A Lei 39/2015, de 1 de outubro, do procedimento administrativo comum das administrações públicas, no seu artigo 13, outorga aos cidadãos nas suas relações com as administrações públicas o direito à protecção de dados de carácter pessoal e, em particular, os relativos à segurança e confidencialidade dos dados das pessoas que figurem nos arquivos, sistemas e aplicações das administrações públicas.

Por outra parte, o artigo 156 da Lei 40/2015, de 1 de outubro, de regime jurídico do sector público, introduz o Esquema nacional de segurança (ENS) no âmbito da Administração electrónica, que tem por objecto estabelecer a política de segurança na utilização de meios electrónicos no âmbito das administrações, e que está constituído pelos princípios básicos e requisitos mínimos que garantam adequadamente a segurança da informação tratada. Este último é objecto de regulação específica no Real decreto 311/2022, de 3 de maio, pelo que se regula o Esquema nacional de segurança.

O Real decreto 311/2022, de 3 de maio, pretende aliñar o ENS com o marco normativo e o contexto estratégico existente para garantir a segurança na administração digital, introduzir a capacidade de ajustar os requisitos do ENS para garantir a sua adaptação à realidade de verdadeiros colectivos ou tipos de sistemas, atendendo à semelhança que apresenta uma multiplicidade de entidades ou serviços no que diz respeito aos riscos a que estão expostos os seus sistemas de informação e os seus serviços e facilitar uma melhor resposta às tendências em ciberseguridade, reduzir vulnerabilidades e promover a vigilância contínua mediante a revisão dos princípios básicos, dos requisitos mínimos e das medidas de segurança.

Em concreto, o artigo 12 do Real decreto 311/2022, de 3 de maio, obriga a que cada órgão ou entidade com personalidade jurídica própria, compreendido no âmbito subjectivo do artigo 2 da citada norma, deverá contar com uma política de segurança formalmente aprovada pelo órgão competente.

E, por último, é preciso ter presente a regulação contida no Regulamento (UE) nº 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à protecção das pessoas físicas no que respeita ao tratamento de dados pessoais e à livre circulação destes dados e pelo que se derrogar a Directiva 95/46/CE (também denominado Regulamento geral de protecção de dados). Este regulamento tem por objecto proteger os direitos e liberdades fundamentais das pessoas físicas e, em particular, o seu direito à protecção dos dados pessoais.

Para dar cumprimento à normativa anteriormente citada, a Conselharia do Meio Rural aprovou a Ordem de 1 de fevereiro de 2021 de regulação do Comité de Segurança da Informação do Fundo Galego de Garantia Agrária e de adaptação da normativa de segurança da informação. Ademais, recentemente, a Xunta de Galicia dispõe de uma nova política de segurança da informação da Administração geral e do sector público autonómico da Galiza, aprovada pelo Conselho da Xunta mediante a Resolução de 22 de outubro de 2024 pela que se dá publicidade à política de segurança da informação e protecção de dados pessoais da Administração geral e do sector público autonómico da Galiza.

No ponto 5.4.3, letra a), desta resolução regula-se o rol de coordenador de segurança da informação, que é o encarregado de coordenar os assuntos relativos à segurança da informação dentro do seu âmbito de actuação, de promover a formação e conscienciação em matéria de segurança da informação, de determinar as decisões que se tomem para proteger adequadamente a informação e os serviços e de supervisionar a sua implantação em todos os aspectos não relacionados com as TIC. No exercício das ditas funções será encarregado de comunicar com a direcção, com o resto da organização e com terceiras pessoas, assim como de supervisionar o aliñamento da segurança com os objectivos da organização. Esta figura define-se com mais precisão no modelo de róis e responsabilidades aprovado pela Comissão de Segurança e Governo Electrónico e pode ser assumida por uma pessoa física ou um órgão colexiado. Esta previsão recolhe no artigo 8.1 do Decreto 73/2014, de 12 de junho, pelo que se acreditem e se regulam os órgãos colexiados com competências em matéria de segurança da informação e governo electrónico da Administração geral e do sector público autonómico da Galiza, consonte a modificação que dele efectuou o Decreto 169/2016, de 24 de novembro.

Por outra parte, há que ter presente que o Decreto 155/2006, de 7 de setembro, pelo que se estabelece o regime do organismo pagador dos fundos europeus agrários da Galiza, constitui o Fogga como organismo pagador do Fundo Europeu Agrícola de Garantia (Feaga) e do Fundo Europeu Agrícola de Desenvolvimento Rural (Feader).

Segundo os estatutos deste organismo, aprovados pelo Decreto 7/2014, de 16 de janeiro, o Fundo Galego de Garantia Agrária (Fogga) configura-se como uma entidade pública instrumental, com personalidade jurídica própria e diferenciada a respeito da Administração geral da Comunidade Autónoma da Galiza e plena capacidade de obrar para o cumprimento do seus fins. De especial relevo em relação com a configuração e estrutura interna do Fogga resulta a sua consideração como organismo pagador dos fundos europeus agrícolas na Galiza, em virtude do disposto no Decreto 155/2006, de 7 de setembro, e na Ordem de 4 de outubro de 2007 pela que se autoriza o Fundo Galego de Garantia Agrária como organismo pagador dos ditos fundos na Galiza.

Em canto organismo pagador, deve respeitar as prescrições previstas no Regulamento (UE) nº 2022/127 da Comissão, de 7 de dezembro de 2021, que completa o Regulamento (UE) nº 2116/2021 do Parlamento Europeu e do Conselho, de 2 de dezembro de 2021, com normas relativas aos organismos pagadores e outros órgãos, a gestão financeira, a liquidação de contas, as garantias e o uso do euro. O artigo 1.2.c) deste regulamento exixir que os organismos pagadores cumpram os critérios de autorização previstos no seu anexo I em diversos âmbitos, como o da informação e da comunicação.

O anexo I.3 do Regulamento 2022/127 exixir que o organismo pagador aplique em matéria de segurança da informação os critérios previstos nas normas que contém.

É necessário, portanto, adaptar a política de segurança da informação e de protecção de dados pessoais do Fogga à nova política de segurança da informação e protecção de dados pessoais da Xunta de Galicia, atribuindo ao Comité de Segurança da Informação do Fundo Galego de Garantia Agrária o rol de coordenador de segurança da informação e, trás a análise do funcionamento do Comité de Segurança da Informação do Fogga desde a sua constituição, é oportuno modificá-lo alargando as funções do Comité, outorgando a Presidência do Comité à pessoa titular da Direcção do Fogga e mudando a composição e a categoria dos seus membros, passando aqueles membros que tinham a categoria de membros invitados a membros permanentes com o fim de procurar um maior envolvimento e participação dos órgãos administrador delegados na aplicação das políticas e directrizes de segurança da informação na gestão da PAC na Comunidade Autónoma da Galiza.

Na sua virtude, no exercício das faculdades que me foram concedidas com base no artigo 34 da Lei 1/1983, de 22 de fevereiro, de normas reguladoras da Junta e da sua Presidência,

DISPONHO:

TÍTULO PRELIMINAR

Disposições gerais

Artigo 1. Objecto

Esta ordem tem por objecto:

a) Regular a composição e funções do Comité de Segurança da Informação do Fundo Galego de Garantia Agrária.

b) Estabelecer o standard de qualidade ISSO 27002 como norma básica para a implantação do sistema de segurança das tecnologias da informação no âmbito do Fogga.

TÍTULO I

Comité de Segurança da Informação do Fogga

Artigo 2. Natureza e composição

1. O Comité de Segurança da Informação do Fogga é o órgão colexiado e paritário de participação no Fogga destinado à consulta regular e periódica das actuações em matéria de gestão de segurança da informação no âmbito competencial do Fogga e dos organismos administrador delegados.

2. O Comité de Segurança da Informação do Fogga, de conformidade com o disposto no ponto 5.4.3, letra a), da Resolução do Conselho da Xunta, de 22 de outubro de 2024, pela que se dá publicidade à política de segurança da informação e protecção de dados pessoais da Administração geral e do sector público autonómico da Galiza, assume o rol de coordenador de segurança da informação no seu âmbito de actuação.

3. O Comité de Segurança da Informação do Fogga está integrado pelos membros permanentes e pelos membros invitados.

4. Os membros permanentes do Comité de Segurança da Informação do Fogga são:

a) A pessoa titular da Direcção do Fogga.

b) A pessoa titular da Secretaria do Fogga.

c) A pessoa titular da Subdirecção Geral de Gestão da PAC.

d) A pessoa titular do Serviço de Gestão Administrativa do Fogga.

e) A pessoa titular do Serviço de Gestão Económica do Fogga.

f) A pessoa titular do Serviço de Auditoria Interna do Fogga.

g) Um máximo de duas pessoas representantes da Agência para a Modernização Tecnológica da Galiza. Uma das pessoas previstas nesta letra deverá representar a unidade da Amtega competente em matéria de segurança da informação.

h) Uma pessoa representante de cada um dos órgãos administrador que tenham em vigor uma delegação de funções autorizada pelo Fogga dos fundos europeus Feaga e Feader, excepto aqueles administrador delegados que pelas suas especiais características tenham una política de segurança da informação própria. Cada órgão delegado autorizado é competente para designar o seu representante no Comité de Segurança da Informação e um suplente que comunicará à Secretaria do Fogga.

5. São membros invitados do Comité de Segurança da Informação do Fogga:

a) Uma pessoa representante de cada um dos órgãos administrador que tenham em vigor uma delegação de funções autorizada pelo Fogga dos fundos europeus Feaga e Feader e que pelas suas especiais características tenham una política de segurança da informação própria. Cada um destes órgãos delegados autorizados é competente para designar o seu representante no Comité de Segurança da Informação e um suplente que comunicará à Secretaria do Fogga.

b) Uma pessoa representante da unidade da Intervenção Geral da Xunta de Galicia com competências na Auditoria de Fundos Comunitários.

6. O Comité de Segurança da Informação do Fogga contará com uma presidência e uma secretaria.

7. Na composição do Comité atenderá ao princípio de presença equilibrada de mulheres e homens. A comunicação que se realize para a designação de representantes lembrará a importância social de tender a este objectivo de igualdade.

8. O Comité de Segurança da Informação do Fogga poderá reunir-se em pleno ou em comissões. O regulamento de regime interno determinará a composição e as competências das comissões.

Artigo 3. Presidência

1. A Presidência do Comité de Segurança da Informação do Fogga será assumida pela pessoa titular da Direcção do Fogga que será, além disso, responsável pela informação no Fogga.

2. Em caso de vaga, ausência ou doença, a pessoa titular da Presidência será substituída pela pessoa titular da Subdirecção Geral de Gestão da PAC e, na sua falta, pela pessoa que designe a Presidência entre os membros permanentes do Comité.

3. São funções da Presidência as seguintes:

a) Representar o Comité de Segurança da Informação.

b) Convocar as reuniões do Comité de Segurança da Informação e estabelecer a ordem do dia, tendo em conta, se é o caso, os pedidos dos demais membros do Comité apresentadas com a devida antelação.

c) Presidir as reuniões, moderar os debates e suspendê-los por causas justificadas.

d) Visar as actas e os certificados dos acordos do Comité.

e) Impulsionar e dirigir a acção e projectos aprovados no Comité de Segurança e da Informação.

4. O voto da Presidência terá carácter dirimente em caso de empate numa votação.

Artigo 4. Secretaria

1. A Secretaria do Comité de Segurança da Informação será assumida pela pessoa titular da Secretaria do Fogga.

2. Em caso de vaga, ausência ou doença, a pessoa titular da Presidência será substituída pela pessoa titular do Serviço de Gestão Administrativa do Fogga e, na sua falta, pela pessoa que designe a pessoa titular da Secretaria do Comité entre os seus membros permanentes.

3. São funções da pessoa titular da Secretaria as seguintes:

a) Efectuar as convocações do Comité em nome da Presidência, assim como enviar outras comunicações aos seus membros.

b) Preparar o gabinete dos assuntos e redigir e autorizar as actas de cada sessão e expedir certificados dos acordos adoptados.

c) Custodiar a documentação relativa ao Comité.

4. A Secretaria disporá de voz e voto nas reuniões.

Artigo 5. Membros permanentes do Comité

1. Os membros permanentes do Comité disporão de voz e voto nas reuniões.

2. Correspondem aos membros permanentes do Comité as seguintes funções:

a) Participar nos debates, apresentar propostas e exercer o seu direito ao voto.

b) Formular à Presidência propostas para incluir na ordem do dia.

c) Demandar a informação que precisem para o desenvolvimento das suas funções.

Artigo 6. Membros invitados

1. Os membros invitados podem assistir às sessões com voz mas sem voto.

2. A sua função principal é asesorar o Comité nas questões de interesse para o cumprimento da normativa em matéria de segurança da informação e protecção de dados pessoais.

Artigo 7. Membros especiais

1. Os membros especiais do Comité de Segurança da Informação poderão ser pessoal representante de outras unidades da Xunta de Galicia ou pessoas experto alheias à Administração autonómica quando o solicite algum membro permanente por considerá-lo relevante para a toma de decisões do Comité.

2. Os membros especiais poderão assistir, com voz mas sem voto, às reuniões do Comité quando seja relevante a sua participação para a toma de decisões, sempre que assim o solicite algum dos membros permanentes com anterioridade à data da realização da sessão e o convoque a Presidência.

3. Terão a condição de membro especial as pessoas nomeadas suplentes dos membros permanentes e invitados quando assista o titular à reunião.

Artigo 8. Âmbito de actuação

O Comité de Segurança da Informação do Fogga tem como âmbito de actuação os aspectos relativos à segurança da informação requeridos ao Fogga pela legislação aplicável, pela normativa de protecção de dados de carácter pessoal e outras, assim como pela normativa corporativa de maior nível, e que não sejam competência da Amtega ou das unidades TIC com competências não assumidas por esta.

Artigo 9. Funções

De acordo com a política de segurança, as funções do Comité de Segurança da Informação do Fogga são as seguintes:

a) Promover e procurar que os requisitos de segurança estejam aliñados com os objectivos estratégicos do Fogga.

b) Coordenar a implantação da política de segurança da informação e protecção de dados pessoais no Fogga e nos organismos administrador delegados.

c) Supervisionar as mudanças significativas dos sistemas que possam afectar a política de segurança.

d) Rever a efectividade da política de segurança e relatórios de incidências mais significativas nesta matéria.

e) Desenhar os procedimentos de segurança dentro do Fogga e a sua aprovação.

f) Manter a política de segurança da informação e protecção de dados actualizada e aliñada com as actividades do Fogga e os organismos administrador delegados e controlar as ameaças sobre a informação e outros activos do Fogga e os organismos administrador delegados.

g) Coordenar os aspectos de segurança requeridos pela legislação aplicável, assim como pela normativa corporativa de maior nível e que não sejam competência da Amtega.

h) Investigar e actuar para prevenir incidências de segurança.

i) Assegurar que se dispõe dos recursos necessários para dar resposta às demandas.

j) Propor a designação de responsabilidades de segurança associadas a cada elemento das políticas de segurança dentro do Fogga e dos organismos administrador delegados.

k) Promover iniciativas sobre a segurança da informação e rever o estado da segurança da informação.

l) Centralizar o planeamento, desenvolvimento e controlo de projectos de segurança, definindo metodoloxías e processos para a gestão da segurança da informação.

m) Implantar e administrar os controlos de segurança dos sistemas de informação; a Amtega encarregará da parte técnica que lhe corresponde.

n) Liderar e impulsionar a adopção de normas de segurança da informação e protecção de dados pessoais, de carácter obrigatório, no âmbito do Fogga e dos organismos administrador delegados: ISSO 27002, Esquema nacional de segurança, Regulamento (UE) nº 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à protecção das pessoas físicas no que respeita ao tratamento de dados pessoais e à livre circulação destes dados e pelo que se derrogar a Directiva 95/46/CE, Lei orgânica 3/2018, de 5 de dezembro, de protecção de dados pessoais e garantia dos direitos digitais, e demais normativa nacional e autonómica de aplicação, em coordinação com as directrizes corporativas da Xunta de Galicia nestas matérias.

Artigo 10. Regime interno

1. O Comité regerá para o exercício das suas funções pelas suas próprias normas de funcionamento e regime interno, mediante a aprovação de um regulamento interno de funcionamento.

2. Sem prejuízo do anterior, o funcionamento do Comité ajustar-se-á ao estabelecido nos artigos 16 a 21 da Lei 16/2010, de 17 de dezembro, de organização e funcionamento da Administração geral e do sector público autonómico da Galiza, e nos artigos 15 a 18 da Lei 40/2015, de 1 de outubro, de regime jurídico do sector público.

TÍTULO II

Standard de segurança do Fogga

Artigo 11. Standard de segurança no Fogga e requisitos do Esquema nacional de segurança

O Fundo Galego de Garantia Agrária ajustar-se-á na sua actuação ao Código de práticas para a segurança da informação, ciberseguridade e protecção da privacidade contido na norma ISSO 27002, que será a norma básica para a implantação do sistema de gestão da segurança da informação no âmbito do Fogga consonte o previsto no anexo I.3 do Regulamento (UE) nº 2022/127 da Comissão, de 7 de dezembro de 2021, que completa o Regulamento (UE) nº 2116/2021 do Parlamento Europeu e do Conselho, de 2 de dezembro de 2021, com normas relativas aos organismos pagadores e outros órgãos, a gestão financeira, a liquidação de contas, as garantias e o uso do euro.

Disposição adicional primeira. Não incremento da despesa

A constituição e o funcionamento do órgão colexiado previsto nesta ordem não suporão em nenhum caso um incremento da despesa pública e não gerará aumento dos créditos orçamentais atribuídos ao Fogga.

Disposição derrogatoria. Derogação normativa

Fica derrogado a Ordem de 1 de fevereiro de 2021 de regulação do Comité de Segurança da Informação do Fundo Galego de Garantia Agrária e de adaptação da normativa de segurança da informação.

Disposição derradeiro primeira. Facultai de desenvolvimento

Faculta-se a pessoa titular da Direcção do Fogga, no âmbito das suas respectivas competências, para ditar as instruções precisas para o desenvolvimento e execução desta ordem.

Disposição derradeiro segunda. Entrada em vigor

Esta ordem entrará em vigor o dia seguinte ao da sua publicação no Diário Oficial da Galiza.

Santiago de Compostela, 5 de junho de 2025

Mª José Gómez Rodríguez
Conselheira do Meio Rural