BOJA

Boletín Oficial de la Junta de Andalucía
Número 140 - Viernes, 19 de julio de 2024

página 48212/17

Cuarto. Gestión de la seguridad.
1. Desarrollo normativo de la seguridad.
1. L
 a presente Política, se desarrollará en distintos niveles con diferente ámbito de
aplicación, detalle técnico y obligatoriedad de cumplimiento, pero de manera que
cada elemento de desarrollo se fundamente en el nivel superior.
2. T
 odos estos niveles prestarán especial atención a las exigencias derivadas del
Esquema Nacional de Seguridad, así como a la normativa aplicable en materia de
protección de datos de carácter personal.
3. La competencia para aprobar las normas o políticas de desarrollo de seguridad de
obligado cumplimiento corresponderá en todo caso a la Dirección Gerencia de la
Agencia, a propuesta del Comité de Seguridad.
4. P
 ara mayor operatividad la competencia para aprobar procedimientos,
instrucciones, directrices, guías o recomendaciones en el ámbito de la seguridad
TIC la ostenta la persona titular de la Dirección General de Estrategia Digital.
Cuando sean referidas al ámbito de la protección de datos o de la seguridad interior,
la competencia la ejerce la persona titular de la Secretaria General. En aquellas
materias que exijan la necesaria coordinación de las materias, la competencia
para aprobarlos será atribuida a la persona que ostenta la Dirección Gerencia, a
propuesta de la Dirección General de Estrategia Digital y de la Secretaria General.
En cualquier caso, el Comité de Seguridad de la Agencia deberá ser informado de
cualquier procedimiento, instrucción, directriz, guía o recomendación aprobado.
5. E
 l Comité establecerá los mecanismos necesarios para compartir la documentación
derivada del desarrollo, con el propósito de regularizarlo o normalizarlo en la
medida de lo posible, en todo el ámbito de aplicación de la política de seguridad.
2. Privacidad desde el diseño y por defecto.
1. 
Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la
naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa
probabilidad y gravedad que entraña el tratamiento para los derechos y libertades
de las personas físicas, la Agencia, en calidad de responsable del tratamiento,
aplicará, tanto en el momento de determinar los medios de tratamiento como en
el momento del propio tratamiento, medidas técnicas y organizativas apropiadas,
como la seudonimización, concebidas para aplicar de forma efectiva los principios
de protección de datos, como la minimización de datos, e integrar las garantías
necesarias en el tratamiento, a fin de cumplir los requisitos del Reglamento y
proteger los derechos de los interesados.
2. L
 a Agencia, como responsable del tratamiento, aplicará las medidas técnicas y
organizativas apropiadas para garantizar que, por defecto, solo sean objeto de
tratamiento los datos personales que sean necesarios para cada uno de los fines
específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos
personales recogidos, a la extensión de su tratamiento, a su plazo de conservación
y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los
Depósito Legal: SE-410/1979. ISSN: 2253-802X

https://www.juntadeandalucia.es/eboja

00305160

4. P
 rocederá el ejercicio de las acciones pertinentes, para la exigencia de las
responsabilidades legales que correspondan por el incumplimiento manifiesto de la
política de seguridad o de la normativa de seguridad derivada.
5. L
 os empleados públicos deberán cumplir con las instrucciones y normas que
regulen las responsabilidades en el uso de los sistemas informáticos y redes de
comunicaciones de la Administración de la Junta de Andalucía.
6. Cualquier persona que actúe bajo la autoridad de la persona responsable o de la
encargada de un tratamiento de datos personales en el ámbito de aplicación de
la Política y tenga acceso a datos personales solo tratará dichos datos siguiendo
instrucciones del responsable, salvo que se lo impida el ordenamiento jurídico
comunitario, nacional o autonómico.