El Decreto 73/2014, de 12 de junio, por el que se crean y se regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia, establece que la Comisión de Seguridad y Gobierno Electrónico propondrá para su aprobación por el Consello de la Xunta de Galicia la política de seguridad de la Administración general y del sector público de Galicia. En consecuencia, tras propuesta del Pleno de la Comisión de Seguridad y Gobierno Electrónico, el Consello de la Xunta de Galicia, en su reunión del día veinticinco de junio de dos mil quince, acordó aprobar la política de seguridad de la información de la Administración general y del sector público autonómico de Galicia, que se publicó mediante Resolución de la directora de la Agencia para la Modernización Tecnológica de Galicia, de 10 de julio de 2015, por la que se da publicidad a la política de seguridad de la información de la Administración general y del sector público autonómico de Galicia (DOG núm. 137, de 22 de julio). Tras la aprobación inicial se produjeron cambios en la normativa vigente en esta área, y el Pleno de la Comisión de Seguridad y Gobierno Electrónico acordó la propuesta de elevación de una modificación al Consello de la Xunta, que la aprobó en su reunión del día 19 de abril de 2018 (DOG núm. 91, de 14 de mayo).

Desde la aprobación de esa primera modificación continuó la evolución normativa, entre la que podemos destacar normas como la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, el Reglamento de actuación y funcionamiento del sector público por medios electrónicos (Real decreto 203/2021, de 30 de marzo), y el Real decreto 311/2022, de 3 de mayo, por el que se regula el Esquema nacional de seguridad, y, sobre todo, la Ley 4/2019, de 17 de julio, de administración digital de Galicia.

La entrada en vigor de estas normas aconseja que se acometa la adopción de una política conjunta de seguridad de la información y protección de datos personales donde se recojan y delimiten tanto las responsabilidades y funciones en materia de seguridad de la información y de protección de aquella información que contenga datos personales como cuestiones comunes a ambos ámbitos y propias de cada una de ellas. A mayores, es necesario incorporar los cambios operados recientemente por la actualización en el Esquema nacional de seguridad de algunos de los principios básicos y requisitos mínimos por los que se debe regir la adecuada protección de la información, y la incorporación en esta política de la constitución de un equipo de respuesta ante emergencias informáticas e incidentes de seguridad, tal y como se recoge en la Ley 4/2019, de administración digital de Galicia, además de actualizar las referencias normativas, el glosario e incluso la denominación de la política.

El Pleno de la Comisión de Seguridad y Gobierno Electrónico acordó el ocho de mayo de dos mil veintitrés la propuesta de elevación de esta política al Consello de la Xunta, que la aprobó en su reunión del día ocho de junio de dos mil veintitrés.

Por todo lo expuesto,

RESUELVO:

Dar publicidad a la política de seguridad de la información y protección de datos personales de la Administración general y del sector público autonómico de Galicia, que se recoge en el anexo que se adjunta a esta resolución.

Santiago de Compostela, 22 de octubre de 2024

Julián Cerviño Iglesia
Director de la Agencia para la Modernización Tecnológica de Galicia

ANEXO

1. Política de seguridad de la información y protección de datos personales de la Administración general y del sector público autonómico de Galicia.

La misión de la Xunta de Galicia se centra en dirigir la política y Administración de la Comunidad Autónoma de Galicia y en ejercer la función ejecutiva y la potestad reglamentaria, de acuerdo con el Estatuto de autonomía y las leyes. La Administración general y el sector público autonómico de Galicia, bajo la dirección de la Xunta de Galicia, se encuentran inmersos en un proceso gradual de transición hacia la sociedad digital, lo que conlleva una transformación sustancial a nivel organizativo y tecnológico.

En este marco, las tecnologías de la información y de las comunicaciones que conforman la estructura digital de la Administración autonómica se constituyen como un instrumento de alto nivel estratégico, debido a su potencial para impulsar la modernización de la Administración general y del sector público autonómico de Galicia, así como a su capacidad para estimular y sustentar el desarrollo social y económico de Galicia. Por tanto, es imprescindible que dicha infraestructura digital sea administrada con diligencia, implementando las medidas adecuadas para protegerla de amenazas de rápida evolución y con potencial para incidir en la confidencialidad, integridad, disponibilidad, trazabilidad, autenticidad y valor de la información y de los servicios, y garantizando de esta forma la seguridad de la información y el cumplimiento de la normativa vigente en materia de protección de datos personales.

En este contexto, el artículo 12 del Real decreto 311/2022, de 3 de mayo, por el que se regula el Esquema nacional de seguridad (en adelante, ENS), exige que todos los órganos superiores de las administraciones públicas dispongan formalmente de su política de seguridad.

De la misma forma, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, en adelante, RGPD), establece en su artículo 24 la obligación para el responsable del tratamiento de aplicar las medidas técnicas y organizativas apropiadas con el fin de garantizar y poder demostrar que el tratamiento es conforme con dicho reglamento. Entre estas medidas se incluirá la aplicación de las correspondientes políticas de protección de datos.

En cumplimiento de estas disposiciones, se adopta la presente política de seguridad de la información y protección de datos personales. La política de seguridad de la información y protección de datos personales es el instrumento principal en el que se apoyan la Administración general y el sector público autonómico de Galicia para alcanzar de forma conjunta sus objetivos en lo relativo a la seguridad de la información y a la protección de los datos personales.

Con el fin de lograr dichos objetivos, se implementarán todas aquellas medidas técnicas, organizativas y legales que garanticen el cumplimiento de las normativas vigentes en materia de seguridad de la información y protección de datos personales.

La presente resolución, por tanto, tiene la finalidad de aprobar la política de seguridad de la información y protección de datos personales de la Administración general y del sector público autonómico de Galicia, así como establecer la estructura organizativa para definirla, implantarla y gestionarla, sustituyendo a la política de seguridad de la información previamente aprobada por el Consello de la Xunta de Galicia mediante la Resolución de 10 de julio de 2015 y modificada por la Resolución de 4 de mayo de 2018.

2. Marco normativo.

La legislación en materia de seguridad de la información y protección de datos personales que debe servir de referencia en la presente política de seguridad de la información y protección de datos personales es la siguiente:

a) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

b) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, y por la que se deroga la Decisión marco 2008/977/JAI del Consejo.

c) Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en adelante, LOPDGDD).

d) Real decreto 311/2022, de 3 de mayo, por el que se regula el Esquema nacional de seguridad.

e) Decreto 230/2008, de 18 de septiembre, por el que se establecen las normas de buenas prácticas en la utilización de los sistemas de información de la Administración de la Comunidad Autónoma de Galicia (en adelante, DBP).

f) Decreto 73/2014, de 12 de junio, por el que se crean y se regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia, modificado por el Decreto 169/2016, de 24 de noviembre (en adelante, Decreto 73/2014, de 12 de junio).

g) Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas (en adelante, LPAC).

h) Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público (en adelante, LRJSP).

i) Ley 4/2019, de 17 de julio, de la administración digital de Galicia (en adelante, Ledixga).

3. Objetivos y ámbito de aplicación.

3.1. Objetivos de la política de seguridad de la información y protección de datos personales.

La política de seguridad de la información y protección de datos personales de la Administración general y del sector público autonómico de Galicia tiene como el objetivo fundamental establecer los principios generales que dirigen el cumplimiento de la normativa de protección de datos personales y la gestión adecuada de la seguridad de la información en el ámbito de aplicación establecido en el apartado 3.2 de esta resolución.

La política de seguridad de la información y protección de datos personales sirve como declaración de intenciones y guía general con la cual establecer todas las actuaciones en materia de seguridad de la información y protección de datos personales, y fija la estructura que debe desarrollarse para acometer estas actuaciones, tanto en el ámbito organizativo como en el documental.

Su aprobación constata la importancia que suscita la protección de los datos personales y de la información manejada en la Administración general y en el sector público autonómico de Galicia, al mismo tiempo que establece el punto de partida de organización para conseguir este fin.

La política de seguridad de la información y protección de datos personales será revisada periódicamente por los órganos colegiados con responsabilidades en materia de seguridad de la información y de protección de datos personales, así como actualizada cuando sea necesario.

3.2. Ámbito de aplicación.

Esta política será de aplicación a todos los sistemas de tecnologías de la información y comunicaciones, infraestructuras e instalaciones en general, en el ámbito de la Administración general y del sector público autonómico de Galicia, así como a todos los tratamientos de datos personales automatizados, total o parcialmente, y no automatizados, respecto de los que los aquellos sean responsables o encargados.

La política de seguridad de la información y protección de datos personales será de obligado cumplimiento para todas las entidades y unidades que conforman la estructura de esta Administración autonómica, sin excepciones, y también para todo el personal con acceso a la información de la que aquella es responsable, con independencia de su condición laboral, estatuaria o relación por la que accede a la información.

De la misma forma, la política de seguridad de la información y protección de datos personales se aplicará a todas las entidades y profesionales contratados bajo cualquier modalidad, cuando en el ejercicio de sus funciones tengan acceso a los sistemas de tecnologías de la información y de las comunicaciones o a los tratamientos de datos personales automatizados, total o parcialmente, y no automatizados, respecto de los que ambos sean responsables o encargados.

4. Principios de la política de seguridad de la información y protección de datos personales.

La política de seguridad de la información y protección de datos personales de la Administración general y del sector público autonómico de Galicia se desarrollará, con carácter general, de acuerdo a los siguientes principios:

a) Confidencialidad: se deberá garantizar que la información no se pone a disposición ni se revela a personas o entidades no autorizadas. En especial, todas las personas que intervengan en cualquier fase del tratamiento de los datos personales estarán sujetas al deber de confidencialidad incluso después de concluir aquel.

b) Integridad: se deberá asegurar que la información con la que se trabaja sea completa y precisa, estableciendo las medidas de seguridad apropiadas para evitar su alteración o modificación no autorizadas.

c) Disponibilidad, resiliencia y continuidad: se garantizará la prestación continuada de los servicios y la recuperación inmediata ante posibles contingencias, mediante medidas de recuperación orientadas a la restauración de los servicios y de la información asociada. Se debe procurar que los activos estén disponibles cuando lo requieran las personas autorizadas para acceder a ellos.

d) La autenticidad: se deberá garantizar que la información se intercambie con los interlocutores idóneos y que los servicios se acrediten correctamente.

e) Trazabilidad: se deberá garantizar el seguimiento de las operaciones efectuadas sobre la información y los servicios que lo requieran.

f) Seguridad integral: la seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural.

g) Gestión del riesgo: se analizarán y se controlarán los riesgos mediante el establecimiento de medidas de seguridad adecuadas, eficaces y proporcionadas que permitan la corrección y la mejora continuas, llevando a que la organización sea cada vez más preventiva que reactiva frente a los incidentes de seguridad. Se deben minimizar los riesgos hasta niveles aceptables y buscar el equilibrio entre las medidas de seguridad y la naturaleza de la información.

h) Prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad de la información y la protección de datos personales.

i) Mejora continua: se revisará y se evaluará, de manera recurrente, el grado de eficacia de las medidas de seguridad implantadas en la organización para aumentar la capacidad de adaptación a la constante evolución de los riesgos en el ámbito tecnológico y para garantizar el tratamiento seguro de los datos y de la información.

j) Proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los activos deberá hacerse dentro del marco presupuestario previsto a tal efecto y siempre buscando el equilibrio entre las medidas de seguridad, la naturaleza de la información y el presupuesto previsto.

k) Concienciación y formación: se articularán programas de formación, sensibilización y concienciación para las personas usuarias en materia de seguridad de la información y protección de datos personales, debidamente apoyados en las políticas corporativas y con un acomodado proceso de seguimiento y actualización.

l) Seguridad y protección de datos desde el diseño y por defecto: se aplicarán las medidas técnicas y organizativas apropiadas desde las primeras fases del diseño de los sistemas de información y de las operaciones de tratamiento de datos personales, de forma que se pueda garantizar la intimidad de las personas usuarias, la seguridad de los sistemas informáticos y el cumplimiento de la normativa de protección de datos personales durante todo el ciclo de vida. De la misma forma, se deberán adoptar también todas aquellas medidas técnicas, legales y organizativas que garanticen que, por defecto, solo serán objeto de tratamiento aquellos datos personales estrictamente necesarios para alcanzar la finalidad que se persigue.

m) Función diferenciada: conforme al principio que establece el ENS de considerar la seguridad como una función diferenciada, en la Administración general y en el sector público autonómico de Galicia la función de seguridad respecto de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

n) Licitud, lealtad y transparencia: los datos personales serán tratados de manera lícita, leal y transparente en relación con las personas interesadas.

o) Legitimación del tratamiento de datos: solo se tratarán los datos personales cuando dicho tratamiento se encuentre amparado en alguna de las bases jurídicas del artículo 6.1 del RGPD y, en su caso, será además necesario que se cumpla alguna de las circunstancias del artículo 9.2 del RGPD.

p) Limitación de la finalidad: los datos personales serán tratados para el cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

q) Minimización de los datos: los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los cuales son tratados.

r) Exactitud: los datos personales serán exactos y, si fuese necesario, actualizados. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

s) Limitación del plazo de conservación: los datos personales serán mantenidos de forma que se permita la identificación de las personas interesadas durante el tiempo estrictamente necesario para los fines que justificaron su tratamiento.

t) Cumplimiento normativo: todos los sistemas de información de la Administración general y del sector público autonómico de Galicia, así como cualquier proceso relacionado, se ajustarán a la normativa de aplicación legal, reglamentaria y sectorial que afecte a la seguridad de la información, en especial aquella relacionada con la intimidad y la protección de datos personales y con la seguridad de los sistemas, datos, comunicaciones y servicios electrónicos, que permita a la ciudadanía y a las administraciones públicas el ejercicio de los derechos de las personas afectadas y el cumplimiento de deberes a través de la tecnología.

u) Responsabilidad proactiva: se adoptarán las medidas técnicas y organizativas necesarias que permitan estar en condiciones de demostrar el cumplimiento de los anteriores principios.

5. Organización de la seguridad de la información y de la protección de datos personales.

5.1. Responsabilidad general.

El cumplimiento de las normativas vigentes en materia de seguridad de la información y protección de datos personales será considerado el objetivo común de todas las personas al servicio de la Administración general y del sector público autonómico de Galicia.

De la misma forma, serán las personas, junto con la tecnología y los procesos, el pilar fundamental que permitirá alcanzar dicho objetivo.

5.2. Comisión de Seguridad y Gobierno Electrónico de la Administración general y del sector público autonómico de Galicia.

La Comisión de Seguridad y Gobierno Electrónico de la Administración general y del sector público autonómico de Galicia tiene como funciones las definidas en el Decreto 73/2014, de 12 de junio, por el que se crean y se regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia, modificado por el Decreto 169/2016, de 24 de noviembre.

5.3. Subcomisión de Seguridad.

La Subcomisión de Seguridad tiene como funciones las definidas en el Decreto 73/2014, de 12 de junio, por el que se crean y se regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia, modificado por el Decreto 169/2016, de 24 de noviembre.

5.4. Roles y responsabilidades.

5.4.1. Esquema nacional de seguridad.

Siguiendo el principio que establece el ENS de considerar la seguridad como una función diferenciada, en los distintos organismos de la Administración general y del sector público autonómico de Galicia existirán los siguientes roles y responsabilidades:

a) Responsable de la información: dentro de su ámbito de actuación, es el encargado de determinar las necesidades de seguridad de la información en el marco establecido por el anexo I del ENS y de aceptar el riesgo residual.

b) Responsable del servicio: dentro de su ámbito de actuación, es el encargado de determinar las necesidades de seguridad del servicio en el marco del anexo I del ENS, de aprobar la suspensión temporal del servicio y de la aceptar el riesgo residual.

c) Responsable de la seguridad TIC: determinará las decisiones tecnológicas, en el ámbito de sistemas de información y telecomunicaciones, que se han tomar para proteger adecuadamente la información y los servicios según los requerimientos establecidos por los responsables de la información y de los servicios.

d) Responsable del sistema: dentro de su ámbito de actuación, es el encargado de implantar y de controlar las medidas para cumplir con los requisitos de seguridad de la información y de los servicios.

5.4.2. Protección de datos personales.

Por su parte, el RGPD y la LOPDGDD establecen las siguientes figuras respecto al cumplimiento de la normativa de protección de datos personales:

a) Responsable del tratamiento: órgano o entidad que determina los fines y los medios del tratamiento de datos personales.

b) Encargado del tratamiento: órgano o entidad que trata los datos personales por cuenta del responsable del tratamiento y siguiendo sus instrucciones.

c) Delegado/a de protección de datos: persona u órgano colegiado que desempeñará sus tareas focalizándose en los riesgos asociados a las operaciones de tratamiento de datos personales, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento. Tiene como funciones principales informar y asesorar al responsable del tratamiento de las obligaciones en materia de cumplimiento del RGPD y la LOPDGDD, así como aquellas otras que se deriven del cumplimiento de la normativa vigente de protección de datos personales.

5.4.3. Otros roles en el ámbito de la seguridad de la información.

Se definen, además, los siguientes roles con competencias en materia de seguridad de la información:

a) Coordinador de seguridad de la información: dentro de su ámbito de actuación, es el encargado de coordinar los asuntos relativos a la seguridad de la información, de promover la formación y concienciación en materia de seguridad de la información, de determinar las decisiones que se han tomar para proteger adecuadamente la información y los servicios y de supervisar su implantación en todos los aspectos no relacionados con las TIC. En el ejercicio de dichas funciones será el encargado de comunicarse a este respecto con la dirección, con el resto de la organización y con terceras partes, así como de supervisar el alineamiento de la seguridad con los objetivos de la organización.

b) Alta dirección: la alta dirección es la responsable de fijar los objetivos perseguidos por la organización.

5.5. Aprobación de roles y responsabilidades y resolución de conflictos.

Las condiciones que deben cumplir las personas con las responsabilidades anteriores serán aprobadas según establece el artículo 5.j) del Decreto 73/2014, de 12 de julio, por el que se crean y se regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia.

Mientras no se establezcan los mecanismos que se han seguir para la resolución de conflictos en cada uno de los ámbitos de actuación a que afecte esta política, se seguirá el principio de jerarquía que rige en las administraciones públicas, y será el superior jerárquico que corresponda el encargado de resolver los conflictos que puedan surgir, sin perjuicio de la independencia de los/las delegados/as de protección de datos en el desempeño de sus funciones, que deberá ser respetada según lo establecido en el RGPD, en la LOPDGDD y demás normativa de protección de datos personales aplicable.

6. Desarrollo de la política de seguridad de la información y protección de datos personales.

El cuerpo normativo sobre seguridad de la información y protección de datos personales es de obligado cumplimiento y se desarrollará en niveles, según el ámbito de aplicación y el nivel de detalle técnico, de manera que cada norma se fundamente en las normas de nivel superior. Los mencionados niveles de desarrollo son los siguientes:

a) Primero: política de seguridad de la información y protección de datos personales. Está constituido por el presente documento y es de obligado cumplimiento. Corresponde a la Comisión de Seguridad y Gobierno Electrónico elaborar la propuesta para su aprobación por el Consello de la Xunta de Galicia, así como su revisión periódica.

b) Segundo: políticas, instrucciones, planes de acción y actuaciones estratégicas en materia de seguridad de la información y protección de datos personales. Está constituido por el conjunto de documentos que tratan de la aplicación de la presente política. Los documentos relativos a este segundo nivel normativo los propondrá la Subcomisión de Seguridad a la Comisión de Seguridad y Gobierno Electrónico, que será quien los apruebe.

c) Tercero: otra normativa de seguridad de la información y protección de datos personales. Está constituido por el conjunto de normas que desarrollan la política de seguridad de la información y protección de datos personales y que sirven para indicar como se debe actuar. Las disposiciones de ámbito transversal que no estén bajo la competencia de otros órganos serán aprobadas por la Subcomisión de Seguridad.

d) Cuarto: procedimientos de seguridad de la información y protección de datos personales. Conjunto de documentos que describen explícitamente y paso a paso como se debe realizar una cierta actividad. La responsabilidad de aprobación de estos procedimientos dependerá de su ámbito de aplicación, que podrá ser en un ámbito específico o en un sistema de información determinado.

Además de los documentos citados, el cuerpo normativo de seguridad podrá contar con otra documentación, como, por ejemplo, recomendaciones, buenas prácticas, informes, resoluciones, registros, evidencias electrónicas etc.

7. Gestión de la seguridad y la protección de datos personales.

7.1. Gestión de riesgos y evaluaciones de impacto relativas a la protección de datos.

La gestión de riesgos es una parte esencial del proceso de seguridad y debe realizarse de manera continua sobre los sistemas de información, con el objetivo de mantener los ámbitos controlados y de minimizar los riesgos hasta niveles aceptables.

La gestión de riesgos será preceptiva para los sistemas de información incluidos dentro del marco establecido por el Real decreto 311/2022, de 3 de mayo, por el que se regula el Esquema nacional de seguridad. Cuando en los sistemas de información se estén tratando datos personales, dicha gestión de riesgos se adaptará a los criterios de determinación del riesgo establecidos en el RGPD, en la LOPDGDD y demás normativa de protección de datos personales aplicable.

Los responsables de la información y del servicio son los responsables de los riesgos sobre la información y los servicios, respectivamente, y serán los que asegurarán su seguimiento y control, sin perjuicio de la posibilidad de delegar estas tareas. Para ello, podrán contar en el proceso con la participación y con el asesoramiento del responsable de la seguridad TIC y del responsable del sistema.

Para la realización del análisis de riesgos se tendrán en cuenta las recomendaciones publicadas para el ámbito de la Administración pública y, en especial, las guías elaboradas por el Centro Criptológico Nacional, las disposiciones de la Agencia Española de Protección de Datos (en adelante, AEPD) y el Comité Europeo de Protección de Datos.

La evaluación de los riesgos se repetirá regularmente para los sistemas de información, dentro del alcance indicado en este apartado.

Cuando sea preciso, deberán llevarse a cabo las oportunas evaluaciones de impacto relativas a la protección de datos (EIPD) de conformidad con lo establecido en el RGPD, en la LOPDGDD, en la demás normativa de protección de datos aplicable y en las disposiciones publicadas por la AEPD y el Comité Europeo de Protección de Datos.

7.2. Gestión de los incidentes de seguridad.

De conformidad con lo establecido en el ENS, se adoptará un protocolo de notificación de incidentes de seguridad que establecerá las medidas de prevención, reacción y recuperación oportunas, así como las responsabilidades y los procedimientos de gestión y de notificación para garantizar una respuesta rápida, eficaz y ordenada ante la ocurrencia de los incidentes.

7.2.1. Violaciones de seguridad de los datos personales.

Todo incidente de seguridad que afecte a datos personales constituirá una violación de la seguridad de los datos personales conforme a lo dispuesto en los artículos 33 y 34 del RGPD.

La Administración general y el sector público autonómico de Galicia deberán implementar planes de actuación o procedimientos de respuesta para gestionar y notificar las violaciones de seguridad. Asimismo, cuando dichos organismos o entidades ostenten la condición de encargados del tratamiento de los datos personales, deberán establecer los procedimientos necesarios para la gestión y notificación de las violaciones de seguridad relacionados con las actividades de tratamiento que realicen por cuenta de un responsable.

Con este objetivo, se deberán implementar todos los mecanismos y procedimientos que se consideren adecuados para conseguir una gestión eficaz y eficiente de las violaciones de seguridad. A tal fin, se tendrá en cuenta lo dispuesto en el RGPD, en la LOPDGDD, en la demás normativa vigente de protección de datos personales y en las guías y recomendaciones de la AEPD, así como las directrices del Comité Europeo de Protección de Datos.

7.2.2. Equipo de respuesta ante las emergencias informáticas y los incidentes de seguridad (CSIRT).

Conforme a lo recogido en el artículo 94.1 de la Ledixga, la Administración general y las entidades instrumentales del sector público autonómico constituirán un equipo de respuesta ante las emergencias informáticas y los incidentes de seguridad (CSIRT), que actuará como centro de respuesta ante incidentes de seguridad en tecnologías de la información y la comunicación y velará por el desarrollo de medidas preventivas y correctivas en este ámbito.

7.3. Deberes del personal.

Todo el personal tiene el deber de conocer y cumplir la política de seguridad de la información y protección de datos personales, y colaborar tanto en su implementación como en la implementación de las demás normas y procedimientos que la desarrollen. Su incumplimiento podrá ser sancionado de conformidad con la normativa disciplinaria correspondiente.

Todo el personal tiene el deber de confidencialidad y secreto respecto de la información a la que tengan acceso en el desempeño de su actividad o puesto profesional, limitándose a emplear la misma para cumplir las tareas o funciones profesionales encomendadas, y manteniendo la debida discreción sobre aquellos asuntos que conozcan por razón de su cargo, de conformidad con lo contemplado en el artículo 5 de la LOPDGDD.

8. Concienciación y formación.

Le corresponde a la Subcomisión de Seguridad promover la formación y concienciación en materia de seguridad de la información y protección de datos personales en el ámbito de la Administración general y del sector público autonómico de Galicia. Los/las delegados/as de protección de datos colaborarán en la elaboración de los planes de formación y concienciación en materia de protección de datos personales, conforme a lo establecido en la normativa vigente en materia de protección de datos personales.

Se desarrollarán actividades específicas orientadas a la formación y a la concienciación de todo el personal en materia de seguridad de la información y protección de datos personales, así como a la difusión de la política de seguridad de la información y su desarrollo normativo, y estarán dirigidas en particular al personal de nueva incorporación.

Todo el personal que emplee sistemas de tecnologías de la información y las comunicaciones recibirá formación para el manejo seguro de dichos sistemas.

A estos efectos, los planes de formación y concienciación incluirán actividades específicas en los ámbitos de la seguridad de la información y de la protección de datos personales.

9. Información sobre el tratamiento de datos personales.

9.1. Deber de información.

De conformidad con el principio de transparencia recogido en los artículos 13 y 14 del RGPD, los responsables del tratamiento proporcionarán a las personas interesadas información detallada sobre los tratamientos que les conciernan en el momento de la recogida de los datos personales o, cuando los datos no se hayan obtenido de la persona interesada, a más tardar en el plazo dentro de un mes.

Para facilitar el correcto cumplimiento del deber de información se desarrollarán los oportunos modelos o estándares de adecuación del clausulado informativo siguiendo lo establecido en el RGPD, en la LOPDGDD y demás normativa vigente en materia de protección de datos personales, teniendo en consideración las guías, recomendaciones y demás disposiciones publicadas por la AEPD.

9.2. Registro de Actividades de Tratamiento.

El principio de transparencia que rige las actuaciones de las administraciones públicas establece que las mismas deberán publicar de forma periódica y actualizada la información cuyo conocimiento sea relevante para garantizar la transparencia de su actividad.

En cumplimiento de este principio y del artículo 6 bis de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, la Administración general y el sector público autonómico de Galicia se comprometen a publicar y mantener actualizado el Registro de Actividades de Tratamiento de datos personales que se realiza y a incluir en el mismo toda la información requerida por el RGPD, la LOPDGDD y demás normativa vigente en materia de protección de datos personales.

10. Derechos de las personas en su relación con la Administración general y con el sector público autonómico de Galicia.

Conforme a lo recogido en la LPAC, las personas son titulares del derecho a la protección de datos personales en su relación con la Administración general y con el sector público autonómico de Galicia y, en particular, tienen derecho a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de la Administración general y del sector público autonómico de Galicia.

En aplicación de la LRJSP, la Administración general y el sector público autonómico de Galicia, garantizarán la protección de datos personales en los medios electrónicos a través de los que se relacionen.

En cumplimiento de estas premisas, la Administración general y el sector público autonómico de Galicia, aplicarán las medidas técnicas y organizativas apropiadas de forma que se pueda garantizar la confidencialidad de los datos de las personas usuarias, la seguridad de los sistemas informáticos y el cumplimiento de la normativa de protección de datos personales durante todo el ciclo de vida del tratamiento de los datos y de la relación de las personas con la Administración general y el sector público autonómico de Galicia.

10.1. Ejercicio de derechos de protección de datos.

La normativa vigente reconoce a las personas interesadas una serie de derechos relativos a la protección de sus datos personales.

Con el objetivo de atender, dar respuesta y facilitar el ejercicio de estos derechos, la Administración general y el sector público autonómico de Galicia establecerán los mecanismos y procedimientos apropiados que garanticen una gestión eficaz y transparente de las solicitudes de ejercicio de derechos y el cumplimiento de los requisitos exigidos por el RGPD, la LOPDGDD y demás normativa vigente en materia de protección de datos personales.

Corresponde a cada responsable de tratamiento verificar que existen los canales adecuados para que las personas interesadas puedan ejercer estos derechos.

Así, las personas interesadas tienen derecho:

(i) a obtener confirmación de si se están tratando o no datos personales que le conciernan y, en tal caso, a acceder a tales datos;

(ii) a obtener la rectificación de los datos personales inexactos que le conciernan, así como a que se completen aquellos datos personales que sean incompletos;

(iii) a obtener la supresión de los datos personales que le conciernan cuando concurra alguna de las circunstancias previstas en el artículo 17 del RGPD;

(iv) a obtener la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones del artículo 18 del RGPD;

(v) a recibir los datos personales que le conciernan en un formato estructurado, de uso común y lectura mecánica, y a su transmisión a otro responsable de tratamiento, según lo previsto en el artículo 20 del RGPD;

(vi) a oponerse, por motivos relacionados con su situación particular, a que los datos personales que le conciernan sean objeto de tratamiento basado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, o basado en la necesidad de satisfacer intereses legítimos;

(vii) a retirar el consentimiento para el tratamiento de los datos personales previamente otorgado, sin que dicha retirada afecte a la licitud del tratamiento previo;

(viii) a no ser objeto de decisiones individuales basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en la persona interesada o le afecte significativamente de manera similar.

11. Auditorías.

Conforme a lo dispuesto en el artículo 31 del ENS, deberá llevarse a cabo de forma periódica, y cuando menos cada dos años, salvo modificaciones sustanciales en los sistemas que puedan afectar a la seguridad de los mismos, una auditoría que verifique el cumplimiento de los requerimientos establecidos por esta norma, así como la evaluación y valoración de la eficacia de las medidas técnicas y organizativas adoptadas para garantizar la seguridad de los tratamientos de datos personales y de los sistemas de la información.

De forma adicional y en cumplimiento de lo establecido en el artículo 32 y concordantes del RGPD, LOPDGDD y demás normativa vigente en materia de protección de datos personales, se implantará un proceso de auditorías para la verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

12. Glosario.

Activo	Recurso del sistema de información o relacionado con este, necesario para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección.
Amenaza	Causa potencial de un incidente no deseado, que puede ocasionar daños a un sistema de información o a una organización y puede basarse en una vulnerabilidad previa, detectada o no.
Análisis de riesgos	Proceso para el análisis de las amenazas, vulnerabilidades, riesgos e impactos a que está expuesto un sistema de información, teniendo en cuenta las medidas de seguridad ya presentes. Sirve como punto de partida para identificar las mejoras en las medidas de seguridad, tanto en lo que se refiere a la efectividad como a los costes. Este análisis puede hacerse desde el punto de vista de la protección de los datos personales y de la seguridad de la información o desde el punto de vista técnico.
Auditoría	Proceso sistemático, independiente y documentado que persigue la obtención de evidencias objetivas y su validación objetiva para determinar en qué medida se cumplen los criterios de auditoría en relación con la idoneidad de los controles de seguridad adoptados, el cumplimiento de la política de seguridad, las normas y los procedimientos operativos establecidos, y detectando desviaciones a los anteriores criterios.
Autenticidad	Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos (ENS).
Evaluación de impacto relativa a la protección de datos (EIPD)	Proceso ligado a los principios de protección de datos desde el diseño y, por defecto, concebido para describir, de manera anticipada y preventiva, un tratamiento de datos personales, evaluar su necesidad y proporcionalidad y gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales en función de las actividades de tratamiento que se lleven a cabo con los mismos, determinando las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable (AEPD).
Confidencialidad	Propiedad o característica consistente en que la información ni se pone a disposición ni se revela a individuos, entidades o procesos no autorizados (ENS).
Cuerpo normativo	Conjunto de normas que desarrollan de forma más concreta la manera de alcanzar los objetivos de una política.
Dato personal	Toda información sobre una persona física identificada o identificable. Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador (RGPD).
Disponibilidad	Propiedad o característica de los activos consistente en que las entidades o los procesos autorizados tengan acceso a estos cuando lo requieren (ENS).
Incidente de seguridad	Evento o incidencia que afecta a la degradación de un servicio o a las operaciones en uno o varios ámbitos como puedan ser la privacidad, continuidad, seguridad de la información etc.
Integridad	Propiedad o característica consistente en que el activo de información no fue alterado de manera no autorizada.
Medidas de seguridad	Conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, disuasión, protección, detección y reacción, o bien de recuperación (ENS).
Política de seguridad de la información y protección de datos personales	Documento de alto nivel que especifica los objetivos en materia de seguridad y protección de datos personales de una organización, y refleja el compromiso de la dirección para alcanzarlos.
Riesgo	Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos, con daños o pérdidas para la organización (ENS).
Riesgo residual	Es el riesgo remanente después del tratamiento del riesgo.
Seguridad de la información	Preservación de la confidencialidad, la integridad y la disponibilidad de la información. Puede, además, abarcar otras propiedades como la autenticidad, responsabilidad, fiabilidad y prevención del repudio.
Sistema de información	Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir (ENS).
Tratamiento de datos personales	Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjunto de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación o acceso, cotejo, limitación, supresión o destrucción (RGPD).
Trazabilidad	Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad (ENS).
Violación de seguridad de los datos personales	Incidente que ocasiona la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos (RGPD).
Vulnerabilidad	Una debilidad que puede ser aprovechada por una amenaza (ENS).
Gestión de continuidad	Actividades que lleva a cabo una organización para asegurar que todos los procesos de negocio críticos estarán disponibles para sus usuarios, clientes, proveedores y otras entidades que deban utilizarlos.
Gestión de incidentes	Procesos orientados a recuperar el nivel habitual de funcionamiento del servicio y minimizar en todo lo posible el impacto negativo en la organización, de forma que se mantengan la calidad del servicio y la disponibilidad.
Gestión de riesgos	Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos (ENS).