Disposiciones generales. . (2025/53-1)
Orden de 13 de marzo de 2025, por la que se establece la política de seguridad de las tecnologías de la información y comunicaciones, seguridad interior, y protección de datos personales de la Consejería de Sostenibilidad y Medio Ambiente.
25 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 53 - Miércoles, 19 de marzo de 2025
página 3822/23
personales aplicable. Mediante este protocolo, que tendrá un carácter complementario
respecto al procedimiento de gestión de incidentes de seguridad TIC, se garantizará:
a) La prontitud en la detección de las violaciones, puesta en marcha de las medidas
previstas en el protocolo y en la puesta de conocimiento de las personas que deben
intervenir en su gestión.
b) La adopción de las medidas de contención, gestión y corrección de las mismas.
c) La notificación de las mismas, en los casos preceptivos, al Consejo de
Transparencia y Protección de Datos de Andalucía, como autoridad de control en materia
de protección de datos para las entidades públicas andaluzas y la comunicación a las
personas interesadas de ser conveniente o legalmente obligatorio.
d) El cumplimiento la obligación legal de documentar todas las violaciones de la
seguridad, documentación que estará a disposición de la autoridad de control.
e) La llevanza, por parte de los órganos responsables del tratamiento, de un inventario
de violaciones de la seguridad que permita conocerlas y analizarlas, al objeto de disponer
de la información necesaria para aplicar un ciclo de mejora continua de la seguridad.
2. En caso de violación de la seguridad de los datos personales, el órgano responsable
del tratamiento la notificará a la autoridad de control competente sin dilación indebida
y en un plazo máximo de 72 horas después de que haya tenido constancia de ella, a
menos que sea improbable que dicha violación de la seguridad constituya un riesgo para
los derechos y las libertades de las personas físicas.
3. Cuando sea probable que la violación de la seguridad de los datos personales
entrañe un alto riesgo para los derechos y libertades de las personas físicas, el órgano
responsable del tratamiento la comunicará a las personas interesadas sin dilación
indebida. La comunicación deberá contener como mínimo la información a que se refiere
el artículo 34.2 del del Reglamento General de Protección de Datos y podrá omitirse en
los casos previstos en el artículo 34.3 del citado Reglamento General.
Artículo 47. Protocolos e Instrucciones.
1. Se establecerán, mediante Instrucción de la Viceconsejería, protocolos para
garantizar un cumplimiento sistemático, uniforme y demostrable de las principales
obligaciones en materia de protección de datos personales. En particular, se aprobarán,
al menos, los siguientes protocolos:
a) Protocolo sobre atención al ejercicio de derechos en materia de protección de
datos, con el contenido previsto en el artículo 39.2 de esta orden.
b) Protocolo sobre gestión de violaciones de la seguridad de datos personales, que
contendrá las garantías expresadas en el artículo 45.1 de esta orden.
c) Protocolo sobre gestión de la seguridad de los datos personales, análisis de riesgo
por protección de datos personales y evaluación de impacto relativa a protección de datos.
2. Aquellas Instrucciones que versen sobre otros aspectos de la actividad
administrativa, tales como contratación, elaboración de disposiciones generales,
transparencia u otras, deberán incorporar cualquier aspecto que sea necesario o
aconsejable desde el punto de vista de la normativa en materia de protección de datos.
Artículo 48. Comunicaciones oficiales con la autoridad de control.
1. La persona titular del órgano responsable del tratamiento suscribirá los siguientes
documentos y comunicaciones relacionados con las potestades del Consejo de
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00317426
Artículo 46. Formación, concienciación y sensibilización.
1. El órgano competente en materia de formación del personal de la Consejería, con el
asesoramiento de la persona o personas que asuman la figura del Delegado o Delegada
de Protección de Datos, elaborará y aprobará un plan anual de formación, concienciación
y sensibilización sobre protección de datos personales. Dicho plan será complementario a
los planes anuales de formación del resto de entidades que ofrece formación al personal
de la Consejería como el Instituto Andaluz de Administración Pública.
Boletín Oficial de la Junta de Andalucía
Número 53 - Miércoles, 19 de marzo de 2025
página 3822/23
personales aplicable. Mediante este protocolo, que tendrá un carácter complementario
respecto al procedimiento de gestión de incidentes de seguridad TIC, se garantizará:
a) La prontitud en la detección de las violaciones, puesta en marcha de las medidas
previstas en el protocolo y en la puesta de conocimiento de las personas que deben
intervenir en su gestión.
b) La adopción de las medidas de contención, gestión y corrección de las mismas.
c) La notificación de las mismas, en los casos preceptivos, al Consejo de
Transparencia y Protección de Datos de Andalucía, como autoridad de control en materia
de protección de datos para las entidades públicas andaluzas y la comunicación a las
personas interesadas de ser conveniente o legalmente obligatorio.
d) El cumplimiento la obligación legal de documentar todas las violaciones de la
seguridad, documentación que estará a disposición de la autoridad de control.
e) La llevanza, por parte de los órganos responsables del tratamiento, de un inventario
de violaciones de la seguridad que permita conocerlas y analizarlas, al objeto de disponer
de la información necesaria para aplicar un ciclo de mejora continua de la seguridad.
2. En caso de violación de la seguridad de los datos personales, el órgano responsable
del tratamiento la notificará a la autoridad de control competente sin dilación indebida
y en un plazo máximo de 72 horas después de que haya tenido constancia de ella, a
menos que sea improbable que dicha violación de la seguridad constituya un riesgo para
los derechos y las libertades de las personas físicas.
3. Cuando sea probable que la violación de la seguridad de los datos personales
entrañe un alto riesgo para los derechos y libertades de las personas físicas, el órgano
responsable del tratamiento la comunicará a las personas interesadas sin dilación
indebida. La comunicación deberá contener como mínimo la información a que se refiere
el artículo 34.2 del del Reglamento General de Protección de Datos y podrá omitirse en
los casos previstos en el artículo 34.3 del citado Reglamento General.
Artículo 47. Protocolos e Instrucciones.
1. Se establecerán, mediante Instrucción de la Viceconsejería, protocolos para
garantizar un cumplimiento sistemático, uniforme y demostrable de las principales
obligaciones en materia de protección de datos personales. En particular, se aprobarán,
al menos, los siguientes protocolos:
a) Protocolo sobre atención al ejercicio de derechos en materia de protección de
datos, con el contenido previsto en el artículo 39.2 de esta orden.
b) Protocolo sobre gestión de violaciones de la seguridad de datos personales, que
contendrá las garantías expresadas en el artículo 45.1 de esta orden.
c) Protocolo sobre gestión de la seguridad de los datos personales, análisis de riesgo
por protección de datos personales y evaluación de impacto relativa a protección de datos.
2. Aquellas Instrucciones que versen sobre otros aspectos de la actividad
administrativa, tales como contratación, elaboración de disposiciones generales,
transparencia u otras, deberán incorporar cualquier aspecto que sea necesario o
aconsejable desde el punto de vista de la normativa en materia de protección de datos.
Artículo 48. Comunicaciones oficiales con la autoridad de control.
1. La persona titular del órgano responsable del tratamiento suscribirá los siguientes
documentos y comunicaciones relacionados con las potestades del Consejo de
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00317426
Artículo 46. Formación, concienciación y sensibilización.
1. El órgano competente en materia de formación del personal de la Consejería, con el
asesoramiento de la persona o personas que asuman la figura del Delegado o Delegada
de Protección de Datos, elaborará y aprobará un plan anual de formación, concienciación
y sensibilización sobre protección de datos personales. Dicho plan será complementario a
los planes anuales de formación del resto de entidades que ofrece formación al personal
de la Consejería como el Instituto Andaluz de Administración Pública.
