O Decreto 73/2014, do 12 de xuño, polo que se crean e se regulan os órganos colexiados con competencias en materia de seguridade da información e goberno electrónico da Administración xeral e do sector público autonómico de Galicia, establece que a Comisión de Seguridade e Goberno Electrónico proporá para a súa aprobación polo Consello da Xunta de Galicia a política de seguridade da Administración xeral e do sector público de Galicia. En consecuencia, tras a proposta do Pleno da Comisión de Seguridade e Goberno Electrónico, o Consello da Xunta de Galicia, na súa reunión do día vinte e cinco de xuño de dous mil quince, acordou aprobar a política de seguridade da información da Administración xeral e do sector público autonómico de Galicia, que se publicou mediante a Resolución da directora da Axencia para a Modernización Tecnolóxica de Galicia, do 10 de xullo de 2015, pola que se dá publicidade á política de seguridade da información da Administración xeral e do sector público autonómico de Galicia (DOG núm. 137, do 22 de xullo). Tras a aprobación inicial producíronse cambios na normativa vixente nesta área, e o Pleno da Comisión de Seguridade e Goberno Electrónico acordou a proposta de elevación dunha modificación ao Consello da Xunta, que a aprobou na súa reunión do día 19 de abril de 2018 (DOG núm. 91, do 14 de maio).
Desde a aprobación desa primeira modificación continuou a evolución normativa, entre a que podemos salientar normas como a Lei orgánica 3/2018, do 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais, o Regulamento de actuación e funcionamento do sector público por medios electrónicos (Real decreto 203/2021, do 30 de marzo), e o Real decreto 311/2022, do 3 de maio, polo que se regula o Esquema nacional de seguridade, e, sobre todo, a Lei 4/2019, do 17 de xullo, de administración dixital de Galicia.
A entrada en vigor destas normas aconsella que se acometa a adopción dunha política conxunta de seguridade da información e protección de datos persoais onde se recollan e delimiten tanto as responsabilidades e funcións en materia de seguridade da información e de protección daquela información que conteña datos persoais como cuestións comúns a ambos os ámbitos e propias de cada unha delas. A maiores, cómpre incorporar os cambios operados recentemente pola actualización no Esquema nacional de seguridade dalgúns dos principios básicos e requisitos mínimos polos que se debe rexer a axeitada protección da información, e a incorporación nesta política da constitución dun equipo de resposta ante emerxencias informáticas e incidentes de seguridade, tal e como se recolle na Lei 4/2019, de administración dixital de Galicia, ademais de actualizar as referencias normativas, o glosario e mesmo a denominación da política.
O Pleno da Comisión de Seguridade e Goberno Electrónico acordou o oito de maio de dous mil vinte e tres a proposta de elevación desta política ao Consello da Xunta, que a aprobou na súa reunión do día oito de xuño de dous mil vinte e tres.
Por todo o exposto,
RESOLVO:
Dar publicidade á política de seguridade da información e protección de datos persoais da Administración xeral e do sector público autonómico de Galicia, que se recolle no anexo que se xunta a esta resolución.
Santiago de Compostela, 22 de outubro de 2024
Julián Cerviño Iglesia
Director da Axencia para a Modernización Tecnolóxica de Galicia
ANEXO
1. Política de seguridade da información e protección de datos persoais da Administración xeral e do sector público autonómico de Galicia.
A misión da Xunta de Galicia céntrase en dirixir a política e Administración da Comunidade Autónoma de Galicia e en exercer a función executiva e a potestade regulamentaria, de acordo co Estatuto de autonomía e as leis. A Administración xeral e o sector público autonómico de Galicia, baixo a dirección da Xunta de Galicia, están inmersos nun proceso gradual de transición cara á sociedade dixital, o que comporta unha transformación substancial a nivel organizativo e tecnolóxico.
Neste marco, as tecnoloxías da información e das comunicacións que conforman a estrutura dixital da Administración autonómica constitúense como un instrumento de alto nivel estratéxico, debido ao seu potencial para impulsar a modernización da Administración xeral e do sector público autonómico de Galicia, así como á súa capacidade para estimular e sustentar o desenvolvemento social e económico de Galicia. Polo tanto, é imprescindible que a dita infraestrutura dixital sexa administrada con dilixencia, implementando as medidas adecuadas para protexela de ameazas de rápida evolución e con potencial para incidir na confidencialidade, integridade, dispoñibilidade, rastrexabilidade, autenticidade e valor da información e dos servizos, e garantindo desta forma a seguridade da información e o cumprimento da normativa vixente en materia de protección de datos persoais.
Neste contexto, o artigo 12 do Real decreto 311/2022, do 3 de maio, polo que se regula o Esquema nacional de seguridade (en diante, ENS), exixe que todos os órganos superiores das administracións públicas dispoñan formalmente da súa política de seguridade.
Da mesma forma, o Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos, e polo que se derroga a Directiva 95/46/CE (Regulamento xeral de protección de datos, en diante, RXPD), establece no seu artigo 24 a obrigación para o responsable do tratamento de aplicar as medidas técnicas e organizativas apropiadas co fin de garantir e poder demostrar que o tratamento é conforme co devandito regulamento. Entre estas medidas incluirase a aplicación das correspondentes políticas de protección de datos.
En cumprimento destas disposicións, adóptase esta política de seguridade da información e protección de datos persoais. A política de seguridade da información e protección de datos persoais é o instrumento principal en que se apoian a Administración xeral e o sector público autonómico de Galicia para alcanzaren de forma conxunta os seus obxectivos no relativo á seguridade da información e á protección dos datos persoais.
Co fin de lograr os ditos obxectivos, implementaranse todas aquelas medidas técnicas, organizativas e legais que garantan o cumprimento das normativas vixentes en materia de seguridade da información e protección de datos persoais.
Esta resolución, polo tanto, ten a finalidade de aprobar a política de seguridade da información e protección de datos persoais da Administración xeral e do sector público autonómico de Galicia, así como establecer a estrutura organizativa para definila, implantala e xestionala, substituíndo a política de seguridade da información previamente aprobada polo Consello da Xunta de Galicia mediante a Resolución do 10 de xullo de 2015 e modificada pola Resolución do 4 de maio de 2018.
2. Marco normativo.
A lexislación en materia de seguridade da información e protección de datos persoais que debe servir de referencia nesta política de seguridade da información e protección de datos persoais é a seguinte:
a) Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos, e polo que se derroga a Directiva 95/46/CE (Regulamento xeral de protección de datos).
b) Directiva (UE) 2016/680 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativa á protección das persoas físicas no que respecta ao tratamento de datos persoais por parte das autoridades competentes para fins de prevención, investigación, detección ou axuizamento de infraccións penais ou de execución de sancións penais, e á libre circulación de ditos datos, e pola que se derroga a Decisión marco 2008/977/JAI do Consello.
c) Lei orgánica 3/2018, do 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais (en diante, LOPDGDD).
d) Real decreto 311/2022, do 3 de maio, polo que se regula o Esquema nacional de seguridade.
e) Decreto 230/2008, do 18 de setembro, polo que se establecen as normas de boas prácticas na utilización dos sistemas de información da Administración da Comunidade Autónoma de Galicia (en diante, DBP).
f) Decreto 73/2014, do 12 de xuño, polo que se crean e se regulan os órganos colexiados con competencias en materia de seguridade da información e goberno electrónico da Administración xeral e do sector público autonómico de Galicia, modificado polo Decreto 169/2016, do 24 de novembro (en diante, Decreto 73/2014, do 12 de xuño).
g) Lei 39/2015, do 1 de outubro, do procedemento administrativo común das administracións públicas (en diante, LPAC).
h) Lei 40/2015, do 1 de outubro, de réxime xurídico do sector público (en diante LRXSP).
i) Lei 4/2019, do 17 de xullo, da administración dixital de Galicia (en diante, Ledixga).
3. Obxectivos e ámbito de aplicación.
3.1. Obxectivos da política de seguridade da información e protección de datos persoais.
A política de seguridade da información e protección de datos persoais da Administración xeral e do sector público autonómico de Galicia ten como obxectivo fundamental establecer os principios xerais que dirixen o cumprimento da normativa de protección de datos persoais e a xestión adecuada da seguridade da información no ámbito de aplicación establecido no número 3.2 desta resolución.
A política de seguridade da información e protección de datos persoais serve como declaración de intencións e guía xeral coa cal establecer todas as actuacións en materia de seguridade da información e protección de datos persoais, e fixa a estrutura que debe desenvolverse para acometer estas actuacións, tanto no ámbito organizativo coma no documental.
A súa aprobación constata a importancia que suscita a protección dos datos persoais e da información manexada na Administración xeral e no sector público autonómico de Galicia, ao mesmo tempo que establece o punto de partida de organización para conseguir este fin.
A política de seguridade da información e protección de datos persoais será revisada periodicamente polos órganos colexiados con responsabilidades en materia de seguridade da información e de protección de datos persoais, así como actualizada cando sexa necesario.
3.2. Ámbito de aplicación.
Esta política será de aplicación a todos os sistemas de tecnoloxías da información e comunicacións, infraestruturas e instalacións en xeral, no ámbito da Administración xeral e do sector público autonómico de Galicia, así como a todos os tratamentos de datos persoais automatizados, total ou parcialmente, e non automatizados, respecto dos que aqueles sexan responsables ou encargados.
A política de seguridade da información e protección de datos persoais será de obrigado cumprimento para todas as entidades e unidades que conforman a estrutura desta Administración autonómica, sen excepcións, e tamén para todo o persoal con acceso á información de que aquela é responsable, con independencia da súa condición laboral, estatuaria ou relación pola que accede á información.
Da mesma forma, a política de seguridade da información e protección de datos persoais aplicarase a todas as entidades e profesionais contratados baixo calquera modalidade, cando no exercicio das súas funcións teñan acceso aos sistemas de tecnoloxías da información e das comunicacións ou aos tratamentos de datos persoais automatizados, total ou parcialmente, e non automatizados, respecto dos que ambos sexan responsables ou encargados.
4. Principios da política de seguridade da información e protección de datos persoais.
A política de seguridade da información e protección de datos persoais da Administración xeral e do sector público autonómico de Galicia desenvolverase, con carácter xeral, de acordo cos seguintes principios:
a) Confidencialidade: deberase garantir que a información non se pon á disposición nin se revela a persoas ou entidades non autorizadas. En especial, todas as persoas que interveñan en calquera fase do tratamento dos datos persoais estarán suxeitas ao deber de confidencialidade incluso despois de concluír aquel.
b) Integridade: deberase asegurar que a información con que se traballa sexa completa e precisa, establecendo as medidas de seguridade apropiadas para evitar a súa alteración ou modificación non autorizadas.
c) Dispoñibilidade, resiliencia e continuidade: garantirase a prestación continuada dos servizos e a recuperación inmediata ante posibles continxencias, mediante medidas de recuperación orientadas á restauración dos servizos e da información asociada. Débese procurar que os activos estean dispoñibles cando o requiran as persoas autorizadas para acceder a eles.
d) Autenticidade: deberase garantir que a información se intercambie cos interlocutores idóneos e que os servizos se acrediten correctamente.
e) Rastrexabilidade: deberase garantir o seguimento das operacións efectuadas sobre a información e os servizos que o requiran.
f) Seguridade integral: a seguridade enténdese como un proceso integral constituído por todos os elementos técnicos, humanos, materiais e organizativos, relacionados co sistema, evitando, salvo casos de urxencia ou necesidade, calquera actuación puntual ou tratamento conxuntural.
g) Xestión do risco: analizaranse e controlaranse os riscos mediante o establecemento de medidas de seguridade adecuadas, eficaces e proporcionadas que permitan a corrección e a mellora continuas, levando a que a organización sexa cada vez máis preventiva ca reactiva fronte aos incidentes de seguridade. Débense minimizar os riscos ata niveis aceptables e buscar o equilibrio entre as medidas de seguridade e a natureza da información.
h) Prevención: desenvolveranse plans e liñas de traballo específicas orientadas a previr fraudes, incumprimentos ou incidentes relacionados coa seguridade da información e a protección de datos persoais.
i) Mellora continua: revisarase e avaliarase, de maneira recorrente, o grao de eficacia das medidas de seguridade implantadas na organización para aumentar a capacidade de adaptación á constante evolución dos riscos no ámbito tecnolóxico e para garantir o tratamento seguro dos datos e da información.
j) Proporcionalidade en custo: a implantación de medidas que mitiguen os riscos de seguridade dos activos deberá facerse dentro do marco orzamentario previsto para ese efecto e sempre buscando o equilibrio entre as medidas de seguridade, a natureza da información e o orzamento previsto.
k) Concienciación e formación: articularanse programas de formación, sensibilización e concienciación para as persoas usuarias en materia de seguridade da información e protección de datos persoais, debidamente apoiados nas políticas corporativas e cun acomodado proceso de seguimento e actualización.
l) Seguridade e protección de datos desde o deseño e por defecto: aplicaranse as medidas técnicas e organizativas apropiadas desde as primeiras fases do deseño dos sistemas de información e das operacións de tratamento de datos persoais, de forma que se poida garantir a intimidade das persoas usuarias, a seguridade dos sistemas informáticos e o cumprimento da normativa de protección de datos persoais durante todo o ciclo de vida. Da mesma forma, deberanse adoptar tamén todas aquelas medidas técnicas, legais e organizativas que garantan que, por defecto, só serán obxecto de tratamento aqueles datos persoais estritamente necesarios para alcanzar a finalidade que se persegue.
m) Función diferenciada: conforme o principio que establece o ENS de considerar a seguridade como unha función diferenciada, na Administración xeral e no sector público autonómico de Galicia a función de seguridade respecto dos sistemas de información estará diferenciada da responsabilidade sobre a prestación dos servizos.
n) Licitude, lealdade e transparencia: os datos persoais serán tratados de maneira lícita, leal e transparente en relación coas persoas interesadas.
o) Lexitimación do tratamento de datos: só se tratarán os datos persoais cando o dito tratamento se atope amparado nalgunha das bases xurídicas do artigo 6.1 do RXPD e, se é o caso, será ademais necesario que se cumpra algunha das circunstancias do artigo 9.2 do RXPD.
p) Limitación da finalidade: os datos persoais serán tratados para o cumprimento de fins determinados, explícitos e lexítimos, e non serán tratados ulteriormente de maneira incompatible cos ditos fins.
q) Minimización dos datos: os datos persoais serán adecuados, pertinentes e limitados ao necesario en relación cos fins para os cales son tratados.
r) Exactitude: os datos persoais serán exactos e, se for necesario, actualizados. Adoptaranse todas as medidas razoables para que se supriman ou rectifiquen sen dilación os datos persoais que sexan inexactos con respecto aos fins para os cales se tratan.
s) Limitación do prazo de conservación: os datos persoais serán mantidos de forma que se permita a identificación das persoas interesadas durante o tempo estritamente necesario para os fins que xustificaron o seu tratamento.
t) Cumprimento normativo: todos os sistemas de información da Administración xeral e do sector público autonómico de Galicia, así como calquera proceso relacionado, axustaranse á normativa de aplicación legal, regulamentaria e sectorial que afecte a seguridade da información, en especial aquela relacionada coa intimidade e a protección de datos persoais e coa seguridade dos sistemas, datos, comunicacións e servizos electrónicos, que permita á cidadanía e ás administracións públicas o exercicio dos dereitos das persoas afectadas e o cumprimento de deberes a través da tecnoloxía.
u) Responsabilidade proactiva: adoptaranse as medidas técnicas e organizativas necesarias que permitan estar en condicións de demostrar o cumprimento dos anteriores principios.
5. Organización da seguridade da información e da protección de datos persoais.
5.1. Responsabilidade xeral.
O cumprimento das normativas vixentes en materia de seguridade da información e protección de datos persoais será considerado o obxectivo común de todas as persoas ao servizo da Administración xeral e do sector público autonómico de Galicia.
Da mesma forma, serán as persoas, xunto coa tecnoloxía e os procesos, o alicerce fundamental que permitirá alcanzar o dito obxectivo.
5.2. Comisión de Seguridade e Goberno Electrónico da Administración xeral e do sector público autonómico de Galicia.
A Comisión de Seguridade e Goberno Electrónico da Administración xeral e do sector público autonómico de Galicia ten como funcións as definidas no Decreto 73/2014, do 12 de xuño, polo que se crean e se regulan os órganos colexiados con competencias en materia de seguridade da información e goberno electrónico da Administración xeral e do sector público autonómico de Galicia, modificado polo Decreto 169/2016, do 24 de novembro.
5.3. Subcomisión de Seguridade.
A Subcomisión de Seguridade ten como funcións as definidas no Decreto 73/2014, do 12 de xuño, polo que se crean e se regulan os órganos colexiados con competencias en materia de seguridade da información e goberno electrónico da Administración xeral e do sector público autonómico de Galicia, modificado polo Decreto 169/2016, do 24 de novembro.
5.4. Roles e responsabilidades.
5.4.1. Esquema nacional de seguridade.
Seguindo o principio que establece o ENS de considerar a seguridade como unha función diferenciada, nos distintos organismos da Administración xeral e do sector público autonómico de Galicia existirán os seguintes roles e responsabilidades:
a) Responsable da información: dentro do seu ámbito de actuación, é o encargado de determinar as necesidades de seguridade da información no marco establecido polo anexo I do ENS e de aceptar o risco residual.
b) Responsable do servizo: dentro do seu ámbito de actuación, é o encargado de determinar as necesidades de seguridade do servizo no marco do anexo I do ENS, de aprobar a suspensión temporal do servizo e de aceptar o risco residual.
c) Responsable da seguridade TIC: determinará as decisións tecnolóxicas, no ámbito de sistemas de información e telecomunicacións, que se tomarán para protexer adecuadamente a información e os servizos segundo os requirimentos establecidos polos responsables da información e dos servizos.
d) Responsable do sistema: dentro do seu ámbito de actuación, é o encargado de implantar e de controlar as medidas para cumprir cos requisitos de seguridade da información e dos servizos.
5.4.2. Protección de datos persoais.
Pola súa parte, o RXPD e a LOPDGDD establecen as seguintes figuras respecto ao cumprimento da normativa de protección de datos persoais:
a) Responsable do tratamento: órgano ou entidade que determina os fins e os medios do tratamento de datos persoais.
b) Encargado do tratamento: órgano ou entidade que trata os datos persoais por conta do responsable do tratamento e seguindo as súas instrucións.
c) Delegado/a de protección de datos: persoa ou órgano colexiado que desempeñará as súas tarefas focalizándose nos riscos asociados ás operacións de tratamento de datos persoais, tendo en conta a natureza, o alcance, o contexto e os fins do tratamento. Ten como funcións principais informar e asesorar o responsable do tratamento das obrigacións en materia de cumprimento do RXPD e a LOPDGDD, así como aquelas outras que deriven do cumprimento da normativa vixente de protección de datos persoais.
5.4.3. Outros roles no ámbito da seguridade da información.
Defínense, ademais, os seguintes roles con competencias en materia de seguridade da información:
a) Coordinador de seguridade da información: dentro do seu ámbito de actuación, é o encargado de coordinar os asuntos relativos á seguridade da información, de promover a formación e concienciación en materia de seguridade da información, de determinar as decisións que se deberán tomar para protexer adecuadamente a información e os servizos e de supervisar a súa implantación en todos os aspectos non relacionados coas TIC. No exercicio das ditas funcións será o encargado de comunicarse a este respecto coa dirección, co resto da organización e con terceiras partes, así como de supervisar o aliñamento da seguridade cos obxectivos da organización.
b) Alta dirección: a alta dirección é a responsable de fixar os obxectivos perseguidos pola organización.
5.5. Aprobación de roles e responsabilidades e resolución de conflitos.
As condicións que deben cumprir as persoas coas responsabilidades anteriores serán aprobadas segundo establece o artigo 5.j) do Decreto 73/2014, do 12 de xuño, polo que se crean e se regulan os órganos colexiados con competencias en materia de seguridade da información e goberno electrónico da Administración xeral e do sector público autonómico de Galicia.
Mentres non se establezan os mecanismos que se deben seguir para a resolución de conflitos en cada un dos ámbitos de actuación a que afecte esta política, seguirase o principio de xerarquía que rexe nas administracións públicas, e será o superior xerárquico que corresponda o encargado de resolver os conflitos que poidan xurdir, sen prexuízo da independencia dos/das delegados/as de protección de datos no desempeño das súas funcións, que deberá ser respectada segundo o establecido no RXPD, na LOPDGDD e demais normativa de protección de datos persoais aplicable.
6. Desenvolvemento da política de seguridade da información e protección de datos persoais.
O corpo normativo sobre seguridade da información e protección de datos persoais é de obrigado cumprimento e desenvolverase en niveis, segundo o ámbito de aplicación e o nivel de detalle técnico, de maneira que cada norma se fundamente nas normas de nivel superior. Os devanditos niveis de desenvolvemento son os seguintes:
a) Primeiro: política de seguridade da información e protección de datos persoais. Está constituído por este documento e é de obrigado cumprimento. Corresponde á Comisión de Seguridade e Goberno Electrónico elaborar a proposta para a súa aprobación polo Consello da Xunta de Galicia, así como a súa revisión periódica.
b) Segundo: políticas, instrucións, plans de acción e actuacións estratéxicas en materia de seguridade da información e protección de datos persoais. Está constituído polo conxunto de documentos que tratan da aplicación desta política. Os documentos relativos a este segundo nivel normativo proporaos a Subcomisión de Seguridade á Comisión de Seguridade e Goberno Electrónico, que será quen os aprobe.
c) Terceiro: outra normativa de seguridade da información e protección de datos persoais. Está constituído polo conxunto de normas que desenvolven a política de seguridade da información e protección de datos persoais e que serven para indicar como se debe actuar. As disposicións de ámbito transversal que non estean baixo a competencia doutros órganos serán aprobadas pola Subcomisión de Seguridade.
d) Cuarto: procedementos de seguridade da información e protección de datos persoais. Conxunto de documentos que describen explicitamente e paso a paso como se debe realizar unha certa actividade. A responsabilidade de aprobación destes procedementos dependerá do seu ámbito de aplicación, que poderá ser nun ámbito específico ou nun sistema de información determinado.
Ademais dos documentos citados, o corpo normativo de seguridade poderá contar con outra documentación, como, por exemplo, recomendacións, boas prácticas, informes, resolucións, rexistros, evidencias electrónicas etc.
7. Xestión da seguridade e a protección de datos persoais.
7.1. Xestión de riscos e avaliacións de impacto relativas á protección de datos.
A xestión de riscos é unha parte esencial do proceso de seguridade e debe realizarse de maneira continua sobre os sistemas de información, co obxectivo de manter os ámbitos controlados e de minimizar os riscos ata niveis aceptables.
A xestión de riscos será preceptiva para os sistemas de información incluídos dentro do marco establecido polo Real decreto 311/2022, do 3 de maio, polo que se regula o Esquema nacional de seguridade. Cando nos sistemas de información se estean a tratar datos persoais, a dita xestión de riscos adaptarase aos criterios de determinación do risco establecidos no RXPD, na LOPDGDD e demais normativa de protección de datos persoais aplicable.
Os responsables da información e do servizo son os responsables dos riscos sobre a información e os servizos, respectivamente, e serán os que aseguran o seu seguimento e control, sen prexuízo da posibilidade de delegar estas tarefas. Para iso, poderán contar no proceso coa participación e co asesoramento do responsable da seguridade TIC e do responsable do sistema.
Para a realización da análise de riscos teranse en conta as recomendacións publicadas para o ámbito da Administración pública e, en especial, as guías elaboradas polo Centro Criptolóxico Nacional, as disposicións da Axencia Española de Protección de Datos (en adiante, AEPD) e o Comité Europeo de Protección de Datos.
A avaliación dos riscos repetirase regularmente para os sistemas de información, dentro do alcance indicado nesta epígrafe.
Cando sexa preciso, deberán levarse a cabo as oportunas avaliacións de impacto relativas á protección de datos (AIPD) de conformidade co establecido no RXPD, na LOPDGDD, na demais normativa de protección de datos aplicable e nas disposicións publicadas pola AEPD e o Comité Europeo de Protección de Datos.
7.2. Xestión dos incidentes de seguridade.
De conformidade co establecido no ENS, adoptarase un protocolo de notificación de incidentes de seguridade que establecerá as medidas de prevención, reacción e recuperación oportunas, así como as responsabilidades e os procedementos de xestión e de notificación para garantir unha resposta rápida, eficaz e ordenada ante a ocorrencia dos incidentes.
7.2.1. Violacións de seguridade dos datos persoais.
Todo incidente de seguridade que afecte datos persoais constituirá unha violación da seguridade dos datos persoais conforme o disposto nos artigos 33 e 34 do RXPD.
A Administración xeral e o sector público autonómico de Galicia deberán implementar plans de actuación ou procedementos de resposta para xestionar e notificar as violacións de seguridade. Así mesmo, cando os devanditos organismos ou entidades teñan a condición de encargados do tratamento dos datos persoais, deberán establecer os procedementos necesarios para a xestión e notificación das violacións de seguridade relacionados coas actividades de tratamento que realicen por conta dun responsable.
Con este obxectivo, deberanse implementar todos os mecanismos e procedementos que se consideren adecuados para conseguir unha xestión eficaz e eficiente das violacións de seguridade. Para tal fin, terase en conta o disposto no RXPD, na LOPDGDD, na demais normativa vixente de protección de datos persoais e nas guías e recomendacións da AEPD, así como as directrices do Comité Europeo de Protección de Datos.
7.2.2. Equipo de resposta ante as emerxencias informáticas e os incidentes de seguridade (CSIRT).
Conforme o recollido no artigo 94.1 da Ledixga, a Administración xeral e as entidades instrumentais do sector público autonómico constituirán un equipo de resposta ante as emerxencias informáticas e os incidentes de seguridade (CSIRT), que actuará como centro de resposta ante incidentes de seguridade en tecnoloxías da información e da comunicación e velará polo desenvolvemento de medidas preventivas e correctivas neste ámbito.
7.3. Deberes do persoal.
Todo o persoal ten o deber de coñecer e cumprir a política de seguridade da información e protección de datos persoais, e colaborar tanto na súa implementación como na implementación das demais normas e procedementos que a desenvolvan. O seu incumprimento poderá ser sancionado de conformidade coa normativa disciplinaria correspondente.
Todo o persoal ten o deber de confidencialidade e secreto respecto da información a que teña acceso no desempeño da súa actividade ou posto profesional, limitándose a empregala para cumprir as tarefas ou funcións profesionais encomendadas, e mantendo a debida discreción sobre aqueles asuntos que coñezan por razón do seu cargo, de conformidade co recollido no artigo 5 da LOPDGDD.
8. Concienciación e formación.
Correspóndelle á Subcomisión de Seguridade promover a formación e concienciación en materia de seguridade da información e protección de datos persoais no ámbito da Administración xeral e do sector público autonómico de Galicia. Os/as delegados/as de protección de datos colaborarán na elaboración dos plans de formación e concienciación en materia de protección de datos persoais, consonte o establecido na normativa vixente en materia de protección de datos persoais.
Desenvolveranse actividades específicas orientadas á formación e á concienciación de todo o persoal en materia de seguridade da información e protección de datos persoais, así como á difusión da política de seguridade da información e o seu desenvolvemento normativo, e estarán dirixidas en particular ao persoal de nova incorporación.
Todo o persoal que empregue sistemas de tecnoloxías da información e as comunicacións recibirá formación para o manexo seguro dos devanditos sistemas.
Para estes efectos, os plans de formación e concienciación incluirán actividades específicas nos eidos da seguridade da información e da protección de datos persoais.
9. Información sobre o tratamento de datos persoais.
9.1. Deber de información.
De conformidade co principio de transparencia recollido nos artigos 13 e 14 do RXPD, os responsables do tratamento proporcionarán ás persoas interesadas información detallada sobre os tratamentos que lles concirnan no momento da recollida dos datos persoais ou, cando os datos non se obtivesen da persoa interesada, como máis tarde no prazo dentro dun mes.
Para facilitar o correcto cumprimento do deber de información desenvolveranse os oportunos modelos ou estándares de adecuación do clausulado informativo seguindo o establecido no RXPD, na LOPDGDD e demais normativa vixente en materia de protección de datos persoais, tendo en consideración as guías, recomendacións e demais disposicións publicadas pola AEPD.
9.2. Rexistro de Actividades de Tratamento.
O principio de transparencia que rexe as actuacións das administracións públicas establece que estas deberán publicar de forma periódica e actualizada a información cuxo coñecemento sexa relevante para garantir a transparencia da súa actividade.
En cumprimento deste principio e do artigo 6 bis da Lei 19/2013, do 9 de decembro, de transparencia, acceso á información pública e bo goberno, a Administración xeral e o sector público autonómico de Galicia comprométense a publicar e manter actualizado o Rexistro de Actividades de Tratamento de datos persoais que se realizan e a incluír nel toda a información requirida polo RXPD, pola LOPDGDD e demais normativa vixente en materia de protección de datos persoais.
10. Dereitos das persoas na súa relación coa Administración xeral e co sector público autonómico de Galicia.
Conforme o recollido na LPAC, as persoas son titulares do dereito á protección de datos persoais na súa relación coa Administración xeral e co sector público autonómico de Galicia e, en particular, teñen dereito á seguridade e confidencialidade dos datos que figuren nos ficheiros, sistemas e aplicacións da Administración xeral e do sector público autonómico de Galicia.
En aplicación da LRXSP, a Administración xeral e o sector público autonómico de Galicia, garantirán a protección de datos persoais nos medios electrónicos a través dos que se relacionen.
En cumprimento destas premisas, a Administración xeral e o sector público autonómico de Galicia aplicarán as medidas técnicas e organizativas apropiadas de forma que se poida garantir a confidencialidade dos datos das persoas usuarias, a seguridade dos sistemas informáticos e o cumprimento da normativa de protección de datos persoais durante todo o ciclo de vida do tratamento dos datos e da relación das persoas coa Administración xeral e co sector público autonómico de Galicia.
10.1. Exercicio de dereitos de protección de datos.
A normativa vixente recoñece ás persoas interesadas unha serie de dereitos relativos á protección dos seus datos persoais.
Co obxectivo de atender, dar resposta e facilitar o exercicio destes dereitos, a Administración xeral e o sector público autonómico de Galicia establecerán os mecanismos e procedementos apropiados que garantan unha xestión eficaz e transparente das solicitudes de exercicio de dereitos e o cumprimento dos requisitos exixidos polo RXPD, pola LOPDGDD e demais normativa vixente en materia de protección de datos persoais.
Corresponde a cada responsable de tratamento verificar que existen as canles adecuadas para que as persoas interesadas poidan exercer estes dereitos.
Así, as persoas interesadas teñen dereito:
(i) a obter confirmación de se se están a tratar ou non datos persoais que lle concirnan e, en tal caso, a acceder a tales datos;
(ii) a obter a rectificación dos datos persoais inexactos que lle concirnan, así como a que se completen aqueles datos persoais que sexan incompletos;
(iii) a obter a supresión dos datos persoais que lle concirnan cando concorra algunha das circunstancias previstas no artigo 17 do RXPD;
(iv) a obter a limitación do tratamento dos datos cando se cumpra algunha das condicións do artigo 18 do RXPD;
(v) a recibir os datos persoais que lle concirnan nun formato estruturado, de uso común e lectura mecánica, e á súa transmisión a outro responsable de tratamento, segundo o previsto no artigo 20 do RXPD;
(vi) a opoñerse, por motivos relacionados coa súa situación particular, a que os datos persoais que lle concirnan sexan obxecto de tratamento baseado no cumprimento dunha misión realizada en interese público ou no exercicio de poderes públicos, ou baseado na necesidade de satisfacer intereses lexítimos;
(vii) a retirar o consentimento para o tratamento dos datos persoais previamente outorgado, sen que a dita retirada afecte a licitude do tratamento previo;
(viii) a non ser obxecto de decisións individuais baseadas unicamente no tratamento automatizado, incluída a elaboración de perfís, que produza efectos xurídicos na persoa interesada ou a afecte significativamente de xeito similar.
11. Auditorías.
Conforme o disposto no artigo 31 do ENS, deberá levarse a cabo de forma periódica, e cando menos cada dous anos, salvo modificacións substanciais nos sistemas que poidan afectar a súa seguridade, unha auditoría que verifique o cumprimento dos requirimentos establecidos por esta norma, así como a avaliación e valoración da eficacia das medidas técnicas e organizativas adoptadas para garantir a seguridade dos tratamentos de datos persoais e dos sistemas da información.
De forma adicional e en cumprimento do establecido no artigo 32 e concordantes do RXPD, LOPDGDD e demais normativa vixente en materia de protección de datos persoais, implantarase un proceso de auditorías para a verificación, avaliación e valoración regulares da eficacia das medidas técnicas e organizativas para garantir a seguridade do tratamento.
12. Glosario.
|
Activo |
Recurso do sistema de información ou relacionado con este, necesario para que a organización funcione correctamente e alcance os obxectivos propostos pola dirección. |
|
Ameaza |
Causa potencial dun incidente non desexado, que pode ocasionar danos a un sistema de información ou a unha organización e pode basearse nunha vulnerabilidade previa, detectada ou non. |
|
Análise de riscos |
Proceso para a análise das ameazas, vulnerabilidades, riscos e impactos a que está exposto un sistema de información, tendo en conta as medidas de seguridade xa presentes. Serve como punto de partida para identificar as melloras nas medidas de seguridade, tanto no que se refire á efectividade coma aos custos. Esta análise pode facerse desde o punto de vista da protección dos datos persoais e da seguridade da información ou desde o punto de vista técnico. |
|
Auditoría |
Proceso sistemático, independente e documentado que persegue a obtención de evidencias obxectivas e a súa avaliación obxectiva para determinar en que medida se cumpren os criterios de auditoría en relación coa idoneidade dos controis de seguridade adoptados, o cumprimento da política de seguridade, as normas e os procedementos operativos establecidos, e detectando desviacións aos anteditos criterios. |
|
Autenticidade |
Propiedade ou característica consistente en que unha entidade é quen di ser ou ben que garante a fonte de que proceden os datos (ENS). |
|
Avaliación de impacto relativa á protección de datos (AIPD) |
Proceso ligado aos principios de protección de datos desde o deseño e, por defecto, concibido para describir, de maneira anticipada e preventiva, un tratamento de datos persoais, avaliar a súa necesidade e proporcionalidade e xestionar os potenciais riscos para os dereitos e liberdades a que estarán expostos os datos persoais en función das actividades de tratamento que se leven a cabo con estes, determinando as medidas necesarias para reducilos ata un nivel de risco aceptable (AEPD). |
|
Confidencialidade |
Propiedade ou característica consistente en que a información nin se pon á disposición nin se revela a individuos, entidades ou procesos non autorizados (ENS). |
|
Corpo normativo |
Conxunto de normas que desenvolven de forma máis concreta a maneira de alcanzar os obxectivos dunha política. |
|
Dato persoal |
Toda información sobre unha persoa física identificada ou identificable. Considerarase persoa física identificable toda persoa cuxa identidade poida determinarse, directa ou indirectamente, en particular mediante un identificador (RXPD). |
|
Dispoñibilidade |
Propiedade ou característica dos activos consistente en que as entidades ou os procesos autorizados teñan acceso a estes cando o requiren (ENS). |
|
Incidente de seguridade |
Evento ou incidencia que afecta a degradación dun servizo ou as operacións nun ou en varios ámbitos como poidan ser a privacidade, continuidade, seguridade da información etc. |
|
Integridade |
Propiedade ou característica consistente en que o activo de información non foi alterado de maneira non autorizada. |
|
Medidas de seguridade |
Conxunto de disposicións encamiñadas a protexerse dos riscos posibles sobre o sistema de información, co fin de asegurar os seus obxectivos de seguridade. Pode tratarse de medidas de prevención, disuasión, protección, detección e reacción, ou ben de recuperación (ENS). |
|
Política de seguridade da información e protección de datos persoais |
Documento de alto nivel que especifica os obxectivos en materia de seguridade e protección de datos persoais dunha organización, e reflicte o compromiso da dirección para alcanzalos. |
|
Risco |
Estimación do grao de exposición a que unha ameaza se materialice sobre un ou máis activos, con danos ou perdas para a organización (ENS). |
|
Risco residual |
É o risco remanente despois do tratamento do risco. |
|
Seguridade da Información |
Preservación da confidencialidade, a integridade e a dispoñibilidade da información. Pode, ademais, abarcar outras propiedades coma a autenticidade, responsabilidade, fiabilidade e prevención do repudio. |
|
Sistema de información |
Conxunto organizado de recursos para que a información se poida recoller, almacenar, procesar ou tratar, manter, usar, compartir, distribuír, poñer á disposición, presentar ou transmitir (ENS). |
|
Rastrexabilidade |
Propiedade ou característica consistente en que as actuacións dunha entidade poden ser imputadas exclusivamente á devandita entidade (ENS). |
|
Tratamento de datos persoais |
Calquera operación ou conxunto de operacións realizadas sobre datos persoais ou conxunto de datos persoais, xa sexa por procedementos automatizados ou non, como a recollida, rexistro, organización, estruturación, conservación, adaptación ou modificación, extracción, consulta, utilización, comunicación por transmisión, difusión ou calquera outra forma de habilitación ou acceso, cotexo, limitación, supresión ou destrución (RXPD). |
|
Violación de seguridade dos datos persoais |
Incidente que ocasiona a destrución, perda ou alteración accidental ou ilícita de datos persoais transmitidos, conservados ou tratados doutra forma, ou a comunicación ou acceso non autorizado aos ditos datos (RXPD). |
|
Vulnerabilidade |
Unha debilidade que pode ser aproveitada por unha ameaza (ENS). |
|
Xestión de continuidade |
Actividades que leva a cabo unha organización para asegurar que todos os procesos de negocio críticos estarán dispoñibles para os seus usuarios, clientes, provedores e outras entidades que deban utilizalos. |
|
Xestión de incidentes |
Procesos orientados a recuperar o nivel habitual de funcionamento do servizo e minimizar en todo o posible o impacto negativo na organización, de forma que se manteñan a calidade do servizo e a dispoñibilidade. |
|
Xestión de riscos |
Actividades coordinadas para dirixir e controlar unha organización con respecto aos riscos (ENS). |