Número 140 - Viernes, 19 de julio de 2024

página 48212/18

datos personales no sean accesibles, sin la intervención de la persona, a un número
indeterminado de personas físicas.
3. En los casos que la Agencia actúa como Encargada, colaborará con los
responsables, siempre que sea posible, desde la fase de diseño del tratamiento,
advirtiendo sobre posibles riesgos inherentes al mismo y desarrollando sistemas
que cumplan con el principio «privacidad desde el diseño y por defecto» recogido
en el artículo 25 del RGPD.
3. Gestión de riesgos para la Agencia.
1. L
 a gestión de riesgos para la seguridad interior se acomodará a lo previsto en
el Modelo de Seguridad Interior, en el Plan Corporativo de Seguridad Interior, en
el Plan de Seguridad Interior de la Consejería a la que se adscribe la Agencia y
en los demás instrumentos de planificación previstos en el artículo 17 del Decreto
171/2020, de 13 de octubre.
2. L
 as personas encargadas de la categorización del nivel de riesgo de los sistemas
de información serán los responsables de la Información y de los Servicios, siendo
el responsable de Seguridad TIC el encargado de supervisar los análisis de riesgos
y proponer las medidas de seguridad a aplicar.
3. El proceso de gestión de riesgos de los sistemas de información, que comprende
las fases de categorización de los sistemas, análisis de riesgos y selección de
medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y
estar justificadas, deberá revisarse cuando se produzcan situaciones que cambien
el nivel de riesgo (cambios normativos, en la organización, en las tecnologías
empleadas, etc.), y al menos con periodicidad anual por parte del responsable de
Seguridad TIC y con la colaboración y asesoramiento de la persona delegada de
protección de datos, debiendo elevar el primero informe al Comité.
4. L
 a gestión de riesgos de los sistemas de información deberá realizarse de manera
continua sobre el sistema de información, conforme a los principios de gestión de
la seguridad basada en los riesgos y con reevaluación periódica de los mismos.
5. C
 uando un sistema de información trate datos personales le será de aplicación lo
dispuesto en el Reglamento General de Protección de Datos y en la Ley Orgánica
3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales, el resto de normativa de aplicación, así como los criterios que
se establezcan por la Agencia Española de Protección de Datos o en su ámbito
competencial, por el Consejo de Transparencia y Protección de Datos de Andalucía,
resultándole de aplicación lo que se recoge en el artículo 19 sobre Gestión de
riesgos para derechos y libertades de los individuos.
6. En todo caso, prevalecerán las medidas a implantar como consecuencia del
análisis de riesgos para los derechos y libertades, en caso de resultar agravadas
respecto de las previstas en el Esquema Nacional de Seguridad.
7. L
 as personas responsables de la Información y de los Servicios y los responsables
operativos de los tratamientos cuando los mismos traten datos personales son
las responsables de aceptar los riesgos residuales calculados y de realizar su
seguimiento y control.
4. Gestión de riesgos para derechos y libertades de los individuos.
1. L
 os principios fundamentales y los derechos establecidos en el RGPD deberán
quedar garantizados por el Responsables del Tratamiento de datos personales con
independencia del proceso de gestión de riesgos.
2. E
 ste proceso, en el marco del RGPD, deberá realizarse poniendo el énfasis en
las personas y la afectación de sus derechos y libertades como consecuencia
del tratamiento de sus datos personales: daños y perjuicios físicos materiales
o inmateriales, discriminación, usurpación de identidad o fraude, pérdidas
financieras, daños para la reputación, pérdida de confidencialidad de datos sujetos
a secreto profesional, reversión no autorizada de la seudonimización de perjuicios
Depósito Legal: SE-410/1979. ISSN: 2253-802X

https://www.juntadeandalucia.es/eboja

00305160

BOJA

Boletín Oficial de la Junta de Andalucía