará al interesado sin dilación indebida.
Todo ello de acuerdo con lo establecido en los artículos 33 y 34 del Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y en el resto de la
normativa de datos personales aplicable.
En todo caso, el responsable del tratamiento documentará cualquier violación
de seguridad de los datos personales, incluidos los hechos relacionados con ella, sus
efectos y las medidas correctivas adoptadas.
2. La notificación a la autoridad de control a la que se refiere el apartado anterior se
realizará a través del formulario elaborado por el Consejo de Transparencia y Protección
de Datos para las notificaciones de violaciones de seguridad que, dentro de su ámbito
competencial, hayan de serle notificadas por parte de los responsables de tratamiento.
Artículo 42. Delegado de protección de datos personales.
1. El delegado de protección de datos personales será designado atendiendo a sus
cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho
y la práctica en materia de protección de datos, de conformidad con lo establecido en los
artículos 37 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27
de abril de 2016 y 35 de la Ley Orgánica 3/2018, de 5 de diciembre. En la designación
deberá especificarse el alcance de la misma, indicando los responsables de tratamiento
para los que ejercerá sus funciones.
2. El responsable y el encargado del tratamiento garantizarán que el delegado de
protección de datos no reciba ninguna instrucción en lo que respecta al desempeño
de dichas funciones, de acuerdo con el artículo 38.3 del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo de 27 de abril de 2016. No será destituido ni
sancionado por el responsable o el encargado por desempeñar sus funciones, salvo que
incurriera en dolo o negligencia grave en su ejercicio.
3. La designación, nombramiento y cese del delegado de protección de datos deberá
comunicarse en el plazo de diez días al Consejo de Transparencia y Protección de Datos
de Andalucía.
Artículo 44. Responsables del tratamiento de datos personales.
Los responsables del tratamiento de datos personales en el ámbito de aplicación
de esta orden son los órganos directivos que determinen los fines y medios de los
tratamientos, de conformidad con el artículo 4.7 del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo de 27 de abril de 2016.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 43. Los delegados de protección de datos personales en las entidades
vinculadas o dependientes.
La dirección de cada entidad vinculada o dependiente deberá nombrar un delegado
de protección de datos personales que se comunicará al Consejo de Transparencia y
Protección de Datos de Andalucía y al Comité de Seguridad Interior y Seguridad TIC
de la Consejería. El delegado de protección de datos será designado de acuerdo con lo
previsto en el 41.1 de la presente orden.
