Ministerio de Hacienda. III. Otras disposiciones. Seguridad informática. (BOE-A-2025-15397)
Orden HAC/800/2025, de 16 de julio, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la Administración digital del Ministerio de Hacienda.
11 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 177
Jueves 24 de julio de 2025
Sec. III. Pág. 98944
responsables del sistema, en los procesos de gestión de brechas de datos personales en
el ámbito de la gestión general de incidentes de seguridad.
5. Prestará asesoramiento a los responsables de la seguridad y a los responsables
del sistema, en cuanto a la implantación de medidas de seguridad que tengan un objeto
distinto que la protección de datos, en la medida en que impliquen un tratamiento
adicional de datos personales, tal y como dispone el artículo 24 del Real
Decreto 311/2022, de 3 de mayo.
6. Participará en el CDSI en materia de protección de datos personales, con el
objetivo compartido de procurar:
a) Alinear las respectivas normativas de cumplimiento, así como la definición e
implantación de medidas de seguridad.
b) Impulsar y/o coordinar auditorías y revisiones del estado de cumplimiento de los
requisitos y principios de la legislación aplicable.
c) Diseñar planes de formación y concienciación conjuntos con los de seguridad de
la información.
Artículo 12. Personas responsables y encargadas de tratamiento de datos personales.
1. La persona responsable de tratamiento es la persona física o jurídica, autoridad
pública, servicio u otra entidad que, solo o junto con otros, determina los fines y medios
del tratamiento y aplica las medidas técnicas y organizativas apropiadas a fin de
garantizar y poder demostrar que el tratamiento es conforme con la normativa vigente en
materia de protección de datos personales.
La identidad de la persona responsable de tratamiento figura en el registro de las
actividades de tratamiento efectuadas bajo su responsabilidad, de acuerdo con lo
dispuesto en el artículo 30 del Reglamento General de Protección de Datos.
2. La persona encargada de tratamiento es la persona física o jurídica, autoridad
pública, servicio u otro organismo que trata datos personales por cuenta del responsable
del tratamiento.
Artículo 13.
Grupos de trabajo.
El CDSI podrá articular la creación de grupos de trabajo para la realización de
actividades tales como: estudios, trabajos e informes, que se estimen convenientes.
Gestión de los riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre los sistemas de
información y contemplar un análisis de riesgos avanzado que evalúe los riesgos
residuales y proponga tratamientos adecuados. Cuando el análisis de riesgos se aplique
a tratamientos de datos personales, se tendrán en cuenta los riesgos posibles que
afecten a los derechos y libertades de las personas físicas.
2. Cada órgano superior o directivo del Ministerio de Hacienda, así como cada
organismo o entidad de derecho público vinculado o dependiente del Departamento a los
que, conforme al artículo 1, les sea de aplicación la presente PSI, y siempre dentro de su
ámbito de actuación y de sus competencias, se encargará de analizar y evaluar los
riesgos de funcionamiento de los servicios a fin de establecer las correspondientes
medidas preventivas.
3. Para la realización del análisis de riesgos se tendrán en cuenta las
recomendaciones publicadas para el ámbito de la Administración Pública y en especial
las guías elaboradas por el Centro Criptológico Nacional y la Agencia Española de
Protección de Datos.
cve: BOE-A-2025-15397
Verificable en https://www.boe.es
Artículo 14.
Núm. 177
Jueves 24 de julio de 2025
Sec. III. Pág. 98944
responsables del sistema, en los procesos de gestión de brechas de datos personales en
el ámbito de la gestión general de incidentes de seguridad.
5. Prestará asesoramiento a los responsables de la seguridad y a los responsables
del sistema, en cuanto a la implantación de medidas de seguridad que tengan un objeto
distinto que la protección de datos, en la medida en que impliquen un tratamiento
adicional de datos personales, tal y como dispone el artículo 24 del Real
Decreto 311/2022, de 3 de mayo.
6. Participará en el CDSI en materia de protección de datos personales, con el
objetivo compartido de procurar:
a) Alinear las respectivas normativas de cumplimiento, así como la definición e
implantación de medidas de seguridad.
b) Impulsar y/o coordinar auditorías y revisiones del estado de cumplimiento de los
requisitos y principios de la legislación aplicable.
c) Diseñar planes de formación y concienciación conjuntos con los de seguridad de
la información.
Artículo 12. Personas responsables y encargadas de tratamiento de datos personales.
1. La persona responsable de tratamiento es la persona física o jurídica, autoridad
pública, servicio u otra entidad que, solo o junto con otros, determina los fines y medios
del tratamiento y aplica las medidas técnicas y organizativas apropiadas a fin de
garantizar y poder demostrar que el tratamiento es conforme con la normativa vigente en
materia de protección de datos personales.
La identidad de la persona responsable de tratamiento figura en el registro de las
actividades de tratamiento efectuadas bajo su responsabilidad, de acuerdo con lo
dispuesto en el artículo 30 del Reglamento General de Protección de Datos.
2. La persona encargada de tratamiento es la persona física o jurídica, autoridad
pública, servicio u otro organismo que trata datos personales por cuenta del responsable
del tratamiento.
Artículo 13.
Grupos de trabajo.
El CDSI podrá articular la creación de grupos de trabajo para la realización de
actividades tales como: estudios, trabajos e informes, que se estimen convenientes.
Gestión de los riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre los sistemas de
información y contemplar un análisis de riesgos avanzado que evalúe los riesgos
residuales y proponga tratamientos adecuados. Cuando el análisis de riesgos se aplique
a tratamientos de datos personales, se tendrán en cuenta los riesgos posibles que
afecten a los derechos y libertades de las personas físicas.
2. Cada órgano superior o directivo del Ministerio de Hacienda, así como cada
organismo o entidad de derecho público vinculado o dependiente del Departamento a los
que, conforme al artículo 1, les sea de aplicación la presente PSI, y siempre dentro de su
ámbito de actuación y de sus competencias, se encargará de analizar y evaluar los
riesgos de funcionamiento de los servicios a fin de establecer las correspondientes
medidas preventivas.
3. Para la realización del análisis de riesgos se tendrán en cuenta las
recomendaciones publicadas para el ámbito de la Administración Pública y en especial
las guías elaboradas por el Centro Criptológico Nacional y la Agencia Española de
Protección de Datos.
cve: BOE-A-2025-15397
Verificable en https://www.boe.es
Artículo 14.
