A Lei 39/2015, de 1 de outubro, do procedimento administrativo comum das administrações públicas, no seu artigo 13, configura como um dos direitos das pessoas nas suas relações com as administrações públicas os relativos à segurança e confidencialidade dos dados das pessoas que figurem nos arquivos, sistemas e aplicações das administrações públicas.

Por outra parte, a Lei 40/2015, de 1 de outubro, de regime jurídico do sector público, regula no seu artigo 156 o Esquema nacional de segurança no âmbito da Administração electrónica. Este último é objecto de regulação específica no Real decreto 3/2010, de 8 de janeiro, pelo que se regula o Esquema nacional de segurança no âmbito da administração electrónica, que foi modificado mediante Real decreto 951/2015, de 23 de outubro.

O Esquema nacional de segurança, tal e como expõe o Real decreto 3/2010, de 8 de janeiro, persegue a criação das condições necessárias de confiança no uso dos meios electrónicos, através de medidas para garantir a segurança dos sistemas, dos dados, das comunicações e dos serviços electrónicos, que permita à cidadania e às administrações públicas o exercício de direitos e o cumprimento dos seus deveres através da aplicação segura destas tecnologias.

O artigo 11 do Real decreto 3/2010, de 8 de janeiro, obrigação a todos os órgãos superiores das administrações públicas a dispor formalmente da sua política de segurança. Nesta política deve constar a organização e implantação do processo de segurança.

É preciso ter também presente a regulação contida no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à protecção das pessoas físicas no que respeita ao tratamento de dados pessoais e livre circulação destes dados e pelo que se derrogar a Directiva 95/46/CE (também denominado Regulamento de protecção de dados). Este regulamento ter por objecto proteger os direitos e liberdades fundamentais das pessoas físicas e, em particular, o seu direito à protecção dos dados pessoais.

Para dar cumprimento à normativa anteriormente citada, a Xunta de Galicia conta com a política de segurança da informação da Administração geral e do sector público autonómico da Galiza, aprovada pelo Conselho da Xunta mediante Resolução de 4 de maio de 2018 da Agência para a Modernização Tecnológica da Galiza, pela que se publica a modificação da política de segurança da informação da Administração geral e do sector público autonómico da Galiza, publicada no Diário Oficial da Galiza núm. 91, de 14 de maio de 2018.

No ponto 5.5.a) desta resolução regula-se a figura da pessoa coordenador de Segurança da Informação, que é a pessoa encarregada de coordenar os assuntos relativos à segurança da informação dentro do seu âmbito de actuação, de promover a formação e conscienciação em matéria de segurança da informação, de determinar as decisões que se tomem para proteger adequadamente a informação e os serviços e de supervisionar a sua implantação em todos os aspectos não relacionados com as TIC. Esta figura define-se com mais precisão no modelo de róis e responsabilidades aprovado pela Comissão de Segurança e Governo Electrónico, onde se recomenda que as suas funções sejam assumidas por um órgão colexiado. Esta previsão posteriormente recolhe no artigo 8.1 do Decreto 73/2014, de 12 de junho, pelo que se acreditem e regulam os órgãos colexiados com competências em matéria de segurança da informação e governo electrónico da Administração geral e do sector público autonómico da Galiza, consonte a modificação que dele efectuou o Decreto 169/2016, de 24 de novembro.

Daí a conveniência de regular formalmente um órgão colexiado em matéria de segurança da informação no seio do Fundo Galego de Garantia Agrária (Fogga), que é o Comité de Segurança do Fundo Galego de Garantia Agrária, que tem que dispor de importantes faculdades de coordinação nesta matéria.

Esta norma prevê a participação da Agência para la Modernização Tecnológica da Galiza (Amtega) no citado comité. Em concreto, disporá de dois membros permanentes no comité. A este respeito é preciso salientar que a Amtega é unidade competente na gestão dos sistemas de informação que dão serviço ao Fogga. Além disso, a Amtega é a encarregada, de acordo com as competências e acordos legalmente estabelecidos, de aplicar as medidas técnicas que protejam os activos técnicos que gere para as conselharias da Xunta de Galicia acolhidas ao seu regime.

O Decreto 130/2020, de 17 de setembro, pelo que se fixa a estrutura orgânica das vicepresidencias e das conselharias da Xunta de Galicia, regulou a estrutura das diversas conselharias e preveniu a adscrição do organismo autónomo Fogga à Conselharia do Meio Rural.

Além disso, o Decreto 149/2018, de 5 de dezembro, pelo que se estabelece a estrutura orgânica da Conselharia do Meio Rural e se modifica parcialmente o Decreto 177/2016, de 15 de dezembro, pelo que se fixa a estrutura orgânica da Vice-presidência e das conselharias da Xunta de Galicia, no seu artigo 2.2.a) adscreve a esta o Fundo Galego de Garantia Agrária (Fogga), que é um organismo autónomo de carácter comercial e financeiro criado pela Lei 7/1994, de 29 de dezembro.

O Decreto 155/2006, de 7 de setembro, pelo que se estabelece o regime do organismo pagador dos fundos europeus agrários da Galiza, constitui o Fogga como organismo pagador do Fundo Europeu Agrícola de Garantia (Feaga) e o Fundo Europeu Agrícola para o Desenvolvimento Rural (Feader).

Segundo os estatutos deste organismo, aprovados pelo Decreto 7/2014, de 16 de janeiro, o Fundo Galego de Garantia Agrária (Fogga) configura-se como uma entidade pública instrumental, com personalidade jurídica própria e diferenciada a respeito da Administração geral da Comunidade Autónoma da Galiza e plena capacidade de obrar para o cumprimento do seus fins. De especial relevo em relação com a configuração e estrutura interna do Fogga resulta a sua consideração como organismo pagador dos fundos europeus agrícolas na Galiza, em virtude do disposto no Decreto 155/2006, de 7 de setembro, e na Ordem de 4 de outubro de 2007 pela que se autoriza o Fundo Galego de Garantia Agrária como organismo pagador dos ditos fundos na Galiza.

Em tanto organismo pagador, deve respeitar as prescrições previstas no Regulamento (UE) nº 907/2014 da Comissão, de 11 de março de 2014, que completa o Regulamento (UE) nº 1306/2013 do Parlamento Europeu e do Conselho, no relativo aos organismos pagadores e outros órgãos, a gestão financeira, a liquidação de contas, as garantias e o uso do euro. O artigo 1.2.c) deste regulamento exixir que os organismos pagadores cumpram os critérios de autorização previstos no seu anexo I em diversos âmbitos, como o da informação e comunicação.

O anexo I.3 do Regulamento 907/2014 exixir que o organismo pagador aplique em matéria de segurança da informação os critérios previstos nas normas que contém.

Tendo em conta a actual actividade de gestão e controlo do Fogga resulta ajeitado a aplicação do código de práticas para a gestão da segurança da informação contido na norma ISSO 27002. Assim pois, esta ordem regula a utilização desse standard de segurança no âmbito do Fogga.

O Regulamento (UE) nº 1306/2013 do Parlamento Europeu e do Conselho, de 17 de dezembro de 2013, sobre o financiamento, gestão e seguimento da política agrícola comum, pelo que se derrogar os regulamentos (CE) nº 352/78, (CE) nº 165/94, (CE) nº 2799/98, (CE) nº 814/2000, (CE) nº 1290/2005 e (CE) nº 485/2008 do Conselho faculta, no seu artigo 7.1, os organismos pagadores para delegar a realização das suas tarefas de gestão e controlo das despesas, com excepção da execução dos pagamentos. Em particular, o artigo 1.2 do citado Decreto 155/2006, de 7 de setembro, faculta expressamente o Fogga para delegar as suas tarefas, com excepção do pagamento das ajudas comunitárias. Porém, convém ter presente que as mesmas exixencias que se regulam para o organismo pagador são aplicável às unidades em que este delegue as suas tarefas. Em consonancia com isto, quando se alude ao standard de segurança do Fogga, por extensão está-se fazendo referência ao standard aplicável às entidades e unidades em que este delegar as suas tarefas, às cales se aplicarão as suas exixencias exclusivamente no âmbito de gestão dos fundos Feaga e/ou Feader, não nos restantes âmbitos de actuação que possam ter.

Na sua virtude, no exercício das faculdades que me foram concedidas com base no artigo 34 da Lei 1/1983, de 22 de fevereiro, de normas reguladoras da Junta e da sua Presidência,

DISPONHO:

TÍTULO PRELIMINAR

Disposições gerais

Artigo 1. Objecto

Esta ordem tem por objecto:

a) Regular o Comité de Segurança do Fundo Galego de Garantia Agrária.

b) Estabelecer o standard de qualidade ISSO 27002 como norma básica para a implantação do sistema de segurança das tecnologias da informação no âmbito do Fogga. A aplicação deste standard de qualidade ISSO 27002 leva implícito o cumprimento das exixencias do Esquema nacional de segurança.

TÍTULO I

Comité de Segurança da Informação do Fogga

Artigo 2. Natureza e composição

1. O Comité de Segurança do Fogga é o órgão paritário de participação no Fogga destinado à consulta regular e periódica das actuações em matéria de gestão de segurança da informação.

2. O Comité de Segurança de Fogga está integrado por membros permanentes, membros invitados e membros especiais.

3. Os membros permanentes do Comité de Segurança do Fogga são:

a) A pessoa titular da Secretaria do Fogga.

b) A pessoa titular do Serviço de Gestão Económica do Fogga.

c) A pessoa titular do Serviço de Gestão Administrativa do Fogga.

d) A pessoa titular da Subdirecção Geral de Gestão da PAC.

e) A pessoa titular do Serviço de Auditoria Interna do Fogga.

f) Um máximo de duas pessoas representantes da Agência para a Modernização Tecnológica da Galiza, como unidade competente na gestão dos sistemas de informação que dão serviço ao Fogga. Uma das pessoas previstas nesta letra deverá representar a unidade da Amtega competente em matéria de segurança da informação.

4. Os membros invitados do Comité de Segurança do Fogga são os que se indicam a seguir:

a) Uma pessoa representante de cada um dos administrador autorizados pelo Fogga dos fundos europeus Feaga e Feader. Cada unidade administrador autorizada é competente para designar o seu representante e um suplente, que comunicará à Secretaria do Fogga.

b) Uma pessoa representante da Subdirecção Geral de Auditoria de Fundos Comunitários e Subvenções integrada na Intervenção Geral de la Xunta de Galicia.

5. O Comité de Segurança da Informação do Fogga contará com uma presidência e uma secretaria.

6. Na composição do Comité atenderá ao princípio de presença equilibrada de mulheres e homens. A comunicação que se realize para a designação de representantes lembrará a importância social de tender a este objectivo de igualdade.

Artigo 3. Presidência

1. A presidência do Comité de Segurança da Informação do Fogga será assumida pela pessoa titular da Secretaria do Fogga.

2. Em caso de vaga, ausência ou doença, a pessoa titular da presidência será substituída pela pessoa titular da Subdirecção Geral de Gestão da PAC e, na sua falta, pela pessoa que designe a Presidência.

3. São funções da presidência as seguintes:

a) Impulsionar e dirigir a acção e projectos aprovados no Comité de Segurança.

b) Representar o Comité de Segurança.

c) Convocar as reuniões do Comité e estabelecer a ordem do dia, tendo em conta os pedidos dos demais membros do Comité apresentadas com a devida antelação.

d) Presidir as reuniões, moderar os debates e suspendê-los por causas justificadas.

e) Visar as actas e os certificados dos acordos do Comité.

Artigo 4. Secretaria

1. A secretaria do Comité de Segurança da Informação será assumida pela pessoa titular do Serviço de Gestão Administrativa do Fogga.

2. Em caso de vaga, ausência ou doença, a pessoa titular da presidência será substituída pela pessoa titular do Serviço de Gestão Económico do Fogga e, na sua falta, pela pessoa que designe a pessoa titular da secretaria do Comité.

3. São funções da pessoa titular da secretaria as seguintes:

a) Representar o Comité de Segurança.

b) Efectuar as convocações do Comité em nome da presidência, assim como enviar outras comunicações aos seus membros.

c) Redigir as actas de cada sessão e expedir certificados dos acordos adoptados.

d) Custodiar a documentação relativa ao Comité.

Artigo 5. Membros permanentes do Comité

1. Os membros permanentes do Comité disporão de voz e voto das reuniões.

2. Correspondem aos membros permanentes do Comité as seguintes funções:

a) Participar nos debates, apresentar propostas e exercer o seu direito ao voto.

b) Formular propostas para a ordem do dia.

c) Demandar a informação que precisem para o desenvolvimento das suas funções.

3. A Agência para a Modernização Tecnológica da Galiza (Amtega) disporá de dois membros permanentes no Comité.

Artigo 6. Membros invitados do Comité

Os membros invitados podem assistir às sessões com voz mas sem voto, com o objecto de dispor da faculdade de conhecer as questões de interesse para o cumprimento da normativa em matéria de segurança da informação a que estão obrigados.

Artigo 7. Membros especiais

Poderão assistir em qualidade de membros especiais, com voz mas sem voto, às reuniões do Comité:

a) Os suplentes dos membros, ainda que assista o titular.

b) O pessoal de outras unidades ou entidades quando o solicite algum membro permanente por considerá-lo relevante para a toma de decisões da Comissão.

Artigo 8. Âmbito de actuação

O Comité de Segurança da Informação do Fogga tem como âmbito de actuação os aspectos relativos à segurança da informação requeridos ao Fogga pela legislação aplicável, pela normativa de protecção de dados de carácter pessoal e outras, assim como pela normativa corporativa de maior nível, e que não sejam competência da Amtega ou das unidades TIC com competências não assumidas por esta.

Artigo 9. Funções

De acordo com a política de segurança as funções do Comité de Segurança do Fogga são as seguintes:

a) Promover que os requisitos de segurança estejam aliñados com os objectivos estratégicos do Fogga.

b) Coordenar a implantação da política de segurança no Fogga.

c) Supervisionar as mudanças significativas dos sistemas que possam afectar a política de segurança.

d) Rever a efectividade da política de segurança e relatórios de incidências mais significativas nesta matéria.

e) Desenhar os procedimentos de segurança dentro do Fogga e a sua aprovação.

f) Manter a política de segurança actualizada e aliñada com as actividades do Fogga e controlar as ameaças sobre a informação e outros activos do Fogga.

g) Investigar e actuar para prevenir incidências de segurança.

h) Assegurar que se dispõe dos recursos necessários para dar resposta às demandas.

i) Propor a designação de responsabilidades de segurança associadas a cada elemento das políticas de segurança dentro do Fogga.

j) Promover iniciativas sobre a segurança da informação e rever o estado da segurança da informação.

k) Centralizar o planeamento, desenvolvimento e controlo de projectos de segurança, definindo metodoloxías e processos para a gestão da segurança da informação.

l) Implantar e administrar os controlos de segurança dos sistemas de informação, podendo delegar tarefas de gestão de utentes noutras unidades e encarregando-se a Amtega da parte técnica que lhe corresponde.

m) Liderar e impulsionar a adopção de normas de segurança da informação, de carácter obrigatório, nas entidades e organismos administrador delegados (normas ISSO 27001 e ISSO 27002), do Esquema nacional de segurança no âmbito do Fogga em coordinação com as directrizes corporativas da Xunta de Galicia nesta matéria e do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à protecção das pessoas físicas no que respeita ao tratamento de dados pessoais e à livre circulação destes dados e pelo que se derrogar a Directiva 95/46/CE; da Lei orgânica 3/2018, de 5 de dezembro, de protecção de dados pessoais e garantia dos direitos digitais e demais normativa nacional de aplicação, em coordinação com as directrizes corporativas da Xunta de Galicia nesta matéria.

Artigo 10. Funcionamento

1. O Comité rege para o exercício das suas funções pelas suas próprias normas de funcionamento e regime interno, mediante a aprovação de um regulamento interno de funcionamento.

2. Sem prejuízo do anterior, o funcionamento do comité ajustar-se-á ao estabelecido nos artigos 16 ao 21 da Lei 16/2010, de 17 de dezembro, de organização e funcionamento da Administração geral e do sector público autonómico da Galiza, e nos artigos 15 ao 18 da Lei 40/2015, de 1 de outubro, de regime jurídico do sector público.

TÍTULO II

Standard de segurança do Fogga

Artigo 11. Standard de segurança no Fogga e requisitos do Esquema nacional de segurança

O Fundo Galego de Garantia Agrária ajustar-se-á na sua actuação ao Código de práticas para a gestão da segurança da informação contido na norma ISSO 27002, que será a norma básica para a implantação do sistema de segurança das tecnologias da informação no âmbito do Fogga consonte o previsto no anexo I.3 do Regulamento 907/2014 da Comissão, de 11 de março de 2014, que completa o Regulamento (UE) nº 1306/2013 do Parlamento Europeu e do Conselho, no relativo aos organismos pagadores e outros órgãos, a gestão financeira, a liquidação de contas, as garantias e o uso do euro. A aplicação deste standard de qualidade ISSO 27002 leva implícito o cumprimento das exixencias do Esquema nacional de segurança.

Disposição adicional primeira. Não incremento da despesa

A constituição e o funcionamento do órgão colexiado previsto nesta ordem não suporão em nenhum caso um incremento da despesa pública e não gerará aumento dos créditos orçamentais atribuídos ao Fogga.

Disposição derrogatoria. Derogação normativa

Fica derrogado a Ordem de 4 de julho de 2005 pela que se adopta o standard de qualidade ISSO 17799 como norma de segurança dos sistemas de informação da Conselharia de Política Agroalimentaria e Desevolvemento Rural.

Disposição derradeiro primeira. Facultai de desenvolvimento

Faculta-se a pessoa titular da Direcção do Fogga, no âmbito das suas respectivas competências, para ditar as instruções precisas para o desenvolvimento e execução desta ordem.

Disposição derradeiro segunda. Entrada em vigor

Esta ordem entrará em vigor o dia seguinte ao da sua publicação no Diário Oficial da Galiza.

Santiago de Compostela 1 de fevereiro de 2021

José González Vázquez
Conselheiro do Meio Rural