Disposiciones generales. . (2025/53-1)
Orden de 13 de marzo de 2025, por la que se establece la política de seguridad de las tecnologías de la información y comunicaciones, seguridad interior, y protección de datos personales de la Consejería de Sostenibilidad y Medio Ambiente.
25 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 53 - Miércoles, 19 de marzo de 2025
página 3822/22
Artículo 43. Análisis de riesgo por protección de datos personales.
1. Al objeto de determinar las medidas técnicas y organizativas apropiadas a fin
de garantizar y poder demostrar que el tratamiento es conforme con la normativa de
protección de datos, el responsable realizará, con el asesoramiento de la persona o
personas que asuman la figura de Delegado o Delegada de Protección de Datos, por cada
actividad de tratamiento de datos, un análisis de riesgo para los derechos y libertades de
las personas interesadas, atendiendo a la naturaleza, al ámbito, al contexto y a los fines
de la actividad de tratamiento. En la realización del análisis de riesgo deberá seguirse el
protocolo aprobado en el artículo 47.1.c) de esta orden.
2. El resultado de los análisis de riesgo se concretará en un documento suscrito por
la persona titular del órgano responsable del tratamiento o de la unidad administrativa
competente, que incluirá, al menos, los siguientes elementos:
a) Descripción del tratamiento.
b) Riesgos para los derechos y libertades de las personas interesadas.
c) Categorización de los niveles de seguridad y de cada una de las dimensiones de la
seguridad de conformidad con el Esquema Nacional de Seguridad.
d) Medidas técnicas y organizativas a adoptar para reducir el riesgo.
e) Aceptación del riesgo residual.
Artículo 45. Violaciones de la seguridad de datos personales.
1. Se aprobará, mediante instrucción de la Viceconsejería, un protocolo de gestión de
posibles violaciones de la seguridad de datos personales, de conformidad con los artículos
33 y 34 del Reglamento General de Protección de Datos y el resto de normativa de datos
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00317426
Artículo 44. Evaluación de Impacto relativa a la Protección de Datos (EIPD).
1. Cuando un tipo de tratamiento de datos personal, en particular si utiliza nuevas
tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los
derechos y libertades de las personas físicas, el Responsable del tratamiento realizará,
antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento
en la protección de datos personales (EIPD), debiendo seguirse el protocolo al que se
refiere el artículo 47.1.c) de esta orden ,de conformidad con el artículo 35 del Reglamento
General de Protección de Datos y el resto de normativa aplicable. Para ello recabará
el asesoramiento de la persona que ostente la condición de Delegado o Delegada de
Protección de Datos.
2. El resultado de la EIPD se concretará en un informe suscrito por la persona titular
del órgano responsable del tratamiento que incluirá, al menos:
a) Una descripción sistemática de las operaciones de tratamiento previstas y de los
fines del tratamiento.
b) Una evaluación de la necesidad y la proporcionalidad de las operaciones de
tratamiento con respecto a su finalidad.
c) Una evaluación de los riesgos para los derechos y libertades de las personas
interesadas.
d) Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas
de seguridad y mecanismos que garanticen la protección de datos personales y para
demostrar la conformidad con la normativa en materia de protección de datos personales.
e) La decisión sobre formular o no la consulta previa al Consejo de Transparencia
y Protección de Datos de Andalucía a la que se refiere el artículo 36 del Reglamento
General de Protección de Datos y demás normativa de aplicación.
3. La consulta previa al Consejo de Transparencia y Protección de Datos de Andalucía
a la que se refiere el artículo 36 del Reglamento General de Protección de Datos será
suscrita por la persona titular del órgano responsable del tratamiento. La persona que
ostente la condición de Delegado o Delegada de Protección de Datos dará traslado de la
misma a la autoridad de control.
Boletín Oficial de la Junta de Andalucía
Número 53 - Miércoles, 19 de marzo de 2025
página 3822/22
Artículo 43. Análisis de riesgo por protección de datos personales.
1. Al objeto de determinar las medidas técnicas y organizativas apropiadas a fin
de garantizar y poder demostrar que el tratamiento es conforme con la normativa de
protección de datos, el responsable realizará, con el asesoramiento de la persona o
personas que asuman la figura de Delegado o Delegada de Protección de Datos, por cada
actividad de tratamiento de datos, un análisis de riesgo para los derechos y libertades de
las personas interesadas, atendiendo a la naturaleza, al ámbito, al contexto y a los fines
de la actividad de tratamiento. En la realización del análisis de riesgo deberá seguirse el
protocolo aprobado en el artículo 47.1.c) de esta orden.
2. El resultado de los análisis de riesgo se concretará en un documento suscrito por
la persona titular del órgano responsable del tratamiento o de la unidad administrativa
competente, que incluirá, al menos, los siguientes elementos:
a) Descripción del tratamiento.
b) Riesgos para los derechos y libertades de las personas interesadas.
c) Categorización de los niveles de seguridad y de cada una de las dimensiones de la
seguridad de conformidad con el Esquema Nacional de Seguridad.
d) Medidas técnicas y organizativas a adoptar para reducir el riesgo.
e) Aceptación del riesgo residual.
Artículo 45. Violaciones de la seguridad de datos personales.
1. Se aprobará, mediante instrucción de la Viceconsejería, un protocolo de gestión de
posibles violaciones de la seguridad de datos personales, de conformidad con los artículos
33 y 34 del Reglamento General de Protección de Datos y el resto de normativa de datos
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00317426
Artículo 44. Evaluación de Impacto relativa a la Protección de Datos (EIPD).
1. Cuando un tipo de tratamiento de datos personal, en particular si utiliza nuevas
tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los
derechos y libertades de las personas físicas, el Responsable del tratamiento realizará,
antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento
en la protección de datos personales (EIPD), debiendo seguirse el protocolo al que se
refiere el artículo 47.1.c) de esta orden ,de conformidad con el artículo 35 del Reglamento
General de Protección de Datos y el resto de normativa aplicable. Para ello recabará
el asesoramiento de la persona que ostente la condición de Delegado o Delegada de
Protección de Datos.
2. El resultado de la EIPD se concretará en un informe suscrito por la persona titular
del órgano responsable del tratamiento que incluirá, al menos:
a) Una descripción sistemática de las operaciones de tratamiento previstas y de los
fines del tratamiento.
b) Una evaluación de la necesidad y la proporcionalidad de las operaciones de
tratamiento con respecto a su finalidad.
c) Una evaluación de los riesgos para los derechos y libertades de las personas
interesadas.
d) Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas
de seguridad y mecanismos que garanticen la protección de datos personales y para
demostrar la conformidad con la normativa en materia de protección de datos personales.
e) La decisión sobre formular o no la consulta previa al Consejo de Transparencia
y Protección de Datos de Andalucía a la que se refiere el artículo 36 del Reglamento
General de Protección de Datos y demás normativa de aplicación.
3. La consulta previa al Consejo de Transparencia y Protección de Datos de Andalucía
a la que se refiere el artículo 36 del Reglamento General de Protección de Datos será
suscrita por la persona titular del órgano responsable del tratamiento. La persona que
ostente la condición de Delegado o Delegada de Protección de Datos dará traslado de la
misma a la autoridad de control.
