Número 140 - Viernes, 19 de julio de 2024

página 48212/19

económicos o sociales, privación a las personas de sus derechos y libertades, que
se les impida ejercer el control sobre sus datos personales, y demás riesgos.
Los riesgos para la seguridad de la información deberán ser gestionados, a diferencia
de los anteriores, centrados en la protección de los intereses de la Agencia.
3. E
 n consecuencia las medidas técnicas y organizativas de mitigación de los riesgos
del RGPD no deberán confundirse con los controles de seguridad de la información
establecidos en el ENS.
4. L
 os responsables operativos del tratamiento en la Agencia han de realizar un
análisis de riesgos conforme al artículo 24 del Reglamento General de Protección
de Datos.
5. L
 a gestión de los riesgos para los derechos y libertades de las personas interesadas
en los tratamientos en los que la Agencia actúa en calidad de encargado del
tratamiento se hará en los términos y condiciones que se recogen en el apartado 3
de la disposición adicional cuarta del Decreto 128/2021, de 30 de marzo, por el que
se aprueban los Estatutos de la Agencia Digital de Andalucía.
6. En este sentido la Agencia tiene como obligación ayudar al responsable a
garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36
del Reglamento General de Protección de Datos, por tanto, en la gestión del riesgo
teniendo en cuenta la naturaleza del tratamiento y la información a disposición del
encargado (artículo 28.3.f).
7. L
 os responsables y encargados, teniendo en cuenta los elementos enumerados en
los artículos 24 y 25 del Reglamento General de Protección de Datos, determinarán
las medidas técnicas y organizativas apropiadas que deben aplicar a fin de
garantizar y acreditar que el tratamiento es conforme a la normativa aplicable.
8. En el plan de tratamiento de riesgos, para llevar a cabo la implantación de las
medidas, tanto técnicas como organizativas, se identificarán las obligaciones
que asume cada parte interviniente en las diferentes fases del ciclo de vida del
tratamiento.
9. E
 n los casos que la Agencia actúa como encargada, asumirá la implantación de
las medidas que le correspondan según su implicación en el tratamiento, y siempre
siguiendo las instrucciones de los responsables.
10. S
 e establecerán canales ágiles de comunicación entre responsables y Agencia
para comunicar brechas de seguridad y para la atención de ejercicio de derechos
5. Evaluaciones de Impacto relativas a la protección de datos Personales.
1. L
 a Evaluación de Impacto en Protección de Datos (EIPD) es una obligación
específica del responsable, de conformidad a lo que se establece en el artículo
35.1 del RGPD. Esto supone que es este quien asume las responsabilidades que
se derivan de su ejecución y de los resultados que arroje.
2. L
 os responsables operativos del tratamiento en la Agencia han de realizar una
evaluación de impacto en aquellos casos en los que resulte de aplicación.
3. S
 i la Agencia actúa como encargada, ayudará al cumplimiento de las obligaciones
de los responsables de realizar la EIPD en aquellas fases del ciclo de vida del
tratamiento en los que la Agencia intervenga. Dicha colaboración por parte
de la Agencia tendrá en cuenta la naturaleza del tratamiento y la información
a disposición del encargado (art. 28.3.f)., delimitando el alcance de la misma a
las fases del ciclo de vida del tratamiento donde ésta intervenga, para que a los
responsables les sirva de apoyo en el cumplimiento de sus obligaciones.
6. Auditorías de la seguridad.
1. L
 os sistemas de información serán objeto de una auditoría regular ordinaria, al
menos bianual, que verifique el cumplimiento de los requerimientos del ENS. Estas
auditorías ordinarias, así como las extraordinarias, se practicarán de acuerdo con
lo establecido en el artículo 31 del Real Decreto 311/2022, de 3 de mayo, y en la
Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de
Depósito Legal: SE-410/1979. ISSN: 2253-802X

https://www.juntadeandalucia.es/eboja

00305160

BOJA

Boletín Oficial de la Junta de Andalucía