Disposiciones generales. . (2025/53-1)
Orden de 13 de marzo de 2025, por la que se establece la política de seguridad de las tecnologías de la información y comunicaciones, seguridad interior, y protección de datos personales de la Consejería de Sostenibilidad y Medio Ambiente.
25 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 53 - Miércoles, 19 de marzo de 2025
página 3822/20
Artículo 40. Protección de datos personales desde el diseño y por defecto.
1. Conforme al principio de protección de datos personales desde el diseño, al que se
refiere el artículo 25.1 del Reglamento General de Protección de Datos, el responsable
del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento
como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas,
como la seudonimización, concebidas para aplicar de forma efectiva los principios de
protección de datos, como la minimización de datos, e integrar las garantías necesarias, a
fin de cumplir los requisitos de dicho Reglamento y proteger los derechos de las personas
interesadas.
2. Conforme al principio de protección de datos personales por defecto del artículo
25.1 del Reglamento General de Protección de Datos, el responsable del tratamiento
aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que,
por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios
para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la
cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo
de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por
defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un
número indeterminado de personas físicas.
3. Se garantizará ambos principios desde el diseño en la elaboración de cualquier
proyecto, plan, disposición de carácter general, contrato, acto jurídico que se vaya a
aprobar o sistema de información que se vaya a desarrollar o contratar.
4. Para garantizar la aplicación de los principios de protección de datos desde el
diseño y por defecto en el procedimiento de elaboración de disposiciones generales,
el órgano directivo proponente incorporará, en la documentación previa al acuerdo de
inicio, una memoria de garantía del principio de protección de datos personales desde el
diseño y por defecto suscrita por su titular. Esta memoria será puesta en conocimiento
de la persona que ostente la condición de Delegado o Delegada de Protección de
Datos por parte de la unidad administrativa u órgano que lleve a cabo la tramitación del
procedimiento, y contendrá, al menos, referencia a:
a) Si la aprobación del proyecto requeriría un alta, baja o modificación de actividades
de tratamiento en el Registro de Actividades de Tratamiento. En caso de alta o
modificación se incluiría, además, la información establecida en el artículo 30 del RGPD
y su base legal.
b) Si se han aplicado los principios de protección de datos por defecto y de
minimización.
c) Si la aprobación del proyecto conllevará la puesta en funcionamiento o modificación
de algún tipo de tratamiento que requiera la realización de una Evaluación de Impacto
relativa a la Protección de Datos personales.
d) Si la aprobación del proyecto conlleva algún encargo de tratamiento o comunicación
de datos personales.
e) Si el tratamiento contempla la existencia de decisiones automatizadas individuales,
incluida la elaboración de perfiles y, en su caso, las medidas adecuadas para salvaguardar
los derechos, libertades e intereses legítimos de las personas interesadas.
5. La persona titular del órgano responsable de la tramitación del procedimiento en
la Consejería solicitará a la Comisión Consultiva de la Transparencia y la Protección de
Datos el preceptivo informe de los anteproyectos de leyes y proyectos de disposiciones
generales elaborados por la Consejería. A tal fin, consultará a la persona o personas que
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00317426
dispondrán las medidas técnicas y organizativas que fueran pertinentes para satisfacer el
derecho a la protección de datos personales de las personas interesadas. No obstante,
se podrán adoptar cautelarmente dichas medidas técnicas y organizativas a la mayor
brevedad y antes de que recaiga resolución con el fin de evitar o minimizar los posibles
perjuicios a los derechos y libertades de las personas interesadas.
Boletín Oficial de la Junta de Andalucía
Número 53 - Miércoles, 19 de marzo de 2025
página 3822/20
Artículo 40. Protección de datos personales desde el diseño y por defecto.
1. Conforme al principio de protección de datos personales desde el diseño, al que se
refiere el artículo 25.1 del Reglamento General de Protección de Datos, el responsable
del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento
como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas,
como la seudonimización, concebidas para aplicar de forma efectiva los principios de
protección de datos, como la minimización de datos, e integrar las garantías necesarias, a
fin de cumplir los requisitos de dicho Reglamento y proteger los derechos de las personas
interesadas.
2. Conforme al principio de protección de datos personales por defecto del artículo
25.1 del Reglamento General de Protección de Datos, el responsable del tratamiento
aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que,
por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios
para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la
cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo
de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por
defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un
número indeterminado de personas físicas.
3. Se garantizará ambos principios desde el diseño en la elaboración de cualquier
proyecto, plan, disposición de carácter general, contrato, acto jurídico que se vaya a
aprobar o sistema de información que se vaya a desarrollar o contratar.
4. Para garantizar la aplicación de los principios de protección de datos desde el
diseño y por defecto en el procedimiento de elaboración de disposiciones generales,
el órgano directivo proponente incorporará, en la documentación previa al acuerdo de
inicio, una memoria de garantía del principio de protección de datos personales desde el
diseño y por defecto suscrita por su titular. Esta memoria será puesta en conocimiento
de la persona que ostente la condición de Delegado o Delegada de Protección de
Datos por parte de la unidad administrativa u órgano que lleve a cabo la tramitación del
procedimiento, y contendrá, al menos, referencia a:
a) Si la aprobación del proyecto requeriría un alta, baja o modificación de actividades
de tratamiento en el Registro de Actividades de Tratamiento. En caso de alta o
modificación se incluiría, además, la información establecida en el artículo 30 del RGPD
y su base legal.
b) Si se han aplicado los principios de protección de datos por defecto y de
minimización.
c) Si la aprobación del proyecto conllevará la puesta en funcionamiento o modificación
de algún tipo de tratamiento que requiera la realización de una Evaluación de Impacto
relativa a la Protección de Datos personales.
d) Si la aprobación del proyecto conlleva algún encargo de tratamiento o comunicación
de datos personales.
e) Si el tratamiento contempla la existencia de decisiones automatizadas individuales,
incluida la elaboración de perfiles y, en su caso, las medidas adecuadas para salvaguardar
los derechos, libertades e intereses legítimos de las personas interesadas.
5. La persona titular del órgano responsable de la tramitación del procedimiento en
la Consejería solicitará a la Comisión Consultiva de la Transparencia y la Protección de
Datos el preceptivo informe de los anteproyectos de leyes y proyectos de disposiciones
generales elaborados por la Consejería. A tal fin, consultará a la persona o personas que
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00317426
dispondrán las medidas técnicas y organizativas que fueran pertinentes para satisfacer el
derecho a la protección de datos personales de las personas interesadas. No obstante,
se podrán adoptar cautelarmente dichas medidas técnicas y organizativas a la mayor
brevedad y antes de que recaiga resolución con el fin de evitar o minimizar los posibles
perjuicios a los derechos y libertades de las personas interesadas.
