DECRETO FORAL 20/2019, DE 6 DE MARZO, POR EL QUE SE APRUEBA LA POLÍTICA DE PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN DE LA ADMINISTRACIÓN DE LA COMUNIDAD FORAL DE NAVARRA Y SUS ORGANISMOS PÚBLICOS
BON N.º 61 - 29/03/2019
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), en adelante RGPD, de plena aplicación a partir del 25 de mayo de 2018, establece en su artículo 24, dentro de las obligaciones generales del responsable del tratamiento de datos personales, que, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el citado reglamento. Así mismo, dispone que dichas medidas se revisarán y actualizarán cuando sea necesario y que, cuando sean proporcionadas en relación con las actividades de tratamiento, entre dichas medidas se incluirá la aplicación por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
En el mismo sentido, el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en adelante LOPD y GDD, referido a las obligaciones generales del responsable y encargado del tratamiento, establece que dichos responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del RGPD, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la LOPDyGDD, sus normas de desarrollo y la legislación sectorial aplicable.
Por su parte, el artículo 13 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, relativo a los derechos de las personas en sus relaciones con las Administraciones Públicas, contempla expresamente el derecho a la protección de datos personales y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos. Dichos medios deben asegurar la interoperabilidad y seguridad de los sistemas y soluciones adoptadas, garantizarán la protección de los datos personales y facilitarán preferentemente la prestación conjunta de servicios a las personas interesadas. En este sentido, el artículo 156 de la citada Ley 40/2015, de 1 de octubre, dispone que el Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de los medios electrónicos en el ámbito del sector público, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en adelante ENS, tiene por objeto determinar la política de seguridad de la información en la utilización de los medios electrónicos por las Administraciones Públicas, por los ciudadanas y ciudadanos en sus relaciones con dichas Administraciones Públicas y por las Administraciones Públicas cuando se relacionen entre sí.
El artículo 11 del citado Real Decreto 3/2010, de 8 de enero, exige que todos los órganos superiores de las Administraciones Públicas dispongan formalmente de su política de seguridad, que se aprobará por la persona titular del órgano superior correspondiente. Esta política de seguridad se establecerá con base en los principios básicos recogidos en el capítulo II de la propia norma (seguridad integral, gestión de riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica, y función diferenciada) y se desarrollará aplicando los requisitos mínimos consignados en el ya mencionado artículo 11.1.
A su vez, la plena aplicación del RGPD a partir del 25 de mayo de 2018 exige que la Administración de la Comunidad Foral de Navarra y sus organismos públicos adopten una política de protección de datos a fin de garantizar y poder demostrar que los tratamientos que llevan a cabo son conformes al citado reglamento.
Siendo obligaciones legales de la Administración de la Comunidad Foral de Navarra y sus organismos públicos, tanto la aprobación de una política de seguridad de la información como la de una política de protección de datos, se considera conveniente adoptar una política conjunta de protección de datos y seguridad de la información, dada la íntima conexión entre ambas materias. Esta política común ha de permitir recoger y delimitar con claridad las responsabilidades y funciones tanto en materia de protección de datos como de seguridad de la información, de forma que se aborden tanto las cuestiones comunes a ambos ámbitos como aquellas que resultan propias de cada uno de ellos; ha de ser aplicable a todos los sistemas de información y a todas las unidades que integren la Administración de la Comunidad Foral de Navarra y sus organismos públicos y a todo el personal con acceso a la información de la que sean responsables la Administración de la Comunidad Foral de Navarra y sus organismos públicos, con independencia de su destino, condición laboral o relación por la que se acceda a la información. Al ser un marco general de referencia, éste podrá ser complementado por políticas específicas que contemplen la naturaleza y características propias de la Administración de la Comunidad Foral de Navarra y sus organismos públicos.
Así pues, la política de protección de datos y de seguridad de la información es el documento base mediante el cual se define el marco de referencia que permite la gestión de la protección de datos y de la seguridad de la información en el contexto de las actividades de tratamiento con datos personales y los sistemas de información de la Administración de la Comunidad Foral de Navarra y sus organismos públicos. En este marco general se delimitan las diferentes responsabilidades y roles necesarios para definirla, implantarla y gestionarla, roles que se integrarán en la estructura orgánica existente. La protección de datos y la seguridad de la información deben contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas de la Administración de la Comunidad Foral de Navarra y de sus organismos públicos para conformar un todo coherente y eficaz.
En su virtud, a propuesta de la Consejera de Presidencia, Función Pública, Interior y Justicia, y de conformidad con la decisión adoptada por el Gobierno de Navarra en sesión celebrada el día seis de marzo de dos mil diecinueve, decreto:
Artículo 1. Objeto y ámbito de aplicación.
1. La política de protección de datos y seguridad de la información de la Administración de la Comunidad Foral de Navarra y sus organismos públicos (PPDSI) es el conjunto de medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de la normativa aplicable al tratamiento de los datos personales, e incluye, así mismo, los principios básicos y requisitos mínimos que permitan una protección adecuada de la información que se gestiona en el ámbito de la Administración de la Comunidad Foral de Navarra y de sus organismos públicos.
2. La PPDSI será de aplicación a todos los sistemas de información y a todas las actividades de tratamiento de datos personales de los que sean responsables la Administración de la Comunidad Foral de Navarra y sus organismos públicos.
3. La PPDSI será de obligado cumplimiento para todas las unidades que conforman la estructura de la Administración de la Comunidad Foral de Navarra y de sus organismos públicos y para todo el personal con acceso a la información de la que es responsable aquella, con independencia de su destino, condición laboral o relación por la que se accede a la información.
4. En el ámbito de aplicación material del RGPD y el ENS, la presente PPDSI afectará a la información tratada por cualquier medio con independencia del soporte, que gestiona la Administración de la Comunidad Foral de Navarra y sus organismos públicos en el ejercicio de sus competencias.
Artículo 2. Principios de protección de datos y seguridad de la información.
La Administración de la Comunidad Foral de Navarra y sus organismos públicos tratarán la información y los datos personales conforme a los siguientes principios de protección de datos y seguridad de la información:
1) Licitud, lealtad y transparencia: los datos personales serán tratados de manera lícita, leal y transparente en relación con la persona interesada.
2) Legitimación en el tratamiento de datos personales: solo se tratarán los datos personales cuando dicho tratamiento se encuentre amparado en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD.
3) Limitación de la finalidad: los datos personales serán tratados para el cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
4) Minimización de datos: los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
5) Exactitud: los datos personales serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
6) Limitación del plazo de conservación: los datos personales serán mantenidos de forma que se permita la identificación de las personas interesadas durante no más tiempo del necesario para los fines que justificaron su tratamiento.
7) Integridad y confidencialidad: los datos personales serán tratados de tal manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Quienes intervengan en el tratamiento de los datos estarán sujetos al deber de secreto incluso después de haber concluido la relación que justificaba su intervención.
8) Responsabilidad proactiva: la Administración de la Comunidad Foral de Navarra y sus organismos públicos serán responsables del cumplimiento de los principios anteriormente señalados y adoptarán las medidas técnicas y organizativas que le permitan estar en condiciones de demostrar dicho cumplimiento.
9) Atención de los derechos de las personas afectadas: se adoptarán medidas en la organización que garanticen el adecuado ejercicio por las personas afectadas, cuando proceda, de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad respecto de sus datos personales.
10) Alcance estratégico: la protección de datos y la seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas de la Administración de la Comunidad Foral de Navarra y de sus organismos públicos para conformar un todo coherente y eficaz.
11) Responsabilidad diferenciada: en los sistemas de información responsabilidad de la Administración de la Comunidad Foral de Navarra y sus organismos públicos se observará el principio de responsabilidad diferenciada de forma que se delimiten las diferentes responsabilidades y roles:
a) Responsable del tratamiento: la persona que determina los fines y medios del tratamiento.
b) Encargado del tratamiento: la persona que trata datos personales por cuenta del responsable del tratamiento según sus requerimientos.
c) Delegada o delegado de protección de datos: la persona que informa y asesora al responsable del tratamiento de las obligaciones en materia de cumplimiento del RGPD.
d) Responsable de la información: la persona que determina los requisitos de seguridad de la información tratada.
e) Responsable del servicio: la persona que determina los requisitos funcionales y de seguridad de los servicios prestados a partir de la información.
f) Responsable de seguridad de la información: la persona que determina las decisiones para satisfacer los requisitos de seguridad.
g) Responsable del sistema: la persona que tiene la responsabilidad sobre los requisitos no funcionales y de diseño, construcción, operación y soporte de los sistemas de información utilizados en la prestación de los servicios.
12) Seguridad integral: la seguridad tenderá a la preservación de la confidencialidad, la integridad y la disponibilidad de la información, debiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural.
13) Gestión de riesgos: la gestión del riesgo es el conjunto de actividades coordinadas que se desarrollan para identificar los riesgos y el impacto o consecuencias sobre un activo, cuando una amenaza se materializa y puede afectar al tratamiento de los datos o de la información debido a la existencia de una debilidad o vulnerabilidad del sistema, tanto de protección de datos como de gestión de la información. El análisis y gestión de riesgos son parte esencial del proceso de protección de datos y de seguridad de la información, de forma que permita el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad organizativas y técnicas, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo, la Administración de la Comunidad Foral de Navarra y sus organismos públicos tendrán en cuenta los riesgos que se derivan para los derechos de las personas con respecto al tratamiento de sus datos personales.
14) Proporcionalidad: la Administración de la Comunidad Foral de Navarra y sus organismos públicos establecerán medidas de protección, detección y recuperación que resulten proporcionales a los potenciales riesgos y a la criticidad y el valor de la información, de los tratamientos de datos personales y de los servicios afectados.
15) Proceso de verificación: la Administración de la Comunidad Foral de Navarra y sus organismos públicos implantarán un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos.
16) Protección de datos y seguridad desde el diseño: la Administración de la Comunidad Foral de Navarra y sus organismos públicos promoverán la implantación del principio de protección de datos desde el diseño, con el objetivo de cumplir los requisitos definidos en el RGPD y garantizar los derechos de las personas interesadas, de forma que la protección de datos se encuentre presente desde las primeras fases de concepción de un proyecto. Asimismo, la seguridad de la información se aplicará desde el diseño inicial de los sistemas de información.
17) Protección de datos por defecto: la Administración de la Comunidad Foral de Navarra y sus organismos públicos promoverán que los sistemas de información de su titularidad se diseñen y configuren de forma que garanticen la protección de datos por defecto, en especial en lo que hace referencia a la minimización de los datos y del acceso a la información.
18) Registro de las actividades de tratamiento y gestión de activos de información: se mantendrá un registro de las actividades de tratamiento, en los términos previstos en el artículo siguiente, cuyo inventario se hará público en el Portal del Gobierno Abierto. Asimismo, los activos de información se encontrarán inventariados y categorizados y estarán asociados a un responsable.
19) Seguridad ligada a las personas: se implantarán los mecanismos necesarios para que cualquier persona que acceda, o pueda acceder, a los activos de información y a los datos personales conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos.
20) Seguridad física: los activos de información serán emplazados en áreas seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que contienen dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales.
21) Seguridad en la gestión de comunicaciones y operaciones: se establecerán los procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación y actualización de las tecnologías de la información y comunicaciones. La información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad.
El sistema ha de proteger el perímetro, en particular si se conecta a redes públicas. En todo caso se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas y se controlará su punto de unión.
22) Control de acceso: se limitará el acceso a los activos de información por parte de las personas usuarias, procesos y otros sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y autorización acordes a la criticidad de cada activo. Además, quedará registrada la utilización del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organización.
Para corregir, o exigir responsabilidades en su caso, cada persona que acceda a la información del sistema debe estar identificada de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos y quién ha realizado determinada actividad.
En caso de existir indicios de actividades delictivas o que comprometan la seguridad de la información tratada por Administración de la Comunidad Foral de Navarra y sus organismos públicos, éstos deberán ser comunicados a la autoridad competente para su persecución.
23) Adquisición, desarrollo y mantenimiento de los sistemas de información: se contemplarán los aspectos de seguridad de la información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
24) Gestión de los incidentes de seguridad: se implantarán los mecanismos apropiados para la correcta identificación, registro, resolución y notificación, en los términos previstos en la normativa de protección de datos y seguridad de la información, de los incidentes de seguridad.
25) Gestión de la continuidad: se implantarán los mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de sus procesos de negocio, de acuerdo a las necesidades de nivel de servicio de la Administración de la Comunidad Foral de Navarra y sus organismos públicos.
26) Cumplimiento: se adoptarán las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información y protección de datos personales.
27) Profesionalidad: la seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento. El personal de las Administraciones Públicas recibirá la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios de la Administración. Las Administraciones Públicas exigirán que las organizaciones que les presten servicios de seguridad cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez en los servicios prestados.
28) Uso aceptable de los sistemas de información: en el caso del personal al servicio de la Administración de la Comunidad Foral de Navarra y sus organismos públicos, los medios y equipos informáticos a utilizar serán directamente provistos e instalados por las unidades de administración de sistemas informáticos y comunicaciones o por los proveedores de servicios, como parte del acuerdo de prestación que se establezca, con conocimiento y autorización de las unidades técnicas encargadas a tal efecto, siendo el único uso aceptable de los mismos el adecuado desempeño de las funciones propias de su puesto de trabajo y quedando prohibida toda alteración no autorizada de los mismos.
Artículo 3. Registro de las actividades de tratamiento.
La Administración de la Comunidad Foral de Navarra y sus organismos públicos mantendrán actualizado el registro de las actividades de tratamiento de datos personales de las que sean responsables, que incluirá toda la información a la que se refiere el artículo 30 del RGPD.
El registro de las actividades de tratamiento se mantendrá continuamente actualizado y su inventario podrá consultarse en el Portal del Gobierno Abierto.
Artículo 4. Análisis de riesgos, evaluación de impacto en la protección de datos y gestión de los riesgos de seguridad de la información.
1. Cuando la información contenga datos personales se llevará a cabo, de forma periódica en los plazos legalmente establecidos, un análisis de riesgos que permita identificar y gestionar los riesgos minimizándolos hasta los niveles que puedan considerarse aceptables. Esta evaluación incluirá un análisis de los riesgos para los derechos y libertades de las personas físicas respecto de las actividades de tratamiento con datos personales que lleven a cabo la Administración de la Comunidad Foral de Navarra y sus organismos públicos, así como para los sistemas de información que sirven de soporte para dichas actividades de tratamiento.
Asimismo, la Administración de la Comunidad Foral de Navarra y sus organismos públicos llevarán a cabo una evaluación de impacto de las actividades de tratamiento en la protección de datos personales cuando del análisis realizado resulte probable que el tratamiento suponga un alto riesgo para los derechos y libertades de las personas, conforme a lo previsto en el artículo 35 del RGPD.
2. La gestión de riesgos de seguridad de la información debe realizarse de manera continua sobre el sistema de información, conforme a los principios de gestión de la seguridad basada en los riesgos y en la reevaluación periódica.
El responsable de seguridad de la información es la persona encargada de recomendar un marco de directrices básicas para armonizar los criterios a seguir para la valoración de riesgos.
El responsable del tratamiento y el responsable de la información son los propietarios de los riesgos sobre los tratamientos y la información, respectivamente, siendo responsables de su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
Artículo 5. Notificación de violaciones de seguridad de los datos personales e incidentes de seguridad de la información.
La Administración de la Comunidad Foral de Navarra y sus organismos públicos adoptarán las medidas necesarias para garantizar la notificación de las violaciones de seguridad de los datos personales que pudieran producirse a través del procedimiento establecido al efecto por el responsable de seguridad de la información.
Artículo 6. Revisión y auditoría.
La Administración de la Comunidad Foral de Navarra y sus organismos públicos llevarán a cabo de forma periódica, en los plazos legalmente establecidos, una auditoría encaminada a la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos y sistemas de información.
En todo caso realizará una auditoría específica y extraordinaria cuando se lleven a cabo modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas.
Las auditorías serán supervisadas por el responsable de seguridad de la información y por la delegada o el delegado de protección de datos.
Artículo 7. Estructura organizativa.
La estructura organizativa para la gestión de la seguridad de la información en el ámbito de la política de protección de datos y seguridad de la información de la Administración de la Comunidad Foral de Navarra y sus organismos públicos está compuesta por los siguientes agentes:
1. El responsable del tratamiento.
2. El responsable de la información.
3. El responsable del servicio.
4. El responsable de seguridad de la información.
5. El responsable del sistema.
6. La delegada o el delegado de protección de datos.
7. El Comité de Protección de Datos y Seguridad de la Información.
Artículo 8. El responsable del tratamiento y el responsable de la información.
1. La condición de responsable del tratamiento recae en la Consejera o el Consejero de cada Departamento del Gobierno de Navarra o Gerente de cada organismo público, en los términos establecidos en el artículo 4.7 del RGPD.
2. De igual manera, la condición de responsable de la información recae en la Consejera o el Consejero de cada Departamento del Gobierno de Navarra o Gerente de cada organismo público. Es decir, en la Administración de la Comunidad Foral de Navarra y sus organismos públicos los roles de responsable del tratamiento y responsable de la información serán ejercidos por una misma persona.
Corresponde a la Consejera o Consejero de cada Departamento o Gerente de cada organismo público desarrollar y aprobar una política específica de protección de datos y seguridad de la información de su unidad, complementaria a la actual, si así lo estima necesario.
3. Son funciones del responsable del tratamiento y del responsable de la información:
a) Determinar los fines y medios del tratamiento de conformidad con lo dispuesto en el RGPD y en la LOPDyGDD. Ejercerán, además de las funciones y competencias que les atribuya la legislación aplicable, las siguientes funciones específicas:
- Velar por el efectivo cumplimiento del RGPD, la LOPDyGDD y la demás normativa vigente en el tratamiento de datos personales que gestiona.
- Mantener y actualizar el registro de las actividades de tratamiento de datos en el ámbito de sus competencias.
- Notificar a la delegada o al delegado de protección de datos el registro de las actividades de tratamiento de datos que gestiona en su ámbito de actuación, así como las modificaciones del mismo.
- Responder a los requerimientos que le envíe la delegada o el delegado de protección de datos en relación con los tratamientos de datos que gestiona en su ámbito de actuación.
- Establecer y aplicar las medidas técnicas y organizativas de privacidad y seguridad necesarias para la protección de los datos personales en los tratamientos que gestiona.
- Garantizar el cumplimiento de las obligaciones de secreto y confidencialidad derivadas de la normativa en materia de protección de datos personales en relación con los tratamientos que gestiona.
- Garantizar el cumplimiento de la obligación de informar adecuadamente y aplicando el principio de transparencia en la recogida de los datos personales.
- Cumplir todas aquellas obligaciones y respetar los derechos de las personas interesadas, de acuerdo con lo previsto en el RGPD, la LOPDyGDD y demás normativa vigente.
- Realizar las pertinentes evaluaciones de impacto en la protección de datos asesorado por la delegada o el delegado de protección de datos, cuando el tratamiento de datos a llevar a cabo entrañe alto riesgo para los derechos y libertades de las personas físicas. Si la evaluación de impacto mostrara que el tratamiento entraña alto riesgo deberá consultar a la autoridad de control.
- Realizar, en su caso, las preceptivas notificaciones de violaciones de seguridad a la autoridad de control, a las personas interesadas y a la delegada o el delegado de protección de datos.
- Si el tratamiento, o parte de él, fuera realizado por un encargado del tratamiento, el responsable del tratamiento elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas que le traslade de manera documentada. Así mismo, realizará seguimiento de la correcta aplicación de estas medidas.
b) La identificación y la aprobación formal de los niveles de seguridad de la información, a propuesta del responsable del servicio, responsable de seguridad de la información o responsable del sistema, dentro del marco de lo previsto en los Anexos I y II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
c) La aprobación, a propuesta del responsable o responsables de seguridad de la información, de las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para los derechos y libertades de las personas, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, conforme a lo exigido en el RGPD, la LOPDyGDD y el ENS.
d) La trasmisión de las obligaciones al encargado del tratamiento y la verificación del cumplimiento de las mismas.
Las actividades necesarias para el cumplimiento de dichas responsabilidades se podrán delegar en las Directoras y los Directores Generales y en el resto de roles definidos en el artículo 6, cada uno en su ámbito correspondiente.
Artículo 9. Responsable del servicio.
El responsable del servicio es la persona que determina los requisitos de seguridad de los servicios prestados a partir de la información y los niveles de seguridad del mismo dentro del marco que establece el anexo I del Real Decreto 3/2010, pudiendo recabar para ello la propuesta del responsable de seguridad y la opinión del responsable del sistema. Respecto a la protección de datos, el responsable del servicio prestará asistencia al responsable del tratamiento en el ejercicio de sus funciones.
Un tratamiento de información puede abarcar diferentes servicios y por tanto en la existencia de uno o varios responsables del servicio.
Artículo 10. El responsable de seguridad de la información.
El responsable de seguridad de la información es la persona que decide las medidas organizativas y técnicas exigibles para garantizar la protección de datos y la seguridad de la información en los servicios prestados con base en los requisitos fijados por el responsable del tratamiento y el responsable de la información.
En cada Departamento u organismo público existirá, como mínimo, un responsable de seguridad, si bien podrán existir responsables de seguridad en las Direcciones Generales, si se considera necesario.
El responsable de seguridad será designado por el titular de la unidad correspondiente. No obstante, si en la unidad existe algún Servicio o Sección con competencias en materia de protección de datos personales y seguridad de la información, su titular ostentará la condición de responsable de seguridad de la información.
Una misma persona podrá ejercer al mismo tiempo de responsable de seguridad de un Departamento y sus organismos públicos asociados.
Los responsables de seguridad contarán con el apoyo técnico, jurídico y organizativo, tanto de su unidad como del Departamento al que ésta pertenezca.
El responsable de seguridad de la información ejercerá, además de las funciones y competencias que le atribuya la legislación aplicable, las siguientes funciones específicas, tanto las que sean propias como las que asuma por delegación:
a) Proponer, elaborar, actualizar y hacer seguimiento de las políticas y directrices concretas en materia de protección de datos y seguridad de la información dentro de su ámbito de responsabilidad.
b) Impulsar, coordinar, articular la puesta en marcha y hacer seguimiento de las medidas organizativas y técnicas de protección de datos y seguridad de la información que se vayan implantando en los procesos de tratamiento de la información, en la formación, concienciación y capacitación del personal a su servicio y en los sistemas de información utilizados, en este último caso, en colaboración con la Dirección General de Informática, Telecomunicaciones e Innovación Pública.
c) Coordinar, junto con los responsables del servicio y el responsable del sistema, la realización de los análisis de riesgos y evaluaciones de impacto, si fuera necesario, sobre los tratamientos que tienen lugar en su ámbito. Asimismo, será el responsable de coordinar la implantación de las medidas de seguridad necesarias para cada tratamiento, a la vista del resultado de los análisis realizados.
d) Colaborar con la Unidad Delegada de Protección de Datos en todo lo que ésta le requiera en el desarrollo de sus funciones.
e) Realizar auditorías internas y participar en auditorías externas para verificar el cumplimiento de las normativas de protección de datos y seguridad de la información.
f) Informar sobre el estado de la protección de datos y seguridad de la información en su ámbito.
g) Mantener actualizado el marco documental de la protección de datos y seguridad de la información en su ámbito de responsabilidad y, en particular, custodiar el registro de las actividades de tratamiento.
h) Coordinar con la Dirección General de Informática, Telecomunicaciones e Innovación Pública la gestión de los incidentes de seguridad de los sistemas de información, tanto en soporte electrónico como en otros soportes, ofreciendo respuestas reactivas a dichos incidentes.
i) Notificar a la autoridad de control competente las violaciones de seguridad y los incidentes de seguridad de la información en los supuestos en que la normativa vigente establezca dicha notificación como obligatoria. Dicha notificación se hará en colaboración con la delegada o el delegado de protección de datos y el responsable del sistema a las autoridades de control correspondientes.
j) Participar en el Comité de Protección de Datos y Seguridad de la Información.
Artículo 11. Responsable del sistema.
1. Será responsable del sistema la persona titular de la Dirección General de Informática, Telecomunicaciones e Innovación Pública. En calidad de responsable del sistema, será el encargado de:
a) Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
b) Definir la topología y sistema de gestión del sistema de información estableciendo los criterios de uso y los servicios disponibles en el mismo.
c) Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
d) Acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el responsable de seguridad, antes de ser ejecutada.
e) Elaborar los procedimientos, guías e instrucciones técnicas que, cumpliendo con lo establecido en la PPDSI, determinan las acciones o tareas a realizar en el desempeño de un proceso.
2. Las actividades necesarias para el ejercicio de dichas funciones se podrán delegar en el personal técnico de la Dirección General de Informática, Telecomunicaciones e Innovación Pública.
Artículo 12. La delegada o el delegado de protección de datos.
La Administración de la Comunidad Foral de Navarra y sus organismos públicos cuentan con una delegada de protección de datos de ámbito general, a fin de dar cumplimiento a lo requerido en el artículo 37 del RGPD, que llevará a cabo las tareas establecidas en el artículo 39 del citado RGPD, así como las que se deriven de la normativa estatal de protección de datos personales, sin perjuicio del posible nombramiento de otras delegadas u otros delegados de protección de datos en ámbitos inferiores, como Departamentos u organismos públicos cuando sus necesidades específicas así lo requieran.
En el desempeño de sus funciones, la delegada o el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento.
Artículo 13. El Comité de Protección de Datos y Seguridad de la Información.
1. El Comité de Protección de Datos y Seguridad de la Información, adscrito al Departamento de Presidencia, Función Pública, Interior y Justicia, gestionará y coordinará todas las actividades relacionadas con la política de protección de datos y seguridad de los sistemas de información.
2. El Comité de Protección de Datos y Seguridad de la Información está compuesto por los siguientes miembros:
a) La Directora o el Director General que ejerza las competencias en materia de Presidencia, que ostentará la presidencia del Comité.
b) Los responsables de seguridad de la información de los diferentes Departamentos, Direcciones Generales u organismos públicos.
c) La Directora o el Director General que ejerza las competencias en materia de informática y telecomunicaciones, en calidad de responsable del sistema, o persona en quien delegue.
d) La delegada o el delegado de protección de datos que actuará como secretaria o secretario y participará con voz, pero sin voto, en las reuniones del Comité de Protección de Datos y Seguridad de la Información. En todo caso, en los asuntos sometidos a votación, se hará constar siempre en acta el parecer de la delegada o el delegado de protección de datos.
3. El Comité de Protección de Datos y Seguridad de la Información actuará en el ámbito del cumplimiento de la normativa de protección de datos y seguridad de la información vigente.
4. El Comité de Protección de datos y Seguridad de la Información coordinará las actividades relacionadas con la seguridad de la información y los sistemas de información ejerciendo las siguientes funciones:
a) Elaborar propuestas de modificación y actualización permanente de la PPDSI de la Administración de la Comunidad Foral de Navarra y sus organismos públicos, y de su estructura organizativa.
b) Promover recursos y medios para la mejora en materia de protección de datos y seguridad de la información.
c) Buscar la eficiencia al compartir experiencias, trabajos realizados y lecciones aprendidas que pueden ser aprovechadas por otras unidades de la Administración de la Comunidad Foral de Navarra y de sus organismos públicos.
d) Promover decisiones conjuntas para la búsqueda de la homogeneidad y eficiencia en el uso de recursos públicos.
e) Elaborar, al menos con una periodicidad anual, un informe conjunto del estado de situación, relativo a protección de datos y seguridad de la información para todas las unidades que cuenten con responsable de seguridad. Dicho informe se presentará a la Comisión de Coordinación de la Administración de la Comunidad Foral de Navarra y se elevará al Gobierno de Navarra.
5. El Comité de Protección de Datos y Seguridad de la Información se reunirá al menos con carácter semestral.
Artículo 14. Asignación de tareas.
Las Consejeras y los Consejeros de los Departamentos y las y los Gerentes de los organismos públicos podrán, dentro de su ámbito de competencias, asignar tareas relativas a la mejora o desarrollo de los principios recogidos en la presente política a personas o grupos de trabajo. Esta responsabilidad se podrá delegar en las Directoras o Directores Generales y en el resto de roles de seguridad definidos en el presente documento, y más concretamente en el responsable de seguridad de la información según la naturaleza de tareas a asignar.
Artículo 15. Resolución de conflictos.
En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la política de protección de datos y seguridad de la información, corresponderá la resolución del mismo a la Consejera o Consejero del Departamento o Gerentes del organismo público en cuestión, en su rol de responsable del tratamiento y responsable de la información, asistido por el responsable del servicio, el responsable de seguridad de la información y el responsable del sistema y, cuando proceda, por la delegada o el delegado de protección de datos.
En caso de conflicto entre los responsables de la información y los responsables de los servicios, por una parte, y los responsables del tratamiento por otra, los datos personales constituyen un objeto protegido de mayor rango y marcarán la pauta a seguir.
Artículo 16. Obligaciones del personal.
El personal al servicio de la Administración de la Comunidad Foral de Navarra y de sus organismos públicos prestará su colaboración en las actuaciones de implementación de la política de protección de datos y seguridad de la información.
Dicho personal tiene la obligación de conocer y cumplir lo previsto en la presente política, así como en las normas y procedimientos que la desarrollen.
El personal al servicio de la Administración de la Comunidad Foral de Navarra y sus organismos públicos tiene asimismo el deber de colaborar en la mejora de los principios y requisitos en materia de protección de datos y seguridad de la información evitando o, en su caso, aminorando los riesgos a los que se encuentra expuesta la información y los datos personales de los que es responsable la Administración de la Comunidad Foral de Navarra o sus organismos públicos. A tal efecto, comunicará a los integrantes de la estructura organizativa de la política de protección de datos y seguridad de la información cualquier propuesta o sugerencia que ayude a preservar la confidencialidad, la integridad y la disponibilidad de la información.
Artículo 17. Concienciación y formación.
Se desarrollarán actividades formativas específicas orientadas a la concienciación y formación del personal que presta sus servicios en la Administración de la Comunidad Foral de Navarra y sus organismos públicos, así como a la difusión de la presente política de protección de datos y seguridad de la información y de su desarrollo normativo.
La Administración de la Comunidad Foral de Navarra y sus organismos públicos dispondrán de los medios necesarios para que todas las personas con acceso a la información sean informadas acerca de sus deberes y obligaciones, así como de los riesgos existentes en el tratamiento de la información.
La delegada o el delegado de protección de datos supervisará las acciones de concienciación y formación del personal que participa en las operaciones de tratamiento con datos personales, a fin de garantizar el cumplimiento de la PPDSI.
Artículo 18. Desarrollo y revisión de la PPDSI.
1. El responsable del tratamiento y/o el responsable de la información, a propuesta de los miembros que integran la estructura organizativa descrita en la PPDSI y, en su caso, asistidos por el Comité de Protección de Datos y Seguridad de la Información y/o por la delegada o el delegado de protección de datos, definirán los procedimientos y elaborarán guías e instrucciones técnicas necesarias para el desarrollo de la presente política.
En dicho proceso de desarrollo podrá requerirse la colaboración de las unidades organizativas que componen la estructura orgánica de la Administración de la Comunidad Foral de Navarra y sus organismos públicos.
2. La presente PPDSI se someterá a un proceso de revisión, al menos anual, a fin de adaptarse a las circunstancias técnicas u organizativas y evitar su obsolescencia.
3. Las revisiones de la presente PPDSI serán aprobadas por decreto foral.
Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo establecido en el presente decreto foral.
Disposición Final Única. Entrada en vigor.
Este decreto foral entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de Navarra.