III. Otras disposiciones. MINISTERIO DE CULTURA. Convenios. (BOE-A-2024-16672)
Resolución de 30 de julio de 2024, de la Subsecretaría, por la que se publica el Convenio con la Sociedad Estatal Correos y Telégrafos, SA, S.M.E., para la facilitación y gestión de los medios de pago de las ayudas del "Bono Cultural Joven".
20 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Sábado 10 de agosto de 2024
Sec. III. Pág. 103531
de la LOPDGDD, las que figuran en los instrumentos de colaboración de las entidades
colaboradoras en la gestión del programa así como las siguientes medidas de seguridad
tanto técnicas como organizativas y de cumplimiento adicionales, sin perjuicio de la
existencia de otras medidas de seguridad complementarias para asegurar el
cumplimiento legal en materia de protección de datos personales o Esquema Nacional
de Seguridad (ENS), en el nivel que se ha determinado y contemplado en el presente
anexo:
a) La conservación de los datos personales será un elemento de tratamiento de la
Sociedad Estatal Correos y Telégrafos, SA, S.M.E., y se hará en servidores locales con
backups diarios siempre en servidores diferentes y aislados para garantizar la integridad,
disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. En el
caso de no poder gestionarse en servidores locales, los servidores estarán ubicados en
la UE o en el Espacio Económico Europeo (EEE). La finalidad primordial es evitar el
daño por ransomware y cualquier otro tipo de ataque de ciberseguridad.
b) No se realizarán transferencias internacionales de ningún tipo. En caso de
servicios de computación en la nube y subcontratación por parte del encargado, se
exigirá que pongan en conocimiento del responsable transferencias internacionales de
datos y, en caso afirmativo, con qué garantías en cumplimiento del capítulo V del RGPD.
c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento
efectuadas por cuenta del responsable, que contenga: la información recogida en el
artículo 30.2 del RGPD incluidas las transferencias de datos personales a un tercer país u
organización internacional (en su caso), junto con la identificación de dicho tercer país u
organización internacional y, en el caso de las transferencias indicadas en el artículo 49
apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
d) Si fuera necesario por la propia evolución de las necesidades de actualización de
los sistemas de información utilizados por el Encargado del Tratamiento para dar el
servicio, se comunicará cualquier cambio que se produzca, a lo largo del ciclo de vida de
los datos, en los apartados anteriores y no se ejecutará dicho cambio hasta el visto
bueno del Responsable del Tratamiento.
e) Si un encargado debe transferir datos personales a un tercer país o a una
organización internacional, en virtud del Derecho de la Unión o de los Estados miembros
que le sea aplicable, informará al responsable de esa exigencia legal de manera previa,
salvo que tal Derecho lo prohíba por razones de interés público.
f) Solo podrán tener acceso a los datos personales aquellas personas autorizadas y
únicamente para aquellos datos precisos para la ejecución del programa «Bono Cultural
Joven» y para el fin específico que se requiera. Se deberá tener un control de las
personas que tengan acceso en cada actuación del Encargado, y será evidenciable,
debiendo contar con el correspondiente compromiso de confidencialidad.
g) Llevar un listado de personas autorizadas en el apartado anterior para tratar los
Datos Personales objeto del tratamiento y garantizar que las mismas se comprometen a
respetar la confidencialidad, y a cumplir con las medidas de seguridad correspondientes,
de las que les debe informar convenientemente. Igualmente mantener a disposición del
Responsable del Tratamiento dicha documentación acreditativa. Dicha documentación
acreditativa no comportará en ningún caso una comunicación de datos personales de las
personas autorizadas.
h) No comunicar los datos a terceras personas, salvo que cuente con la
autorización expresa del Responsable del Tratamiento, en los supuestos legalmente
admitidos.
i) Llevar, por escrito, un registro de todos los incidentes de seguridad de la
información tanto que se deban aportar o no al CCN-CERT.
j) Para la realización del servicio, se requieren las siguientes comunicaciones
internas de datos entre los Encargados del Tratamiento del Ministerio de Cultura:
– La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM),
a través de la plataforma tecnológica de gestión del «Bono Cultural Joven», contiene los
cve: BOE-A-2024-16672
Verificable en https://www.boe.es
Núm. 193
Sábado 10 de agosto de 2024
Sec. III. Pág. 103531
de la LOPDGDD, las que figuran en los instrumentos de colaboración de las entidades
colaboradoras en la gestión del programa así como las siguientes medidas de seguridad
tanto técnicas como organizativas y de cumplimiento adicionales, sin perjuicio de la
existencia de otras medidas de seguridad complementarias para asegurar el
cumplimiento legal en materia de protección de datos personales o Esquema Nacional
de Seguridad (ENS), en el nivel que se ha determinado y contemplado en el presente
anexo:
a) La conservación de los datos personales será un elemento de tratamiento de la
Sociedad Estatal Correos y Telégrafos, SA, S.M.E., y se hará en servidores locales con
backups diarios siempre en servidores diferentes y aislados para garantizar la integridad,
disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. En el
caso de no poder gestionarse en servidores locales, los servidores estarán ubicados en
la UE o en el Espacio Económico Europeo (EEE). La finalidad primordial es evitar el
daño por ransomware y cualquier otro tipo de ataque de ciberseguridad.
b) No se realizarán transferencias internacionales de ningún tipo. En caso de
servicios de computación en la nube y subcontratación por parte del encargado, se
exigirá que pongan en conocimiento del responsable transferencias internacionales de
datos y, en caso afirmativo, con qué garantías en cumplimiento del capítulo V del RGPD.
c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento
efectuadas por cuenta del responsable, que contenga: la información recogida en el
artículo 30.2 del RGPD incluidas las transferencias de datos personales a un tercer país u
organización internacional (en su caso), junto con la identificación de dicho tercer país u
organización internacional y, en el caso de las transferencias indicadas en el artículo 49
apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
d) Si fuera necesario por la propia evolución de las necesidades de actualización de
los sistemas de información utilizados por el Encargado del Tratamiento para dar el
servicio, se comunicará cualquier cambio que se produzca, a lo largo del ciclo de vida de
los datos, en los apartados anteriores y no se ejecutará dicho cambio hasta el visto
bueno del Responsable del Tratamiento.
e) Si un encargado debe transferir datos personales a un tercer país o a una
organización internacional, en virtud del Derecho de la Unión o de los Estados miembros
que le sea aplicable, informará al responsable de esa exigencia legal de manera previa,
salvo que tal Derecho lo prohíba por razones de interés público.
f) Solo podrán tener acceso a los datos personales aquellas personas autorizadas y
únicamente para aquellos datos precisos para la ejecución del programa «Bono Cultural
Joven» y para el fin específico que se requiera. Se deberá tener un control de las
personas que tengan acceso en cada actuación del Encargado, y será evidenciable,
debiendo contar con el correspondiente compromiso de confidencialidad.
g) Llevar un listado de personas autorizadas en el apartado anterior para tratar los
Datos Personales objeto del tratamiento y garantizar que las mismas se comprometen a
respetar la confidencialidad, y a cumplir con las medidas de seguridad correspondientes,
de las que les debe informar convenientemente. Igualmente mantener a disposición del
Responsable del Tratamiento dicha documentación acreditativa. Dicha documentación
acreditativa no comportará en ningún caso una comunicación de datos personales de las
personas autorizadas.
h) No comunicar los datos a terceras personas, salvo que cuente con la
autorización expresa del Responsable del Tratamiento, en los supuestos legalmente
admitidos.
i) Llevar, por escrito, un registro de todos los incidentes de seguridad de la
información tanto que se deban aportar o no al CCN-CERT.
j) Para la realización del servicio, se requieren las siguientes comunicaciones
internas de datos entre los Encargados del Tratamiento del Ministerio de Cultura:
– La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM),
a través de la plataforma tecnológica de gestión del «Bono Cultural Joven», contiene los
cve: BOE-A-2024-16672
Verificable en https://www.boe.es
Núm. 193
