O Decreto 73/2014, de 12 de junho, pelo que se acreditem e se regulam os órgãos colexiados com competências em matéria de segurança da informação e governo electrónico da Administração geral e do sector público autonómico da Galiza, estabelece que a Comissão de Segurança e Governo Electrónico proporá para a sua aprovação pelo Conselho da Xunta da Galiza a política de segurança da Administração geral e do sector público da Galiza. Em consequência, trás a proposta do Pleno da Comissão de Segurança e Governo Electrónico, o Conselho da Xunta da Galiza, na sua reunião do dia vinte e cinco de junho de dois mil quinze, acordou aprovar a política de segurança da informação da Administração geral e do sector público autonómico da Galiza, que se publicou mediante a Resolução da directora da Agência para a Modernização Tecnológica da Galiza, de 10 de julho de 2015, pela que se dá publicidade à política de segurança da informação da Administração geral e do sector público autonómico da Galiza (DOG núm. 137, de 22 de julho). Trás a aprovação inicial produziram-se mudanças na normativa vigente nesta área, e o Pleno da Comissão de Segurança e Governo Electrónico acordou a proposta de elevação de uma modificação ao Conselho da Xunta, que a aprovou na sua reunião do dia 19 de abril de 2018 (DOG núm. 91, de 14 de maio).
Desde a aprovação dessa primeira modificação continuou a evolução normativa, entre a que podemos salientar normas como a Lei orgânica 3/2018, de 5 de dezembro, de protecção de dados pessoais e garantia dos direitos digitais, o Regulamento de actuação e funcionamento do sector público por meios electrónicos (Real decreto 203/2021, de 30 de março), e o Real decreto 311/2022, de 3 de maio, pelo que se regula o Esquema nacional de segurança, e, sobretudo, a Lei 4/2019, de 17 de julho, de administração digital da Galiza.
A entrada em vigor destas normas aconselha que se acometa a adopção de uma política conjunta de segurança da informação e protecção de dados pessoais onde se recolham e delimitem tanto as responsabilidades e funções em matéria de segurança da informação e de protecção daquela informação que contenha dados pessoais como questões comuns a ambos os âmbitos e próprias de cada uma delas. A maiores, é preciso incorporar as mudanças operadas recentemente pela actualização no Esquema nacional de segurança de alguns dos princípios básicos e requisitos mínimos pelos que se deve reger a ajeitada protecção da informação, e a incorporação nesta política da constituição de uma equipa de resposta ante emergências informáticas e incidentes de segurança, tal e como se recolhe na Lei 4/2019, de administração digital da Galiza, ademais de actualizar as referências normativas, o glossário e mesmo a denominação da política.
O Pleno da Comissão de Segurança e Governo Electrónico acordou o oito de maio de dois mil vinte e três a proposta de elevação desta política ao Conselho da Xunta, que a aprovou na sua reunião do dia oito de junho de dois mil vinte e três.
Por todo o exposto,
RESOLVO:
Dar publicidade à política de segurança da informação e protecção de dados pessoais da Administração geral e do sector público autonómico da Galiza, que se recolhe no anexo que se junta a esta resolução.
Santiago de Compostela, 22 de outubro de 2024
Julián Cerviño Iglesia
Director da Agência para a Modernização Tecnológica da Galiza
ANEXO
1. Política de segurança da informação e protecção de dados pessoais da Administração geral e do sector público autonómico da Galiza.
A missão da Xunta de Galicia centra-se em dirigir a política e Administração da Comunidade Autónoma da Galiza e em exercer a função executiva e a potestade regulamentar, de acordo com o Estatuto de autonomia e as leis. A Administração geral e o sector público autonómico da Galiza, baixo a direcção da Xunta de Galicia, estão inmersos num processo gradual de transição para a sociedade digital, o que comporta uma transformação substancial a nível organizativo e tecnológico.
Neste marco, as tecnologias da informação e das comunicações que conformam a estrutura digital da Administração autonómica constituem-se como um instrumento de alto nível estratégico, devido ao seu potencial para impulsionar a modernização da Administração geral e do sector público autonómico da Galiza, assim como à sua capacidade para estimular e sustentar o desenvolvimento social e económico da Galiza. Portanto, é imprescindível que a dita infra-estrutura digital seja administrada com diligência, implementando as medidas adequadas para protegê-la de ameaças de rápida evolução e com potencial para incidir na confidencialidade, integridade, disponibilidade, rastrexabilidade, autenticidade e valor da informação e dos serviços, e garantindo desta forma a segurança da informação e o cumprimento da normativa vigente em matéria de protecção de dados pessoais.
Neste contexto, o artigo 12 do Real decreto 311/2022, de 3 de maio, pelo que se regula o Esquema nacional de segurança (em diante, ENS), exixir que todos os órgãos superiores das administrações públicas disponham formalmente da sua política de segurança.
Da mesma forma, o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à protecção das pessoas físicas no que respeita ao tratamento de dados pessoais e à livre circulação destes dados, e pelo que se derrogar a Directiva 95/46/CE (Regulamento geral de protecção de dados, em diante, RXPD), estabelece no seu artigo 24 a obrigación para o responsável pelo tratamento de aplicar as medidas técnicas e organizativo apropriadas com o fim de garantir e poder demonstrar que o tratamento é conforme com o supracitado regulamento. Entre estas medidas incluir-se-á a aplicação das correspondentes políticas de protecção de dados.
Em cumprimento destas disposições, adopta-se esta política de segurança da informação e protecção de dados pessoais. A política de segurança da informação e protecção de dados pessoais é o instrumento principal em que se apoiam a Administração geral e o sector público autonómico da Galiza para alcançarem de forma conjunta os seus objectivos no relativo à segurança da informação e à protecção dos dados pessoais.
Com o fim de alcançar os ditos objectivos, implementaranse todas aquelas medidas técnicas, organizativo e legais que garantam o cumprimento das normativas vigentes em matéria de segurança da informação e protecção de dados pessoais.
Esta resolução, portanto, tem a finalidade de aprovar a política de segurança da informação e protecção de dados pessoais da Administração geral e do sector público autonómico da Galiza, assim como estabelecer a estrutura organizativo para definí-la, implantá-la e gerí-la, substituindo a política de segurança da informação previamente aprovada pelo Conselho da Xunta da Galiza mediante a Resolução de 10 de julho de 2015 e modificada pela Resolução de 4 de maio de 2018.
2. Marco normativo.
A legislação em matéria de segurança da informação e protecção de dados pessoais que deve servir de referência nesta política de segurança da informação e protecção de dados pessoais é a seguinte:
a) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à protecção das pessoas físicas no que respeita ao tratamento de dados pessoais e à livre circulação destes dados, e pelo que se derrogar a Directiva 95/46/CE (Regulamento geral de protecção de dados).
b) Directiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à protecção das pessoas físicas no que respeita ao tratamento de dados pessoais por parte das autoridades competente para fins de prevenção, investigação, detecção ou axuizamento de infracções penais ou de execução de sanções penais, e à livre circulação de ditos dados, e pela que se derrogar a Decisão marco 2008/977/JAI do Conselho.
c) Lei orgânica 3/2018, de 5 de dezembro, de protecção de dados pessoais e garantia dos direitos digitais (em diante, LOPDGDD).
d) Real decreto 311/2022, de 3 de maio, pelo que se regula o Esquema nacional de segurança.
e) Decreto 230/2008, de 18 de setembro, pelo que se estabelecem as normas de boas práticas na utilização dos sistemas de informação da Administração da Comunidade Autónoma da Galiza (em diante, DBP).
f) Decreto 73/2014, de 12 de junho, pelo que se acreditem e se regulam os órgãos colexiados com competências em matéria de segurança da informação e governo electrónico da Administração geral e do sector público autonómico da Galiza, modificado pelo Decreto 169/2016, de 24 de novembro (em diante, Decreto 73/2014, de 12 de junho).
g) Lei 39/2015, de 1 de outubro, do procedimento administrativo comum das administrações públicas (em diante, LPAC).
h) Lei 40/2015, de 1 de outubro, de regime jurídico do sector público (em diante LRXSP).
i) Lei 4/2019, de 17 de julho, da administração digital da Galiza (em diante, Ledixga).
3. Objectivos e âmbito de aplicação.
3.1. Objectivos da política de segurança da informação e protecção de dados pessoais.
A política de segurança da informação e protecção de dados pessoais da Administração geral e do sector público autonómico da Galiza tem como objectivo fundamental estabelecer os princípios gerais que dirigem o cumprimento da normativa de protecção de dados pessoais e a gestão adequada da segurança da informação no âmbito de aplicação estabelecido no número 3.2 desta resolução.
A política de segurança da informação e protecção de dados pessoais serve como declaração de intuitos e guia geral com a qual estabelecer todas as actuações em matéria de segurança da informação e protecção de dados pessoais, e fixa a estrutura que deve desenvolver-se para acometer estas actuações, tanto no âmbito organizativo coma no documentário.
A sua aprovação constata a importância que suscita a protecção dos dados pessoais e da informação manejada na Administração geral e no sector público autonómico da Galiza, ao mesmo tempo que estabelece o ponto de partida de organização para conseguir este fim.
A política de segurança da informação e protecção de dados pessoais será revista periodicamente pelos órgãos colexiados com responsabilidades em matéria de segurança da informação e de protecção de dados pessoais, assim como actualizada quando seja necessário.
3.2. Âmbito de aplicação.
Esta política será de aplicação a todos os sistemas de tecnologias da informação e comunicações, infra-estruturas e instalações em geral, no âmbito da Administração geral e do sector público autonómico da Galiza, assim como a todos os tratamentos de dados pessoais automatizado, total ou parcialmente, e não automatizado, a respeito dos que aqueles sejam responsáveis ou encarregados.
A política de segurança da informação e protecção de dados pessoais será de obrigado cumprimento para todas as entidades e unidades que conformam a estrutura desta Administração autonómica, sem excepções, e também para todo o pessoal com acesso à informação de que aquela é responsável, com independência da sua condição laboral, estatuaria ou relação pela que acede à informação.
Da mesma forma, a política de segurança da informação e protecção de dados pessoais aplicar-se-á a todas as entidades e profissionais contratados baixo qualquer modalidade, quando no exercício das suas funções tenham acesso aos sistemas de tecnologias da informação e das comunicações ou aos tratamentos de dados pessoais automatizado, total ou parcialmente, e não automatizado, a respeito dos que ambos sejam responsáveis ou encarregados.
4. Princípios da política de segurança da informação e protecção de dados pessoais.
A política de segurança da informação e protecção de dados pessoais da Administração geral e do sector público autonómico da Galiza desenvolver-se-á, com carácter geral, de acordo com os seguintes princípios:
a) Confidencialidade: dever-se-á garantir que a informação não se põe à disposição nem se revela a pessoas ou entidades não autorizadas. Em especial, todas as pessoas que intervenham em qualquer fase do tratamento dos dados pessoais estarão sujeitas ao dever de confidencialidade inclusive depois de concluir aquele.
b) Integridade: dever-se-á assegurar que a informação com que se trabalha seja completa e precisa, estabelecendo as medidas de segurança apropriadas para evitar a sua alteração ou modificação não autorizadas.
c) Disponibilidade, resiliencia e continuidade: garantir-se-á a prestação continuada dos serviços e a recuperação imediata ante possíveis continxencias, mediante medidas de recuperação orientadas à restauração dos serviços e da informação associada. Deve-se procurar que os activos estejam disponíveis quando o requeiram as pessoas autorizadas para aceder a eles.
d) Autenticidade: dever-se-á garantir que a informação se intercambiar com os interlocutores idóneos e que os serviços se acreditem correctamente.
e) Rastrexabilidade: dever-se-á garantir o seguimento das operações efectuadas sobre a informação e os serviços que o requeiram.
f) Segurança integral: a segurança percebe-se como um processo integral constituído por todos os elementos técnicos, humanos, materiais e organizativo, relacionados com o sistema, evitando, salvo casos de urgência ou necessidade, qualquer actuação pontual ou tratamento conxuntural.
g) Gestão do risco: analisar-se-ão e controlar-se-ão os riscos mediante o estabelecimento de medidas de segurança adequadas, eficazes e proporcionadas que permitam a correcção e a melhora contínuas, levando a que a organização seja cada vez mais preventiva que reactiva face aos incidentes de segurança. Devem-se minimizar os riscos até níveis aceitáveis e buscar o equilíbrio entre as medidas de segurança e a natureza da informação.
h) Prevenção: desenvolver-se-ão planos e linhas de trabalho específicas orientadas a prevenir fraudes, não cumprimentos ou incidentes relacionados com a segurança da informação e a protecção de dados pessoais.
i) Melhora contínua: rever-se-á e avaliar-se-á, de maneira recorrente, o grau de eficácia das medidas de segurança implantadas na organização para aumentar a capacidade de adaptação à constante evolução dos riscos no âmbito tecnológico e para garantir o tratamento seguro dos dados e da informação.
j) Proporcionalidade em custo: a implantação de medidas que mitiguen os riscos de segurança dos activos deverá fazer-se dentro do marco orçamental previsto para esse efeito e sempre buscando o equilíbrio entre as medidas de segurança, a natureza da informação e o orçamento previsto.
k) Conscienciação e formação: articular-se-ão programas de formação, sensibilização e conscienciação para as pessoas utentes em matéria de segurança da informação e protecção de dados pessoais, devidamente apoiados nas políticas corporativas e com um acomodado processo de seguimento e actualização.
l) Segurança e protecção de dados desde o desenho e por defeito: aplicar-se-ão as medidas técnicas e organizativo apropriadas desde as primeiras fases do desenho dos sistemas de informação e das operações de tratamento de dados pessoais, de forma que se possa garantir a intimidai das pessoas utentes, a segurança dos sistemas informáticos e o cumprimento da normativa de protecção de dados pessoais durante todo o ciclo de vida. Da mesma forma, dever-se-ão adoptar também todas aquelas medidas técnicas, legais e organizativo que garantam que, por defeito, só serão objecto de tratamento aqueles dados pessoais estritamente necessários para alcançar a finalidade que se persegue.
m) Função diferenciada: conforme o princípio que estabelece o ENS de considerar a segurança como uma função diferenciada, na Administração geral e no sector público autonómico da Galiza a função de segurança a respeito dos sistemas de informação estará diferenciada da responsabilidade sobre a prestação dos serviços.
n) Licitude, lealdade e transparência: os dados pessoais serão tratados de maneira lícita, leal e transparente em relação com as pessoas interessadas.
o) Lexitimación do tratamento de dados: só se tratarão os dados pessoais quando o dito tratamento se encontre amparado em alguma das bases jurídicas do artigo 6.1 do RXPD e, se é o caso, será ademais necessário que se cumpra alguma das circunstâncias do artigo 9.2 do RXPD.
p) Limitação da finalidade: os dados pessoais serão tratados para o cumprimento de fins determinados, explícitos e legítimos, e não serão tratados ulteriormente de maneira incompatível com os ditos fins.
q) Minimización dos dados: os dados pessoais serão adequados, pertinente e limitados ao necessário em relação com os fins para os quais são tratados.
r) Exactidão: os dados pessoais serão exactos e, se for necessário, actualizados. Adoptar-se-ão todas as medidas razoáveis para que se suprimam ou rectifiquem sem dilação os dados pessoais que sejam inexactos com respeito aos fins para os quais se tratam.
s) Limitação do prazo de conservação: os dados pessoais serão mantidos de forma que se permita a identificação das pessoas interessadas durante o tempo estritamente necessário para os fins que justificaram o seu tratamento.
t) Cumprimento normativo: todos os sistemas de informação da Administração geral e do sector público autonómico da Galiza, assim como qualquer processo relacionado, ajustar-se-ão à normativa de aplicação legal, regulamentar e sectorial que afecte a segurança da informação, em especial aquela relacionada com a intimidai e a protecção de dados pessoais e com a segurança dos sistemas, dados, comunicações e serviços electrónicos, que permita à cidadania e às administrações públicas o exercício dos direitos das pessoas afectadas e o cumprimento de deveres através da tecnologia.
u) Responsabilidade proactiva: adoptar-se-ão as medidas técnicas e organizativo necessárias que permitam estar em condições de demonstrar o cumprimento dos anteriores princípios.
5. Organização da segurança da informação e da protecção de dados pessoais.
5.1. Responsabilidade geral.
O cumprimento das normativas vigentes em matéria de segurança da informação e protecção de dados pessoais será considerado o objectivo comum de todas as pessoas ao serviço da Administração geral e do sector público autonómico da Galiza.
Da mesma forma, serão as pessoas, junto com a tecnologia e os processos, o alicerce fundamental que permitirá alcançar o dito objectivo.
5.2. Comissão de Segurança e Governo Electrónico da Administração geral e do sector público autonómico da Galiza.
A Comissão de Segurança e Governo Electrónico da Administração geral e do sector público autonómico da Galiza tem como funções as definidas no Decreto 73/2014, de 12 de junho, pelo que se acreditem e se regulam os órgãos colexiados com competências em matéria de segurança da informação e governo electrónico da Administração geral e do sector público autonómico da Galiza, modificado pelo Decreto 169/2016, de 24 de novembro.
5.3. Subcomisión de Segurança.
A Subcomisión de Segurança tem como funções as definidas no Decreto 73/2014, de 12 de junho, pelo que se acreditem e se regulam os órgãos colexiados com competências em matéria de segurança da informação e governo electrónico da Administração geral e do sector público autonómico da Galiza, modificado pelo Decreto 169/2016, de 24 de novembro.
5.4. Róis e responsabilidades.
5.4.1. Esquema nacional de segurança.
Seguindo o princípio que estabelece o ENS de considerar a segurança como uma função diferenciada, nos diferentes organismos da Administração geral e do sector público autonómico da Galiza existirão os seguintes róis e responsabilidades:
a) Responsável pela informação: dentro do seu âmbito de actuação, é o encarregado de determinar as necessidades de segurança da informação no marco estabelecido pelo anexo I do ENS e de aceitar o risco residual.
b) Responsável pelo serviço: dentro do seu âmbito de actuação, é o encarregado de determinar as necessidades de segurança do serviço no marco do anexo I do ENS, de aprovar a suspensão temporária do serviço e de aceitar o risco residual.
c) Responsável pela segurança TIC: determinará as decisões tecnológicas, no âmbito de sistemas de informação e telecomunicações, que se tomarão para proteger adequadamente a informação e os serviços segundo os requerimento estabelecidos pelos responsáveis pela informação e dos serviços.
d) Responsável pelo sistema: dentro do seu âmbito de actuação, é o encarregado de implantar e de controlar as medidas para cumprir com os requisitos de segurança da informação e dos serviços.
5.4.2. Protecção de dados pessoais.
Por sua parte, o RXPD e a LOPDGDD estabelecem as seguintes figuras a respeito do cumprimento da normativa de protecção de dados pessoais:
a) Responsável pelo tratamento: órgão ou entidade que determina os fins e os meios do tratamento de dados pessoais.
b) Encarregado do tratamento: órgão ou entidade que trata os dados pessoais por conta do responsável pelo tratamento e seguindo as suas instruções.
c) Delegado/a de protecção de dados: pessoa ou órgão colexiado que desempenhará as suas tarefas focalizándose nos riscos associados às operações de tratamento de dados pessoais, tendo em conta a natureza, o alcance, o contexto e os fins do tratamento. Tem como funções principais informar e asesorar o responsável pelo tratamento das obrigacións em matéria de cumprimento do RXPD e a LOPDGDD, assim como aquelas outras que derivem do cumprimento da normativa vigente de protecção de dados pessoais.
5.4.3. Outros róis no âmbito da segurança da informação.
Definem-se, ademais, os seguintes róis com competências em matéria de segurança da informação:
a) Coordenador de segurança da informação: dentro do seu âmbito de actuação, é o encarregado de coordenar os assuntos relativos à segurança da informação, de promover a formação e conscienciação em matéria de segurança da informação, de determinar as decisões que se deverão tomar para proteger adequadamente a informação e os serviços e de supervisionar a sua implantação em todos os aspectos não relacionados com as TIC. No exercício das ditas funções será o encarregado de comunicar-se a este respeito com a direcção, com o resto da organização e com terceiras partes, assim como de supervisionar o aliñamento da segurança com os objectivos da organização.
b) Alta direcção: a alta direcção é a responsável por fixar os objectivos perseguidos pela organização.
5.5. Aprovação de róis e responsabilidades e resolução de conflitos.
As condições que devem cumprir as pessoas com as responsabilidades anteriores serão aprovadas segundo estabelece o artigo 5.j) do Decreto 73/2014, de 12 de junho, pelo que se acreditem e se regulam os órgãos colexiados com competências em matéria de segurança da informação e governo electrónico da Administração geral e do sector público autonómico da Galiza.
Enquanto não se estabeleçam os mecanismos que se devem seguir para a resolução de conflitos em cada um dos âmbitos de actuação a que afecte esta política, seguir-se-á o princípio de hierarquia que rege nas administrações públicas, e será o superior xerárquico que corresponda o encarregado de resolver os conflitos que possam surgir, sem prejuízo da independência de os/das delegados/as de protecção de dados no desempenho das suas funções, que deverá ser respeitada segundo o estabelecido no RXPD, na LOPDGDD e demais normativa de protecção de dados pessoais aplicável.
6. Desenvolvimento da política de segurança da informação e protecção de dados pessoais.
O corpo normativo sobre segurança da informação e protecção de dados pessoais é de obrigado cumprimento e desenvolver-se-á em níveis, segundo o âmbito de aplicação e o nível de detalhe técnico, de maneira que cada norma se fundamente nas normas de nível superior. Os supracitados níveis de desenvolvimento são os seguintes:
a) Primeiro: política de segurança da informação e protecção de dados pessoais. Está constituído por este documento e é de obrigado cumprimento. Corresponde à Comissão de Segurança e Governo Electrónico elaborar a proposta para a sua aprovação pelo Conselho da Xunta da Galiza, assim como a sua revisão periódica.
b) Segundo: políticas, instruções, planos de acção e actuações estratégicas em matéria de segurança da informação e protecção de dados pessoais. Está constituído pelo conjunto de documentos que tratam da aplicação desta política. Os documentos relativos a este segundo nível normativo propô-los-á a Subcomisión de Segurança à Comissão de Segurança e Governo Electrónico, que será quem os aprove.
c) Terceiro: outra normativa de segurança da informação e protecção de dados pessoais. Está constituído pelo conjunto de normas que desenvolvem a política de segurança da informação e protecção de dados pessoais e que servem para indicar como se deve actuar. As disposições de âmbito transversal que não estejam baixo a competência de outros órgãos serão aprovadas pela Subcomisión de Segurança.
d) Quarto: procedimentos de segurança da informação e protecção de dados pessoais. Conjunto de documentos que descrevem explicitamente e passo a passo como se deve realizar uma certa actividade. A responsabilidade de aprovação destes procedimentos dependerá do seu âmbito de aplicação, que poderá ser num âmbito específico ou num sistema de informação determinado.
Ademais dos documentos citados, o corpo normativo de segurança poderá contar com outra documentação, como, por exemplo, recomendações, boas práticas, relatórios, resoluções, registros, evidências electrónicas etc.
7. Gestão da segurança e a protecção de dados pessoais.
7.1. Gestão de riscos e avaliações de impacto relativas à protecção de dados.
A gestão de riscos é uma parte essencial do processo de segurança e deve realizar-se de maneira contínua sobre os sistemas de informação, com o objectivo de manter os âmbitos controlados e de minimizar os riscos até níveis aceitáveis.
A gestão de riscos será preceptiva para os sistemas de informação incluídos dentro do marco estabelecido pelo Real decreto 311/2022, de 3 de maio, pelo que se regula o Esquema nacional de segurança. Quando nos sistemas de informação se estejam a tratar dados pessoais, a dita gestão de riscos adaptará aos critérios de determinação do risco estabelecidos no RXPD, na LOPDGDD e demais normativa de protecção de dados pessoais aplicável.
Os responsáveis pela informação e do serviço são os responsáveis pelos riscos sobre a informação e os serviços, respectivamente, e serão os que asseguram o seu seguimento e controlo, sem prejuízo da possibilidade de delegar estas tarefas. Para isso, poderão contar no processo com a participação e com o asesoramento do responsável pela segurança TIC e do responsável pelo sistema.
Para a realização da análise de riscos ter-se-ão em conta as recomendações publicado para o âmbito da Administração pública e, em especial, as guias elaboradas pelo Centro Criptolóxico Nacional, as disposições da Agência Espanhola de Protecção de Dados (em adiante, AEPD) e o Comité Europeu de Protecção de Dados.
A avaliação dos riscos repetir-se-á regularmente para os sistemas de informação, dentro do alcance indicado nesta epígrafe.
Quando seja preciso, deverão levar-se a cabo as oportunas avaliações de impacto relativas à protecção de dados (AIPD) de conformidade com o estabelecido no RXPD, na LOPDGDD, na demais normativa de protecção de dados aplicável e nas disposições publicado pela AEPD e o Comité Europeu de Protecção de Dados.
7.2. Gestão dos incidentes de segurança.
De conformidade com o estabelecido no ENS, adoptar-se-á um protocolo de notificação de incidentes de segurança que estabelecerá as medidas de prevenção, reacção e recuperação oportunas, assim como as responsabilidades e os procedimentos de gestão e de notificação para garantir uma resposta rápida, eficaz e ordenada ante a ocorrência dos incidentes.
7.2.1. Violações de segurança dos dados pessoais.
Todo o incidente de segurança que afecte dados pessoais constituirá uma violação da segurança dos dados pessoais conforme o disposto nos artigos 33 e 34 do RXPD.
A Administração geral e o sector público autonómico da Galiza deverão implementar planos de actuação ou procedimentos de resposta para gerir e notificar as violações de segurança. Além disso, quando os supracitados organismos ou entidades tenham a condição de encarregados do tratamento dos dados pessoais, deverão estabelecer os procedimentos necessários para a gestão e notificação das violações de segurança relacionados com as actividades de tratamento que realizem por conta de um responsável.
Com este objectivo, dever-se-ão implementar todos os mecanismos e procedimentos que se considerem adequados para conseguir uma gestão eficaz e eficiente das violações de segurança. Para tal fim, ter-se-á em conta o disposto no RXPD, na LOPDGDD, na demais normativa vigente de protecção de dados pessoais e nas guias e recomendações da AEPD, assim como as directrizes do Comité Europeu de Protecção de Dados.
7.2.2. Equipa de resposta ante as emergências informáticas e os incidentes de segurança (CSIRT).
Conforme o recolhido no artigo 94.1 da Ledixga, a Administração geral e as entidades instrumentais do sector público autonómico constituirão uma equipa de resposta ante as emergências informáticas e os incidentes de segurança (CSIRT), que actuará como centro de resposta ante incidentes de segurança em tecnologias da informação e da comunicação e velará pelo desenvolvimento de medidas preventivas e correctivas neste âmbito.
7.3. Deveres do pessoal.
Todo o pessoal tem o dever de conhecer e cumprir a política de segurança da informação e protecção de dados pessoais, e colaborar tanto na sua implementación como na implementación das demais normas e procedimentos que a desenvolvam. O seu não cumprimento poderá ser sancionado de conformidade com a normativa disciplinaria correspondente.
Todo o pessoal tem o dever de confidencialidade e secreto a respeito da informação a que tenha acesso no desempenho da sua actividade ou posto profissional, limitando-se a empregá-la para cumprir as tarefas ou funções profissionais encomendadas, e mantendo a devida discrição sobre aqueles assuntos que conheçam por razão do seu cargo, de conformidade com o recolhido no artigo 5 da LOPDGDD.
8. Conscienciação e formação.
Corresponde-lhe à Subcomisión de Segurança promover a formação e conscienciação em matéria de segurança da informação e protecção de dados pessoais no âmbito da Administração geral e do sector público autonómico da Galiza. Os/as delegar/as de protecção de dados colaborarão na elaboração dos planos de formação e conscienciação em matéria de protecção de dados pessoais, consonte o estabelecido na normativa vigente em matéria de protecção de dados pessoais.
Desenvolver-se-ão actividades específicas orientadas à formação e à conscienciação de todo o pessoal em matéria de segurança da informação e protecção de dados pessoais, assim como à difusão da política de segurança da informação e o seu desenvolvimento normativo, e estarão dirigidas em particular ao pessoal de nova incorporação.
Todo o pessoal que empregue sistemas de tecnologias da informação e as comunicações receberá formação para o manejo seguro dos supracitados sistemas.
Para estes efeitos, os planos de formação e conscienciação incluirão actividades específicas nos âmbitos da segurança da informação e da protecção de dados pessoais.
9. Informação sobre o tratamento de dados pessoais.
9.1. Dever de informação.
De conformidade com o princípio de transparência recolhido nos artigos 13 e 14 do RXPD, os responsáveis pelo tratamento proporcionarão às pessoas interessadas informação detalhada sobre os tratamentos que lhes concirnan no momento da recolhida dos dados pessoais ou, quando os dados não se obtivessem da pessoa interessada, como mais tarde no prazo dentro de um mês.
Para facilitar o correcto cumprimento do dever de informação desenvolver-se-ão os oportunos modelos ou standard de adequação do clausulado informativo seguindo o estabelecido no RXPD, na LOPDGDD e demais normativa vigente em matéria de protecção de dados pessoais, tendo em consideração as guias, recomendações e demais disposições publicado pela AEPD.
9.2. Registro de Actividades de Tratamento.
O princípio de transparência que rege as actuações das administrações públicas estabelece que estas deverão publicar de forma periódica e actualizada a informação cujo conhecimento seja relevante para garantir a transparência da sua actividade.
Em cumprimento deste princípio e do artigo 6 bis da Lei 19/2013, de 9 de dezembro, de transparência, acesso à informação pública e bom governo, a Administração geral e o sector público autonómico da Galiza comprometem-se a publicar e manter actualizado o Registro de Actividades de Tratamento de dados pessoais que se realizam e a incluir nele toda a informação requerida pelo RXPD, pela LOPDGDD e demais normativa vigente em matéria de protecção de dados pessoais.
10. Direitos das pessoas na sua relação com a Administração geral e com o sector público autonómico da Galiza.
Conforme o recolhido na LPAC, as pessoas são titulares do direito à protecção de dados pessoais na sua relação com a Administração geral e com o sector público autonómico da Galiza e, em particular, têm direito à segurança e confidencialidade dos dados que figurem nos ficheiros, sistemas e aplicações da Administração geral e do sector público autonómico da Galiza.
Em aplicação da LRXSP, a Administração geral e o sector público autonómico da Galiza, garantirão a protecção de dados pessoais nos médios electrónicos através dos que se relacionem.
Em cumprimento destas premisas, a Administração geral e o sector público autonómico da Galiza aplicarão as medidas técnicas e organizativo apropriadas de forma que se possa garantir a confidencialidade dos dados das pessoas utentes, a segurança dos sistemas informáticos e o cumprimento da normativa de protecção de dados pessoais durante todo o ciclo de vida do tratamento dos dados e da relação das pessoas com a Administração geral e com o sector público autonómico da Galiza.
10.1. Exercício de direitos de protecção de dados.
A normativa vigente reconhece às pessoas interessadas uma série de direitos relativos à protecção dos seus dados pessoais.
Com o objectivo de atender, dar resposta e facilitar o exercício destes direitos, a Administração geral e o sector público autonómico da Galiza estabelecerão os mecanismos e procedimentos apropriados que garantam uma gestão eficaz e transparente das solicitudes de exercício de direitos e o cumprimento dos requisitos exixir pelo RXPD, pela LOPDGDD e demais normativa vigente em matéria de protecção de dados pessoais.
Corresponde a cada responsável por tratamento verificar que existem os canais adequados para que as pessoas interessadas possam exercer estes direitos.
Assim, as pessoas interessadas têm direito:
(i) a obter confirmação de se se estão a tratar ou não dados pessoais que lhe concirnan e, em tal caso, a aceder a tais dados;
(ii) a obter a rectificação dos dados pessoais inexactos que lhe concirnan, assim como a que se completem aqueles dados pessoais que sejam incompletos;
(iii) a obter a supresión dos dados pessoais que lhe concirnan quando concorra alguma das circunstâncias previstas no artigo 17 do RXPD;
(iv) a obter a limitação do tratamento dos dados quando se cumpra alguma das condições do artigo 18 do RXPD;
(v) a receber os dados pessoais que lhe concirnan num formato estruturado, de uso comum e leitura mecânica, e à sua transmissão a outro responsável por tratamento, segundo o previsto no artigo 20 do RXPD;
(vi) a opor-se, por motivos relacionados com a sua situação particular, a que os dados pessoais que lhe concirnan sejam objecto de tratamento baseado no cumprimento de uma missão realizada em interesse público ou no exercício de poderes públicos, ou baseado na necessidade de satisfazer interesses legítimos;
(vii) a retirar o consentimento para o tratamento dos dados pessoais previamente outorgado, sem que a dita retirada afecte a licitude do tratamento prévio;
(viii) a não ser objecto de decisões individuais baseadas unicamente no tratamento automatizado, incluída a elaboração de perfis, que produza efeitos jurídicos na pessoa interessada ou a afecte significativamente de modo similar.
11. Auditoria.
Conforme o disposto no artigo 31 do ENS, deverá levar-se a cabo de forma periódica, e quando menos cada dois anos, salvo modificações substanciais nos sistemas que possam afectar a sua segurança, uma auditoria que verifique o cumprimento dos requerimento estabelecidos por esta norma, assim como a avaliação e valoração da eficácia das medidas técnicas e organizativo adoptadas para garantir a segurança dos tratamentos de dados pessoais e dos sistemas da informação.
De forma adicional e em cumprimento do estabelecido no artigo 32 e concordante do RXPD, LOPDGDD e demais normativa vigente em matéria de protecção de dados pessoais, implantar-se-á um processo de auditoria para a verificação, avaliação e valoração regulares da eficácia das medidas técnicas e organizativo para garantir a segurança do tratamento.
12. Glossário.
|
Activo |
Recurso do sistema de informação ou relacionado com este, necessário para que a organização funcione correctamente e alcance os objectivos propostos pela direcção. |
|
Ameaça |
Causa potencial de um incidente não desejado, que pode ocasionar danos a um sistema de informação ou a uma organização e pode basear-se numa vulnerabilidade prévia, detectada ou não. |
|
Análise de riscos |
Processo para a análise das ameaças, vulnerabilidades, riscos e impactos a que está exposto um sistema de informação, tendo em conta as medidas de segurança já presentes. Serve como ponto de partida para identificar as melhoras nas medidas de segurança, tanto no que se refere à efectividade coma aos custos. Esta análise pode fazer desde o ponto de vista da protecção dos dados pessoais e da segurança da informação ou desde o ponto de vista técnico. |
|
Auditoria |
Processo sistemático, independente e documentado que persegue a obtenção de evidências objectivas e a sua avaliação objectiva para determinar em que medida se cumprem os critérios de auditoria em relação com a idoneidade dos controlos de segurança adoptados, o cumprimento da política de segurança, as normas e os procedimentos operativos estabelecidos, e detectando deviações aos anteditos critérios. |
|
Autenticidade |
Propriedade ou característica consistente em que uma entidade é quem diz ser ou se bem que garante a fonte de que procedem os dados (ENS). |
|
Avaliação de impacto relativa à protecção de dados (AIPD) |
Processo ligado aos princípios de protecção de dados desde o desenho e, por defeito, concebido para descrever, de maneira antecipada e preventiva, um tratamento de dados pessoais, avaliar a sua necessidade e proporcionalidade e gerir os potenciais riscos para os direitos e liberdades a que estarão expostos os dados pessoais em função das actividades de tratamento que se levem a cabo com estes, determinando as medidas necessárias para reduzir até um nível de risco aceitável (AEPD). |
|
Confidencialidade |
Propriedade ou característica consistente em que a informação nem se põe à disposição nem se revela a indivíduos, entidades ou processos não autorizados (ENS). |
|
Corpo normativo |
Conjunto de normas que desenvolvem de forma mais concreta a maneira de alcançar os objectivos de uma política. |
|
Dado pessoal |
Toda a informação sobre uma pessoa física identificada ou identificable. Considerar-se-á pessoa física identificable toda a pessoa cuja identidade possa determinar-se, directa ou indirectamente, em particular mediante um identificador (RXPD). |
|
Disponibilidade |
Propriedade ou característica dos activos consistente em que as entidades ou os processos autorizados tenham acesso a estes quando o requerem (ENS). |
|
Incidente de segurança |
Evento ou incidência que afecta a degradação de um serviço ou as operações num ou em vários âmbitos como possam ser a privacidade, continuidade, segurança da informação etc. |
|
Integridade |
Propriedade ou característica consistente em que o activo de informação não foi alterado de maneira não autorizada. |
|
Medidas de segurança |
Conjunto de disposições encaminhadas a proteger dos riscos possíveis sobre o sistema de informação, com o fim de assegurar os seus objectivos de segurança. Pode tratar-se de medidas de prevenção, disuasión, protecção, detecção e reacção, ou bem de recuperação (ENS). |
|
Política de segurança da informação e protecção de dados pessoais |
Documento de alto nível que especifica os objectivos em matéria de segurança e protecção de dados pessoais de uma organização, e reflecte o compromisso da direcção para alcançá-los. |
|
Risco |
Estimação do grau de exposição a que uma ameaça se materializar sobre um ou mais activos, com danos ou perdas para a organização (ENS). |
|
Risco residual |
É o risco remanente depois do tratamento do risco. |
|
Segurança da Informação |
Preservação da confidencialidade, a integridade e a disponibilidade da informação. Pode, ademais, abarcar outras propriedades coma a autenticidade, responsabilidade, fiabilidade e prevenção do repúdio. |
|
Sistema de informação |
Conjunto organizado de recursos para que a informação se possa recolher, armazenar, processar ou tratar, manter, usar, partilhar, distribuir, pôr à disposição, apresentar ou transmitir (ENS). |
|
Rastrexabilidade |
Propriedade ou característica consistente em que as actuações de uma entidade podem ser imputadas exclusivamente à supracitada entidade (ENS). |
|
Tratamento de dados pessoais |
Qualquer operação ou conjunto de operações realizadas sobre dados pessoais ou conjunto de dados pessoais, já seja por procedimentos automatizado ou não, como a recolhida, registro, organização, estruturación, conservação, adaptação ou modificação, extracção, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de habilitação ou acesso, cotexo, limitação, supresión ou destruição (RXPD). |
|
Violação de segurança dos dados pessoais |
Incidente que ocasiona a destruição, perda ou alteração acidental ou ilícita de dados pessoais transmitidos, conservados ou tratados de outra forma, ou a comunicação ou acesso não autorizado aos ditos dados (RXPD). |
|
Vulnerabilidade |
Uma debilidade que pode ser aproveitada por uma ameaça (ENS). |
|
Gestão de continuidade |
Actividades que leva a cabo uma organização para assegurar que todos os processos de negócio críticos estarão disponíveis para os seus utentes, clientes, provedores e outras entidades que devam utilizá-los. |
|
Gestão de incidentes |
Processos orientados a recuperar o nível habitual de funcionamento do serviço e minimizar em todo o possível o impacto negativo na organização, de forma que se mantenham a qualidade do serviço e a disponibilidade. |
|
Gestão de riscos |
Actividades coordenadas para dirigir e controlar uma organização com respeito aos riscos (ENS). |