DOG 82 do 5/5/2026 - RESOLUCIÓN do 23 de abril de 2026 pola que se ordena a publicación do Acordo do Pleno do 22 de abril de 2026 polo que se establecen as normas para o uso seguro e adecuado dos sistemas de información e recursos TIC da institución.

III. Outras disposicións

Consello de Contas de Galicia

RESOLUCIÓN do 23 de abril de 2026 pola que se ordena a publicación do Acordo do Pleno do 22 de abril de 2026 polo que se establecen as normas para o uso seguro e adecuado dos sistemas de información e recursos TIC da institución.

En cumprimento do Acordo do 22 de abril de 2026, do Pleno do Consello de Contas, polo que se establecen as normas para o uso seguro e adecuado dos sistemas de información e recursos TIC da institución, resolvo publicar no Diario Oficial de Galicia o seu texto completo.

Santiago de Compostela, 23 de abril de 2026

Juan Carlos Aladro Fernández
Conselleiro maior do Consello de Contas de Galicia

ANEXO

Acordo do 22 de abril de 2026, do Pleno do Consello de Contas de Galicia, polo que se establecen as normas para o uso seguro e adecuado dos sistemas de información e recursos TIC da institución

Exposición de motivos.

O 10 de xullo de 2015 o Pleno do Consello de Contas de Galicia aprobou a política de seguridade da información (PSI). O artigo 14 da PSI define a estrutura normativa e os seus niveis. No segundo nivel inclúense a propia PSI e as disposicións xerais en materia de seguridade aplicables ao Consello de Contas de Galicia. Na súa letra b) recolle o segundo nivel co seguinte texto: «b) Segundo nivel normativo: constituído polas resolucións en materia de seguridade que se definan en cada ámbito organizativo de aplicación específico. As resolucións, que comprenderán os procedementos, as normas, as instrucións técnicas de seguridade e recomendacións de seguridade, serán de obrigado cumprimento. Os seus corpos documentais, debidamente aprobados polo Pleno, deberán estar dispoñibles para a súa consulta xeral na rede interna de información do Consello de Contas de Galicia».

O mesmo artigo establece a obriga do persoal do Consello de coñecer e cumprir todas as «directrices xerais, normas e procedementos de seguridade da información que poidan afectar as súas funcións» e a obriga do Consello de manter este marco normativo a disposición do persoal e «daqueles outros organismos, públicos ou privados que formen parte do ámbito de aplicación da PSI».

Máis adiante, o artigo 16, no seu punto 2, en relación cos terceiros que poidan relacionarse co Consello de Contas, dispón que, cando o Consello de Contas preste servizos ou ceda información a terceiros, estes faranse partícipes desta PSI e da normativa de seguridade que cumpra os citados servizos e información. En consecuencia, quedarán suxeitos ás obrigas establecidas na dita normativa e poderán desenvolver os seus propios procedementos operativos para satisfacela. Estableceranse procedementos específicos de informe e resolución de incidentes e garantirase que o persoal dos terceiros estea concienciado axeitadamente en materia de seguridade.

En desenvolvemento do disposto nos citados artigos, dentro do segundo nivel normativo dos establecidos na letra b) do artigo 14 da PSI, apróbanse as presentes directrices xerais, para posibilitar garantir a confidencialidade, integridade, dispoñibilidade, autenticidade e rastrexabilidade da información tratada, minimizar riscos derivados do uso indebido ou neglixente dos recursos TIC, promover boas prácticas no manexo da información, sistemas corporativos e instalacións e establecer un marco de actuación que complemente a política de seguridade da información do Consello de Contas.

Dada a materia que se regula haberá de terse en conta na aplicación desta norma as disposicións vixentes en materia de protección de datos persoais, e implantación do Esquema Nacional de Seguridade, entre elas o Regulamento (UE) nº 2016/679, do 27 de abril de 2016, relativo á protección de datos persoais (RXPD), a Lei orgánica de protección de datos de carácter persoal (LOPD) e normativa de desenvolvemento, o Real decreto 11/2022, do 3 de maio, polo que se regula o Esquema Nacional de Seguridade (ENS) e o xa citado acordo que recolle a norma fundamental do Consello de Contas de Galicia nesta materia o Acordo do Pleno do 10 de xullo de 2015, polo que se aproba a política de seguridade da información do Consello de Contas de Galicia.

Na súa virtude, o Pleno do Consello de Contas de Galicia, na súa sesión do 22 de abril de 2026,

ACORDA:

Artigo 1. Obxecto

O obxecto desta norma é establecer as pautas e responsabilidades que deben seguir todas as persoas usuarias na utilización dos recursos e sistemas de información do Consello de Contas de Galicia, entre os que se inclúen sen carácter taxativo redes de comunicación, postos de traballo, dispositivos electrónicos, correo electrónico corporativo, aplicacións e instalacións físicas da entidade.

Artigo 2. Ámbito de aplicación

A presente norma é de aplicación a todas as persoas usuarias que teñan acceso aos sistemas de información, redes de comunicación e recursos informáticos do Consello de Contas de Galicia con independencia da natureza xurídica da súa relación con este.

Artigo 3. Definicións

Para os efectos desta norma, entenderase por:

• Sistemas de información: conxunto de compoñentes que forman un todo destinado a obter, procesar, rexistrar ou distribuír información, independentemente do soporte en que estea almacenada.

• Redes de comunicacións: infraestruturas de telecomunicación destinadas ao transporte da información entre sistemas.

• Recursos informáticos: calquera parte compoñente dun sistema de información ou rede de comunicacións.

• Aplicación informática: programa ou conxunto de programas informáticos que teñen por obxecto o tratamento electrónico da información.

• Soporte: calquera medio físico utilizado para almacenar información.

• Monitorización: observación e rexistro dos accesos á información ou dos parámetros das comunicacións dentro da legalidade vixente.

• Persoa usuaria: toda persoa física autorizada para a utilización dos sistemas de información, redes e dispositivos de comunicación do Consello de Contas, sexan ou non empregados públicos, e con independencia da natureza xurídica da súa relación co Consello de Contas.

• Persoal técnico: persoal que legalmente desempeña funcións de administración, soporte e mantemento dos sistemas de información e equipamento TIC, con independencia da natureza xurídica da súa relación co Consello de Contas.

Artigo 4. Uso do equipamento

O uso do equipamento do Consello de Contas realizarase de acordo coas seguintes prescricións:

a) O equipamento só se utilizará para os fins profesionais asignados.

b) A persoa usuaria será a responsable da custodia e bo uso do equipamento entregado.

c) As actualizacións de software, antivirus e mecanismos de seguridade establecidos no equipamento non se deberán desactivar nin modificar.

d) Non se accederá fisicamente ao interior do equipamento, salvo polo persoal de soporte técnico.

e) Non se conectarán dispositivos externos sen autorización.

f) Os dispositivos portátiles deberán gardarse en zonas seguras cando non se utilicen.

g) As persoas usuarias bloquearán os equipamentos ao ausentarse do posto de traballo.

h) Facilitarase o acceso do persoal de soporte técnico para labores de mantemento, seguindo as súas instrucións.

i) O equipamento deberá ser devolto coa maior brevidade posible cando finalice a súa vinculación co posto.

j) A información almacenada no equipamento devolto será custodiada e posta á disposición do persoal de soporte técnico que aplicará a normativa vixente en materia de borrado seguro.

Artigo 5. Uso de aplicacións e redes

O uso de aplicacións e redes informáticas suxeitarase ás seguintes obrigas:

a) As aplicacións só se utilizarán para os fins profesionais asignados.

b) Non se poderá utilizar software non corporativo sen autorización.

c) Non se poderá instalar software adicional, salvo autorización, e deberá ser instalado polo persoal de soporte técnico.

d) Non se poderá utilizar o software corporativo fóra do ámbito do Consello de Contas, sen a debida autorización.

e) Non se poderá instalar ou utilizar software que non dispoña da licenza correspondente ou que a súa utilización non se adecúe á lexislación vixente.

f) Non se conectarán os dispositivos corporativos a redes non autorizadas.

g) Non se conectarán dispositivos persoais ás redes corporativas do Consello, salvo autorización expresa.

h) A monitorización do uso de sistemas e redes será ordinariamente automática afectando o uso da rede e cos únicos fins de seguridade e rendemento dos sistemas, podendo realizarse de forma aleatoria con idénticos fins, respectando en ambos casos as normas de protección de datos.

Artigo 6. Protección da información

Toda a información existente nos recursos informáticos do Consello de Contas de Galicia é propiedade e responsabilidade desta institución. O seu uso, acceso, creación, modificación ou supresión realizarase de acordo coa normativa vixente nesta materia, incluíndo a relativa á protección de datos de carácter persoal e o arquivo e conservación da documentación.

En particular, teranse en conta as seguintes obrigas:

a) Toda a información deberase tratar con confidencialidade e usarase exclusivamente para as tarefas encomendadas.

b) Deberase garantir que a información sensible non quede exposta nin accesible a persoas alleas.

c) Deberase coñecer e respectar a normativa vixente en materia de protección de datos persoais e seguridade da información e arquivo.

d) A información deberase almacenar preferentemente nos sistemas corporativos de rede.

e) O acceso á información estará limitado ás persoas autorizadas.

f) As autorizacións de acceso á información serán persoais e intransferibles.

g) Os contrasinais deberán ser seguros, e queda prohibida a súa difusión.

Artigo 7. Deber de informar sobre incidencias

As persoas usuarias estarán obrigadas a notificar calquera suceso, situación anómala ou sospeitosa relacionada coa información, cos datos persoais ou cos sistemas de información do Consello de Contas aos superiores, ao Servizo de informática (informatica@ccontasgalicia.es) ou ao delegado de protección de datos (dpd@ccontasgalicia.es), para a súa xestión e resolución.

En concreto, as persoas usuarias deberán realizar unha notificación cando se atopen nalgunha das seguintes situacións:

a) Perda ou subtracción dalgún dispositivo informático do Consello.

b) Sospeitas de compromiso do dispositivo ou os servizos que emprega.

c) Sospeitas de comportamento non usual nos sistemas ou redes, como actividade sospeitosa ou cambios non autorizados.

d) Anomalías no uso do acceso á internet.

e) Incidentes de correo electrónico, así como correos sospeitosos recibidos de fontes non fiables que inclúan ficheiros ou ligazóns anexas, os cales non deben executarse e xeran dúbidas de fiabilidade.

f) Sospeitas de utilización das súas credenciais por outra persoa.

g) Solicitude de credenciais por parte doutro persoal do Consello do Contas.

h) Sospeitas que se está comprometendo a información tratada, especialmente no caso de incorporar datos persoais ou confidenciais.

A persoa usuaria deberá proporcionar toda a información relativa ao incidente que lle sexa solicitada a través das canles de comunicación habilitadas e atender as indicacións recibidas orientadas á resolución do incidente.

Artigo 8. Inspección

O Comité de Seguridade da Información do Consello de Contas poderá revisar o estado e o uso dos equipamentos, dispositivos e redes de comunicación, por razóns de seguridade e calidade do servizo, para verificar o seu correcto funcionamento e o cumprimento das medidas de seguridade vixentes.

O Comité de Seguridade da Información do Consello de Contas velará polo cumprimento da presente normativa e informará o Pleno dos incumprimentos ou deficiencias de seguridade observados, co obxecto de que se tomen as medidas oportunas. Estas medidas poderán incluír o bloqueo ou suspensión temporal para aquelas contas, sistemas de información ou de comunicacións en que se detecte que realizan ou poden realizar accións daniñas. O servizo restablecerase cando a causa da súa degradación sexa emendada.

Artigo 9. Concienciación

O Comité de Seguridade da Información promoverá de forma periódica a formación e a concienciación das persoas usuarias sobre boas prácticas, riscos de seguridade e procedementos internos de seguridade da información.

Artigo 10. Consecuencias do incumprimento

O incumprimento do disposto na presente norma poderá dar lugar a responsabilidade administrativa ou penal, que será depurada logo do correspondente procedemento, de acordo coa normativa aplicable ao caso concreto, incluíndo as posibles responsabilidades económicas por danos ou prexuízos ao Consello de Contas de Galicia, ou a terceiros legalmente protexidos.

Disposición adicional única. Revisión

De acordo co disposto na política de seguridade da información do Consello de Contas de Galicia, corresponde ao Comité de Seguridade da Información proceder á súa revisión, anualmente con carácter ordinario, e con carácter extraordinario cando for preciso para o cumprimento dos seus fins, ou para adaptación a variacións normativas de aplicación na materia.

Disposición derradeira única

O presente acordo entrará en vigor o día seguinte ao da súa publicación.