Disposiciones generales. . (2025/53-1)
Orden de 13 de marzo de 2025, por la que se establece la política de seguridad de las tecnologías de la información y comunicaciones, seguridad interior, y protección de datos personales de la Consejería de Sostenibilidad y Medio Ambiente.
25 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 53 - Miércoles, 19 de marzo de 2025
página 3822/21
asuman la figura del Delegado de Protección de Datos si un determinado anteproyecto de
ley o proyecto de disposiciones generales pudiera incidir en dicha materia de protección
de datos, de forma que resultase necesaria la emisión del referido informe.
6. Para garantizar la aplicación de los principios de protección de datos desde el diseño
y por defecto en los sistemas de información y proyectos TIC, se realizará una valoración
de los proyectos desde el punto de vista de protección de datos en la toma de requisitos, y
en todo caso con carácter previo a la contratación de los servicios necesarios. La normativa
de desarrollo informático y de seguridad TIC incorporará las medidas necesarias para
garantizar esta valoración y, de ser necesaria, la participación de la persona que ostente
la condición de Delegado o Delegada de Protección de Datos, en la fase de diseño del
proyecto, antes de adquirirse compromisos contractuales y económicos.
Artículo 42. Seguridad de tratamientos no automatizados.
1. La seguridad de los tratamientos por medios no automatizados y la parte no
automatizada de los parcialmente automatizados, como los efectuados en soporte
papel, se llevará a cabo a través de la aplicación de la normativa aplicable en materia de
protección de datos y de documentación y archivos.
2. Se aplicarán las medidas de seguridad previstas en el Real Decreto 1720/2007, de
21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica
15/1999, de 13 de diciembre, de protección de datos personales en lo que no se oponga
a la actual normativa de protección de datos. Consecuentemente, la categorización de
los niveles de seguridad aplicables a cada tratamiento no se determinará exclusivamente
según las categorías de datos sino en función un análisis de riesgos por protección de
datos para los derechos y libertades de las personas interesadas.
3. Los órganos o unidades administrativas competentes en materia de régimen
general y asuntos generales, de intendencia y de archivo serán responsables de
proporcionar los medios necesarios para la aplicación de dichas medidas, y de adoptar
las medidas que sean de general aplicación a la Consejería o, en su caso, a la respectiva
Delegación Territorial.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00317426
Artículo 41. Seguridad.
1. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza,
el alcance, el contexto y los fines del tratamiento de datos personales, así como riesgos
de probabilidad y gravedad variables para los derechos y libertades de las personas
físicas, y de conformidad con el artículo 32 del Reglamento General de Protección de
Datos, el Responsable y el Encargado del Tratamiento en el ámbito de aplicación de esta
orden, aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) La seudonimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento.
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida en caso de incidente físico o técnico.
d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. La seguridad de los tratamientos por medios total o parcialmente automatizados
se preservará mediante la aplicación del Esquema Nacional de Seguridad, actualmente
regulado en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema
Nacional de Seguridad, de conformidad con la disposición adicional primera de la Ley
Orgánica 3/2018, de 5 de diciembre. En todo caso, prevalecerán las medidas a implantar
como consecuencia del análisis de riesgos y, en su caso, de la evaluación de impacto
relativa a la protección de datos, cuando resulten agravadas respecto de las previstas en
el Esquema Nacional de Seguridad.
Boletín Oficial de la Junta de Andalucía
Número 53 - Miércoles, 19 de marzo de 2025
página 3822/21
asuman la figura del Delegado de Protección de Datos si un determinado anteproyecto de
ley o proyecto de disposiciones generales pudiera incidir en dicha materia de protección
de datos, de forma que resultase necesaria la emisión del referido informe.
6. Para garantizar la aplicación de los principios de protección de datos desde el diseño
y por defecto en los sistemas de información y proyectos TIC, se realizará una valoración
de los proyectos desde el punto de vista de protección de datos en la toma de requisitos, y
en todo caso con carácter previo a la contratación de los servicios necesarios. La normativa
de desarrollo informático y de seguridad TIC incorporará las medidas necesarias para
garantizar esta valoración y, de ser necesaria, la participación de la persona que ostente
la condición de Delegado o Delegada de Protección de Datos, en la fase de diseño del
proyecto, antes de adquirirse compromisos contractuales y económicos.
Artículo 42. Seguridad de tratamientos no automatizados.
1. La seguridad de los tratamientos por medios no automatizados y la parte no
automatizada de los parcialmente automatizados, como los efectuados en soporte
papel, se llevará a cabo a través de la aplicación de la normativa aplicable en materia de
protección de datos y de documentación y archivos.
2. Se aplicarán las medidas de seguridad previstas en el Real Decreto 1720/2007, de
21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica
15/1999, de 13 de diciembre, de protección de datos personales en lo que no se oponga
a la actual normativa de protección de datos. Consecuentemente, la categorización de
los niveles de seguridad aplicables a cada tratamiento no se determinará exclusivamente
según las categorías de datos sino en función un análisis de riesgos por protección de
datos para los derechos y libertades de las personas interesadas.
3. Los órganos o unidades administrativas competentes en materia de régimen
general y asuntos generales, de intendencia y de archivo serán responsables de
proporcionar los medios necesarios para la aplicación de dichas medidas, y de adoptar
las medidas que sean de general aplicación a la Consejería o, en su caso, a la respectiva
Delegación Territorial.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00317426
Artículo 41. Seguridad.
1. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza,
el alcance, el contexto y los fines del tratamiento de datos personales, así como riesgos
de probabilidad y gravedad variables para los derechos y libertades de las personas
físicas, y de conformidad con el artículo 32 del Reglamento General de Protección de
Datos, el Responsable y el Encargado del Tratamiento en el ámbito de aplicación de esta
orden, aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) La seudonimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento.
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida en caso de incidente físico o técnico.
d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. La seguridad de los tratamientos por medios total o parcialmente automatizados
se preservará mediante la aplicación del Esquema Nacional de Seguridad, actualmente
regulado en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema
Nacional de Seguridad, de conformidad con la disposición adicional primera de la Ley
Orgánica 3/2018, de 5 de diciembre. En todo caso, prevalecerán las medidas a implantar
como consecuencia del análisis de riesgos y, en su caso, de la evaluación de impacto
relativa a la protección de datos, cuando resulten agravadas respecto de las previstas en
el Esquema Nacional de Seguridad.
