A Lei 39/2015, do 1 de outubro, do procedemento administrativo común das administracións públicas, no seu artigo 13, outorga aos cidadáns nas súas relacións coas administracións públicas o dereito á protección de datos de carácter persoal e, en particular, os relativos á seguridade e confidencialidade dos datos das persoas que figuren nos arquivos, sistemas e aplicacións das administracións públicas.

Doutra banda, o artigo 156 da Lei 40/2015, do 1 de outubro, de réxime xurídico do sector público, introduce o Esquema nacional de seguridade (ENS) no ámbito da Administración electrónica, que ten por obxecto establecer a política de seguridade na utilización de medios electrónicos no ámbito das administracións, e que está constituído polos principios básicos e requisitos mínimos que garantan adecuadamente a seguridade da información tratada. Este último é obxecto de regulación específica no Real decreto 311/2022, do 3 de maio, polo que se regula o Esquema nacional de seguridade.

O Real decreto 311/2022, do 3 de maio, pretende aliñar o ENS co marco normativo e o contexto estratéxico existente para garantir a seguridade na administración dixital, introducir a capacidade de axustar os requisitos do ENS para garantir a súa adaptación á realidade de certos colectivos ou tipos de sistemas, atendendo á semellanza que presenta unha multiplicidade de entidades ou servizos en canto aos riscos a que están expostos os seus sistemas de información e os seus servizos e facilitar unha mellor resposta ás tendencias en ciberseguridade, reducir vulnerabilidades e promover a vixilancia continua mediante a revisión dos principios básicos, dos requisitos mínimos e das medidas de seguridade.

En concreto, o artigo 12 do Real decreto 311/2022, do 3 de maio, obriga a que cada órgano ou entidade con personalidade xurídica propia, comprendido no ámbito subxectivo do artigo 2 da citada norma, deberá contar cunha política de seguridade formalmente aprobada polo órgano competente.

E, por último, cómpre ter presente a regulación contida no Regulamento (UE) nº 2016/679 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos e polo que se derroga a Directiva 95/46/CE (tamén denominado Regulamento xeral de protección de datos). Este regulamento ten por obxecto protexer os dereitos e liberdades fundamentais das persoas físicas e, en particular, o seu dereito á protección dos datos persoais.

Para dar cumprimento á normativa anteriormente citada, a Consellería do Medio Rural aprobou a Orde de 1 de febreiro de 2021 de regulación do Comité de Seguridade da Información do Fondo Galego de Garantía Agraria e de adaptación da normativa de seguridade da información. Ademais, recentemente, a Xunta de Galicia dispón dunha nova política de seguridade da información da Administración xeral e do sector público autonómico de Galicia, aprobada polo Consello da Xunta mediante a Resolución do 22 de outubro de 2024 pola que se dá publicidade á política de seguridade da información e protección de datos persoais da Administración xeral e do sector público autonómico de Galicia.

No punto 5.4.3, letra a), desta resolución regúlase o rol de coordinador de seguridade da información, que é o encargado de coordinar os asuntos relativos á seguridade da información dentro do seu ámbito de actuación, de promover a formación e concienciación en materia de seguridade da información, de determinar as decisións que se tomen para protexer adecuadamente a información e os servizos e de supervisar a súa implantación en todos os aspectos non relacionados coas TIC. No exercicio das ditas funcións será encargado de comunicarse coa dirección, co resto da organización e con terceiras persoas, así como de supervisar o aliñamento da seguridade cos obxectivos da organización. Esta figura defínese con máis precisión no modelo de roles e responsabilidades aprobado pola Comisión de Seguridade e Goberno Electrónico e pode ser asumida por unha persoa física ou un órgano colexiado. Esta previsión recóllese no artigo 8.1 do Decreto 73/2014, do 12 de xuño, polo que se crean e se regulan os órganos colexiados con competencias en materia de seguridade da información e goberno electrónico da Administración xeral e do sector público autonómico de Galicia, consonte a modificación que del efectuou o Decreto 169/2016, do 24 de novembro.

Por outra banda, hai que ter presente que o Decreto 155/2006, do 7 de setembro, polo que se establece o réxime do organismo pagador dos fondos europeos agrarios de Galicia, constitúe o Fogga como organismo pagador do Fondo Europeo Agrícola de Garantía (Feaga) e do Fondo Europeo Agrícola de Desenvolvemento Rural (Feader).

Segundo os estatutos deste organismo, aprobados polo Decreto 7/2014, do 16 de xaneiro, o Fondo Galego de Garantía Agraria (Fogga) configúrase como unha entidade pública instrumental, con personalidade xurídica propia e diferenciada respecto da Administración xeral da Comunidade Autónoma de Galicia e plena capacidade de obrar para o cumprimento do seus fins. De especial relevancia en relación coa configuración e estrutura interna do Fogga resulta a súa consideración como organismo pagador dos fondos europeos agrícolas en Galicia, en virtude do disposto no Decreto 155/2006, do 7 de setembro, e na Orde do 4 de outubro de 2007 pola que se autoriza o Fondo Galego de Garantía Agraria como organismo pagador dos ditos fondos en Galicia.

En canto organismo pagador, debe respectar as prescricións previstas no Regulamento (UE) nº 2022/127 da Comisión, do 7 de decembro de 2021, que completa o Regulamento (UE) nº 2116/2021 do Parlamento Europeo e do Consello, do 2 de decembro de 2021, con normas relativas aos organismos pagadores e outros órganos, a xestión financeira, a liquidación de contas, as garantías e o uso do euro. O artigo 1.2.c) deste regulamento exixe que os organismos pagadores cumpran os criterios de autorización previstos no seu anexo I en diversos ámbitos, como o da información e da comunicación.

O anexo I.3 do Regulamento 2022/127 exixe que o organismo pagador aplique en materia de seguridade da información os criterios previstos nas normas que contén.

É necesario, polo tanto, adaptar a política de seguridade da información e de protección de datos persoais do Fogga á nova política de seguridade da información e protección de datos persoais da Xunta de Galicia, atribuíndo ao Comité de Seguridade da Información do Fondo Galego de Garantía Agraria o rol de coordinador de seguridade da información e, tras a análise do funcionamento do Comité de Seguridade da Información do Fogga desde a súa constitución, é oportuno modificalo ampliando as funcións do Comité, outorgando a Presidencia do Comité á persoa titular da Dirección do Fogga e cambiando a composición e a categoría dos seus membros, pasando aqueles membros que tiñan a categoría de membros invitados a membros permanentes co fin de procurar unha maior implicación e participación dos órganos xestores delegados na aplicación das políticas e directrices de seguridade da información na xestión da PAC na Comunidade Autónoma de Galicia.

Na súa virtude, no exercicio das facultades que me foron concedidas con base no artigo 34 da Lei 1/1983, do 22 de febreiro, de normas reguladoras da Xunta e da súa Presidencia,

DISPOÑO:

TÍTULO PRELIMINAR

Disposicións xerais

Artigo 1. Obxecto

Esta orde ten por obxecto:

a) Regular a composición e funcións do Comité de Seguridade da Información do Fondo Galego de Garantía Agraria.

b) Establecer o estándar de calidade ISO 27002 como norma básica para a implantación do sistema de seguridade das tecnoloxías da información no ámbito do Fogga.

TÍTULO I

Comité de Seguridade da Información do Fogga

Artigo 2. Natureza e composición

1. O Comité de Seguridade da Información do Fogga é o órgano colexiado e paritario de participación no Fogga destinado á consulta regular e periódica das actuacións en materia de xestión de seguridade da información no ámbito competencial do Fogga e dos organismos xestores delegados.

2. O Comité de Seguridade da Información do Fogga, de conformidade co disposto no punto 5.4.3, letra a), da Resolución do Consello da Xunta, do 22 de outubro de 2024, pola que se dá publicidade á política de seguridade da información e protección de datos persoais da Administración xeral e do sector público autonómico de Galicia, asume o rol de coordinador de seguridade da información no seu ámbito de actuación.

3. O Comité de Seguridade da Información do Fogga está integrado polos membros permanentes e polos membros invitados.

4. Os membros permanentes do Comité de Seguridade da Información do Fogga son:

a) A persoa titular da Dirección do Fogga.

b) A persoa titular da Secretaría do Fogga.

c) A persoa titular da Subdirección Xeral de Xestión da PAC.

d) A persoa titular do Servizo de Xestión Administrativa do Fogga.

e) A persoa titular do Servizo de Xestión Económica do Fogga.

f) A persoa titular do Servizo de Auditoría Interna do Fogga.

g) Un máximo de dúas persoas representantes da Axencia para a Modernización Tecnolóxica de Galicia. Unha das persoas previstas nesta letra deberá representar a unidade da Amtega competente en materia de seguridade da información.

h) Unha persoa representante de cada un dos órganos xestores que teñan en vigor unha delegación de funcións autorizada polo Fogga dos fondos europeos Feaga e Feader, agás aqueles xestores delegados que polas súas especiais características teñan una política de seguridade da información propia. Cada órgano delegado autorizado é competente para designar o seu representante no Comité de Seguridade da Información e un suplente que comunicará á Secretaría do Fogga.

5. Son membros invitados do Comité de Seguridade da Información do Fogga:

a) Unha persoa representante de cada un dos órganos xestores que teñan en vigor unha delegación de funcións autorizada polo Fogga dos fondos europeos Feaga e Feader e que polas súas especiais características teñan una política de seguridade da información propia. Cada un destes órganos delegados autorizados é competente para designar o seu representante no Comité de Seguridade da Información e un suplente que comunicará á Secretaría do Fogga.

b) Unha persoa representante da unidade da Intervención Xeral da Xunta de Galicia con competencias na Auditoría de Fondos Comunitarios.

6. O Comité de Seguridade da Información do Fogga contará cunha presidencia e unha secretaría.

7. Na composición do Comité atenderase ao principio de presenza equilibrada de mulleres e homes. A comunicación que se realice para a designación de representantes lembrará a importancia social de tender a este obxectivo de igualdade.

8. O Comité de Seguridade da Información do Fogga poderá reunirse en pleno ou en comisións. O regulamento de réxime interno determinará a composición e as competencias das comisións.

Artigo 3. Presidencia

1. A Presidencia do Comité de Seguridade da Información do Fogga será asumida pola persoa titular da Dirección do Fogga que será, así mesmo, responsable da información no Fogga.

2. En caso de vacante, ausencia ou enfermidade, a persoa titular da Presidencia será substituída pola persoa titular da Subdirección Xeral de Xestión da PAC e, na súa falta, pola persoa que designe a Presidencia entre os membros permanentes do Comité.

3. Son funcións da Presidencia as seguintes:

a) Representar o Comité de Seguridade da Información.

b) Convocar as reunións do Comité de Seguridade da Información e establecer a orde do día, tendo en conta, se é o caso, as peticións dos demais membros do Comité presentadas coa debida antelación.

c) Presidir as reunións, moderar os debates e suspendelos por causas xustificadas.

d) Visar as actas e os certificados dos acordos do Comité.

e) Impulsar e dirixir a acción e proxectos aprobados no Comité de Seguridade e da Información.

4. O voto da Presidencia terá carácter dirimente en caso de empate nunha votación.

Artigo 4. Secretaría

1. A Secretaría do Comité de Seguridade da Información será asumida pola persoa titular da Secretaría do Fogga.

2. En caso de vacante, ausencia ou enfermidade, a persoa titular da Presidencia será substituída pola persoa titular do Servizo de Xestión Administrativa do Fogga e, na súa falta, pola persoa que designe a persoa titular da Secretaría do Comité entre os seus membros permanentes.

3. Son funcións da persoa titular da Secretaría as seguintes:

a) Efectuar as convocatorias do Comité en nome da Presidencia, así como enviar outras comunicacións aos seus membros.

b) Preparar o despacho dos asuntos e redactar e autorizar as actas de cada sesión e expedir certificados dos acordos adoptados.

c) Custodiar a documentación relativa ao Comité.

4. A Secretaría disporá de voz e voto nas reunións.

Artigo 5. Membros permanentes do Comité

1. Os membros permanentes do Comité disporán de voz e voto nas reunións.

2. Corresponden aos membros permanentes do Comité as seguintes funcións:

a) Participar nos debates, presentar propostas e exercer o seu dereito ao voto.

b) Formular á Presidencia propostas para incluílas na orde do día.

c) Demandar a información que precisen para o desenvolvemento das súas funcións.

Artigo 6. Membros invitados

1. Os membros invitados poden asistir ás sesións con voz pero sen voto.

2. A súa función principal é asesorar o Comité nas cuestións de interese para o cumprimento da normativa en materia de seguridade da información e protección de datos persoais.

Artigo 7. Membros especiais

1. Os membros especiais do Comité de Seguridade da Información poderán ser persoal representante doutras unidades da Xunta de Galicia ou persoas expertas alleas á Administración autonómica cando o solicite algún membro permanente por consideralo relevante para a toma de decisións do Comité.

2. Os membros especiais poderán asistir, con voz pero sen voto, ás reunións do Comité cando sexa relevante a súa participación para a toma de decisións, sempre que así o solicite algún dos membros permanentes con anterioridade á data da realización da sesión e o convoque a Presidencia.

3. Terán a condición de membro especial as persoas nomeadas suplentes dos membros permanentes e invitados cando asista o titular á reunión.

Artigo 8. Ámbito de actuación

O Comité de Seguridade da Información do Fogga ten como ámbito de actuación os aspectos relativos á seguridade da información requiridos ao Fogga pola lexislación aplicable, pola normativa de protección de datos de carácter persoal e outras, así como pola normativa corporativa de maior nivel, e que non sexan competencia da Amtega ou das unidades TIC con competencias non asumidas por esta.

Artigo 9. Funcións

De acordo coa política de seguridade, as funcións do Comité de Seguridade da Información do Fogga son as seguintes:

a) Promover e procurar que os requisitos de seguridade estean aliñados cos obxectivos estratéxicos do Fogga.

b) Coordinar a implantación da política de seguridade da información e protección de datos persoais no Fogga e nos organismos xestores delegados.

c) Supervisar os cambios significativos dos sistemas que poidan afectar a política de seguridade.

d) Revisar a efectividade da política de seguridade e informes de incidencias máis significativas nesta materia.

e) Deseñar os procedementos de seguridade dentro do Fogga e a súa aprobación.

f) Manter a política de seguridade da información e protección de datos actualizada e aliñada coas actividades do Fogga e os organismos xestores delegados e controlar as ameazas sobre a información e outros activos do Fogga e os organismos xestores delegados.

g) Coordinar os aspectos de seguridade requiridos pola lexislación aplicable, así como pola normativa corporativa de maior nivel e que non sexan competencia da Amtega.

h) Investigar e actuar para previr incidencias de seguridade.

i) Asegurar que se dispón dos recursos necesarios para dar resposta ás demandas.

j) Propor a designación de responsabilidades de seguridade asociadas a cada elemento das políticas de seguridade dentro do Fogga e dos organismos xestores delegados.

k) Promover iniciativas sobre a seguridade da información e revisar o estado da seguridade da información.

l) Centralizar a planificación, desenvolvemento e control de proxectos de seguridade, definindo metodoloxías e procesos para a xestión da seguridade da información.

m) Implantar e administrar os controis de seguridade dos sistemas de información; a Amtega encargarase da parte técnica que lle corresponde.

n) Liderar e impulsar a adopción de normas de seguridade da información e protección de datos persoais, de carácter obrigatorio, no ámbito do Fogga e dos organismos xestores delegados: ISO 27002, Esquema nacional de seguridade, Regulamento (UE) nº 2016/679 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos e polo que se derroga a Directiva 95/46/CE, Lei orgánica 3/2018, do 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais, e demais normativa nacional e autonómica de aplicación, en coordinación coas directrices corporativas da Xunta de Galicia nestas materias.

Artigo 10. Réxime interno

1. O Comité rexerase para o exercicio das súas funcións polas súas propias normas de funcionamento e réxime interno, mediante a aprobación dun regulamento interno de funcionamento.

2. Sen prexuízo do anterior, o funcionamento do Comité axustarase ao establecido nos artigos 16 a 21 da Lei 16/2010, do 17 de decembro, de organización e funcionamento da Administración xeral e do sector público autonómico de Galicia, e nos artigos 15 a 18 da Lei 40/2015, do 1 de outubro, de réxime xurídico do sector público.

TÍTULO II

Estándar de seguridade do Fogga

Artigo 11. Estándar de seguridade no Fogga e requisitos do Esquema nacional de seguridade

O Fondo Galego de Garantía Agraria axustarase na súa actuación ao Código de prácticas para a seguridade da información, ciberseguridade e protección da privacidade contido na norma ISO 27002, que será a norma básica para a implantación do sistema de xestión da seguridade da información no ámbito do Fogga consonte o previsto no anexo I.3 do Regulamento (UE) nº 2022/127 da Comisión, do 7 de decembro de 2021, que completa o Regulamento (UE) nº 2116/2021 do Parlamento Europeo e do Consello, do 2 de decembro de 2021, con normas relativas aos organismos pagadores e outros órganos, a xestión financeira, a liquidación de contas, as garantías e o uso do euro.

Disposición adicional primeira. Non incremento do gasto

A constitución e o funcionamento do órgano colexiado previsto nesta orde non suporán en ningún caso un incremento do gasto público e non xerará aumento dos créditos orzamentarios asignados ao Fogga.

Disposición derrogatoria. Derrogación normativa

Queda derrogada a Orde do 1 de febreiro de 2021 de regulación do Comité de Seguridade da Información do Fondo Galego de Garantía Agraria e de adaptación da normativa de seguridade da información.

Disposición derradeira primeira. Facultade de desenvolvemento

Facúltase a persoa titular da Dirección do Fogga, no ámbito das súas respectivas competencias, para ditar as instrucións precisas para o desenvolvemento e execución desta orde.

Disposición derradeira segunda. Entrada en vigor

Esta orde entrará en vigor o día seguinte ao da súa publicación no Diario Oficial de Galicia.

Santiago de Compostela, 5 de xuño de 2025

Mª José Gómez Rodríguez
Conselleira do Medio Rural