Boletín Oficial de la Junta de Andalucía - Histórico del BOJA Boletín número 11 de 19/01/2026
3. Otras disposiciones
Consejo de Transparencia y Protección de Datos de Andalucía
Resolución de 7 de enero de 2026, de la Dirección del Consejo de Transparencia y Protección de Datos de Andalucía, por la que se establece la Política de Seguridad TIC, Seguridad Interior y Protección de Datos Personales del Consejo.
Atención: El texto que se muestra a continuación ha sido extraído de los mismos ficheros que se han utilizado para obtener el fichero PDF correspondiente del BOJA oficial y auténtico, habiéndose suprimido todas las imágenes, ciertas tablas y algunos textos de la versión oficial al existir dificultades de edición. Para consultar la versión oficial y auténtica de esta disposición puede descargarse el fichero PDF firmado de la disposición desde la sede electrónica del BOJA o utilizar el servicio de Verificación de autenticidad con CVE 00331522.
El artículo 43 de la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía, crea el Consejo de Transparencia y Protección de Datos de Andalucía (en adelante, el «CTPDA» o el «Consejo»), como autoridad independiente de control en materia de protección de datos y de transparencia en la Comunidad Autónoma de Andalucía, siendo una entidad pública con personalidad jurídica propia, con plena capacidad y autonomía orgánica y funcional para el ejercicio de sus cometidos.
Por Decreto 434/2015, de 29 de septiembre, se aprueban los Estatutos del Consejo de Transparencia y Protección de Datos de Andalucía, como norma reguladora de su estructura, competencias, organización y funcionamiento.
Los avances tecnológicos en los ámbitos de la informática, de las telecomunicaciones y de la Sociedad de la Información son ya un hecho consolidado, que afecta a la sociedad así como a los poderes públicos, siendo éstos los responsables de generar confianza en el uso por parte de la ciudadanía de los medios tecnológicos en sus relaciones con la Administración Pública. Para conseguir esta confianza, los medios tecnológicos utilizados deben ser seguros y se debe garantizar la confidencialidad, integridad y disponibilidad de los sistemas, de las comunicaciones y de los servicios telemáticos, permitiendo tanto a las personas y a las empresas, como a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, configuran un escenario en el que la tramitación electrónica debe constituir la actuación habitual de las Administraciones en sus múltiples vertientes de gestión interna, de relación con la ciudadanía y de relación de aquéllas entre sí.
En concreto, la citada Ley 39/2015, tiene como uno de sus objetivos centrales regular las relaciones entre las Administraciones y la ciudadanía y empresas, teniendo en cuenta el desarrollo de las Tecnologías de la Información y de la Comunicación (en adelante, «TIC») de los últimos años y cómo este desarrollo afecta a las relaciones entre estos agentes, pretendiendo implantar una Administración totalmente electrónica, interconectada y transparente, mejorando la agilidad de los procedimientos administrativos y reduciendo los tiempos de tramitación.
El artículo 13.h) de la Ley 39/2015, incluye entre los derechos de las personas en sus relaciones con las Administraciones Públicas, el derecho a la protección de los datos personales y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
Asimismo, la citada Ley 40/2015, en su artículo 3.2 establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculadas o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas, garantizarán la protección de los datos personales y facilitarán preferentemente la prestación conjunta de servicios a los interesados.
Y en su artículo 156.2 establece que el Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
El referido Esquema Nacional de Seguridad se regula en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, el cual deroga el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. El Esquema Nacional de Seguridad, según el artículo 2.2 del citado Real Decreto 311/2022, está constituido por los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.
De acuerdo con lo previsto en su artículo 12, cada Administración Pública contará con una política de seguridad formalmente aprobada por el órgano competente. Asimismo, cada órgano o entidad con personalidad jurídica propia comprendido en el ámbito subjetivo del artículo 2 del Real Decreto 311/2022 deberá contar con una política de seguridad formalmente aprobada por el órgano competente. Precisamente, en cumplimiento de esta previsión, se dicta la presente resolución.
En el ámbito de la Administración de la Junta de Andalucía se aprobó el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, que conforme a lo dispuesto en su artículo 1.1, tiene por objeto definir y regular la política de seguridad de las Tecnologías de la Información y Comunicaciones de la Administración de la Junta de Andalucía, conformando, junto a las disposiciones y documentos técnicos que la desarrollen, el marco regulador de seguridad TIC.
Posteriormente, se aprobó el Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía, el cual tiene por objeto, según lo establecido en su artículo 1.1, establecer una política de seguridad interior en la Administración de la Junta de Andalucía que defina un completo sistema para la prevención y reacción ante daños intencionadamente provocados por agentes externos, personal propio o personas usuarias, contra sus propias personas usuarias, su personal, sus activos y la continuidad de su funcionamiento y servicios.
Asimismo, en su Capítulo II regula un modelo organizativo funcional en el que por principios de simplificación, economía, eficacia y eficiencia se ha evitado la creación ex-novo de un comité para la seguridad interior, optando por incluir las que hubieran sido sus funciones y tareas entre las de los ya existentes Comités de Seguridad TIC.
A tal fin, en su artículo 9 establece que las respectivas normas de creación de los Comités a los que alude el artículo 10 del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las Tecnologías de la Información y Comunicaciones de la Administración de la Junta de Andalucía, deben modificar su denominación añadiendo su definición como órganos de dirección y seguimiento en materia de seguridad interior y actualizando, de ser necesario, la composición y régimen de los mismos, con descripción incluso, de las nuevas funciones a incorporar. Además, la disposición final primera del citado Decreto 171/2020 estableció que en el Decreto 1/2011, de 11 de enero, por el que establece la política de seguridad de las Tecnologías de la Información y Comunicaciones de la Administración de la Junta de Andalucía, conforme a su redacción modificada por Decreto 70/2017, de 6 de junio, todas las alusiones en el texto a los «Comités de Seguridad TIC de las entidades» quedan sustituidas por Comités de Seguridad Interior y Seguridad TIC de Consejerías o entidades dependientes singulares.
En este contexto, y a la vista del nuevo marco regulatorio, se hace necesario la modificación de la Resolución de 12 de diciembre de 2019, de la Dirección del Consejo de Transparencia y Protección de Datos de Andalucía, por la que se establece la política de seguridad de las tecnologías de la información y de la comunicación del Consejo, así como la estructura organizativa responsable de su ejecución, optando, en aras del principio de seguridad jurídica, por la aprobación de una nueva resolución.
Para el desarrollo de la presente Política de Seguridad Interior y Seguridad TIC se ha tenido en cuenta el mencionado marco normativo, así como la Resolución de 22 de octubre de 2020, de la Secretaría General para la Administración Pública, por la que se aprueba el Código de Conducta en el uso de las Tecnologías de la Información y la Comunicación para profesionales públicos de la Administración de la Junta de Andalucía, y la Resolución de 13 de julio de 2018, de la Dirección General de Telecomunicaciones y Sociedad de la Información, por la que se establecen normas sobre gestión de incidentes de seguridad TIC.
En lo que se refiere al tratamiento de datos personales resulta de aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Esta resolución se compone de una parte expositiva, 49 artículos, una disposición derogatoria y una disposición final.
El Capítulo I contiene las disposiciones generales de la presente resolución, la estructura organizativa de la Política de Seguridad, así como la composición, funciones y régimen de funcionamiento del Comité de Seguridad Interior y Seguridad TIC, estableciendo además un Grupo de Respuesta a Incidentes de Seguridad TIC e Interior para la toma urgente de decisiones en caso de contingencia grave que afecte a la seguridad de los activos o sistemas de información críticos de este Consejo. También establece las obligaciones del personal, el desarrollo de actividades de formación y concienciación en privacidad y seguridad, la realización de auditorías de seguridad periódicas, la cooperación con otras entidades especializadas, así como la revisión de la Política de Seguridad para adecuarla a la evolución tecnológica, y su difusión.
El Capítulo II se refiere a la Política de Seguridad TIC del Consejo, fijando los objetivos y principios básicos de la misma y su desarrollo. Regula las figuras de Responsable de la Información, Responsable de Seguridad TIC, Responsable del Servicio y Responsable del Sistema, así como la clasificación y control de activos, la gestión de riesgos y la gestión de incidentes de seguridad.
El Capítulo III se refiere a la Política de Seguridad Interior. Fija los objetivos y principios básicos en materia de Seguridad Interior y regula la Unidad de Seguridad Interior, así como la gestión de los riesgos en esta materia.
El Capítulo IV está dedicado a aspectos organizativos para recoger la incidencia de la normativa de protección de datos, y especialmente del Reglamento General de Protección de Datos, que afectan directamente a la seguridad TIC. Fija los objetivos y principios básicos en materia de protección de datos personales. Además de asumir la incidencia de los aspectos fundamentales del Reglamento General de Protección de Datos, recoge sus figuras fundamentales, como son el Responsable del Tratamiento, el Encargado del Tratamiento y el Delegado de Protección de Datos, en la política de seguridad TIC y Seguridad Interior del Consejo.
En su virtud, y en uso de las atribuciones que tengo conferidas por el artículo 10.3.b) del Decreto 434/2015, de 29 de septiembre, por el que se aprueban los Estatutos del Consejo de Transparencia y Protección de Datos de Andalucía,
DISPONGO
CAPÍTULO I
Disposiciones generales
Artículo 1. Objeto.
1. La presente resolución tiene por objeto establecer la política de seguridad de este Consejo en:
a) Seguridad de las Tecnologías de la Información y Comunicaciones (en adelante TIC), en cumplimiento con lo establecido en el artículo 10 del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, así como en el artículo 12.2 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, y demás disposiciones que resulten de aplicación.
b) Seguridad Interior, en el marco de lo contemplado en el Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad Interior de la Junta de Andalucía, y demás disposiciones que resulten de aplicación.
c) Protección de datos personales, en el marco de lo recogido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, Reglamento General de Protección de Datos), así como en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, «LOPDGDD»), y demás disposiciones que resulten de aplicación.
2. También tiene por objeto regular la organización funcional de la seguridad TIC y Seguridad Interior en este Consejo.
Artículo 2. Ámbito de aplicación.
La presente Política de Seguridad TIC, Seguridad interior y Protección de Datos Personales (en adelante, Política de Seguridad) se aplicará a todos los activos de tecnologías de la información y de la comunicación del Consejo, y deberá ser observada por todo su personal, así como por cualquier otra persona que tenga acceso a cualquiera de dichos activos.
A estos efectos, se entenderá como un activo de tecnología de la información y de la comunicación cualquier información o sistema de información que tenga valor para el Consejo, incluyendo datos, servicios, aplicaciones, equipos, comunicaciones, instalaciones, procesos y recursos humanos.
Asimismo, será de aplicación a la seguridad interior del conjunto de los activos en el ámbito del Consejo.
La Política de Protección de Datos Personales se aplicará a todas las actividades de tratamiento responsabilidad del Consejo en el ejercicio de las competencias que tiene atribuidas. También será aplicable a las actividades de tratamiento que el Consejo lleve a cabo por cuenta de otros responsables del tratamiento en calidad de encargado, en lo que no se oponga a lo establecido en el acto jurídico de encargo de tratamiento, en las instrucciones o políticas del responsable; y a las actividades de tratamiento que se lleven a cabo por cuenta del Consejo por los distintos encargados del tratamiento.
Artículo 3. Definiciones.
La presente Política de Seguridad asume las definiciones establecidas en:
a) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
b) La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
c) El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
d) El Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
e) El Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía.
f) La Resolución de 22 de octubre de 2020, de Secretaría General para la Administración Pública, por la que se aprueba el Código de Conducta en el uso de las Tecnologías de la Información y la Comunicación para profesionales públicos de la Administración de la Junta de Andalucía.
Artículo 4. Estructura organizativa.
1. La estructura organizativa de la Política de Seguridad estará integrada por las siguientes figuras:
a) Comité de Seguridad Interior y Seguridad de las Tecnologías de la Información y Comunicaciones (TIC).
b) Responsable de la Información.
c) Responsable de Seguridad TIC.
d) Responsable del Servicio.
e) Responsable del Sistema.
f) Responsable de la Unidad de Seguridad Interior.
2. Además, de acuerdo con lo exigido por la normativa sobre protección de datos personales, la presente Política de Seguridad contempla la participación de las siguientes figuras:
a) Responsable del tratamiento.
b) Encargado del tratamiento.
c) Delegado de Protección de Datos.
Artículo 5. Comité de Seguridad Interior y Seguridad TIC.
1. El Comité de Seguridad Interior y Seguridad TIC del Consejo (en adelante, Comité de Seguridad) es el órgano de dirección y seguimiento en materia de seguridad interior y de los activos TIC de los que el Consejo sea titular o cuya gestión tenga encomendada.
2. El Comité de Seguridad estará formado por los siguientes miembros:
a) Presidencia (con voz y voto): la persona titular de la Dirección del Consejo.
b) Vicepresidencia (con voz y voto): la persona titular de la Secretaría General.
c) Vocalías:
1.º La persona titular de la Dirección del Área de Transparencia (con voz y voto).
2.º La persona titular de la Dirección del Área de Protección de Datos (con voz y voto).
3.º Delegado de Protección de Datos (con voz y sin voto).
4.º Responsable de Seguridad TIC (con voz y sin voto).
5.º Responsable de la Unidad de Seguridad Interior (con voz y sin voto).
d) Secretaría (con voz y voto): La persona titular del Servicio de Informática y Telecomunicaciones.
3. Cuando el tratamiento de determinadas cuestiones lo requiera, se podrá convocar a las reuniones del Comité a personal técnico especializado, a los efectos de prestar asesoramiento experto, sin que en ningún caso este asesoramiento pueda ocasionar un coste económico para el Consejo.
4. El Comité de Seguridad se reunirá, previa convocatoria, con carácter ordinario una vez al semestre y con carácter extraordinario por acuerdo de la Presidencia, a iniciativa propia o previa solicitud razonada de uno de sus miembros. De sus reuniones se levantará acta.
5. En caso de vacante, ausencia, enfermedad y otras causas legales, la Presidencia será suplida por la Vicepresidencia, y las personas titulares de la Vicepresidencia, Vocalías y Secretaría podrán proponer a la Presidencia su suplente entre el personal funcionario del Consejo.
6. Para la válida constitución del Comité, a efectos de la celebración de sesiones, deliberaciones y toma de acuerdos, se requerirá la asistencia, presencial o a distancia, de la Presidencia y de la Secretaría o, en su caso, de quienes le suplan, y la de la mitad, al menos, de sus miembros.
El Comité podrá constituirse, convocar, celebrar sus sesiones, adoptar acuerdos y remitir actas, tanto de forma presencial como telemática, utilizando redes de comunicación a distancia, con las medidas adecuadas que garanticen la identidad de las personas comunicantes, así como la integridad, confidencialidad y la autenticidad de la información entre ellas transmitidas.
Las personas miembros del Comité de Seguridad, así como el personal técnico especializado que preste asesoramiento experto, están obligadas a respetar la confidencialidad de toda la información a la que tengan acceso.
El Comité de Seguridad establecerá un grupo de respuesta a incidentes de Seguridad TIC e Interior y definirá sus normas básicas de funcionamiento. Su función será la toma urgente de decisiones en caso de contingencia grave que afecte a la seguridad de los activos o sistemas de información críticos del Consejo. Será la persona titular de la Presidencia del Comité quien determine la existencia de tales contingencias. Las decisiones adoptadas por este grupo serán sometidas con prontitud al conocimiento del Comité y a la revisión posterior de su eficacia.
La composición mínima inicial de este grupo, que puede ser ampliada por el propio Comité, es la siguiente:
a) Persona titular de la Presidencia del Comité de Seguridad.
b) Responsable de Seguridad TIC del Consejo.
c) Responsable de Seguridad Interior del Consejo.
d) Responsables de los Sistemas del Consejo.
e) Delegado de Protección de Datos, realizando funciones de asesoría.
Artículo 6. Funciones del Comité de Seguridad.
1. En el ámbito de la seguridad TIC, el Comité de Seguridad tendrá asignadas las siguientes funciones:
a) Definir, aprobar y realizar el seguimiento de los objetivos, iniciativas y planes estratégicos en materia de seguridad TIC.
b) Velar por la disponibilidad de los recursos necesarios para desarrollar las iniciativas y planes estratégicos definidos.
c) Nombrar a la persona Responsable de Seguridad TIC del Consejo.
d) Aprobar la normativa de seguridad TIC de segundo y tercer nivel del Consejo, a las que se refiere el artículo 17 de esta resolución.
e) Establecer las directrices comunes y supervisar el cumplimiento de la normativa en materia de seguridad TIC.
f) Supervisar el nivel de riesgo y toma de decisiones en la respuesta a incidentes de seguridad TIC que afecten a los activos TIC.
g) Promocionar la formación, entrenamiento y concienciación sobre las medidas legales y organizativas relativas a la seguridad TIC entre el personal del Consejo.
h) Impulsar la determinación de los niveles de seguridad de la información tratada, en la que se valorarán los impactos que tendrán los incidentes que puedan afectar a la seguridad de la información.
i) Impulsar la realización de los preceptivos análisis de riesgos y establecer criterios para la aceptación, en su caso, de los riesgos residuales. Cuando los sistemas de información traten datos personales, coordinará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de acuerdo con los correspondientes análisis de riesgos para los derechos y libertades de las personas físicas y, en su caso, las evaluaciones de impacto relativas a la protección de datos, contando con el asesoramiento del Delegado de Protección de Datos.
j) Proponer a la Dirección del Consejo la actualización de la Política de Seguridad a los efectos de adaptarla a nuevas circunstancias, técnicas u organizativas, para evitar su obsolescencia.
k) Determinar las actuaciones a realizar ante cualquier otra cuestión que pueda afectar a la seguridad de los activos.
2. En el ámbito de la seguridad interior, el Comité de Seguridad tendrá asignadas las siguientes funciones:
a) Definir, aprobar y realizar el seguimiento de los objetivos, iniciativas y planes estratégicos para la seguridad interior, incluido el Plan de Seguridad Interior del Consejo.
b) Velar por la disponibilidad de los recursos para el desarrollo de los objetivos e iniciativas definidos en el Plan de Seguridad Interior del Consejo.
c) Supervisar el cumplimiento de la normativa de seguridad interior en el ámbito del Consejo.
d) Designar a la persona responsable de la Unidad de Seguridad Interior.
e) Promover programas de formación, entrenamiento y concienciación sobre las medidas relativas a la seguridad interior entre el personal del Consejo.
f) Cualquier otra que se le asigne, por órgano o normativa competente, en materia de seguridad interior.
Artículo 7. Obligaciones del personal.
1. El personal que preste servicios en el Consejo, así como las personas que formen parte de su Comisión Consultiva, tiene la obligación de conocer y cumplir la Política de Seguridad, así como el desarrollo normativo de la Seguridad TIC y el desarrollo de la Política de Protección de Datos del Consejo en relación con el ejercicio de sus funciones, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a las personas afectadas.
2. El personal que se incorpore al Consejo o que tenga acceso a alguno de sus sistemas de información o a la información gestionada por ellos deberá ser informado de la Política de Seguridad y de la normativa de protección de datos que pudieran afectarle.
3. Procederá el ejercicio de las acciones pertinentes para la exigencia de las responsabilidades legales que correspondan por el incumplimiento de la Política de Seguridad, de la normativa de seguridad derivada y de la normativa de protección de datos.
4. El personal del Consejo está sujeto a las instrucciones y normas que regulen el comportamiento del empleado público en el uso de los sistemas informáticos y redes de comunicaciones de la Administración de la Junta de Andalucía, así como a la normativa de protección de datos personales.
5. Todo el personal que preste servicios en el Consejo deberá estar comprometido con la preservación de la seguridad interior, siendo responsable de utilizar correctamente los activos y de participar, durante el desempeño ordinario de sus funciones y tareas, en la detección precoz de cuantos indicios puedan servir a la prevención de riesgos para la seguridad interior.
6. Cualquier persona que actúe bajo la autoridad del responsable del tratamiento al que se refiere el artículo 37 de esta resolución y tenga acceso a datos personales, solo tratará los mismos siguiendo instrucciones de dicho responsable.
Artículo 8. Formación y concienciación en privacidad y seguridad.
El Consejo desarrollará actividades de formación y concienciación en privacidad y seguridad destinadas a su personal. Entre tales actividades, se incluirán las de difusión de esta Política de Seguridad y de las normas que la desarrollen.
Artículo 9. Otras personas o entidades.
1. Cualquier otra persona o entidad, externas al Consejo, que preste servicios al mismo deberá cumplir con la presente Política de Seguridad en el grado que afecte al servicio que presten, debiendo ser informadas de dicha política y estableciéndose el compromiso de su cumplimiento a través de cláusulas contractuales, acuerdos de nivel de servicio o el vínculo jurídico que regule la correspondiente relación, debiéndose constituir los mecanismos adecuados para la comunicación y resolución de incidencias.
2. Cuando algún aspecto de esta Política de Seguridad pudiera, debido a una circunstancia excepcional no prevista, no ser satisfecho por el prestador del servicio, según lo expresado en el apartado anterior, se requerirá un informe de la persona Responsable de Seguridad TIC o de la persona responsable de la Unidad de Seguridad Interior, según el caso, que precise los riesgos en que se incurre y la forma de tratarlos para comenzar o dar continuidad al servicio afectado. En el primer caso, se requerirá la aprobación de este informe por la persona Responsable de la Información, recabada la opinión de la persona Responsable del Servicio afectado. En el segundo caso, se requerirá la aprobación de este informe por el Comité de Seguridad del Consejo.
Artículo 10. Resolución de conflictos.
Los conflictos o discrepancias entre los diferentes responsables que integran la estructura organizativa de la Política de Seguridad serán resueltos por la Dirección del Consejo, oído el Comité de Seguridad del Consejo. Dicho Comité podrá proponer a la Dirección del Consejo el establecimiento de un procedimiento específico para la resolución de conflictos.
Artículo 11. Auditorías de seguridad.
1. El Consejo auditará sus sistemas de información de forma periódica con objeto de revisar el cumplimiento de la normativa vigente en materia de seguridad TIC.
2. Los sistemas de información del Consejo serán objeto, al menos cada dos años, de una auditoría regular ordinaria que verifique el cumplimiento de los requisitos exigidos por el Esquema Nacional de Seguridad y de cualquier otra norma que requiera la realización de auditorías periódicas. La persona Responsable de Seguridad TIC coordinará el desarrollo y ejecución de las actividades de auditoría.
3. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad requeridas.
4. En el caso de sistemas de información de categoría «básica», según los términos del Esquema Nacional de Seguridad, esta auditoría podrá ser sustituida por una autoevaluación, de acuerdo con lo establecido en el mismo.
5. Los informes de auditoría serán presentados a las personas Responsables de los Servicios, Responsable de Seguridad TIC y Responsables de los Sistemas, así como al Delegado de Protección de Datos, y un resumen ejecutivo de los mismos se facilitará a la Dirección del Consejo y al Comité de Seguridad.
6. La persona responsable de seguridad TIC, así como el Delegado de Protección de Datos, propondrá al Comité de Seguridad, con base en el informe de auditoría, las medidas correctoras que deban abordarse cuya aprobación dependa del mencionado Comité y coordinará la puesta en marcha de aquellas que sean aprobadas.
La persona Responsable de Seguridad TIC gestionará igualmente la implantación de medidas cuya aprobación no dependa del Comité de Seguridad, en coordinación con las personas Responsables de los Servicios afectados.
7. La Seguridad Interior se auditará en el Consejo conforme a las previsiones que se contengan en el Plan de Seguridad Interior del Consejo.
8. La Unidad de Seguridad Interior, el Responsable de Seguridad TIC y el Delegado de Protección de Datos, supervisarán las auditorías y emitirán las recomendaciones que estimen oportunas en sus respectivos ámbitos de actuación.
Artículo 12. Cooperación con otros órganos y otras Administraciones.
A efectos de coordinación, obtención de asesoramiento e intercambio de experiencias para la mejora continua de la gestión de la seguridad de la información, se fomentará el establecimiento de mecanismos de comunicación con otros agentes especializados en esta materia. En especial, se contemplarán los siguientes:
- Agencia Digital de Andalucía.
- Comité de Seguridad TIC de la Junta de Andalucía.
- Unidad de Seguridad TIC Corporativa de Andalucía.
- AndalucíaCERT: Centro experto para la prevención, detección y respuesta a incidentes y amenazas de seguridad en el ámbito de la Administración de la Junta de Andalucía.
- CCN-CERT: Centro Criptológico Nacional, como soporte y coordinación para la resolución de incidentes que sufra la Administración General, Autonómica o Local.
- Unidad Corporativa de Seguridad Interior.
- AEPD: Agencia Española de Protección de Datos, así como otras autoridades de control en materia de protección de datos personales.
- INCIBE: Instituto Nacional de Ciberseguridad.
- BIT: Grupo de Delitos Telemáticos de la Guardia Civil y Brigada Central de Investigación Tecnológica del Cuerpo Nacional de Policía, para la investigación de acciones relacionadas con la delincuencia informática y los fraudes en el sector de las telecomunicaciones.
Artículo 13. Actualización permanente y revisiones periódicas.
1. Esta resolución deberá mantenerse actualizada para adecuarla a la evolución de los servicios TIC y, en general, a la evolución tecnológica y al desarrollo de la Sociedad de la Información, así como a los estándares internacionales de seguridad.
2. Las revisiones de la Política de Seguridad se harán a propuesta del Comité de Seguridad.
Artículo 14. Difusión de la Política de Seguridad.
A los efectos de su difusión entre el personal del Consejo y de otras personas o entidades interesadas, la presente resolución se publicará en el Boletín Oficial de la Junta de Andalucía, Portal Institucional del Consejo e Intranet del Consejo y se difundirá a través de los medios que se establezcan por el Comité de Seguridad.
CAPÍTULO II
Política de Seguridad TIC
Artículo 15. Objetivos en materia de Seguridad TIC.
De conformidad con lo establecido en los artículos 4 y 5 del Decreto 1/2011, de 11 de enero, y con los requisitos mínimos previstos en el Real Decreto 311/2022, de 3 de mayo, son objetivos de la Política de Seguridad TIC:
a) Garantizar la seguridad TIC y proteger los activos o recursos de información.
b) Definir la estructura de la organización de la seguridad TIC del Consejo.
c) Marcar las directrices, los objetivos y los principios básicos de seguridad TIC del Consejo.
d) Orientar la organización para la prestación de servicios basados en la gestión de riesgos.
e) Servir de marco de desarrollo de las normas, procedimientos y procesos de gestión de la seguridad TIC.
Artículo 16. Principios básicos en materia de seguridad TIC.
Los principios básicos que regirán la Política de Seguridad TIC del Consejo serán, además de los establecidos en la normativa reguladora de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y en el Esquema Nacional de Seguridad (ENS), en el ámbito de la Administración Electrónica, los siguientes:
a) Principio de prevención. Se evitará, o al menos prevendrá en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad.
Para ello, se deben implementar las medidas mínimas de seguridad determinadas por las normas y leyes que le sean de aplicación, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, los roles y responsabilidades de seguridad de todo el personal, estarán claramente definidos y documentados.
b) Principio de detección. Dado que los servicios se pueden degradar rápidamente debido a incidentes que, en función de su gravedad, pueden producir desde una simple desaceleración hasta la detención de los mismos, se debe monitorizar la operación de los servicios de manera continua para detectar anomalías en los niveles de prestación requeridos, actuando en consecuencia. La monitorización es especialmente relevante para establecer líneas de defensa. Para ello, se implantarán mecanismos de detección, análisis y reporte que lleguen a las personas responsables regularmente, a efectos de detectar cuándo se produce una desviación significativa de los parámetros de servicio marcados.
c) Principio de reacción. Deberá minimizarse el tiempo requerido de recuperación, de forma que el impacto de los incidentes de seguridad sea el menor posible, para lo cual se establecerán mecanismos para responder eficazmente a los incidentes de seguridad, designando un punto de contacto para centralizar y gestionar el intercambio de información asociada a los incidentes de seguridad, así como estableciendo protocolos para el intercambio de información relacionada con dichos incidentes.
d) Principio de recuperación. Se deberá garantizar, en la medida de lo posible, la disponibilidad de los servicios ofrecidos a la ciudadanía, en función de la criticidad de los mismos.
e) Principio de vigilancia continua. En todo momento, se deberá de realizar una vigilancia continua que permita la detección de actividades o comportamientos anómalos que habiliten al Consejo a proporcionar una repuesta oportuna. Esta vigilancia continua, al mismo tiempo, permitirá realizar una evaluación permanente del estado de la seguridad de los activos que forman parte del Consejo, facilitando la medición de la evolución, detección de vulnerabilidades e identificación de las deficiencias de configuración que corresponda al activo de información. Esta evaluación de la seguridad por cada activo, permite al Consejo reevaluar y actualizar de forma permanente las medidas de seguridad de sus activos, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección.
f) Disponibilidad, integridad y confidencialidad de los datos personales. Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Artículo 17. Desarrollo de la Seguridad TIC.
1. El conjunto de normas sobre seguridad TIC del Consejo, previstas en este artículo, son de obligado cumplimiento y se desarrollará en cuatro niveles, según el ámbito de aplicación y nivel de detalle técnico, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior.
2. En todos estos niveles, se prestará especial atención a las exigencias derivadas del Esquema Nacional de Seguridad, así como a la normativa aplicable en materia de protección de datos personales.
3. Los niveles de desarrollo normativo son los siguientes:
a) Primer nivel normativo: Política de Seguridad, constituida por la presente resolución.
b) Segundo nivel normativo: Normas específicas de seguridad TIC, que desarrollan y detallan la Política de Seguridad, centrándose en un área o aspecto determinado, y que deberán ser aprobadas por el Comité de Seguridad, a propuesta de la persona Responsable de Seguridad TIC.
c) Tercer nivel normativo: Procedimientos, procesos, guías e instrucciones técnicas de seguridad TIC, que dan respuesta, incluyendo detalles de implementación y tecnológicos, a cómo se puede realizar una determinada tarea cumpliendo con lo expuesto en la Política de Seguridad. Estas normas serán aprobadas por el Comité de Seguridad, a propuesta de la Secretaría General.
d) Cuarto nivel: Documentación técnica. En este último nivel se puede incluir todo tipo de documentación técnica o especializada que se considere necesario para completar y facilitar el desarrollo de las medidas de seguridad. La aprueba la persona titular del Servicio de Informática y Telecomunicaciones.
4. El Comité de Seguridad Interior y Seguridad TIC establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo, en la medida de lo posible, en todo el ámbito de aplicación de la política de seguridad TIC.
La siguiente tabla resume el marco de desarrollo y la competencia para su aprobación:
| Nivel | Documento | Aprueba |
|---|---|---|
| Primero | Política de seguridad | Persona titular de la dirección del Consejo |
| Segundo | Normas de seguridad | Comité de Seguridad Interior y Seguridad TIC |
| Tercero | Procedimientos | Comité de Seguridad Interior y Seguridad TIC |
| Cuarto | Documentación técnica | Persona titular del Servicio de Informática y Telecomunicaciones del Consejo |
5. El Responsable de Seguridad TIC se encargará de la gestión de los documentos indicados, debiendo asegurar que ésta sea completa y proporcione información suficiente para definir las necesidades de protección de la información y los activos asociados a la misma en el ámbito del Consejo.
Artículo 18. Responsable de la información.
1 La condición de Responsable de la Información recae en el Consejo, que es quien determina los requisitos de la información tratada en el mismo.
2. Sus funciones serán:
a) Determinar los niveles de seguridad de la información, de acuerdo con lo establecido en el Anexo I del Esquema Nacional de Seguridad.
b) Determinar los requisitos de seguridad TIC, categorizando la información mediante la valoración de los impactos de los incidentes que puedan producirse.
c) Proporcionar la información necesaria a la persona Responsable de Seguridad TIC para realizar los preceptivos análisis de riesgos, con la finalidad de establecer las salvaguardas a implantar. Para ello, contará con la ayuda de las personas Responsables de los Servicios y de los Sistemas.
d) Verificar que los análisis de riesgos realizados se corresponden en todo momento con la información aportada para la realización de los mismos.
e) Determinar la suspensión del tratamiento de una cierta información o la prestación de un determinado servicio si se aprecian deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos, y tras tener en consideración la opinión de la persona Responsable del Servicio que pudiera estar afectado, de la persona Responsable de Seguridad TIC y del Delegado de Protección de Datos.
f) Desarrollar las funciones atribuidas a la figura del Responsable de la Información derivadas de la aplicación del Esquema Nacional de Seguridad o de cualquier otra normativa de seguridad que pudiera afectarle.
Artículo 19. Responsable de Seguridad TIC.
1. El Consejo dispondrá de una persona como Responsable de Seguridad TIC que será nombrada o cesada por decisión del Comité de Seguridad, notificándose dicha decisión a la persona correspondiente. El Responsable de Seguridad TIC determinará las decisiones para satisfacer los requisitos de Seguridad de la Información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.
2. La persona Responsable de Seguridad TIC tendrá las siguientes funciones:
a) Determinar las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
b) Desarrollar labores de soporte, asesoramiento e información al Comité de Seguridad, así como de ejecución de las decisiones y acuerdos adoptados por este.
c) Diseñar y ejecutar los programas de actuación propios del Consejo, incluyendo, entre otros, planes directores de seguridad, proyectos de desarrollo normativo, auditorías de cumplimiento y planes de adecuación legal.
d) Definir, implantar y mantener los controles de carácter organizativo para la protección de los datos, aplicaciones y sistemas, así como coordinar la realización y mantenimiento de los análisis de riesgos del Consejo.
e) Supervisar sistemáticamente los controles de carácter procedimental, operacional y medidas técnicas de protección de los datos, aplicaciones y sistemas del Consejo.
f) Definir y supervisar los criterios y requisitos técnicos de seguridad aplicados en las distintas fases del ciclo de vida de los soportes, sistemas y aplicaciones del Consejo. Antes de la puesta en producción de nuevos sistemas de información o de evolutivos de los existentes, evaluar los aspectos de seguridad y comunicar los posibles riesgos al centro o centros directivos responsables de la información y del servicio.
g) Definir y ejecutar los programas formativos y de concienciación relacionados con buenas prácticas de seguridad TIC en el ámbito del Consejo.
h) Organizar, actualizar y custodiar la documentación de seguridad, así como gestionar los mecanismos de acceso a la misma.
i) Informar al Comité de Seguridad, en cada una de sus reuniones, de aquellas incidencias o deficiencias que pudieran haberse producido en materia de seguridad, de modo que el Comité de Seguridad disponga de información completa y pueda arbitrar los mecanismos necesarios para su subsanación.
j) Desarrollar cuantas otras funciones le sean encomendadas por el Comité de Seguridad del Consejo, así como las que se deriven de la aplicación del Esquema Nacional de Seguridad.
Artículo 20. Responsable del Servicio.
1. Tendrán la consideración de Responsable del Servicio las personas titulares de la Secretaría General del Consejo, del Área de Transparencia y del Área de Protección de Datos, quienes determinan los requisitos de los servicios prestados en el ámbito de sus competencias.
2. El nombramiento por parte de la Dirección del Consejo de las personas titulares de la Secretaría General y cada una de las áreas supondrá, con carácter nato, asumir las funciones de Responsable del Servicio en relación con su ámbito competencial.
3. Las principales funciones de la persona Responsable del Servicio, dentro de su ámbito de competencia, son las siguientes:
a) Colaborar en la determinación de los requisitos de seguridad de los servicios a prestar, categorizando los servicios mediante la valoración de los impactos de los incidentes que puedan producirse.
b) Proporcionar la información necesaria a la persona Responsable de Seguridad TIC para realizar los preceptivos análisis de riesgos, con la finalidad de establecer las salvaguardas a implantar.
c) Verificar que los análisis de riesgos realizados se corresponden en todo momento con la información aportada para la realización de los mismos.
Artículo 21. Responsable del Sistema.
1. Cada uno de los sistemas de información del Consejo dispondrá de una persona Responsable del Sistema, correspondiendo su designación, previa consulta con el correspondiente Responsable del Servicio, a la persona titular del Servicio de Informática y Telecomunicaciones entre las personas pertenecientes a dicho servicio o a las entidades que, a través del contrato o vínculo jurídico correspondiente, den soporte externo a los sistemas de información. El responsable del sistema se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo. Una misma persona podría ser Responsable de varios sistemas de información.
2. Las funciones de las personas Responsables de los Sistemas serán:
a) Coordinar el desarrollo, operación y mantenimiento del sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones técnicas, instalación y verificación de su correcto funcionamiento.
b) Definir la tipología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
c) Verificar que las medidas de seguridad que deban ser aplicadas se integren adecuadamente en el marco general de seguridad.
d) Asumir la responsabilidad directa de la seguridad de los sistemas de información que estén a su cargo, velando porque la seguridad TIC esté presente en todas y cada una de las partes de sus ciclos de vida. Especialmente deberá velar porque el desarrollo de los sistemas siga las directrices de seguridad establecidas de manera horizontal por la Junta de Andalucía de acuerdo con los criterios y requisitos técnicos de seguridad aplicables definidos por la persona Responsable de Seguridad TIC del Consejo.
e) Crear, mantener y actualizar de forma permanente la documentación de seguridad de los sistemas de información, con el asesoramiento de la persona Responsable de Seguridad TIC.
f) Aprobar toda modificación sustancial de la configuración de cualquier elemento técnico que dé soporte al sistema de información.
g) Colaborar en el proceso de la gestión y análisis de riesgos.
h) Proponer a la persona Responsable de la Información, a través de la persona Responsable de Seguridad TIC, la suspensión del tratamiento de una cierta información o la prestación de un determinado servicio si aprecia deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos.
Artículo 22. Los Puntos o Personas de Contacto (POC).
De conformidad con lo previsto en el apartado 5 del artículo 13 del ENS, en el caso de servicios externalizados, salvo por causa justificada y documentada, la organización prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto) para la seguridad de la información tratada y el servicio prestado, que cuente con el apoyo de los órganos directivos, y que canalice y supervise, tanto el cumplimiento de los requisitos de seguridad del servicio que presta o solución que provea, como las comunicaciones relativas a la Seguridad de la Información y la gestión de los incidentes para el ámbito de dicho servicio. Dicho POC de seguridad será el propio Responsable de Seguridad de la organización contratada, formará parte de su área o tendrá comunicación directa con la misma.
Artículo 23. Función diferenciada.
De conformidad con lo previsto en el artículo 13.3 del ENS, el Responsable de Seguridad TIC será distinto del Responsable del Sistema, no debiendo existir dependencia jerárquica entre ambos. En aquellas situaciones excepcionales en las que la ausencia justificada de recursos haga necesario que ambas funciones recaigan en la misma persona o en distintas personas entre las que exista relación jerárquica, deberán aplicarse medidas compensatorias para garantizar la finalidad del principio de diferenciación de responsabilidades previsto en el artículo 11 del ENS.
Artículo 24. Clasificación y control de activos en materia de Seguridad TIC.
1. Los recursos informáticos y la información del Consejo en base al ENS se encontrarán inventariados. Este inventario contará con una persona responsable, que será la persona Responsable de Seguridad TIC encargada de definir los criterios de seguridad asociados y, en caso de ser necesario, se definirá una persona para la custodia del recurso. Dicha persona encargada velará por cumplir los criterios de seguridad definidos por la persona responsable de los mismos. Los inventarios se mantendrán actualizados para asegurar su validez y estará a disposición del Comité de Seguridad.
2. Los activos de información estarán clasificados de acuerdo con su sensibilidad y criticidad para el desarrollo de la actividad del Consejo, en función de la cual se establecerán las medidas de seguridad exigidas para su protección.
Artículo 25. Gestión de riesgos en materia de Seguridad TIC.
1. La gestión de riesgos comprenderá los riesgos relativos a la seguridad de los sistemas de información. Para cada tipo de riesgos se utilizarán las metodologías de análisis y gestión de riesgos que resulten más adecuadas.
2. La gestión de riesgos debe realizarse de manera continua, conforme a los principios de gestión de la seguridad basada en los riesgos y reevaluación periódica.
3. El Responsable de la Información y el Responsable del Servicio son responsables de la gestión de los riesgos en su ámbito de competencia y, en consecuencia, de aceptar los riesgos residuales calculados en el análisis de riesgos, así como de realizar su seguimiento y control.
4. El Comité de Seguridad es responsable de realizar un seguimiento de los principales riesgos residuales asumidos por el Consejo y de recomendar posibles actuaciones respecto de ellos.
5. La selección de las medidas de seguridad a aplicar será propuesta por la persona Responsable de Seguridad TIC al Comité de Seguridad. Corresponderá a aquella el seguimiento de su aplicación, una vez adoptadas.
6. Anualmente se revisará por la persona Responsable de Seguridad TIC el proceso de gestión de riesgos en todas sus fases, elevando el correspondiente informe al Comité de Seguridad.
7. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos de personales, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizados a dichos datos.
Artículo 26. Gestión de incidentes de seguridad y de la continuidad.
1. Para la gestión de incidentes de seguridad, que incluye la prevención, detección, reacción y recuperación, se estará a lo dispuesto en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, así como en la Resolución de 13 de julio de 2018, de la Dirección General de Telecomunicaciones y Sociedad de la Información, por la que se establecen normas sobre gestión de incidentes de seguridad TIC. La gestión de incidentes que afecten a datos personales tendrá en cuenta lo dispuesto en el Reglamento General de Protección de Datos; la Ley Orgánica 3/2018, de 5 de diciembre, en especial su disposición adicional primera, así como el resto de normativa de aplicación en esta materia, incluyendo el referido Real Decreto 311/2022.
2. El Comité de Seguridad deberá aprobar y revisar periódicamente un plan para mantener la continuidad de los procesos y sistemas críticos y garantizar su recuperación en caso de desastre con el fin de reducir el tiempo de indisponibilidad a niveles aceptables mediante la combinación de controles de carácter organizativo, tecnológico y procedimental tanto preventivos como de recuperación.
3. Para gestionar adecuadamente los posibles incidentes de seguridad se actuará de forma coordinada con AndalucíaCERT.
CAPÍTULO III
Política de Seguridad Interior
Artículo 27. Objetivos en materia de Seguridad Interior.
1. Conforme a lo establecido en el artículo 4 del Decreto 171/2020, de 13 de octubre, la Política de Seguridad Interior contra riesgos intencionales persigue la consecución de los siguientes objetivos:
a) Asegurar el funcionamiento como sistema eficaz, eficiente y explícitamente definido, de toda la actividad que el Consejo despliegue para la prevención de daños intencionales sobre su personal y personas usuarias, sobre sus activos y sobre la continuidad de su funcionamiento y servicios, así como para la reacción cuando tales daños se produzcan.
b) Garantizar el cumplimiento de toda la normativa que sea de aplicación a las actuaciones del Consejo en esta materia.
c) Colaborar a la seguridad a través de la protección del personal, personas usuarias y activos del Consejo.
2. La preservación de la seguridad interior será considerada objetivo común de todas las personas al servicio del Consejo, siendo estas responsables de utilizar correctamente los activos y de participar, durante el desempeño ordinario de sus funciones y tareas, en la detección precoz de cuantos indicios puedan servir a la prevención de riesgos para la seguridad interior.
3. La seguridad interior implica a todas las áreas del Consejo, al desplegarse para la prevención de daños intencionales sobre su personal y personas usuarias, sobre sus activos y sobre la continuidad de su funcionamiento y servicios, así como para la reacción cuando tales daños se produzcan.
Artículo 28. Principios básicos en materia de Seguridad Interior.
De acuerdo con lo establecido en el artículo 5 del citado Decreto 171/2020, la Política de Seguridad Interior del Consejo se desarrollará, con carácter general, de acuerdo con los siguientes principios:
a) Anticipación y prevención.
b) Eficiencia y sostenibilidad en el uso de los medios.
c) Preservación de la resiliencia.
d) Unidad de acción, coordinación y colaboración.
e) Prioridad en la protección de la vida y salud de las personas frente a la integridad de los activos.
f) Proporcionalidad en los costes económicos y operativos de las medidas de seguridad.
g) Mantenimiento de la integridad, disponibilidad y continuidad en el funcionamiento de los activos.
h) Aseguramiento de la continuidad de los servicios.
i) Responsabilidad estratificada, identificable y compartida.
j) Actuación planificada.
Artículo 29. Organización y gestión de la seguridad interior.
La estructura organizativa de la gestión de la seguridad interior en el Consejo está compuesta por las siguientes figuras:
a) El Comité de Seguridad Interior y Seguridad TIC.
b) La Unidad de Seguridad Interior.
Artículo 30. Unidad de Seguridad Interior.
1. El nombramiento y cese de las persona responsable de la Unidad de Seguridad Interior se llevará a cabo por el Comité de Seguridad del Consejo. El nombramiento y cese será comunicado a la persona afectada.
2. Las funciones de la Unidad de Seguridad Interior serán las siguientes:
a) Realizar las labores de soporte, asesoramiento e información al Comité de Seguridad, así como la ejecución de sus decisiones y acuerdos en materia de seguridad interior y la propuesta de un Plan de Seguridad Interior para el Consejo.
b) Proponer las adaptaciones necesarias al ámbito del Consejo del modelo general de seguridad interior, incluso valores, tablas y métricas adecuadas al conjunto de los activos en su ámbito.
c) Realizar el desarrollo, el mantenimiento y la supervisión del marco regulador de la seguridad interior en este Consejo.
d) Generar y supervisar los criterios y directrices para la gestión de la seguridad interior en el ámbito de este Consejo.
e) Recoger de forma sistemática información, cumpliendo la normativa vigente en materia de protección de datos personales, y supervisar el estado de las principales variables de seguridad interior en el ámbito de este Consejo.
f) Realizar el asesoramiento técnico y la auditoría del sistema de seguridad interior en el ámbito de este Consejo.
g) Velar por la coherencia de la aplicación del modelo de seguridad interior, mantenerlo actualizado e impulsar su implantación.
h) Definir los criterios de protección de activos especialmente sensibles a riesgos que conciernen a la seguridad interior conforme a las especificidades del ámbito de este Consejo.
i) Desarrollar planes de contingencia en respuesta a incidentes de seguridad interior, incluso situaciones de crisis en el ámbito de este Consejo.
j) Asegurar el funcionamiento de los mecanismos previstos para recopilar, recibir, analizar y procesar la información relevante para la seguridad interior, destinados a generar inteligencia al respecto, conforme a la normativa vigente en materia de protección de datos personales.
k) Informar sobre incidentes de seguridad interior en el Consejo que se consideren relevantes.
l) Asegurar en su nivel el correcto funcionamiento en la cadena de comunicación y escalado de incidentes de seguridad interior.
m) Proponer a la aprobación del Comité de Seguridad el Plan de Seguridad Interior del Consejo.
n) Cuantas otras le sean encomendadas en relación con la Seguridad Interior por el Comité de Seguridad.
Artículo 31. Responsable de Seguridad Interior.
La Persona responsable de la Unidad de Seguridad Interior formará parte de la estructura organizativa de la Política de Seguridad prevista en el artículo 4 de esta resolución.
Artículo 32. Gestión de los riesgos en materia de Seguridad Interior.
La gestión de los riesgos para la seguridad interior se acomodará a lo previsto en el Plan de Seguridad Interior del Consejo y en los demás instrumentos de planificación previstos en el Decreto 171/2020, de 13 de octubre.
CAPÍTULO IV
Política de Protección de Datos Personales
Artículo 33. Objetivos en materia de protección de datos personales.
1. La presente resolución tiene como objetivo establecer las directrices generales de actuación y funcionamiento en materia de protección de datos personales en el Consejo, al objeto de garantizar el cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016; la Ley Orgánica 3/2018, de 5 de diciembre, y demás normativa que resulte de aplicación en esta materia.
2. La presente Política de Protección de Datos Personales se adopta en cumplimiento del principio de responsabilidad proactiva, establecido en el art. 5.2 del Reglamento General de Protección de Datos y desarrollado especialmente en todas las medidas de responsabilidad proactiva establecidas en el Capítulo IV del Reglamento General de Protección de Datos y en el Título V de la Ley Orgánica 3/2018; y es proporcionada al volumen y nivel de riesgo de los tratamientos de datos que lleva a cabo el Consejo.
Artículo 34. Principios básicos en materia de Protección de Datos Personales.
De conformidad con lo dispuesto en el artículo 5 del Reglamento General de Protección de Datos, los datos personales serán tratados con arreglo a los principios de:
a) Licitud, lealtad, transparencia.
b) Limitación de la finalidad.
c) Minimización de datos.
d) Exactitud.
e) Limitación del plazo de conservación.
f) Integridad y confidencialidad.
g) Responsabilidad proactiva.
Artículo 35. Ámbito de aplicación.
Esta Política de Protección de Datos Personales será de aplicación a todos los tratamientos de datos personales que lleve el Consejo en el ejercicio de las competencias que tenga atribuidas. También será aplicable a las actividades de tratamiento que el Consejo lleve a cabo por cuenta de otros responsables del tratamiento en calidad de encargado y a las actividades de tratamiento que se lleven a cabo por cuenta del Consejo por los distintos encargados del tratamiento.
Artículo 36. Incidencia de la normativa de protección de datos personales.
1. Para el desarrollo de la Política de Protección de Datos del Consejo se seguirá en todo momento lo establecido en el Reglamento General de Protección de Datos, en la LOPDGDD y en la legislación nacional y autonómica vigente en cada momento en relación con esta materia.
2. Para todos los tratamientos de datos personales del Consejo, automatizados o no, deberán establecerse las medidas técnicas y organizativas apropiadas para garantizar una seguridad adecuada de los citados datos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
3. El establecimiento de las mencionadas medidas se realizará teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines de los tratamientos de datos personales, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. En caso de posible conflicto entre las medidas derivadas de la protección de datos personales y otras que se deriven del desarrollo de la Política de Seguridad del Consejo, prevalecerá el criterio que presente un mayor nivel de exigencia respecto a la protección de los datos personales.
Artículo 37. Responsable del tratamiento.
El Consejo será el Responsable del tratamiento, en los términos del artículo 4.7 del Reglamento General de Protección de Datos. La condición de Responsable del tratamiento coincidirá con la de Responsable de la Información.
Artículo 38. Encargado del tratamiento.
1. El Consejo elegirá únicamente un encargado del tratamiento que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos exigidos por el Reglamento General de Protección de Datos y garantice la protección de los derechos de los interesados, conforme establece el artículo 28.1 del citado Reglamento.
El encargado tratará los datos exclusivamente por cuenta del Consejo, siguiendo las instrucciones documentadas de este, a no ser que esté obligado a ello en virtud del ordenamiento jurídico de la Unión Europea o del Estado español.
2. Las medidas de seguridad a aplicar sobre los tratamiento de datos personales efectuados por el encargado del tratamiento se corresponderán con las que resulten de aplicación en el Consejo y se ajustarán a lo previsto en el Esquema Nacional de Seguridad.
3. El Consejo deberá formalizar con el Encargado de Tratamiento el contrato o acto jurídico previsto en el artículo 28.3 del Reglamento General de Protección de Datos, cumpliendo el resto de condiciones establecidas en el citado artículo 28 y demás normativa de aplicación en esta materia. Para ello se estará a los modelos tipo de pliegos recomendados por la Comisión Consultiva de Contratación Pública de la Administración de la Junta de Andalucía, a los documentos elaborados por el propio Consejo, y a las instrucciones, recomendaciones y demás orientaciones en materia de contratación pública, protección de datos y otra legislación sectorial aplicable, efectuadas por los organismos públicos de referencia en las citadas materias.
4. El Encargado del tratamiento será informado por el Consejo de los requisitos exigidos, en función del servicio que vaya a prestar, por su Política de Seguridad, siéndole de aplicación lo expresado en los artículos 2 párrafo tercero, 9 y 35 de esta Resolución.
Artículo 39. Delegado de Protección de Datos.
1. El Consejo dispondrá de un grupo de personas, denominado Grupo Delegado de Protección de Datos, que ostentará la condición de Delegado de Protección de Datos a los efectos de lo establecido en los artículos 37 al 39 del Reglamento General de Protección de Datos y en el Capítulo III del Título V de la LOPDGDD.
2. El Grupo Delegado de Protección de Datos constará de un mínimo de dos personas y un máximo de cuatro, entre el personal que forme parte de la plantilla del Consejo.
3. La designación de cada una de las personas que formen parte del Grupo Delegado de Protección de Datos se realizará mediante resolución de la persona titular de la Dirección del Consejo, atendiendo a las cualidades profesionales de las mismas y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos, y a su capacidad para desempeñar las funciones indicadas en el artículo 39 Reglamento General de Protección de Datos.
Las personas que formen parte del Grupo Delegado de Protección de Datos podrán desempeñar otras funciones y cometidos dentro del Consejo, siempre que dichas funciones y cometidos no den lugar a conflicto de intereses.
De conformidad con lo dispuesto en el artículo 38.3 del Reglamento General de Protección de Datos y el artículo 36.2 de la LOPDGDD, el Grupo Delegado de Protección de Datos actuará con plena independencia en el ejercicio de sus funciones.
4. El cese de una persona como miembro del Grupo Delegado de Protección de Datos se realizará por resolución motivada de la persona titular de la Dirección del Consejo.
5. La Dirección del Consejo designará, entre las que formen parte del Grupo Delegado de Protección de Datos, a una persona que ostente la representación de dicho grupo, y que participará en las reuniones del Comité de Seguridad.
No obstante, cuando el Grupo Delegado de Protección de Datos esté formado por dos personas, ambas podrán participar en las reuniones del Comité de Seguridad.
Este grupo de trabajo podrá celebrar sus reuniones y adoptar acuerdos, tanto de forma presencial como telemática, utilizando redes de comunicación a distancia, con las medidas adecuadas que garanticen la identidad de las personas comunicantes, así como la integridad, confidencialidad y la autenticidad de la información entre ellas transmitidas.
Las personas miembros del Grupo Delegado de Protección de Datos están obligadas a respetar la confidencialidad de toda la información a la que tengan acceso.
6. Son funciones de las personas que integren el Grupo Delegado de Protección de Datos, además de la supervisión del cumplimiento de la política de protección de datos del Consejo, las establecidas en los artículos 35.2 y 39.1 del Reglamento General de Protección de Datos, en los artículos 36.1 y 4, 37 y 65.4 de la LOPDGDD, así como cualquier otra establecida en la demás normativa que resulte de aplicación en esta materia.
7. El Consejo respaldará al Grupo Delegado de Protección de Datos en el desempeño de sus funciones, facilitando los recursos necesarios para el desempeño de sus funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
8. Sin perjuicio de lo dispuesto en los apartados anteriores, también se podrá designar a una sola persona como Delegado de Protección de Datos. En este caso, le será aplicable la regulación de este artículo en todos sus términos.
Artículo 40. Registro de Actividades de Tratamiento.
1. El Consejo contará con un Registro de Actividades de Tratamiento de datos personales efectuadas bajo su responsabilidad en el que se incluirá toda la información a la que se refiere el artículo 30 del Reglamento General de Protección de Datos, así como de las actividades en las que actúe como encargado del tratamiento.
2. El Consejo aprobará, mediante resolución de la persona titular de la Dirección, la creación, actualización y modificación del Registro de Actividades de Tratamiento, previo informe del Grupo Delegado de Protección de Datos del Consejo, en aquellos casos que se considere conveniente. En todo caso, el Consejo comunicará al Grupo Delegado de Protección de Datos cualquier adición, modificación o exclusión en el contenido del registro.
3. Se publicará en la web del Consejo el Inventario de sus actividades de tratamiento, en el que constará toda la información del registro de las mismas y su base legal.
Artículo 41. Ejercicio de derechos en materia de protección de datos personales.
1. El Consejo, mediante resolución de la persona titular de la Dirección, aprobará como responsable del tratamiento un protocolo sobre la atención y la respuesta al ejercicio de los derechos de las personas interesadas en materia de protección de datos personales.
2. Las solicitudes de ejercicio de derechos serán resueltas mediante resolución del Responsable del Tratamiento, y en dicha resolución se dispondrán las medidas técnicas y organizativas que fueran pertinentes para satisfacer el derecho a la protección de datos personales de las personas interesadas. No obstante, se podrán adoptar cautelarmente dichas medidas técnicas y organizativas a la mayor brevedad y antes de que recaiga resolución con el fin de evitar o minimizar los posibles perjuicios a los derechos y libertades de las personas interesadas.
Artículo 42. Protección de datos personales desde el diseño y por defecto.
1. Conforme al principio de protección de datos personales desde el diseño, al que se refiere el artículo 25.1 del Reglamento General de Protección de Datos, el Responsable del Tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos de dicho Reglamento y proteger los derechos de las personas interesadas.
2. Conforme al principio de protección de datos personales por defecto del artículo 25.2 del Reglamento General de Protección de Datos, el Responsable del Tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
3. Se garantizarán ambos principios en la elaboración de cualquier proyecto, plan, disposición de carácter general, contrato, convenio, acto jurídico que se vaya a aprobar o sistema de información que se vaya a desarrollar o contratar.
Artículo 43. Seguridad.
1. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento de datos personales, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, y de conformidad con el artículo 32 del Reglamento General de Protección de Datos, el Responsable y el Encargado del Tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
La seudonimización y el cifrado de datos personales.
a) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
c) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. La seguridad de los tratamientos en los que se utilicen medios electrónicos se preservará mediante la aplicación del Esquema Nacional de Seguridad, actualmente regulado en el Real Decreto 311/2022, de 3 de mayo, de conformidad con la disposición adicional primera de la LOPDGDD. En todo caso, prevalecerán las medidas a implantar como consecuencia del análisis de riesgos conforme al artículo 24 RGPD y, en los supuestos de su artículo 35, una evaluación de impacto en la proteccion de datos, cuando resulten agravadas respecto de las previstas en el Esquema Nacional de Seguridad.
Artículo 44. Análisis de riesgo por protección de datos personales.
1. Al objeto de determinar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la normativa de protección de datos, el responsable realizará, por cada actividad de tratamiento de datos, con el asesoramiento del Grupo Delegado de Protección de Datos, un análisis de riesgo para los derechos y libertades de las personas interesadas, atendiendo a la naturaleza, el ámbito, el contexto y los fines de la actividad de tratamiento.
2. El resultado de los análisis de riesgo se concretará en un documento suscrito por el Responsable del Tratamiento que incluirá, al menos, los siguientes elementos:
a) Descripción del tratamiento.
b) Riesgos para los derechos y libertades de las personas interesadas.
c) Categorización de los niveles de seguridad y de cada una de las dimensiones de la seguridad de conformidad con el Esquema Nacional de Seguridad.
d) Medidas técnicas y organizativas a adoptar para reducir el riesgo.
e) Aceptación del riesgo residual.
Artículo 45. Evaluación de Impacto en la Protección de Datos (EIPD).
1. Cuando sea probable que un tipo de tratamiento de datos personales, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el Responsable del Tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales (EIPD), de conformidad con el artículo 35 del Reglamento General de Protección de Datos y el resto de normativa aplicable y siguiendo el protocolo aprobado de conformidad con el artículo 48.1.a) de la presente resolución. Para ello, recabará el asesoramiento del Grupo Delegado de Protección de Datos.
2. El resultado de la EIPD se concretará en un informe del responsable del tratamiento, suscrito por la persona titular de la Dirección del Consejo, que incluirá, al menos:
a) Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento.
b) Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
c) Una evaluación de los riesgos para los derechos y libertades de las personas interesadas.
d) Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales y para demostrar la conformidad con la normativa en materia de protección de datos personales, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
e) La decisión sobre formular o no la consulta previa al Consejo de Transparencia y Protección de Datos de Andalucía a la que se refiere el artículo 36 del Reglamento General de Protección de Datos y demás normativa de aplicación.
3. La consulta previa al Consejo de Transparencia y Protección de Datos de Andalucía a la que se refiere el artículo 36 del Reglamento General de Protección de Datos será suscrita por el responsable del tratamiento. El Grupo Delegado de Protección de Datos dará traslado de la misma a la autoridad de control.
Artículo 46. Brechas de seguridad de datos personales.
1. El Consejo, mediante resolución de la persona titular de la Dirección, aprobará un protocolo de gestión de posibles brechas de seguridad de datos personales, de conformidad con los artículos 33 y 34 del Reglamento General de Protección de Datos y el resto de normativa de datos personales aplicable. Mediante este protocolo se garantizará:
a) La prontitud en la detección de las brechas de seguridad, puesta en marcha de las medidas previstas en el protocolo y en la puesta de conocimiento de las personas que deben intervenir en su gestión.
b) La realización de una valoración del riesgo que conlleva la brecha de seguridad para los derechos y libertades de las personas físicas.
c) La adopción de las medidas de contención, gestión y corrección de las mismas.
d) El cumplimiento de la obligación legal de documentar todas las brechas de seguridad, documentación que estará a disposición de la autoridad de control.
e) La llevanza de un Registro de brechas de seguridad al objeto de disponer de la información necesaria para aplicar un ciclo de mejora continua de la seguridad.
f) La notificación de las brechas de la seguridad al Consejo de Transparencia y Protección de Datos de Andalucía, y la comunicación a las personas físicas interesadas, en los términos indicados en los dos apartados siguientes.
2. En caso de brecha de seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente sin dilación indebida y, de ser posible, en un plazo máximo de 72 horas desde que haya tenido constancia de ella, a menos que sea improbable que dicha brecha de seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
3. Cuando sea probable que la brecha de seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará a las personas interesadas sin dilación indebida.
Artículo 47. Formación, concienciación y sensibilización.
El Consejo, con el asesoramiento del Grupo Delegado de Protección de Datos, elaborará, aprobará y ejecutará un plan anual de formación, concienciación y sensibilización sobre protección de datos personales para su personal.
Artículo 48. Protocolos e instrucciones.
1. El Consejo, mediante resolución de la persona titular de la Dirección, establecerá protocolos para garantizar un cumplimiento sistemático, uniforme y demostrable de las principales obligaciones en materia de protección de datos personales. En particular se aprobarán, al menos los siguientes protocolos:
a) Protocolo sobre la evaluación de impacto en la protección de datos.
b) Protocolo sobre gestión de brechas de seguridad de datos personales
2. Sin perjuicio de lo establecido en el art. 17 de esta resolución, aquellas Instrucciones que versen sobre otros aspectos de la actividad administrativa del Consejo, tales como contratación, elaboración de disposiciones generales, transparencia u otras, deberán incorporar cualquier aspecto que sea necesario o aconsejable desde el punto de vista de la normativa en materia de protección de datos.
Artículo 49. Auditorias externas.
Con la periodicidad que se determine, se llevará a cabo una auditoría externa, ya sea general o centrada en determinados aspectos concretos. El Grupo Delegado de Protección de Datos supervisará la auditoría y emitirá las recomendaciones que estime oportunas. Los resultados de la auditoría externa y las recomendaciones del Grupo Delegado de Protección de Datos, se podrán en conocimiento del Comité de Seguridad Interior y TIC.
Disposición derogatoria única. Derogación normativa.
Queda derogada la Resolución de 12 de diciembre de 2019, de la Dirección del Consejo de Transparencia y Protección de Datos de Andalucía, por la que se establece la política de seguridad de las tecnologías de la información y de la comunicación del Consejo, así como la estructura organizativa responsable de su ejecución, así como cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en esta resolución.
Disposición final única. Entrada en vigor.
La presente resolución entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de la Junta de Andalucía.
Sevilla, 7 de enero de 2026.- El Director, Jesús Jiménez López.
Descargar PDF
Disposición anterior
Disposición siguiente
BOJA nº 11 de 19/01/2026