3. Otras disposiciones. . (2024/140-26)
Resolución de 12 de julio de 2024, de la Dirección Gerencia de la Agencia Digital de Andalucía, por la que se aprueba la Política de Seguridad Interior, Seguridad de las Tecnologías de la Información y las Telecomunicaciones (TIC) y Protección de Datos de la Agencia Digital de Andalucía.
20 páginas totales
Página
Número 140 - Viernes, 19 de julio de 2024
página 48212/2
El citado decreto regula un modelo organizativo funcional en el que por simplificación,
eficacia y eficiencia se ha evitado la creación de un Comité de Seguridad Interior, optando
por incluir las que hubieran sido sus funciones y tareas entre las de los ya existentes
comités de seguridad TIC. En este sentido, en su disposición final primera, modifica el
reseñado Decreto 1/2011, de 11 de enero, indicando que: «Todas las alusiones en el
texto a los «Comités de Seguridad TIC de las entidades» quedan sustituidas por Comités
de Seguridad Interior y Seguridad TIC de las Consejerías o entidades dependientes
singulares». Asimismo, el artículo 9 del Decreto 171/2020, de 13 de octubre, determina,
respecto a las normas de creación de dichos Comités, que «modificarán su denominación
añadiendo su definición como órganos de dirección y seguimiento en materia de
seguridad interior y actualizando, de ser necesario, su composición y régimen de los
mismos, con descripción incluso, de las nuevas funciones a incorporar». Por su parte,
su artículo 10.1 establece que: «Partiendo de sus propios recursos directos, en cada
una de las Consejerías y en aquellas de sus entidades dependientes en las que éstas lo
consideren necesario por virtud del volumen o singularidad de los activos, se contará con
una Unidad de Seguridad Interior que ejerza la responsabilidad ejecutiva para la seguridad
interior del conjunto de los activos en su ámbito, debiendo ser designada por el Comité de
Seguridad Interior y Seguridad TIC». Asimismo, el párrafo 2 del citado precepto continúa
disponiendo que la composición, atribuciones, funcionamiento y método de trabajo del
Comité de Seguridad TIC deberá ser aprobada por el máximo órgano de dirección de la
entidad.
Por su parte, la aplicación de la normativa sobre protección de datos de carácter
personal supone para la Agencia Digital de Andalucía, en tanto responsable y también
encargada de tratamientos de esta naturaleza según lo dispuesto en la disposición
adicional cuarta del Decreto 128/2021, de 30 de marzo, por el que se aprueban los
Estatutos de la Agencia Digital de Andalucía, la necesaria adopción de una serie de
medidas de carácter técnico y organizativo tendentes a garantizar los derechos de los
titulares de dichos datos personales. Por ello, en la elaboración de esta resolución se
han tenido en cuenta el Reglamento 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos y por el que se
deroga la Directiva 95/46/CE (en adelante RGPD), directamente aplicable a partir del 25
de mayo de 2018, y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales (en adelante LOPDGDD).
La disposición adicional primera de la LOPDGDD determina que los responsables
enumerados en el artículo 77.1 de la citada ley, deberán aplicar a los tratamientos de
datos personales las medidas de seguridad que correspondan de las previstas en el
ENS. Por su parte, la normativa reguladora del Real Decreto 311/2022, de 3 de mayo,
por el que se regula el Esquema Nacional de Seguridad, en su artículo 3 establece
que cuando un sistema de información trate datos personales le será de aplicación lo
dispuesto en el RGPD y en la LOPDGDD, o, en su caso, la Ley Orgánica 7/2021, de 26 de
mayo, de protección de datos personales tratados para fines de prevención, detección,
investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones
penales, el resto de normativa de aplicación, así como los criterios que se establezcan
por la Agencia Española de Protección de Datos o en su ámbito competencial, por las
autoridades autonómicas de protección de datos.
En consecuencia, la convergencia de los requisitos de seguridad interior, los referidos
requisitos sobre los sistemas de información, y los exigidos para la protección de datos de
carácter personal hacen aconsejable no acometer acciones desagregadas, que atiendan
a cada dimensión por separado, pues ello podría provocar duplicidades, antinomias,
confusión y descoordinación internas, además de resultar más oneroso desde el punto
de vista de la inversión de recursos humanos, económicos, técnicos y organizativos.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00305160
BOJA
Boletín Oficial de la Junta de Andalucía
página 48212/2
El citado decreto regula un modelo organizativo funcional en el que por simplificación,
eficacia y eficiencia se ha evitado la creación de un Comité de Seguridad Interior, optando
por incluir las que hubieran sido sus funciones y tareas entre las de los ya existentes
comités de seguridad TIC. En este sentido, en su disposición final primera, modifica el
reseñado Decreto 1/2011, de 11 de enero, indicando que: «Todas las alusiones en el
texto a los «Comités de Seguridad TIC de las entidades» quedan sustituidas por Comités
de Seguridad Interior y Seguridad TIC de las Consejerías o entidades dependientes
singulares». Asimismo, el artículo 9 del Decreto 171/2020, de 13 de octubre, determina,
respecto a las normas de creación de dichos Comités, que «modificarán su denominación
añadiendo su definición como órganos de dirección y seguimiento en materia de
seguridad interior y actualizando, de ser necesario, su composición y régimen de los
mismos, con descripción incluso, de las nuevas funciones a incorporar». Por su parte,
su artículo 10.1 establece que: «Partiendo de sus propios recursos directos, en cada
una de las Consejerías y en aquellas de sus entidades dependientes en las que éstas lo
consideren necesario por virtud del volumen o singularidad de los activos, se contará con
una Unidad de Seguridad Interior que ejerza la responsabilidad ejecutiva para la seguridad
interior del conjunto de los activos en su ámbito, debiendo ser designada por el Comité de
Seguridad Interior y Seguridad TIC». Asimismo, el párrafo 2 del citado precepto continúa
disponiendo que la composición, atribuciones, funcionamiento y método de trabajo del
Comité de Seguridad TIC deberá ser aprobada por el máximo órgano de dirección de la
entidad.
Por su parte, la aplicación de la normativa sobre protección de datos de carácter
personal supone para la Agencia Digital de Andalucía, en tanto responsable y también
encargada de tratamientos de esta naturaleza según lo dispuesto en la disposición
adicional cuarta del Decreto 128/2021, de 30 de marzo, por el que se aprueban los
Estatutos de la Agencia Digital de Andalucía, la necesaria adopción de una serie de
medidas de carácter técnico y organizativo tendentes a garantizar los derechos de los
titulares de dichos datos personales. Por ello, en la elaboración de esta resolución se
han tenido en cuenta el Reglamento 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos y por el que se
deroga la Directiva 95/46/CE (en adelante RGPD), directamente aplicable a partir del 25
de mayo de 2018, y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales (en adelante LOPDGDD).
La disposición adicional primera de la LOPDGDD determina que los responsables
enumerados en el artículo 77.1 de la citada ley, deberán aplicar a los tratamientos de
datos personales las medidas de seguridad que correspondan de las previstas en el
ENS. Por su parte, la normativa reguladora del Real Decreto 311/2022, de 3 de mayo,
por el que se regula el Esquema Nacional de Seguridad, en su artículo 3 establece
que cuando un sistema de información trate datos personales le será de aplicación lo
dispuesto en el RGPD y en la LOPDGDD, o, en su caso, la Ley Orgánica 7/2021, de 26 de
mayo, de protección de datos personales tratados para fines de prevención, detección,
investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones
penales, el resto de normativa de aplicación, así como los criterios que se establezcan
por la Agencia Española de Protección de Datos o en su ámbito competencial, por las
autoridades autonómicas de protección de datos.
En consecuencia, la convergencia de los requisitos de seguridad interior, los referidos
requisitos sobre los sistemas de información, y los exigidos para la protección de datos de
carácter personal hacen aconsejable no acometer acciones desagregadas, que atiendan
a cada dimensión por separado, pues ello podría provocar duplicidades, antinomias,
confusión y descoordinación internas, además de resultar más oneroso desde el punto
de vista de la inversión de recursos humanos, económicos, técnicos y organizativos.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00305160
BOJA
Boletín Oficial de la Junta de Andalucía
