Boletín Oficial de la Junta de Andalucía - Histórico del BOJA Boletín número 246 de 23/12/2025

El Contrato de gestión para el periodo 2023-2026 de la Agencia Tributaria de Andalucía (en adelante ATRIAN), aprobado por Acuerdo de Consejo de Gobierno de 4 de julio de 2023, fija, entre otros, el objetivo estratégico de «mejora de la gobernanza fiscal» con el propósito de consolidar un conjunto de buenas prácticas que permitan una aplicación cuidadosa y transparente de las normas, consciente del impacto que tiene la actividad de la Agencia en la sociedad. La estrategia de la Agencia para avanzar en el buen gobierno de la organización exige, entre otros extremos, mejorar la rendición de cuentas y la transparencia de la gestión realizada, así como asegurar los sistemas, los datos, las comunicaciones y los servicios que presta a los contribuyentes.

En esta tesitura, la protección de la información y de los datos que trata la Agencia resulta esencial para una adecuada gestión de los ingresos públicos. A tal efecto, los datos constituyen un activo de alto valor estratégico para la mejora de las condiciones y resultados de lucha contra el fraude fiscal. En este contexto, la gestión de ATRIAN debe garantizar tanto la protección de la intimidad de las personas, ya que la privacidad es un derecho fundamental, como la disponibilidad e integridad de los datos a lo largo de todo el ciclo de vida, incluyendo tanto la información facilitada por los usuarios como la generada por la propia organización en el desarrollo de su actividad o la que sea objeto de cesión por cualquier tercero que se relacione con la entidad. En esta línea, la disposición de datos de calidad permite desarrollar productos y servicios específicos que pueden facilitar al contribuyente el cumplimiento de sus obligaciones. De igual modo, la calidad de los datos resulta esencial para una gestión eficaz del riesgo fiscal porque facilita la identificación, evaluación y clasificación de riesgos de incumplimiento que enfrenta la entidad.

En ejecución de la estrategia descrita, ATRIAN dispone de un proyecto estratégico concreto «PE09. Seguridad de la información y Protección de datos», cuyo objetivo operativo es «mejorar la seguridad de la información y la protección de datos». El resultado que se busca a través de la programación de actividades en ejecución de este proyecto es la adopción de medidas organizativas, técnicas, operativas que permitan demostrar el cumplimiento de la normativa aplicable en materia de seguridad de la información y protección de datos y la actitud consciente, diligente y proactiva de la organización para garantizar un nivel de seguridad adecuado para la protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales y la protección de la información que gestiona en el desarrollo de su actividad, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance y el contexto en el que opera la Agencia.

En ejecución del proyecto «PE09. Seguridad de la información y Protección de datos», el Comité de Seguridad Interior y Seguridad TIC de la ATRIAN aprobó, en su sesión de 17 de diciembre de 2024, el Plan anual de actuaciones a realizar en materia de Seguridad de la Información y Protección de Datos 2025, que contempla, entre otras actividades, la revisión de la Política de Seguridad de la Información de esta Agencia, aprobada por la Resolución de 6 de julio de 2020, por la que se aprueba la Política de Seguridad de la Información, así como la estructura organizativa responsable de su ejecución, modificada por la Resolución de 30 de junio de 2021, de la ATRIAN, que se modifica el anexo «Documento de Política de Seguridad TIC».

En este marco de reflexión, se procede a la revisión de la citada Resolución de 6 de julio de 2020, de la ATRIAN, por la que se aprueba la Política de Seguridad de la Información, modificada por la Resolución de 30 de junio de 2021, con la finalidad de introducir modificaciones en el marco normativo aplicable tomando en consideración las previsiones normativas contenidas en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, así como Orden de 22 de julio de 2022, por la que se modifica la Orden de la Consejería de Hacienda, Industria y Energía, de 21 de octubre de 2019, por la que se establece la política de seguridad de la información de la Consejería.

En conexión con lo anterior, se estima necesario introducir ajustes en la política de seguridad de ATRIAN con motivo de la aprobación de la Política de Seguridad Interior, Seguridad de las Tecnologías de la Información y las Telecomunicaciones (TIC) y Protección de Datos de la Agencia Digital de Andalucía (en adelante, ADA), por Resolución de 12 de julio de 2024, de la Dirección Gerencia de la ADA, ya que a esta entidad le corresponde, con arreglo a los artículos 6.2 y 19 de sus Estatutos aprobados por Decreto 128/2021, de 30 de marzo y su disposición adicional tercera «Dirección funcional y articulación de necesidades», el desarrollo de los fines de definición y ejecución de los instrumentos de tecnologías de la información, telecomunicaciones, ciberseguridad y gobierno abierto y su estrategia digital, correspondiendo a ATRIAN el ejercicio de la dirección funcional de los sistemas de información sobre las materias de su competencia, así como la formulación y priorización de las necesidades en materia de tecnologías de la información y la comunicación, a través de los instrumentos y medios organizativos o de otra índole que apruebe el Consejo Rector de la ADA.

Adicionalmente, la ADA tiene la condición de encargado del tratamiento de datos personales de ATRIAN en virtud de la disposición adicional cuarta de los Estatutos de ADA, sin perjuicio de los supuestos en los que ADA tenga la condición de corresponsable del tratamiento en los términos del artículo 26 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). A tal efecto, las Directrices 07/2020 (versión 2.0) elaboradas por el Comité Europeo de Protección de Datos con la finalidad de clarificar los conceptos de «responsable del tratamiento» y «encargado del tratamiento» recogidas en el Reglamento general de protección de datos, toma en consideración, entre otros criterios para la determinación de la existencia de corresponsabilidad, el criterio según el cual no pueda llevarse a cabo el tratamiento de datos personales sin la participación de las partes que intervienen en cada caso, en el sentido de que los tratamientos por las distintas partes son inseparables los unos de los otros por estar indisolublemente unidos.

En esta línea, y para dotar de mayor seguridad jurídica a este instrumento clave para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios que la Agencia presta a la ciudadanía e incrementar su comprensión por los interesados, la presente resolución integra en un documento único todas las políticas de la Agencia en materia de seguridad de las tecnologías de la información y comunicaciones, seguridad interior y protección de datos personales, sustituyendo tanto la Resolución de 6 de julio de 2020 como la Resolución de 30 de junio de 2021.

En virtud de lo expuesto, de conformidad con lo establecido en el artículo 11 de la Ley 23/2007, de 18 de diciembre, por la que se crea la Agencia Tributaria de Andalucía y se aprueban medidas fiscales, en el artículo 12 del Estatuto de la Agencia, aprobado por Decreto 4/2012, de 17 de enero, en el artículo 10 del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, en el Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía, y en el artículo 14 de la Orden de 21 de octubre de 2019, por la que se establece la política de seguridad de la información de la entonces Consejería de Hacienda, Industria y Energía, la Presidencia de la Agencia Tributaria de Andalucía, a propuesta de la Dirección de la Agencia,

RESUELVE

Primero. Aprobar la Política de Seguridad de las tecnologías de la información y comunicaciones, seguridad interior y protección de datos personales de la Agencia cuyo texto se adjunta a la presente resolución como Anexo I.

Segundo. Dejar sin efecto la Resolución de 6 de julio de 2020, de la Agencia Tributaria de Andalucía, por la que se aprueba la Política de Seguridad de la Información de esta Agencia, así como la Resolución de 30 de junio de 2021, de la Agencia Tributaria de Andalucía, por la que se modifica el anexo «Documento de Política de Seguridad TIC» de la Resolución de 6 de julio de 2020.

Tercero. Aprobar el organigrama en materia de seguridad de las tecnologías de la información y comunicaciones, seguridad interior y protección de datos personales.

Cuarto. Ordenar su publicación en el Boletín Oficial de la Junta de Andalucía, la intranet, el portal web de esta Agencia y el portal de transparencia, para general conocimiento del personal que presta servicios en la misma, así como otros responsables del tratamiento de datos personales en calidad de encargados y la ciudadanía.

Quinto. La presente resolución producirá efectos el día siguiente al de su publicación en el Boletín Oficial de la Junta de Andalucía.

Sevilla, 16 de diciembre de 2025.- La Presidenta, Amelia Martínez Sánchez.

ANEXO I

Documento de política de seguridad de las tecnologías de la información y comunicaciones, seguridad interior y protección de datos personales

ÍNDICE

1. Objeto y ámbito de actuación.

2. Ámbito de aplicación.

3. Estructura organizativa de la Agencia en materia de Seguridad Interior, Seguridad TIC y Protección de Datos Personales.

3.1. Comité de Seguridad Interior y Seguridad de las Tecnologías de la Información: Composición, funciones y reglas de funcionamiento

3.2. Grupo de respuesta a incidentes críticos en los sistemas de la Información.

3.3. Unidad de seguridad interior.

3.4. Puntos coordinadores de seguridad interior en cada Gerencia Provincial

3.5. Persona responsable de seguridad TIC.

3.6. Persona responsable de los sistemas.

3.7. Personas responsables de la información y las personas responsables de los servicios.

3.8. Puntos o Personas de Contacto (POC)

3.9. Responsable de los Tratamientos de los Datos Personales.

3.10. Encargado de los Tratamientos de Datos personales de la ATRIAN.

3.11. Persona Delegada de Protección de Datos.7

3.12. Empleados públicos de la Agencia Tributaria.

4. Seguridad interior.

4.1. Objetivos.

4.2. Principios.

4.3. Responsabilidad individual.

4.4. Gestión de riesgos.

4.5. Auditorías de seguridad.

5. Seguridad de las tecnologías de la información y comunicaciones.

5.1. Objetivos.

5.2. Principios.

5.3. Responsabilidad individual.

5.4. Clasificación y control de activos en materia de Seguridad TIC.

5.5. Gestión de riesgos en materia de Seguridad TIC.

5.6. Auditorías de la seguridad en materia de Seguridad TIC.

6. Protección de datos personales.

6.1. Objetivos.

6.2. Principios.

6.3. Responsabilidad individual.

6.4. Registro de actividades de tratamiento.

6.5. Ejercicio de derechos en materia de protección de datos personales.

6.6. Protección de datos personales desde el diseño y por defecto.

6.7. Seguridad.

6.8. Análisis de riesgo por protección de datos personales.

6.9. Evaluación de impacto relativa a la protección de datos personales (EIPD).

6.10. Violaciones de la seguridad de datos personales.

6.11. Formación, concienciación y sensibilización.

6.12. Comunicaciones oficiales con la autoridad de control.

6.13. Auditorías en materia de protección de datos.

1. Objeto y ámbito de actuación.

La presente Resolución tiene por objeto la regulación de las políticas de seguridad de la ATRIAN en los siguientes ámbitos de actuación:

a) Seguridad interior, en el marco de lo contemplado en el Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad Interior de la Junta de Andalucía y demás disposiciones que resulten de aplicación.

b) Seguridad de las tecnologías de la información y comunicaciones (en adelante TIC), en cumplimiento con lo establecido en el artículo 10.2 del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, modificado por el Decreto 70/2017, de 6 de junio, y demás disposiciones que resulten de aplicación.

c) Protección de datos personales, en el marco de lo recogido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) en adelante RGPD, así como en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDgdd), y demás disposiciones que resulten de aplicación.

2. Ámbito de aplicación.

1. La política de Seguridad Interior se aplicará a los activos que sean titularidad de la Agencia.

2. La política de Seguridad TIC se aplicará:

a) A todos los sistemas de información que sean utilizados por alguno de los órganos o unidades administrativas centrales o periféricos que dependan de la Agencia para el ejercicio de las competencias que tiene atribuidas.

b) A todas las personas usuarias de la información relacionada con la actividad que desarrolla la Agencia cuando tengan acceso a los sistemas de información que utiliza la Agencia en el ejercicio de sus funciones.

3. La política de protección de datos personales se aplicará:

a) A todas las actividades de tratamiento de responsabilidad de los órganos o unidades de la Agencia en el ejercicio de las competencias que tiene atribuidas.

b) A todas las actividades de tratamiento que los órganos de la Agencia lleven a cabo por cuenta de otros responsables del tratamiento en calidad de encargados, sin perjuicio de lo dispuesto en el acto jurídico de encargo del tratamiento, así como en la política del responsable o en las instrucciones que, en su caso, dicte.

c) A todos los empleados públicos de la Agencia, así como a todas las personas usuarias de la información relacionada con la actividad que desarrolla la Agencia cuando tengan acceso a los sistemas de información que utiliza la Agencia en el ejercicio de sus funciones.

d) A todas aquellas personas que actúen por cuenta de la Agencia llevando a cabo operaciones de tratamiento de datos personales en calidad de encargados del tratamiento.

3. Estructura organizativa de la Agencia en materia de Seguridad Interior, Seguridad TIC y Protección de Datos Personales.

1. La estructura organizativa de la Agencia en materia de Seguridad Interior, Seguridad TIC y Protección de Datos Personales está integrada por:

a) Comité de Seguridad Interior y Seguridad de las Tecnologías de la Información (Comité).

b) Grupo de Respuesta a incidentes críticos en los Sistemas de Información.

c) Unidad de seguridad interior.

d) Puntos coordinadores de seguridad interior en cada gerencia provincial.

e) Responsable de seguridad TIC.

f) Responsables de la Información y Responsables de los Servicios.

g) Responsable de los sistemas.

h) Responsable de los tratamientos de los datos personales.

i) Representante del órgano que en la Administración de la Junta de Andalucía tiene atribuida en virtud de norma la condición de Encargado de los Tratamientos de Datos personales de la ATRIAN.

j) Persona delegada de protección de datos.

k) Personal de la ATRIAN.

2. Los conflictos entre las diferentes personas, unidades y órganos responsables que componen la estructura organizativa prevista en materia de Seguridad Interior, Seguridad TIC y Protección de Datos Personales se resolverán con arreglo a las siguientes reglas:

a) Los conflictos se resolverán por el superior jerárquico común. En su defecto, prevalecerá la decisión del Comité de Seguridad Interior y Seguridad TIC.

b) En los conflictos entre las personas responsables que componen la estructura organizativa de la Política de Seguridad Interior, Política de Seguridad TIC y la Política de Protección de Datos Personales, prevalecerá la decisión que presente un mayor nivel de exigencia respecto a la protección de los datos personales. En cualquier caso, cuando la persona o personas que asuman la figura del Delegado o Delegada de Protección de Datos aprecien la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente al órgano directivo que tenga la condición de responsable o al encargado del tratamiento.

c) En todos los conflictos de atribuciones que puedan suscitarse en esta materia será de aplicación el artículo 110 de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía.

3.1. Comité de Seguridad Interior y Seguridad de las Tecnologías de la Información: composición, funciones y reglas de funcionamiento.

1. El Comité de Seguridad Interior y Seguridad de las Tecnologías de la Información (Comité) estará compuesto por las siguientes personas:

a) Presidencia: La persona titular de la Presidencia de la Agencia.

b) Vicepresidencia: La persona titular de la Vicepresidencia de la Agencia.

c) Vocalías: La persona titular de la dirección y las personas titulares de los órganos directivos centrales de la Agencia, así como la persona titular de dos órganos directivos provinciales que designe la presidencia del Comité.

d) Secretaría: la persona titular del órgano directivo central con competencias en materia de organización y gestión de recursos.

e) La persona responsable de seguridad interior.

f) La persona responsable de seguridad TIC.

g) La persona a la que se le asignen las funciones de delegado de protección de datos.

El Comité podrá convocar a sus reuniones a la persona responsable de la unidad de seguridad TIC de la Consejería a la que se encuentra adscrita la ATRIAN y a la persona responsable de los sistemas de información que utilice ATRIAN para el desarrollo de sus funciones y competencias, así como a las personas que en cada caso autorice la Presidencia, por propia iniciativa o a propuesta de alguno de sus miembros. Asimismo, podrá recabar de personal técnico especializado, propio o externo, la información pertinente para la toma de decisiones.

2. En caso de vacante, ausencia, enfermedad u otras causas legales, la persona titular de la Presidencia será sustituida por la persona titular de la Vicepresidencia. Tanto la Vicepresidencia como las Vocalías y la Secretaría podrán designar a una persona que las sustituya, con carácter permanente, de entre personal funcionario a su servicio que ocupen puestos de trabajo de nivel 27 o superior, con la excepción de la Secretaría cuyo suplente podrá ocupar puestos de nivel inferior, sin perjuicio de que posteriormente pueda designarse a otro suplente.

3. Con carácter general, corresponde al Comité aplicar, en el ámbito de la Agencia Tributaria de Andalucía, las previsiones contenidas en la normativa reguladora del Esquema Nacional de Seguridad en el ámbito de la administración electrónica (en adelante, ENS), y en la normativa reguladora de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y determinar la política de seguridad que se ha de emplear en la utilización de los medios electrónicos que permita la adecuada protección de la información. En particular, le corresponde:

a) Elevación de propuestas de revisión de la Política de Seguridad de la Información para su aprobación por parte de la Presidencia de la Agencia.

b) Aprobar el desarrollo de la política de seguridad TIC de segundo nivel y de Seguridad Interior.

c) Velar por el desarrollo, implantación, concienciación, formación y divulgación, así como por el cumplimiento y actualización de la política de seguridad TIC y Seguridad Interior y la política de protección de datos personales en la ATRIAN.

d) Planificar y priorizar las iniciativas necesarias para cumplir con las directrices, los objetivos y los principios básicos marcados en la presente política de seguridad TIC y Seguridad Interior. En especial, la elaboración, actualización y reevaluación periódica de los análisis de riesgos necesarios.

e) Proporcionar, dentro de los límites establecidos en los programas asignados por las leyes anuales de presupuestos a ATRIAN, los medios y recursos necesarios para posibilitar la realización de las iniciativas planificadas.

f) Coordinar a alto nivel todas las actuaciones de seguridad, velando para que la definición y el desarrollo de estas se adecúen en todo momento a las directrices marcadas por la política de seguridad TIC y Seguridad Interior, involucrando a las diferentes áreas implicadas.

g) Designar un Grupo de Respuesta a Incidentes de Seguridad de la Información.

h) Velar para que todos los ámbitos de responsabilidad y actuación con relación a la seguridad TIC y Seguridad Interior, así como su tratamiento queden perfectamente definidos, aprobando los nombramientos necesarios para ello. Especialmente, para asegurar que la totalidad de miembros de la estructura de seguridad definida conozcan sus funciones y responsabilidades.

i) Designar la persona que ostentará la condición de Responsable de Seguridad TIC de la Agencia Tributaria de Andalucía.

j) Designar la persona responsable que ostentará la condición de Responsable de Seguridad Interior de la Agencia Tributaria de Andalucía.

k) Promover y fomentar la divulgación y formación en cultura de la seguridad TIC y cultura de la Seguridad Interior, así como la mejora continua de la seguridad en la organización, aprobando los planes anuales de seguridad TIC propuestos por el responsable de seguridad TIC, y velando por la asignación y cumplimiento de las responsabilidades oportunas. Así como los planes de mejoras de Seguridad Interior propuestos por la Unidad de Seguridad Interior, y velando por la asignación y cumplimiento de las responsabilidades oportunas.

l) Velar porque la seguridad TIC y la protección de datos personales se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.

m) Coordinar que el desarrollo normativo que tenga incidencia en el desarrollo o explotación de sistemas de información se adecúa a lo establecido en la política de seguridad TIC, la política de protección de datos personales y la política de seguridad interior.

n) Resolver los conflictos que puedan aparecer entre las diferentes personas responsables o entre diferentes áreas de la organización en materia de seguridad TIC y Seguridad Interior.

o) Coordinar las medidas técnicas y organizativas apropiadas establecidas en la normativa de protección de datos personales, para garantizar un nivel de seguridad adecuado al riesgo, de acuerdo con los correspondientes análisis de riesgos y, en su caso, con las evaluaciones de impacto relativas a la protección de datos, contando con el asesoramiento de la persona o personas que asuman la figura del Delegado o Delegada de Protección de Datos.

p) La definición, aprobación y seguimiento de los objetivos, iniciativas y planes estratégicos para la seguridad interior, incluido el Plan de Seguridad Interior.

q) Velar por la disponibilidad de los recursos necesarios para desarrollar las iniciativas y planes estratégicos definidos.

r) El establecimiento de directrices comunes y la supervisión del cumplimento de la normativa de seguridad interior.

s) La aprobación del modelo de relación con los Puntos Coordinadores de Seguridad Interior.

t) El análisis y la adopción de decisiones en la respuesta a incidentes susceptibles de generar una crisis de seguridad interior.

4. El régimen de funcionamiento del Comité se desarrollará de acuerdo con las siguientes reglas:

a) El Comité se reunirá con carácter ordinario una vez al año y con carácter extraordinario por acuerdo de la presidencia, a iniciativa propia o previa solicitud razonada de uno de sus miembros.

b) El Comité podrá ser convocado, celebrar sus sesiones, adoptar acuerdos y aprobar actas, tanto de forma presencial como utilizando redes de comunicación a distancia, con las medidas adecuadas que garanticen la identidad de las personas comunicante, la confidencialidad y la autenticidad de la información entre ellas transmitida, de conformidad con el régimen jurídico establecido en la Subsección 1.ª de la Sección 3.ª del Capítulo II del Título Preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público para los órganos colegiados. Las personas miembros del Comité están obligadas a respetar la confidencialidad de toda la información a la que tengan acceso.

c) El Comité se regirá por esta resolución, por la normativa reguladora de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, así como por el resto de normativa aplicable, como la reguladora del ENS y las normativas de seguridad interior y de protección de datos personales.

3.2. Grupo de respuesta a incidentes críticos en los sistemas de la Información.

1. El Comité nombrará un Grupo de respuesta a incidentes de seguridad de la información, cuya función será la toma urgente de decisiones en caso de contingencia grave que afecte a la seguridad de los sistemas de información críticos de la Agencia Tributaria de Andalucía. Será la persona titular de la Presidencia del Comité quien determine la existencia de tales contingencias y las califique como graves. Las decisiones adoptadas por este grupo serán ratificadas por el Comité en su conjunto cuando sea necesario.

2. Corresponderá al Grupo de Respuesta a Incidentes de Seguridad de la Información notificar a la autoridad competente en materia de seguridad de las redes y sistemas de información, concretamente a su equipo de respuesta a incidentes de seguridad informática (CSIRT o CERT), los incidentes de seguridad TIC, en los casos y en los términos que determine la normativa aplicable. A tal efecto, la notificación podrá realizarse bien directamente, bien a través de AndalucíaCERT o por el medio o procedimiento que disponga la política de seguridad de las tecnologías de la información y comunicaciones de la Junta de Andalucía que determine la Dirección General competente en materia de desarrollo y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones de la Administración de la Junta de Andalucía y del sector público andaluz o el Comité Corporativo de Seguridad interior de la Junta de Andalucía.

3.3. Unidad de seguridad interior.

La Agencia Tributaria de Andalucía, de acuerdo con lo establecido en el artículo 10 del Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía, contará con una Unidad de Seguridad Interior que desempeñará las funciones relacionadas en el citado artículo y que tendrá como responsables a las personas designadas por el Comité de Seguridad Interior y Seguridad TIC.

3.4. Puntos coordinadores de seguridad interior en cada Gerencia Provincial.

1. En cada provincia existirán Puntos Coordinadores de Seguridad Interior que serán asumidos por personal de las Gerencias Provinciales de la Agencia designados al efecto por el Comité de Seguridad a propuesta de las personas titulares de dichos órganos periféricos.

2. Las atribuciones y funciones de los Puntos Coordinadores de Seguridad Interior serán las contempladas en el artículo 13 del Decreto 171/2020, de 13 de octubre, así como aquellas que se entiendan precisas y se recojan dentro de los diferentes niveles de planificación o resulten necesarias en su implementación, atendiendo a los criterios establecidos por el Comité de Seguridad o la Unidad de Seguridad Interior.

3.5. Persona responsable de seguridad TIC.

1. La designación de la persona Responsable de Seguridad TIC corresponde al Comité de Seguridad Interior y Seguridad de las Tecnologías de la Información y Comunicaciones y su nombramiento se realizará por resolución de la Dirección de la Agencia.

2. El responsable de seguridad TIC será distinto del responsable del sistema de conformidad con lo previsto en apartado 3, del artículo 13 del ENS, no debiendo existir dependencia jerárquica entre ambos. En aquellas situaciones excepcionales en las que la ausencia justificada de recursos haga necesario que ambas funciones recaigan en la misma persona o en distintas personas entre las que exista relación jerárquica, deberán aplicarse medidas compensatorias para garantizar la finalidad del principio de diferenciación de responsabilidades previsto en el artículo 11 del ENS.

3.6. Persona responsable de los sistemas.

1. El responsable del sistema será la persona que, por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad. Además, figurarán en la documentación de seguridad de los sistemas de información. Para cada sistema de información deberá existir una persona responsable del sistema, siendo posible que una misma persona sea responsable de varios sistemas.

2. La designación de la persona responsable del sistema corresponderá a la ADA o la ATRIAN de acuerdo con la política de seguridad aprobada por cada organismo. En el caso de la ATRIAN, la persona responsable del sistema será la persona titular del Departamento de Innovación y Análisis de la Información.

3. Las funciones en materia de Seguridad TIC que ostentará el responsable del sistema serán:

a) Supervisar el desarrollo, operación y mantenimiento de los sistemas de información durante todo su ciclo de vida, así como las especificaciones de estos, la instalación y verificación de su correcto funcionamiento.

b) Ser la primera persona responsable de la seguridad de los sistemas de información que dirija, velando porque la seguridad TIC esté presente en todas y cada una de las partes de sus ciclos de vida. Especialmente deberá velar por que el desarrollo de los sistemas siga las directrices de seguridad establecidas de manera horizontal por la Junta de Andalucía de acuerdo con los criterios y requisitos técnicos de seguridad aplicables definidos por la Unidad de Seguridad TIC de la Agencia Tributaria de Andalucía.

c) Creación, mantenimiento y actualización continua de la documentación de seguridad de los sistemas de información, con el asesoramiento de la Unidad de Seguridad TIC.

d) Asesorar en la definición de la topología y sistema de gestión de los sistemas de información estableciendo los criterios de uso y los servicios disponibles en el mismo.

e) Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.

f) Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.

g) Asesorar en colaboración con la persona responsable de la Seguridad TIC, a los Responsables de la Información y a los Responsables de los Servicios, en el proceso de la gestión de riesgos en materia de seguridad TIC.

h) Suspender el manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con las personas Responsables de la Información afectada, del Servicio afectado y con la persona responsable de la Seguridad TIC, antes de ser ejecutada.

3.7. Personas responsables de la información y las personas responsables de los servicios.

1. Los responsables de la información serán las personas titulares de los órganos directivos o unidades administrativas que sean competentes por razón de la materia respecto a la información que sea necesario tratar para el ejercicio de sus funciones y competencias.

2. Los responsables de los servicios serán las personas titulares de los órganos directivos o unidades administrativas que sean competentes por razón de la materia respecto a los servicios que sea necesario prestar con motivo del ejercicio de sus funciones y competencias.

3. Las principales funciones, dentro de su ámbito de actuación, de los responsables de la información y de los responsables de los servicios son las siguientes:

a) Determinar los requisitos de seguridad de la información que es necesario tratar y de los servicios que presta la Agencia, categorizando la información y los servicios mediante la valoración de los impactos de los incidentes que puedan producirse.

b) Proporcionar la información necesaria a la persona responsable de la Seguridad TIC para realizar los preceptivos análisis de riesgos, con la finalidad de establecer las salvaguardas a implantar. Para ello contará con la ayuda de los responsables de la información y de los responsables de los sistemas.

c) Verificar que los análisis de riesgos realizados se corresponden en todo momento con la información aportada para la realización de estos.

d) Aceptar los riesgos residuales de las informaciones tratadas y los servicios prestados, identificados en el análisis de riesgos y realizar su seguimiento y control.

3.8. Puntos o Personas de Contacto (POC).

En el en el caso de servicios externalizados, salvo por causa justificada y documentada, la organización prestataria de dichos servicios deberá designar, de conformidad con lo previsto en el apartado 5, del artículo 13 del ENS, un POC (Punto o Persona de Contacto) para la seguridad de la información tratada y el servicio prestado, que cuente con el apoyo de los órganos directivos, y que canalice y supervise, tanto el cumplimiento de los requisitos de seguridad del servicio que presta o solución que provea, como las comunicaciones relativas a la seguridad de la información y la gestión de los incidentes para el ámbito de dicho servicio. Dicho POC de seguridad será el propio Responsable de Seguridad de la organización contratada, formará parte de su área o tendrá comunicación directa con la misma.

3.9. Responsable de los tratamientos de los datos personales.

1. La persona titular de la Dirección de ATRIAN es el responsable de los tratamientos de datos personales, que es el órgano que determina los fines y medios de los tratamientos de la información que lleve a cabo la entidad en el ejercicio de sus funciones, sin perjuicio de las funciones que atribuye esta resolución a otros responsables y salvo que las normas aplicables sobre asignación de atribuciones en materia de protección de datos personales dispongan otra cosa.

2. Las funciones de la Agencia cuando actúe como responsable del tratamiento son las siguientes:

a) Garantizar el cumplimiento de las políticas, normativas y procedimientos aprobados e implementados en la Agencia en materia de protección de datos.

b) Velar por el cumplimiento de los principios relativos al tratamiento, el derecho de información de las personas interesadas, y el ejercicio y atención a las solicitudes en el ejercicio de sus derechos en tiempo y forma.

c) Aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y acreditar que el tratamiento es conforme con el RGPD teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.

d) Aplicar medidas técnicas y organizativas para aplicar la privacidad desde el diseño y por defecto y la seguridad del tratamiento de datos personales para preservar un nivel de seguridad adecuado al riesgo.

e) Llevar un registro de actividades del tratamiento de datos de carácter personal bajo su responsabilidad y de acuerdo con lo establecido en el artículo 30.1 del RGPD. Las propuestas de inclusión del tratamiento deberán ser comunicadas al DPD antes de cualquier operación.

f) Gestionar las violaciones de la seguridad de los datos personales en tiempo y forma, de acuerdo con los artículos 33 y 34 del RGPD.

g) Evaluar la obligación y necesidad de realizar una evaluación de impacto en protección de datos.

h) Diseñar y ejecutar los planes en materia de seguridad de la información y protección de datos.

i) Aceptar los riesgos residuales identificados en el análisis de riesgos para los derechos y libertades de los interesados y realizar su seguimiento y control.

j) Respaldar al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

k) Garantizar la participación activa y documentada del delegado de protección de datos en todas las fases de implantación de nuevos tratamientos de datos personales, desde su diseño inicial hasta su implementación final. Esta participación deberá comprender todo el proceso de toma de decisiones que afecten al tratamiento de datos personales desde el principio de la elaboración de cualquier proyecto de disposición normativa y el proceso de elaboración del análisis de impacto.

l) Garantizar la transparencia e información respecto al tratamiento de datos de interesados.

m) Regular las relaciones con encargados del tratamiento.

3. Corresponde a las personas titulares de los órganos directivos o unidades administrativas que sean competentes por razón de la materia, respecto a la información que sea necesario tratar para el ejercicio de sus funciones y competencias, la gestión operativa, dentro de su ámbito de actuación, necesaria para el cumplimiento de las obligaciones previstas en el apartado anterior, sin perjuicio de las obligaciones de los empleados públicos de la Agencia previstas en esta resolución, que tratarán los datos personales siguiendo las instrucciones del responsable.

3.10. Encargado de los tratamientos de datos personales de la ATRIAN.

1. En el caso en el que el responsable de los tratamientos designara a un Encargado del tratamiento, lo harán únicamente a uno que ofrezca garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas para que el tratamiento sea conforme al RGPD y garantice la protección de los derechos de las personas interesadas, de conformidad con el artículo 28 del RGPD Dicho encargado tratará los datos exclusivamente por cuenta del responsable, siguiendo las instrucciones documentadas de este, a no ser que esté obligado a ello en virtud del ordenamiento jurídico de la Unión Europea o del Estado español.

2. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión Europea o de los Estados miembros de la misma, incluido el ordenamiento jurídico español, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable y las estipulaciones previstas en el artículo 28.3 del RGPD y demás normativa de aplicación.

3. Dichas estipulaciones se incluirán, al menos, en los siguientes actos jurídicos:

a) Todos los contratos, incluidos los menores.

b) Encargos a medios propios.

c) Encomiendas de gestión.

d) Convenios que impliquen encargo de tratamiento de datos.

4. Su incorporación se efectuará de acuerdo con los modelos tipo de pliegos recomendados por la Comisión Consultiva de Contratación Pública y con los modelos de documentos propios de la Agencia Tributaria de Andalucía que se harán públicos en la intranet y la red social corporativa y con las instrucciones en materia de contratación y otras materias.

5. Cuando se requiera de la ADA la realización de actuaciones que supongan un encargo de tratamiento de datos personales, este se regirá por las estipulaciones como encargada del tratamiento de la Administración de la Junta de Andalucía que constan en sus Estatutos. Estas estipulaciones se completarán con un documento emitido en el momento de la toma de requisitos donde se especificarán:

a) Las actividades de tratamiento afectadas que sean responsabilidad de órganos de la Agencia Tributaria de Andalucía.

b) Las categorías de datos.

c) Las categorías de personas interesadas.

d) El nivel de seguridad mínimo exigido, por protección de datos personales, en cada una de las dimensiones de la seguridad, de conformidad con el Esquema Nacional de Seguridad.

e) El alcance geográfico y temporal del tratamiento.

6. En aplicación de lo dispuesto en el apartado anterior, ATRIAN, como responsable del tratamiento de datos personales, solicitará a la ADA, en su condición de encargada del tratamiento de acuerdo con la disposición adicional cuarta de sus Estatutos, la designación de un representante para facilitar la interlocución necesaria que permita dar cumplimiento a lo previsto en el punto 6 del apartado tercero de la Política de la Política de Seguridad Interior, Seguridad Tic y Protección de Datos de la Agencia Digital de Andalucía, aprobada por Resolución de 12 de julio de 2024, de la Dirección Gerencia de la Agencia Digital de Andalucía, por la que se aprueba la Política de Seguridad Interior, Seguridad de las Tecnologías de la Información y las Telecomunicaciones (TIC) y Protección de Datos de la Agencia Digital de Andalucía.

3.11. Persona Delegada de Protección de Datos.

1. La ATRIAN contará con una persona o grupo de personas que ostenten la condición de Delegado o Delegada de Protección de Datos, ya sea mediante la asignación de funciones con arreglo a lo dispuesto en los 37 a 39 del RGPD y en los artículos 34 a 37 de la LOPDgdd o mediante la cobertura de una o más plazas específicas en la Relación de Puestos de Trabajo de ATRIAN, que extenderá su actuación a los órganos y actividades de tratamiento de la información de ATRIAN.

2. La designación de la persona Delegada de Protección de Datos corresponderá a la persona titular de la Presidencia de la ATRIAN entre personal funcionario adscrito a la entidad, que tenga conocimientos especializados en derecho y la práctica en materia de protección de datos, sistemas de información y seguridad de ATRIAN, procesos, procedimientos administrativos, servicios, estructura y normativa aplicable a la entidad. Asimismo, podrá asumir este rol personal funcionario no adscrito a ATRIAN siempre que se acredite la disposición de los conocimientos técnicos previstos en este apartado. Su designación, nombramiento y cese se llevará a cabo con arreglo al artículo 34.3 de la LOPDGDD, y se comunicará al Consejo de Transparencia y Protección de Datos de Andalucía, en el plazo de diez días.

3. El personal funcionario que asuma este rol gozará de independencia funcional, sin que puedan recibir instrucciones sobre el desempeño de sus funciones, ni ser removidas o sancionadas por dicho desempeño, salvo que incurriera en dolo o negligencia grave. A tal efecto, el responsable del tratamiento pondrá a su disposición los recursos suficientes para desarrollar su labor de forma efectiva.

4. Las funciones de la persona o personas que asuman la figura del Delegado o Delegada de Protección de Datos con arreglo al RGPD, la LOPDGDD y la Ley Orgánica 7/2021, de 26 de mayo, son las siguientes:

a) Informar y asesorar al responsable o al encargado del tratamiento y al personal que se ocupen del tratamiento de las obligaciones que les incumben en materia de protección de datos personales.

b) Supervisar el cumplimiento de lo dispuesto en la normativa sobre protección de datos personales y en la política de protección de datos personales de la ATRIAN, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes. A tal efecto, podrá emitir recomendaciones, orientaciones y realizar informes relacionados con la aplicación de las disposiciones del RGPD y LOPDGDD.

c) Asistir responsable del tratamiento en la preparación y actualización de sus registros de actividades de tratamiento y supervisará que el inventario de actividades de tratamiento esté aprobado formalmente por la persona titular de la entidad y públicamente accesible, de conformidad con el artículo 31.2 de la LOPDGDD.

d) Supervisar que el responsable del tratamiento informe a los interesados sobre sus derechos según el RGPD y LOPDGDD en el contexto de las actividades de tratamiento y asesorará al responsable del tratamiento en la gestión de las solicitudes de ejercicios de derechos en materia de protección de datos de las personas interesadas y en la elaboración de los protocolos o procedimientos para dar respuesta a las mismas.

e) Ofrecer el asesoramiento sobre los análisis de riesgos para los derechos y libertades, y sobre la evaluación de impacto relativa a la protección de datos, tanto en la necesidad de su realización como en su elaboración y en la necesidad o no de consulta previa a la autoridad de control, así como supervisar su aplicación.

f) Actuar como punto de contacto entre la Agencia Tributaria de Andalucía y el Consejo de Transparencia y Protección de Datos de Andalucía, en cuanto autoridad de control en materia de protección de datos, para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del Reglamento General de Protección de Datos, y realizar las otras consultas que se puedan suscitar en la materia.

5. En el ejercicio de sus funciones la persona Delegada de Protección de Datos podrá:

a) Tener acceso a todos los datos personales y procesos de tratamiento, no pudiendo oponerse a este acceso la existencia de cualquier deber de confidencialidad o secreto. Todos los empleados y aquellos que presten servicio para la Agencia están obligados a facilitar cuanta información le sea requerida por el Delegado de Protección de Datos, así como el acceso a locales, instalaciones, equipos archivos, soportes de almacenamiento, programas, procesos y procedimientos.

b) Solicitar orientación legal de la Asesoría Jurídica de ATRIAN en cuestiones de ámbito jurídico que afecten al desempeño de su función de asesoramiento y supervisión en materia de protección de datos.

c) Contar con el apoyo y asistencia de todos los órganos directivos de la entidad. Asimismo contará con el apoyo y asistencia de los servicios que proporciona ADA a la ATRIAN. Singularmente podrá solicitar opiniones técnicas al Responsable de Seguridad de la entidad.

3.12. Empleados públicos de la Agencia Tributaria.

1. Todo el personal que preste servicios en la ATRIAN tiene la obligación de conocer y cumplir la política de seguridad TIC y Seguridad Interior, la normativa de seguridad derivada de esta y la política de protección de datos personales, siendo responsabilidad del Comité de Seguridad Interior y Seguridad TIC proporcionar los medios necesarios para que la información llegue a las personas afectadas.

2. Todo el personal que se incorpore a la ATRIAN o vaya a tener acceso a alguno de sus sistemas de información o la información gestionada por ellos deberá ser informado de la política de seguridad TIC, Seguridad Interior y de protección de datos personales.

3. Procederá el ejercicio de las acciones pertinentes para la exigencia de las responsabilidades legales que correspondan por el incumplimiento manifiesto de la política de seguridad TIC, Seguridad Interior o de la normativa de seguridad derivada, y en materia de protección de datos personales.

4. El personal de ATRIAN deberá cumplir además con las instrucciones y normas que regulen el comportamiento del personal empleado público en el uso de los sistemas informáticos y redes de comunicaciones de la Administración de la Junta de Andalucía.

5. Cualquier persona que actúe bajo la autoridad del responsable o del encargado de un tratamiento de datos personales en el ámbito de aplicación de esta resolución y tenga acceso a datos personales solo tratará dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del ordenamiento jurídico de la Unión Europea o del Estado español.

4. Seguridad interior.

1. La preservación de la seguridad interior será considerada objetivo común de todas las personas al servicio de ATRIAN.

2. La clasificación y control de activos se acomodará a lo previsto en el Modelo de Seguridad Interior, en el Plan Corporativo de Seguridad Interior, en el Plan de Seguridad Interior de la ATRIAN y en los demás instrumentos de planificación previstos en el artículo 17 del Decreto 171/2020, de 13 de octubre.

4.1. Objetivos.

La política de seguridad interior contra riesgos intencionales persigue la consecución de los siguientes objetivos:

a) Asegurar el funcionamiento como sistema eficaz, eficiente y explícitamente definido, de toda la actividad que ATRIAN despliegue para la prevención de daños intencionales sobre su personal y personas usuarias, sobre sus activos y sobre la continuidad de su funcionamiento y servicios, así como para la reacción cuando tales daños se produzcan.

b) Garantizar el cumplimiento de toda la normativa que se aplique a las actuaciones de la Agencia en esta materia.

c) Colaborar a la seguridad a través de la protección del personal, personas usuarias y activos de la Agencia.

4.2. Principios.

La política de seguridad interior de la Agencia se desarrollará, con carácter general, de acuerdo con los siguientes principios:

a) Anticipación y prevención.

b) Eficiencia y sostenibilidad en el uso de los medios.

c) Preservación de la resiliencia.

d) Unidad de acción, coordinación y colaboración.

e) Prioridad en la protección de la vida y salud de las personas frente a la integridad de los activos.

f) Proporcionalidad en los costes económicos y operativos de las medidas de seguridad.

g) Mantenimiento de la integridad, disponibilidad y continuidad en el funcionamiento de los activos.

h) Aseguramiento de la continuidad de los servicios.

i) Responsabilidad estratificada, identificable y compartida.

j) Actuación planificada.

4.3. Responsabilidad individual.

El personal que preste servicios en ATRIAN será responsable de utilizar correctamente los activos y de participar, durante el desempeño ordinario de sus funciones y tareas, en la detección precoz de cuantos indicios puedan servir a la prevención de riesgos para la seguridad interior.

4.4. Gestión de riesgos.

La gestión de los riesgos para la seguridad interior se acomodará a lo previsto en el Modelo de Seguridad Interior, en el Plan Corporativo de Seguridad Interior, en el Plan de Seguridad Interior de la ATRIAN y en los demás instrumentos de planificación previstos en el artículo 17 del Decreto 171/2020, de 13 de octubre.

En relación con la Seguridad Interior, la clasificación y control de activos se acomodará a lo previsto en el Modelo de Seguridad Interior, en el Plan Corporativo de Seguridad Interior, en el Plan de Seguridad Interior de ATRIAN y en los demás instrumentos de planificación previstos en el artículo 17 del Decreto 171/2020, de 13 de octubre.

4.5. Auditorías de seguridad.

Las auditorías realizadas en ATRIAN en materia de seguridad interior se realizarán conforme a las previsiones que se contengan en el Modelo de Seguridad Interior, en el Plan Corporativo de Seguridad Interior, en el Plan de Seguridad Interior de ATRIAN y en los demás instrumentos de planificación previstos en el artículo 17 del Decreto 171/2020, de 13 de octubre.

5. Seguridad de las tecnologías de la información y comunicaciones.

1. El objeto último de la política de seguridad TIC de ATRIAN es garantizar que la organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información.

2. Con la finalidad de implementar el objetivo enunciado en el apartado anterior, ATRIAN desarrollará las medidas de seguridad TIC en cuatro niveles interconectados con diferente ámbito de aplicación, detalle técnico y obligatoriedad de cumplimiento, de modo que cada nivel de desarrollo se fundamenta en el nivel superior. Los niveles de seguridad, que conforman el Plan de Seguridad TIC en ATRIAN, prestarán especial atención a las exigencias derivadas tanto del Esquema Nacional de Seguridad como de la normativa aplicable en materia de protección de datos personales. Concretamente, los niveles de desarrollo de seguridad son los siguientes:

Niveles de seguridad
Nivel	Denominación	Descripción	Órgano que aprueba
Primer	Política de seguridad TIC	Se contiene en la presente resolución.	Presidencia de ATRIAN.
Segundo	Normas de seguridad	Describen de forma general principios y normas de seguridad que son aprobados por niveles posteriores.	Comité de Seguridad Interior y Seguridad TIC.
Tercer	Procedimientos	Describen las acciones a realizar de modo más específico y dependen de las normas de seguridad.	Dirección de ATRIAN.
Cuarto	Documentación técnica	Se incluye la documentación técnica o especializada necesaria para completar y facilitar el desarrollo de las medidas de seguridad.	Responsable de seguridad.

3. El Comité de Seguridad Interior y Seguridad TIC establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo con el propósito de regularizarlo, en la medida de lo posible, en todo el ámbito de aplicación de la política de seguridad TIC.

4. La persona responsable de Seguridad TIC se encargará de la gestión de los documentos indicados, debiendo asegurar que ésta sea completa y proporcione información suficiente para definir las necesidades de protección de la información y los activos asociados a la misma en el ámbito de la Agencia Tributaria de Andalucía.

5.1. Objetivos.

En particular los objetivos de la política de seguridad TIC de ATRIAN son:

a) Garantizar la seguridad TIC y proteger los activos o recursos de información.

b) Definir la estructura de la organización de la seguridad TIC de la organización.

c) Marcar las directrices, los objetivos y los principios básicos de seguridad TIC de la Agencia.

d) Orientar la organización para la prestación de servicios basados en la gestión de riesgos.

e) Servir de marco de desarrollo de las normas, procedimientos y procesos de gestión de la seguridad TIC.

5.2. Principios.

Los principios básicos que regirán la política de seguridad TIC de la Agencia Tributaria de Andalucía serán, además de los establecidos en la normativa reguladora de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y en el ENS, en el ámbito de la administración electrónica, los siguientes:

1. Principio de prevención. Con arreglo a este principio se tratará de evitar en la medida de lo posible que la información o los servicios se vean perjudicados por incidentes de seguridad. Con arreglo a este principio se llevarán a cabo las siguientes actuaciones:

a) Se implementará las medidas mínimas de seguridad determinadas por el ENS.

b) Se aplicarán controles adicionales que hayan sido identificados a través de una evaluación de amenazas y riesgos.

c) Los controles, los roles y responsabilidades de seguridad de todo el personal, estarán claramente definidos y documentados.

d) Los responsables de la seguridad interior, la información y los servicios evaluarán regularmente la seguridad, singularmente con motivo de los cambios de configuración que, en su caso, se lleven a cabo en los sistemas y servicios que presta ATRIAN.

2. Principio de detección. En aplicación de este principio es necesario monitorizar de modo continuado los sistemas y servicios que presta ATRIAN con la finalidad de detectar cualquier incidencia que pueda afectar al nivel de prestación requerido para atender los compromisos que asume ATRIAN como organización. A tal efecto, ATRIAN dispondrá de mecanismos de detección, análisis y reporte de información con el propósito de facilitar a los responsables la adoptación de las medidas necesarias para evitar la degradación de los servicios.

3. Principio de reacción. La implementación de este principio exige minimizar el tiempo requerido de respuesta de la organización a los incidentes de seguridad. A tal efecto, se establecerán mecanismos para responder eficazmente a los incidentes de seguridad, designando un punto de contacto para centralizar y gestionar el intercambio de información asociada a los incidentes de seguridad, así como estableciendo protocolos para el intercambio de información relacionada con dichos incidentes.

4. Principio de recuperación. La aplicación de este principio exige garantizar, en la medida de lo posible, la disponibilidad de los servicios ofrecidos a la ciudadanía, en función su criticidad.

5. Principio de vigilancia continua: En todo momento, se deberá de realizar una vigilancia continua que permita la detección de actividades o comportamientos anómalos que permitan a la organización ofrecer una repuesta adecuada. Esta vigilancia continua permitirá realizar una evaluación permanente del estado de la seguridad de los activos que forman parte de la ATRIAN, facilitando la medición de la evolución, detección de vulnerabilidades e identificación de las deficiencias de configuración que corresponda al activo de información.

6. Disponibilidad, Integridad y confidencialidad de los datos personales: Los datos personales serán tratados de tal manera que se garantice un nivel de seguridad adecuado al riesgo para los derechos y libertades de las personas físicas, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

5.3. Responsabilidad individual.

Las personas usuarias de los recursos informáticos y la información de ATRIAN son responsables de su uso correcto, siendo el control y la seguridad de los activos una responsabilidad compartida, para lo cual será necesario que estén debidamente formadas y concienciadas en la política de seguridad de tecnologías de la información, seguridad Interior y protección de datos personales.

5.4. Clasificación y control de activos en materia de Seguridad TIC.

1. Los recursos informáticos y la información de ATRIAN se encontrarán inventariados, con una persona responsable asociada y, en caso de ser necesario, una persona custodia de los mismos. Los inventarios se mantendrán actualizados para asegurar su validez.

2. Los activos de información estarán clasificados de acuerdo con su sensibilidad y criticidad para el desarrollo de la actividad de la ATRIAN, en función de la cual se establecerán las medidas de seguridad exigidas para su protección.

5.5. Gestión de riesgos en materia de Seguridad TIC.

1. La gestión de riesgos deberá realizarse de manera continua sobre los sistemas de información, conforme a los principios de gestión de la seguridad basada en los riesgos y con reevaluación periódica de los mismos.

2. La categorización de los sistemas de información, que se realizará conforme a lo previsto en el ENS, corresponderá al responsable de seguridad. A tal efecto, la determinación de la categoría de seguridad que proceda en cada caso se realizará sobre la base de la valoración, que corresponde al responsable de la información o de los servicios, del impacto que tendría un incidente que afectase a la seguridad de la información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad.

3. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos personales, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizados a dichos datos.

4. El responsable del servicio o el responsable de la información será el encargado de aceptar los riesgos residuales calculados en el análisis sobre la información y los servicios, y de realizar su seguimiento y control.

5. El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse al menos con periodicidad anual por parte del responsable de seguridad, que elevará un informe al Comité.

5.6. Auditorías de la seguridad en materia de Seguridad TIC.

1. Los sistemas de información serán objeto de una auditoría regular ordinaria, cada dos años, que verifique el cumplimiento de los requerimientos del ENS. Estas auditorías ordinarias, así como las extraordinarias se harán de acuerdo con lo establecido en el artículo 31 del ENS.

2. Los informes de auditoría serán presentados a la persona responsable del sistema competente, al Delegado o Delegada de Protección de Datos, si afectara a estos, y a la persona responsable de Seguridad TIC. Estos informes serán analizados por esta última persona que presentará sus conclusiones a la persona responsable del sistema para que adopte las medidas correctoras adecuadas. Los resultados obtenidos determinarán las líneas de actuación a seguir y las posibles modificaciones a realizar sobre los controles y la normativa de seguridad.

3. Con el fin de optimizar la utilización de los recursos públicos y garantizar una mejor coordinación entre seguridad TIC y seguridad de protección de datos, siempre que sea posible, las auditorías de seguridad de sistemas de información y las auditorías de protección de datos o medidas análogas de verificación, evaluación y valoración de seguridad de los tratamientos se realizarán de manera conjunta.

6. Protección de datos personales.

El derecho a la protección de datos personales es un derecho fundamental cuya protección no se limita sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo. Para garantizar el respeto a la protección de datos personales, esta política establece las directrices generales de actuación y funcionamiento de ATRIAN con el propósito de promover una cultura de cumplimiento en la organización que se caracterice por la implementación proactiva de medidas concretas de protección de este derecho fundamental en cumplimiento del RGPD y de la LOPDgdd. En esta línea, ATRIAN busca fomentar de modo continuado una cultura de protección de datos en la organización para que las personas trabajadoras en la entidad puedan comprender la responsabilidad inherente al tratamiento de datos personales con la finalidad de adaptar su comportamiento a la normativa aplicable en materia de protección de datos.

6.1. Objetivos.

1. La Política de Protección de Datos Personales de ATRIAN persigue establecer los principios básicos en cuya virtud se tratan los datos personales de las personas interesadas. A tal efecto, las medidas organizativas, operacionales y de seguridad del ENS deberán tener en cuenta las siguientes dimensiones de seguridad de la información:

a) Disponibilidad: La información deberá estar disponible siempre que sea necesario.

b) Confidencialidad: La información solo estará disponible para personas autorizadas, reduciendo los permisos de acceso al mínimo estrictamente necesario para el desarrollo de sus funciones y competencias.

c) Integridad: La información deberá estar libre de modificaciones no autorizadas, debiendo someterse a controles de calidad para minimizar errores.

2. La Política de Protección de Datos Personales de ATRIAN busca garantizar el cumplimiento documentado, continuado y actualizado de los principios y obligaciones que establece la normativa aplicable en materia de protección de datos, con la finalidad de evidenciar el cumplimiento activo de los compromisos que asumen todas las personas que trabajan en ATRIAN, promoviendo la transparencia y protección de los derechos y libertades de las personas.

6.2. Principios.

1. Los principios del tratamiento que se exponen a continuación se aplicarán a cualquier tipo de operación o finalidad que se realice sobre los datos personales que se traten por cuenta de ATRIAN, con independencia de su tipología. La aplicación de estos principios se extiende, por tanto, a toda la información relativa a una persona física identificada o identificable y respecto a cualquier persona que intervenga en el tratamiento, ya sea persona trabajadora de ATRIAN, proveedores de bienes y servicios, colaboradores o encargados del tratamiento, ya sean del sector público o privado.

2. Los datos personales serán tratados con arreglo a los siguientes principios del artículo 5 del RGPD:

a) Licitud, lealtad, transparencia. En virtud de este principio todo tratamiento de datos personales debe ser lícito y leal. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de datos sea fácilmente accesible y fácil de entender y que se utilice en un lenguaje sencillo y claro.

b) Limitación de la finalidad. En aplicación de este principio el tratamiento de la información deberá realizarse con arreglo a una finalidad determinada y explícita para evitar cualquier tipo de confusión. De este modo, únicamente se tratarán los datos personales para ejecutar la finalidad para la cual se recogieron, no pudiendo realizarse operaciones de tratamiento para atender otras finalidades que pudieran ser incompatibles con la inicialmente definida.

c) Minimización de los datos. De acuerdo con este principio no solo debe definirse la finalidad con arreglo a la cual se van a tratar datos personales, para determinar qué datos son adecuados, pertinentes y necesarios, sino que también debe valorarse si la medida que se pretende aplicar es susceptible de conseguir el objetivo o finalidad propuesto (juicio de idoneidad); si es posible alcanzar el objetivo fijado con la misma eficacia con otra medida más moderada (juicio de necesidad); y si la medida que se pretende implementar es equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad).

d) Exactitud. La implementación de este principio exige que se garantice en la medida de lo posible que la información personal tratada para llevar a cabo una finalidad concreta sea cierta y se ajuste a la realidad de la persona. A tal efecto, deberá verificarse desde el inicio que los datos personales no son inexactos y se aplicarán medidas que, con arreglo a la capacidad operativa de ATRIAN, se puedan implementar de modo razonable para comprobar que los datos de los que dispone ATRIAN no se encuentran desactualizados como consecuencia de cambios sobrevenidos en las circunstancias en las que se encuentra una persona física.

e) Limitación del plazo de conservación. En virtud de este principio los datos personales serán objeto de tratamiento durante el tiempo que necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad, aplicando durante el periodo de conservación las garantías adecuadas y las medidas técnicas y organizativas necesarias para salvaguardar los derechos y libertades de las personas. Para determinar el periodo de conservación se tendrán en cuenta la normativa de archivos y documentación y la prescripción en el ámbito tributario, así como de los derechos y obligaciones de la Hacienda Pública.

f) Integridad y confidencialidad. En aplicación del principio de integridad los datos serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Por lo que concierne al principio de confidencialidad, la información solo estará disponible para personas autorizadas, reduciendo los permisos de acceso al mínimo estrictamente necesario para el desarrollo de sus funciones y competencias, recayendo sobre las personas que traten los datos personales por cuenta de ATRIAN un deber de secreto que se mantendrá vigente aun habiendo terminado la relación de servicio con ATRIAN.

g) Responsabilidad proactiva. En virtud de este principio ATRIAN llevará a cabo las siguientes acciones: documentar y evidenciar adecuadamente todas las actividades de tratamiento de datos personales y las medidas adoptadas para garantizar el cumplimiento de los principios aplicables en materia de protección de datos, como la llevanza de un registro de actividades de tratamiento, la realización de análisis de riesgos. Para los tratamientos de datos personales con alto riesgo para los derechos y libertades de las personas, se realizará la correspondiente evaluación de impacto; se adoptarán medidas técnicas y organizativas para garantizar la seguridad, implementando medidas de control; se realizarán revisiones periódicas de las actividades de tratamiento y de las medidas implementadas; se fomentará una cultura de protección de datos en ATRIAN para que las personas trabajadoras puedan comprender la responsabilidad derivada del tratamiento de datos personales.

6.3. Responsabilidad individual.

1. Todo el personal que se incorpore a la ATRIAN o vaya a tener acceso a alguno de sus sistemas de información o la información gestionada por ATRIAN deberá ser informado de la política de seguridad de tecnologías de la información, seguridad interior y protección de datos personales.

2. Todo el personal que preste servicios en la ATRIAN está comprometido con la preservación de la seguridad y con la protección de los derechos y las libertades de las personas físicas durante todo el ciclo de vida de los datos. A tal efecto, deberán participar en las acciones de concienciación y actividades formación del personal que programe ATRIAN y atenderán los requerimientos que se efectúen en el marco de las auditorías de control de acceso en materia de protección de datos.

3. Las personas usuarias de los datos personales que trata ATRIAN para el desarrollo de sus funciones y competencias sólo accederán a aquella información requerida para cumplir sus obligaciones.

4. Cualquier persona que actúe bajo la autoridad del responsable o del encargado de un tratamiento de datos personales en el ámbito de aplicación de esta resolución y tenga acceso a datos personales solo tratará dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del ordenamiento jurídico de la Unión Europea o del Estado español.

5. Las personas usuarias de datos personales están obligadas a guardar secreto profesional de toda aquella información de la que tengan conocimiento con ocasión del ejercicio de su cargo o actividad profesional. Esta obligación se mantendrá incluso después de haber finalizado la relación con la Agencia.

6. El deber de confidencialidad y secreto profesional se establecerá de forma expresa en todo tipo de relaciones jurídicas que impliquen o supongan acceso o tratamiento de la información, incluidos los servicios de simple alojamiento, transporte o soporte técnico.

7. Procederá, en su caso, el ejercicio de las acciones que resulten procedentes para la exigencia de las responsabilidades legales que correspondan por el incumplimiento manifiesto de esta política de seguridad TIC, Seguridad Interior o de la normativa de seguridad derivada, y en materia de protección de datos personales.

6.4. Registro de actividades de tratamiento.

1. ATRIAN llevará un registro actualizado de las actividades de tratamiento de datos personales efectuadas bajo su responsabilidad, de acuerdo con lo establecido en el artículo 30 del RGPD y el resto de normativa de datos personales aplicable.

2. Como órgano encargado del tratamiento ATRIAN llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable. ATRIAN podrá incluir en un mismo registro dichas actividades de tratamiento de datos personales, siempre que quede definido con claridad cuales efectúa como responsable y cuales como encargado por cuenta de otro responsable.

3. La persona titular de la Dirección aprobará mediante resolución la creación, actualización y modificación del registro de las actividades de tratamiento de datos personales de dicho órgano comunicándolo a la persona o personas que asuman la figura del Delegado o Delegada de Protección de Datos.

4. El registro de actividades de tratamiento de ATRIAN, una vez aprobados, se publicarán junto con su base legal en el Inventario de Actividades de Tratamiento de la Administración de la Junta de Andalucía en su portal web, de conformidad con el artícuo 6 bis de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

6.5. Ejercicio de derechos en materia de protección de datos personales.

1. Mediante resolución de la Dirección de ATRIAN se establecerá el procedimiento para la tramitación y resolución de las solicitudes relativas al ejercicio de derechos de datos personales en la ATRIAN.

2. Las solicitudes de ejercicio de derechos serán resueltas mediante resolución de la persona titular del órgano responsable del tratamiento, y en dicha resolución se dispondrán las medidas técnicas y organizativas que fueran pertinentes para satisfacer el derecho a la protección de datos personales de las personas interesadas. No obstante, se podrán adoptar cautelarmente dichas medidas técnicas y organizativas a la mayor brevedad y antes de que recaiga resolución con el fin de evitar o minimizar los posibles perjuicios a los derechos y libertades de las personas interesadas.

6.6. Protección de datos personales desde el diseño y por defecto.

1. El principio de protección de datos personales desde el diseño se aplicará tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento mediante la implementación de medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias para proteger los derechos de las personas interesadas. A tal efecto, se garantizará la participación activa y documentada del delegado de protección de datos en todas las fases de implantación de nuevos tratamientos de datos personales, desde su diseño inicial hasta su implementación final, haciéndole partícipe de cualquier proyecto, plan, resolución, instrucción, contrato, convenio o acto jurídico que se vaya a aprobar o sistema de información que se vaya a desarrollar o contratar. Esta participación deberá comprender todo el proceso de toma de decisiones que afecten al tratamiento de datos personales.

2. En aplicación del principio de protección de datos personales por defecto el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con la finalidad de garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

3. Con el propósito de facilitar el conocimiento y la participación del Delegado de Protección de Datos desde las fases tempranas en la planificación, diseño, desarrollo y ensayo de todas las funcionalidades, productos y servicios relacionados con el tratamiento de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción, se remitirá comunicación informativa al Delegado de Protección de Datos. A tal efecto, el Delegado de Protección de Datos elaborará una memoria anual con las recomendaciones y orientaciones proporcionadas a los distintos órganos de ATRIAN con motivo de los proyectos e iniciativas que se hayan puesto en su conocimiento en aplicación de lo dispuesto en este apartado.

6.7. Seguridad.

1. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento de datos personales, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, y de conformidad con el artículo 32 del Reglamento General de Protección de Datos, el Responsable y el Encargado del Tratamiento en el ámbito de aplicación de esta Resolución, aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2. La seguridad de los tratamientos por medios total o parcialmente automatizados se preservará mediante la aplicación del Esquema Nacional de Seguridad, actualmente regulado en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, de conformidad con la disposición adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre. En todo caso, prevalecerán las medidas a implantar como consecuencia del análisis de riesgos y, en su caso, de la evaluación de impacto relativa a la protección de datos, cuando resulten agravadas respecto de las previstas en el Esquema Nacional de Seguridad.

3. La seguridad de los tratamientos por medios no automatizados y la parte no automatizada de los parcialmente automatizados, como los efectuados en soporte papel, se llevará a cabo a través de la aplicación de la normativa aplicable en materia de protección de datos y de documentación y archivos.

4. Se aplicarán las medidas de seguridad previstas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos personales en lo que no se oponga a la actual normativa de protección de datos. Consecuentemente, la categorización de los niveles de seguridad aplicables a cada tratamiento no se determinará exclusivamente según las categorías de datos sino en función un análisis de riesgos por protección de datos para los derechos y libertades de las personas interesadas.

5. Los órganos o unidades administrativas competentes en materia de régimen y asuntos generales, de intendencia y de archivo serán responsables de proporcionar los medios necesarios para la aplicación de dichas medidas, y de adoptar las medidas que sean de general aplicación a la ATRIAN.

6.8. Análisis de riesgo por protección de datos personales.

1. Con la finalidad de determinar las medidas técnicas y organizativas que eviten la materialización de amenazas o contribuyan a mitigar sus efectos, el responsable del tratamiento realizará, con el asesoramiento de la persona o personas que asuman la figura de Delegado o Delegada de Protección de Datos, por cada actividad de tratamiento de datos, un análisis de riesgo para los derechos y libertades de las personas interesadas, atendiendo a la naturaleza, al ámbito, al contexto y a los fines de la actividad de tratamiento.

2. El resultado de los análisis de riesgo se concretará en un documento suscrito por la persona titular del órgano responsable del tratamiento o de la unidad administrativa competente, que incluirá, al menos, los siguientes elementos:

a) Descripción del tratamiento.

b) Riesgos para los derechos y libertades de las personas interesadas.

c) Categorización de los niveles de seguridad y de cada una de las dimensiones de la seguridad de conformidad con el Esquema Nacional de Seguridad.

d) Medidas técnicas y organizativas a adoptar para reducir el riesgo.

e) Aceptación del riesgo residual.

6.9. Evaluación de impacto relativa a la protección de datos personales (EIPD).

1. Cuando un tipo de tratamiento de datos personal, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el Responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales (EIPD), que contendrá como mínimo el contenido previsto en el artículo 35 del Reglamento General de Protección de Datos y el resto de normativa aplicable. A tal efecto, el Responsable recabará el asesoramiento de la persona que ostente la condición de Delegado o Delegada de Protección de Datos.

2. El resultado de la EIPD se concretará en un informe suscrito por la persona titular del órgano responsable del tratamiento que incluirá, al menos:

a) Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento.

b) Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.

c) Una evaluación de los riesgos para los derechos y libertades de las personas interesadas.

d) Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales y para demostrar la conformidad con la normativa en materia de protección de datos personales.

e) La decisión sobre formular o no la consulta previa al Consejo de Transparencia y Protección de Datos de Andalucía a la que se refiere el artículo 36 del Reglamento General de Protección de Datos y demás normativa de aplicación.

3. La consulta previa al Consejo de Transparencia y Protección de Datos de Andalucía a la que se refiere el artículo 36 del Reglamento General de Protección de Datos será suscrita por la persona titular del órgano responsable del tratamiento. La persona que ostente la condición de Delegado o Delegada de Protección de Datos dará traslado de esta a la autoridad de control.

6.10. Violaciones de la seguridad de datos personales.

1. Se aprobará, mediante resolución de la Dirección de ATRIAN, un procedimiento de gestión de posibles violaciones de la seguridad de datos personales, de conformidad con los artículos 33 y 34 del Reglamento General de Protección de Datos y el resto de normativa de datos personales aplicable. A través de este procedimiento se garantizará:

a) La prontitud en la detección de las violaciones, puesta en marcha de las medidas previstas en el protocolo y en la puesta de conocimiento de las personas que deben intervenir en su gestión.

b) La adopción de las medidas de contención, gestión y corrección de violaciones de seguridad.

c) La notificación de estas, en los casos preceptivos, al Consejo de Transparencia y Protección de Datos de Andalucía, como autoridad de control en materia de protección de datos para las entidades públicas andaluzas y la comunicación a las personas interesadas de ser conveniente o legalmente obligatorio.

d) El cumplimiento la obligación legal de documentar todas las violaciones de la seguridad, documentación que estará a disposición de la autoridad de control.

e) La llevanza, por parte del órgano responsable del tratamiento, de un inventario de violaciones de la seguridad que permita conocerlas y analizarlas, al objeto de disponer de la información necesaria para aplicar un ciclo de mejora continua de la seguridad.

2. En caso de violación de la seguridad de los datos personales, el órgano responsable del tratamiento la notificará a la autoridad de control competente sin dilación indebida y en un plazo máximo de 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

3. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el órgano responsable del tratamiento la comunicará a las personas interesadas sin dilación indebida. La comunicación deberá contener como mínimo la información a que se refiere el artículo 34.2 del del Reglamento General de Protección de Datos y podrá omitirse en los casos previstos en el artículo 34.3 del citado Reglamento General.

6.11. Formación, concienciación y sensibilización.

El órgano competente en materia de formación del personal de ATRIAN, con el asesoramiento de la persona o personas que asuman la figura del Delegado o Delegada de Protección de Datos, incorporará acciones de formación, concienciación y sensibilización sobre protección de datos personales que formará parte del Plan anual de formación de la Agencia. Dicho plan será complementario a los planes anuales de formación del resto de entidades que ofrece formación al personal de ATRIAN como el Instituto Andaluz de Administración Pública.

6.12. Comunicaciones oficiales con la autoridad de control.

1. Corresponde a la persona titular de la Dirección de ATRIAN la suscripción de los siguientes documentos y comunicaciones relacionados con las potestades del Consejo de Transparencia y Protección de Datos de Andalucía como autoridad de control en materia de protección de datos:

a) Aquellos relacionados con reclamaciones y denuncias de las personas interesadas ante la autoridad de control en materia de protección de datos contra la actuación del órgano responsable del tratamiento del que sean titulares.

b) Aquellos relacionados con actuaciones inspectoras de la autoridad de control.

c) Las notificaciones de violaciones de la seguridad de los datos personales a la autoridad de control, de conformidad con el artículo 33 del Reglamento General de Protección de Datos o, en su caso, del artículo 38 de la Ley Orgánica 7/2021, de 26 de mayo.

d) La consulta previa antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo, de conformidad con el artículo 36 del Reglamento General de Protección de Datos o, en su caso, en el artículo 36 de la Ley Orgánica 7/2021, de 26 de mayo.

e) Las consultas generales sobre cumplimiento de obligaciones e interpretación de la normativa en materia de protección de datos.

f) Los demás documentos relacionados con la autoridad de control que sean de competencia del órgano responsable del tratamiento.

2. La persona que ostente la condición de Delegado o Delegada de Protección de Datos, en su condición de interlocutor con la autoridad de control, dará traslado al responsable del tratamiento de las comunicaciones y documentos que le sean remitidos desde la autoridad de control. Así mismo, dará traslado a la autoridad de control de las comunicaciones y documentos mencionados en el apartado anterior a ella dirigidos que reciba de los órganos responsables del tratamiento, sin perjuicio de que estos los remitan directamente a dicha autoridad de control o por ausencia o indisponibilidad de la persona que ostente la condición de Delegado o Delegada de Protección de Datos.

6.13. Auditorías en materia de protección de datos.

1. Con una periodicidad, al menos, bianual el Plan de Seguridad Anual programará la realización de una auditoría interna sobre el cumplimiento de la legislación vigente en materia de protección de datos elaborará. A tal efecto, la persona o personas que asuman la figura del Delegado o Delegada de Protección de Datos prestarán su asesoramiento en la elaboración y programación de esta actividad.

2. Las auditorías se centrarán en aspectos concretos o sectores de actividad de ATRIAN. Se emitirá un informe anual con los resultados de las auditorías realizadas que se pondrá en conocimiento del responsable del tratamiento afectado, del Comité de Seguridad Interior y TIC, responsable de la información y de los servicios, así como de la persona o personas que asuman la figura del Delegado o Delegada de Protección de Datos.

3. Cada dos años se llevará a cabo una auditoría externa, ya sea general o centrada en los aspectos concretos o en sectores de actividad. Los resultados de las auditorías externas se pondrán en conocimiento del Responsable del tratamiento afectado, del Comité de Seguridad Interior y TIC y responsable de la información y de los servicios, así como de la persona o personas que asuman la figura del Delegado o Delegada de Protección de Datos.

4. Los informes de resultados de las acciones inspectoras realizadas por la Inspección General de Servicios se pondrán en conocimiento de los órganos responsables del tratamiento afectados y del Comité de Seguridad Interior y TIC.

Descargar PDF