3. Otras disposiciones. . (2024/140-26)
Resolución de 12 de julio de 2024, de la Dirección Gerencia de la Agencia Digital de Andalucía, por la que se aprueba la Política de Seguridad Interior, Seguridad de las Tecnologías de la Información y las Telecomunicaciones (TIC) y Protección de Datos de la Agencia Digital de Andalucía.
20 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Número 140 - Viernes, 19 de julio de 2024
página 48212/11
f) En caso de violación de la seguridad de los datos personales, el Responsable del
Tratamiento la notificará a la autoridad de control competente sin dilación indebida y, de
ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a
menos que sea improbable que dicha violación de la seguridad constituya un riesgo para
los derechos y las libertades de las personas físicas. Si la notificación a la autoridad
de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación
de los motivos justificativos de la dilación. Cuando sea probable que la violación de la
seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades
de las personas físicas, el Responsable del Tratamiento la comunicará al interesado sin
dilación indebida. Dicha notificación y comunicación se atendrán a lo establecido en los
artículos 33 y 34 del Reglamento y el resto de normativa de datos de carácter personal
aplicable.
g) Aprobar los preceptivos análisis de riesgos para los derechos y libertades de las
personas físicas, identificando y evaluando los factores de riesgos relacionados con
las finalidades de los tratamientos, los tipos de datos utilizados, la extensión y alcance
del tratamiento, las categorías de las personas interesadas, los factores técnicos del
tratamiento, la recogida y generación de los datos, los efectos colaterales del tratamiento,
la categoría del responsable o encargado del tratamiento y los riesgos que se derivan de
la posible materialización de brechas de seguridad sobre datos personales, asegurando
que toda la metodología de la gestión del riesgo quede documentada.
h) Evaluar la obligación y necesidad de realizar una evaluación de impacto en
protección de datos.
i) Identificar las medidas de control de riesgos sobre el concepto y diseño del tratamiento,
las de gobernanza y políticas de protección de datos, las de protección de datos desde el
diseño de las operaciones del tratamiento, y las medidas de gestión de brechas de datos
personales y seguridad para los derechos y libertades de las personas físicas.
j) Realizar y aprobar antes del inicio del tratamiento, la evaluación de impacto en
aquellos casos en los que la evaluación hubiera dado positiva, incluyendo en la misma el
juicio de idoneidad, necesidad y proporcionalidad del tratamiento.
k) Elaborar en los expedientes de proyectos normativos que afecten a la protección
de los datos personales y en los casos en que corresponda, el informe preceptivo para la
Comisión Consultiva del Consejo de Transparencia y Protección de Datos de Andalucía,
que conformará una «Memoria relativa a la protección de datos», bien como documento
autónomo o bien integrado en la «Memoria de Análisis de Impacto Normativo» (MAIN).
l) Redactar el análisis del impacto sobre la protección de los datos personales en la
elaboración de los expedientes que deberán formar parte de la MAIN.
m) Diseñar y ejecutar los planes de acción con los controles y garantías identificados
en el análisis de riesgos y realizar su seguimiento y control.
n) Aceptar los riesgos residuales identificados en el análisis de riesgos para los
derechos y libertades de los interesados y realizar su seguimiento y control.
ñ) La designación del encargado de tratamiento recaerá en aquellos empleados
públicos que ofrezcan garantías suficientes para aplicar las medidas técnicas y
organizativas apropiadas para que el tratamiento sea conforme al RGPD y garantice
la protección de los derechos de las personas interesadas, de conformidad con el
artículo 28 del reglamento.
o) Respaldar al delegado de protección de datos en el desempeño de las funciones
mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de
dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y
para el mantenimiento de sus conocimientos especializados.
p) Asegurar la participación y asesoramiento del delegado de protección de datos
desde el principio de la elaboración de cualquier proyecto de disposición normativa que
pueda afectar el derecho de protección de datos y en el proceso de elaboración del
análisis del impacto.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00305160
BOJA
Boletín Oficial de la Junta de Andalucía
página 48212/11
f) En caso de violación de la seguridad de los datos personales, el Responsable del
Tratamiento la notificará a la autoridad de control competente sin dilación indebida y, de
ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a
menos que sea improbable que dicha violación de la seguridad constituya un riesgo para
los derechos y las libertades de las personas físicas. Si la notificación a la autoridad
de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación
de los motivos justificativos de la dilación. Cuando sea probable que la violación de la
seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades
de las personas físicas, el Responsable del Tratamiento la comunicará al interesado sin
dilación indebida. Dicha notificación y comunicación se atendrán a lo establecido en los
artículos 33 y 34 del Reglamento y el resto de normativa de datos de carácter personal
aplicable.
g) Aprobar los preceptivos análisis de riesgos para los derechos y libertades de las
personas físicas, identificando y evaluando los factores de riesgos relacionados con
las finalidades de los tratamientos, los tipos de datos utilizados, la extensión y alcance
del tratamiento, las categorías de las personas interesadas, los factores técnicos del
tratamiento, la recogida y generación de los datos, los efectos colaterales del tratamiento,
la categoría del responsable o encargado del tratamiento y los riesgos que se derivan de
la posible materialización de brechas de seguridad sobre datos personales, asegurando
que toda la metodología de la gestión del riesgo quede documentada.
h) Evaluar la obligación y necesidad de realizar una evaluación de impacto en
protección de datos.
i) Identificar las medidas de control de riesgos sobre el concepto y diseño del tratamiento,
las de gobernanza y políticas de protección de datos, las de protección de datos desde el
diseño de las operaciones del tratamiento, y las medidas de gestión de brechas de datos
personales y seguridad para los derechos y libertades de las personas físicas.
j) Realizar y aprobar antes del inicio del tratamiento, la evaluación de impacto en
aquellos casos en los que la evaluación hubiera dado positiva, incluyendo en la misma el
juicio de idoneidad, necesidad y proporcionalidad del tratamiento.
k) Elaborar en los expedientes de proyectos normativos que afecten a la protección
de los datos personales y en los casos en que corresponda, el informe preceptivo para la
Comisión Consultiva del Consejo de Transparencia y Protección de Datos de Andalucía,
que conformará una «Memoria relativa a la protección de datos», bien como documento
autónomo o bien integrado en la «Memoria de Análisis de Impacto Normativo» (MAIN).
l) Redactar el análisis del impacto sobre la protección de los datos personales en la
elaboración de los expedientes que deberán formar parte de la MAIN.
m) Diseñar y ejecutar los planes de acción con los controles y garantías identificados
en el análisis de riesgos y realizar su seguimiento y control.
n) Aceptar los riesgos residuales identificados en el análisis de riesgos para los
derechos y libertades de los interesados y realizar su seguimiento y control.
ñ) La designación del encargado de tratamiento recaerá en aquellos empleados
públicos que ofrezcan garantías suficientes para aplicar las medidas técnicas y
organizativas apropiadas para que el tratamiento sea conforme al RGPD y garantice
la protección de los derechos de las personas interesadas, de conformidad con el
artículo 28 del reglamento.
o) Respaldar al delegado de protección de datos en el desempeño de las funciones
mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de
dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y
para el mantenimiento de sus conocimientos especializados.
p) Asegurar la participación y asesoramiento del delegado de protección de datos
desde el principio de la elaboración de cualquier proyecto de disposición normativa que
pueda afectar el derecho de protección de datos y en el proceso de elaboración del
análisis del impacto.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00305160
BOJA
Boletín Oficial de la Junta de Andalucía
