Disposiciones generales. . (2024/211-1)
Orden de 23 de octubre de 2024, por la que se establece la Política de Seguridad TIC, Seguridad Interior y Protección de Datos Personales de la Consejería de la Presidencia, Interior, Diálogo Social y Simplificación Administrativa.
26 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 211 - Martes, 29 de octubre de 2024
página 53047/22
d) Si la aprobación del proyecto conlleva algún encargo de tratamiento o comunicación
de datos personales.
e) Si el tratamiento contempla la existencia de decisiones automatizadas individuales,
incluida la elaboración de perfiles, y, en su caso, las medidas adecuadas para
salvaguardar los derechos, libertades e intereses legítimos de las personas interesadas.
5. La Consejería solicitará a la Comisión Consultiva de la Transparencia y la
Protección de Datos el preceptivo informe de los anteproyectos de leyes y proyectos
de disposiciones generales elaborados por la Consejería, previsto en el artículo 15.1.d)
del Decreto 434/2015, de 29 de septiembre, por el que se aprueban los Estatutos del
Consejo de Transparencia y Protección de Datos de Andalucía. Se podrá consultar a
la persona que ostente la condición de Delegado de Protección de Datos si, a su juicio,
un determinado anteproyecto de ley o proyecto de disposición de carácter general
pudiera afectar a la materia de protección de datos hasta el punto de ser preceptivo o
recomendable la solicitud del mencionado informe.
6. Para garantizar la aplicación de los principios de protección de datos desde el
diseño y por defecto en los sistemas de información y proyectos TIC, se realizará una
valoración de los proyectos desde el punto de vista de protección de datos en la toma
de requisitos, y en todo caso con carácter previo a la contratación de los servicios
necesarios. La normativa de desarrollo informático y de seguridad TIC incorporará las
medidas necesarias para garantizar esta valoración y, de ser necesaria, la participación
de la persona que ostente la condición de Delegado de Protección de Datos, en la fase
de diseño del proyecto, antes de adquirirse compromisos contractuales y económicos.
Artículo 43. Seguridad de tratamientos no automatizados.
1. La seguridad de los tratamientos por medios no automatizados y la parte no
automatizada de los parcialmente automatizados, como los efectuados en soporte
papel, se llevará a cabo a través de la aplicación de la normativa aplicable en materia de
protección de datos y de documentos y archivos.
2. Se aplicarán las medidas de seguridad previstas en el Real Decreto 1720/2007,
de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00309996
Artículo 42. Seguridad.
1. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza,
el alcance, el contexto y los fines del tratamiento de datos personales, así como riesgos
de probabilidad y gravedad variables para los derechos y libertades de las personas
físicas, y de conformidad con el artículo 32 del Reglamento General de Protección de
Datos, el Responsable y el Encargado del Tratamiento en el ámbito de aplicación de esta
orden, aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) La seudonimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento.
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida en caso de incidente físico o técnico.
d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. La seguridad de los tratamientos por medios total o parcialmente automatizados
se preservará mediante la aplicación del Esquema Nacional de Seguridad, actualmente
regulado en el Real Decreto 311/2022, de 3 de mayo, de conformidad con la disposición
adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre. En todo caso,
prevalecerán las medidas a implantar como consecuencia del análisis de riesgos y, en su
caso, de la evaluación de impacto, cuando resulten agravadas respecto de las previstas
en el Esquema Nacional de Seguridad.
Boletín Oficial de la Junta de Andalucía
Número 211 - Martes, 29 de octubre de 2024
página 53047/22
d) Si la aprobación del proyecto conlleva algún encargo de tratamiento o comunicación
de datos personales.
e) Si el tratamiento contempla la existencia de decisiones automatizadas individuales,
incluida la elaboración de perfiles, y, en su caso, las medidas adecuadas para
salvaguardar los derechos, libertades e intereses legítimos de las personas interesadas.
5. La Consejería solicitará a la Comisión Consultiva de la Transparencia y la
Protección de Datos el preceptivo informe de los anteproyectos de leyes y proyectos
de disposiciones generales elaborados por la Consejería, previsto en el artículo 15.1.d)
del Decreto 434/2015, de 29 de septiembre, por el que se aprueban los Estatutos del
Consejo de Transparencia y Protección de Datos de Andalucía. Se podrá consultar a
la persona que ostente la condición de Delegado de Protección de Datos si, a su juicio,
un determinado anteproyecto de ley o proyecto de disposición de carácter general
pudiera afectar a la materia de protección de datos hasta el punto de ser preceptivo o
recomendable la solicitud del mencionado informe.
6. Para garantizar la aplicación de los principios de protección de datos desde el
diseño y por defecto en los sistemas de información y proyectos TIC, se realizará una
valoración de los proyectos desde el punto de vista de protección de datos en la toma
de requisitos, y en todo caso con carácter previo a la contratación de los servicios
necesarios. La normativa de desarrollo informático y de seguridad TIC incorporará las
medidas necesarias para garantizar esta valoración y, de ser necesaria, la participación
de la persona que ostente la condición de Delegado de Protección de Datos, en la fase
de diseño del proyecto, antes de adquirirse compromisos contractuales y económicos.
Artículo 43. Seguridad de tratamientos no automatizados.
1. La seguridad de los tratamientos por medios no automatizados y la parte no
automatizada de los parcialmente automatizados, como los efectuados en soporte
papel, se llevará a cabo a través de la aplicación de la normativa aplicable en materia de
protección de datos y de documentos y archivos.
2. Se aplicarán las medidas de seguridad previstas en el Real Decreto 1720/2007,
de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00309996
Artículo 42. Seguridad.
1. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza,
el alcance, el contexto y los fines del tratamiento de datos personales, así como riesgos
de probabilidad y gravedad variables para los derechos y libertades de las personas
físicas, y de conformidad con el artículo 32 del Reglamento General de Protección de
Datos, el Responsable y el Encargado del Tratamiento en el ámbito de aplicación de esta
orden, aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) La seudonimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento.
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida en caso de incidente físico o técnico.
d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. La seguridad de los tratamientos por medios total o parcialmente automatizados
se preservará mediante la aplicación del Esquema Nacional de Seguridad, actualmente
regulado en el Real Decreto 311/2022, de 3 de mayo, de conformidad con la disposición
adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre. En todo caso,
prevalecerán las medidas a implantar como consecuencia del análisis de riesgos y, en su
caso, de la evaluación de impacto, cuando resulten agravadas respecto de las previstas
en el Esquema Nacional de Seguridad.
