Gobierno de Canarias

Comunidad Autónoma de Canarias

Boletín Oficial de Canarias

Estás en:

BOC Nº 219. Martes 27 de octubre de 2020 - 3896

ATENCION. La versión HTML de este documento no es oficial. Para obtener una versión oficial, debe descargar el archivo en formato PDF.

I. DISPOSICIONES GENERALES - Presidencia del Gobierno

3896 DECRETO 71/2020, de 13 de octubre, del Presidente, por el que se aprueba la Política de Seguridad de la Información de la Presidencia del Gobierno en el ámbito de la administración electrónica.

18 páginas. Formato de archivo en PDF/Adobe Acrobat. Tamaño: 412.66 Kb.
BOC-A-2020-219-3896. Firma electrónica - Descargar

El desarrollo de las tecnologías de la información y comunicación ha venido afectando profundamente a la forma y al contenido de las relaciones de las Administraciones Públicas con la ciudadanía, así como de las relaciones interadministrativas. Así, si bien la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, ya fue consciente del impacto de las nuevas tecnologías en las relaciones administrativas, fue la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, la que les dio carta de naturaleza legal, al establecer el derecho de los ciudadanos a relacionarse electrónicamente con las Administraciones Públicas, así como la obligación de estas de dotarse de los medios y sistemas necesarios para que ese derecho pudiera ejercerse. Al mismo tiempo, recogía entre sus fines el crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y en especial los relacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. Fines que fueron desarrollados por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).

En coherencia con este contexto, se llevó a cabo una reforma del ordenamiento jurídico público articulada en dos ejes fundamentales: las relaciones «ad extra» y «ad intra» de las Administraciones Públicas, que se tradujo en la aprobación de dos nuevas leyes que constituyen los pilares sobre los que se asienta el Derecho administrativo español, como son la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y que vienen a consolidar las relaciones por medios electrónicos de las Administraciones Públicas con la ciudadanía, así como de las relaciones interadministrativas.

La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados. En este sentido, su artículo 156 dispone que el Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito del sector público, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.

Por su parte, el artículo 13 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, relativo a los derechos de las personas en sus relaciones con las Administraciones Públicas, contempla expresamente el derecho a la protección de datos personales y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

El Esquema Nacional de Seguridad (ENS) regula la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos y determina los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información, señalando en su artículo 11 que todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente. Esta política de seguridad se establecerá con base en los principios básicos recogidos en el Capítulo II de la propia norma (seguridad integral, gestión de riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica, y función diferenciada).

En nuestra Administración Pública, el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias se determinó por Orden de 31 de julio de 2013, de la extinta Consejería de Presidencia, Justicia e Igualdad. En su artículo 2, se señala que cada organismo incluido en el ámbito de la aplicación de la Orden deberá desarrollar y aprobar el documento de política seguridad de la información en el ámbito de la administración electrónica del organismo, así como las normas y procedimientos que adecuen, en su caso, el marco común y las directrices básicas en la Administración Pública de la Comunidad Autónoma de Canarias a sus particularidades.

Por otra parte, el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), en adelante RGPD, establece en su artículo 24, dentro de las obligaciones generales del responsable del tratamiento de datos personales, que, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el citado reglamento. Así mismo, dispone que dichas medidas se revisarán y actualizarán cuando sea necesario y que, cuando sean proporcionadas en relación con las actividades de tratamiento, entre dichas medidas se incluirá la aplicación por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.

En el mismo sentido, el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en adelante LOPD y GDD, referido a las obligaciones generales del responsable y encargado del tratamiento, establece que dichos responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del RGPD, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la LOPD y GDD, sus normas de desarrollo y la legislación sectorial aplicable.

Por tanto la plena aplicación del RGPD exige que los responsables de los tratamientos adopten una política de protección de datos a fin de garantizar y poder demostrar que los tratamientos que llevan a cabo son conformes al citado reglamento. Por ello, se considera conveniente incluir en la política de seguridad de la información algunos aspectos relacionados con la protección de datos, dada la íntima conexión entre ambas materias.

El presente Decreto atiende a los principios de buena regulación recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Así, la norma es respetuosa con los principios de necesidad, eficacia y proporcionalidad, en tanto que con ella se persigue el fin pretendido, no tratándose de una norma restrictiva de derechos. En aplicación del principio de transparencia, se definen claramente los objetivos de la iniciativa normativa. Asimismo, el Decreto garantiza el principio de seguridad jurídica, ejerciéndose la iniciativa normativa de manera coherente con el resto del ordenamiento jurídico generando un marco normativo estable, predecible, integrado, claro y de certidumbre. En virtud del principio de eficiencia, racionaliza, en su aplicación, la gestión de recursos públicos.

En virtud de lo establecido en el artículo 133.4 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en el procedimiento de elaboración de la presente disposición normativa se prescinde de los trámites previstos en los apartados 1 y 2 del citado artículo, al tratarse de una norma departamental de carácter organizativo.

Por cuanto antecede, visto el informe de la Dirección General de Telecomunicaciones y Nuevas Tecnologías, y de conformidad con lo dispuesto el artículo 2.2 de la citada Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias, y en los artículos 34 y 35 de la Ley 1/1983, de 14 de abril, del Gobierno y la Administración Pública de la Comunidad Autónoma de Canarias,

D I S P O N G O:

Artículo 1.- Objeto y ámbito de aplicación.

1. El presente Decreto tienen por objeto establecer la Política de Seguridad de la Información de la Presidencia del Gobierno en el ámbito de la administración electrónica, en adelante, PSIPG.

2. La PSIPG es el conjunto de medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de la normativa aplicable a la seguridad de la información y al tratamiento de los datos personales en el ámbito de la administración electrónica, e incluye, así mismo, los principios básicos y requisitos mínimos que permitan una protección adecuada de la información que se gestiona en el ámbito del departamento.

3. La PSIPG será de aplicación a todos los sistemas de información y a todas las actividades de tratamiento de datos personales de los que sean responsables los distintos órganos del departamento.

4. La PSIPG será de obligado cumplimiento para todos los órganos y unidades del departamento, así como para todo su personal con acceso a la información de la que sean responsables.

5. Asimismo, la PSIPG deberá ser observada por aquellas personas que, no perteneciendo a su organización, tengan acceso a sus sistemas de información o a la información gestionada por ellos.

Artículo 2.- Misión del Departamento.

Es misión de la Presidencia del Gobierno dirigir, impulsar y coordinar la acción del Gobierno de Canarias sin perjuicio de la competencia y responsabilidad directa de los demás departamentos, así como la gestión de los servicios y competencias que le son propias, conforme a su Reglamento Orgánico.

Artículo 3.- Principios de la PSIPG.

Sin perjuicio de los principios básicos establecidos en el Esquema Nacional de Seguridad, la PSIPG se desarrollará, con carácter general, de acuerdo con los siguientes principios determinados en la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias:

a) Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.

b) Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.

c) Principio de disponibilidad y continuidad: se garantizará un alto nivel de disponibilidad en los sistemas de información y se dotarán de los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.

d) Principio de gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la seguridad de los sistemas de información.

e) Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los sistemas de información deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos.

f) Principio de concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad TIC de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.

g) Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad TIC.

h) Principio de mejora continua: se revisará el grado de eficacia de los controles de seguridad TIC implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública de la Comunidad Autónoma de Canarias.

i) Principio de seguridad TIC en el ciclo de vida de los sistemas de información: las especificaciones de seguridad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.

j) Principio de función diferenciada: la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

Artículo 4.- Principios de Protección de Datos.

Además de los principios previstos en el artículo anterior, serán de aplicación a la PSIPG los siguientes principios de protección de datos:

1) Licitud, lealtad y transparencia: los datos personales serán tratados de manera lícita, leal y transparente en relación con la persona interesada.

2) Legitimación en el tratamiento de datos personales: solo se tratarán los datos personales cuando dicho tratamiento se encuentre amparado en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD.

3) Limitación de la finalidad: los datos personales serán tratados para el cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

4) Minimización de datos: los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

5) Exactitud: los datos personales serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

6) Limitación del plazo de conservación: los datos personales serán mantenidos de forma que se permita la identificación de las personas interesadas durante no más tiempo del necesario para los fines que justificaron su tratamiento.

7) Integridad y confidencialidad: los datos personales serán tratados de tal manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Quienes intervengan en el tratamiento de los datos estarán sujetos al deber de secreto incluso después de haber concluido la relación que justificaba su intervención.

8) Responsabilidad proactiva: los órganos del departamento serán responsables del cumplimiento de los principios anteriormente señalados y adoptarán las medidas técnicas y organizativas que le permitan estar en condiciones de demostrar dicho cumplimiento.

9) Atención de los derechos de las personas afectadas: se adoptarán medidas en la organización que garanticen el adecuado ejercicio por las personas afectadas, cuando proceda, de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad respecto de sus datos personales.

10) Protección de datos y seguridad desde el diseño: los órganos del departamento promoverán la implantación del principio de protección de datos desde el diseño, con el objetivo de cumplir los requisitos definidos en el RGPD y garantizar los derechos de las personas interesadas, de forma que la protección de datos se encuentre presente desde las primeras fases de concepción de un proyecto. Asimismo, la seguridad de la información se aplicará desde el diseño inicial de los sistemas de información.

11) Protección de datos por defecto: los órganos del departamento promoverán que los sistemas de información de su titularidad se diseñen y configuren de forma que garanticen la protección de datos por defecto, en especial en lo que hace referencia a la minimización de los datos y del acceso a la información.

Artículo 5.- Definiciones.

Los términos, palabras, expresiones y las definiciones contenidas en el presente Decreto han de ser entendidas en el siguiente sentido:

Gestión de riesgos: actividades coordinadas para dirigir y controlar los riesgos dentro del departamento.

Infraestructura tecnológica: aquellos recursos físicos y lógicos, sobre los que se soportan los sistemas de información.

Infraestructura tecnológica corporativa: aquellos recursos físicos y lógicos, sobre los que se soportan los sistemas de información, los cuales gestiona el órgano competente en materia de telecomunicaciones y nuevas tecnologías.

Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.

Sistema de Información: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

Sistemas de Información corporativos: aquellos sistemas de información cuyo ámbito de aplicación y uso es general y común para toda la Administración Pública de la Comunidad Autónoma de Canarias.

Sistemas de Información propios: aquellos sistemas de información cuyo ámbito de aplicación es específico para un área concreta y su gestión pertenece a este departamento.

Datos personales: toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Artículo 6.- Marco normativo de la PSIPG.

1. El marco normativo para el desarrollo de la gestión de los servicios y competencias del Departamento es el siguiente:

a) Decreto 356/2019, de 19 de diciembre, por el que se aprueba el Reglamento Orgánico de la Presidencia del Gobierno.

b) Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

c) Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

d) Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

e) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

f) Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

g) Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias.

h) Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.

i) Acuerdo del Gobierno de Canarias de 25 de junio de 2018, por el que se aprueban las instrucciones que conforman la normativa de seguridad en el uso de los recursos informáticos, telefónicos y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias.

j) Las normas aplicables a la administración electrónica del departamento, derivadas de las anteriores y publicadas en la sede electrónica.

2. El marco normativo sobre seguridad de la información se desarrolla en los niveles siguientes:

a) Primer nivel normativo: la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información de la Administración Pública de la Comunidad Autónoma de Canarias, el presente Decreto, y las disposiciones generales, directrices y normas de seguridad generales dentro del ámbito de aplicación de la PSIPG definido en el artículo 1.

b) Segundo nivel normativo: Políticas Específicas de Seguridad de la Información y Normas de Seguridad TIC (Normas STIC). Las Políticas Específicas desarrollan con un mayor grado de detalle la PSIPG dentro de un ámbito determinado. Las Normas dan respuesta, sin entrar en detalles de implementación ni tecnológicos, a qué se puede hacer y qué no en relación a un cierto tema desde el punto de vista de la seguridad: qué se considera un uso apropiado o inapropiado, las consecuencias derivadas del incumplimiento, entre otros aspectos.

Los documentos relativos a este segundo nivel normativo los deberá elaborar el Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de datos. Serán aprobados, a propuesta del Responsable de Seguridad, por el titular del Departamento.

c) Tercer nivel normativo: Procesos y Procedimientos STIC e Instrucciones Técnicas STIC. Son documentos que dan respuesta, incluyendo detalles de implementación y tecnológicos, a cómo se puede realizar una determinada tarea respetando los principios de seguridad de la organización, y los procesos internos en ella establecidos.

Los Procesos, Procedimientos STIC e Instrucciones Técnicas STIC serán aprobados por el Responsable de Seguridad.

3. Aparte de los documentos citados en el apartado 2, la documentación de seguridad del sistema podrá contar, bajo criterio del Responsable de Seguridad, con otros documentos de carácter no vinculante: recomendaciones, buenas prácticas, informes, registros, evidencias electrónicas, entre otros aspectos.

4. El Responsable de Seguridad será responsable de mantener la documentación de seguridad actualizada y organizada, y de gestionar los mecanismos de acceso a la misma.

5. El Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo normativo con el propósito de normalizarlo, en la medida de lo posible, en todo el ámbito de aplicación de la PSIPG.

Artículo 7.- Estructura organizativa de la PSIPG.

La estructura organizativa de la gestión de las PSIPG está compuesta por los siguientes agentes:

a) Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos.

b) Responsables de la información.

c) Responsables del Servicio.

d) Responsable de Seguridad.

e) Responsable del Sistema.

f) Administrador o Administradora de Seguridad.

g) Responsables del tratamiento de datos personales.

h) Delegado o Delegada de protección de datos.

Artículo 8.- Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos.

1. Se crea el Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos, como un grupo de trabajo en el seno del Departamento.

2. El Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos tendrá la siguiente composición:

a) Presidencia: la persona titular de la Viceconsejería encargada de la coordinación general de las actividades y funciones del departamento.

b) Vocales:

- Las personas titulares de las Direcciones Generales y de la Secretaría General.

- El Administrador o Administradora de Seguridad.

- El Delegado o Delegada de protección de datos.

c) Secretaría: una persona con vínculo funcionarial del Departamento, perteneciente a la Secretaría General, designada por la Presidencia, que actuará con voz y sin voto.

3. El Comité ajustará su funcionamiento a las previsiones contenidas en la legislación en materia de régimen jurídico del Sector Público y del Procedimiento Administrativo Común.

4. El Comité se reunirá con carácter ordinario una vez al año y con carácter extraordinario cuando lo decida su Presidencia. Las reuniones se realizarán en horario de trabajo y, cuando proceda, por videoconferencia. No se percibirán indemnizaciones en concepto de asistencia por concurrencia al Comité.

5. El Comité podrá recabar de personal técnico la información o asesoramiento pertinente para el ejercicio de sus funciones. En caso necesario este personal podrá ser convocado por el Comité para su asistencia a las reuniones, en calidad de asesores, con voz pero sin voto.

6. Podrá acordarse la constitución de subgrupos de trabajo para el análisis, elaboración y ejecución de trabajos o actividades específicas, dentro del ámbito de sus funciones.

Artículo 9.- Funciones del Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos.

El Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos coordinará todas las actividades relacionadas con la seguridad de los sistemas de información y protección de datos, y ejercerá, las funciones siguientes:

a) Elaborar los borradores de modificación y actualización de la PSIPG.

b) Analizar los riesgos e impulsar su evaluación.

c) Impulsar la actualización de los criterios y directrices sobre seguridad de la información y protección de datos.

d) Impulsar medidas para mejorar y reforzar los sistemas de seguridad y control.

e) Impulsar el cumplimiento y difusión de la PSIPG, promoviendo las actividades de concienciación y formación en materia de seguridad y protección de datos para el personal del departamento.

f) Elaborar los borradores de directrices y normas generales de seguridad y protección de datos para todo el departamento, que deberá cumplir el marco normativo del presente Decreto.

g) Elaborar la normativa de seguridad de segundo nivel, que según el artículo 6 del presente Decreto, se corresponde con las políticas específicas de seguridad y con las Normas de Seguridad TIC (en adelante, Normas STIC), de obligado cumplimiento.

h) Coordinar las decisiones y actuaciones de los diferentes responsables que componen la estructura organizativa de la PSIPG, asesorando la resolución de los posibles conflictos entre los mismos bajo el criterio de garantizar la seguridad de las infraestructuras tecnológicas compartidas.

i) Impulsar los proyectos para la adecuación al cumplimiento del Esquema Nacional de Seguridad.

j) Compartir experiencias de éxito en materia de seguridad y protección de datos entre sus miembros para velar por el cumplimiento de la PSIPG y su normativa de desarrollo.

k) Promover recursos y medios para la mejora en materia de seguridad de la información y protección de datos.

l) Proponer la priorización de las actuaciones en materia de seguridad de la información y protección de datos cuando los recursos sean limitados.

m) Evaluar la idoneidad de los distintos controles de seguridad, facilitar los recursos necesarios y coordinar su implantación efectiva.

n) Estudiar las no conformidades y observaciones detectadas en las auditorías y proponer las acciones correctoras correspondientes.

ñ) Velar para que todos los ámbitos de responsabilidad y actuación en relación a la seguridad de la información y protección de datos queden perfectamente definidos. Especialmente, para asegurar que todos y cada uno de los miembros de la estructura de seguridad definida conozcan sus funciones y responsabilidades.

o) Velar porque la seguridad de la información y protección de datos se tenga en cuenta en todos los proyectos de tecnologías de la información y comunicación desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas de información.

p) Coordinar las medidas técnicas y organizativas establecidas en la normativa de protección de datos personales, de acuerdo con los correspondientes análisis de riesgos y, en su caso, las evaluaciones de impacto en la protección de datos, contando con el asesoramiento del delegado o delegada de protección de datos.

q) Aprobar y revisar el informe de Análisis de Riesgos realizado por el Responsable de Seguridad.

r) Cuantas otras le sean encomendadas.

Artículo 10.- Responsables de la información.

1. De conformidad con lo dispuesto en el artículo 11 de la Orden de 31 de julio de 2013, los responsables de la información serán las personas titulares de los órganos que gestionen cada procedimiento o trámite.

2. Son funciones de cada Responsable de Información, dentro de su ámbito de actuación, las siguientes:

a) Determinar los niveles de seguridad de la información tratada, valorando los impactos de los incidentes que afecten a la seguridad de la información.

b) Son los responsables, junto a los Responsables del Servicio, de aceptar los riesgos residuales calculados en el análisis de riesgos, y de realizar su seguimiento y control.

c) Asegurarse de que los permisos correspondientes al personal que ya no tenga que acceder a la información tratada, se revoquen o deshabiliten en los sistemas relacionados.

3. Para el desarrollo de sus funciones, los Responsables de la información contarán con la colaboración y el apoyo de las personas responsables de la unidades administrativas de su organización.

Artículo 11.- Responsables del Servicio.

1. De conformidad con lo dispuesto en el artículo 12 de la Orden de 31 de julio de 2013, los responsables del Servicio serán las personas titulares de los órganos que gestionen cada servicio.

2. Los Responsables del Servicio, dentro de su ámbito de actuación, tendrán las funciones siguientes:

a) Determinar los requisitos de seguridad de los servicios prestados mediante la valoración del impacto de los incidentes que puedan producirse.

b) Son los responsables, junto a los Responsables de Información, de aceptar los riesgos residuales calculados en el análisis de riesgos, y de realizar su seguimiento y control.

c) Asegurarse de que los permisos correspondientes al personal que ya no tenga que acceder al servicio prestado, se revoquen o deshabiliten en los sistemas relacionados.

3. Para el desarrollo de sus funciones, los Responsables del Servicio contarán con la colaboración y el apoyo de las personas responsables de la unidades administrativas de su organización.

Artículo 12.- Responsable de Seguridad.

1. De conformidad con lo dispuesto en el artículo 13 de la Orden de 31 de julio de 2013, el Responsable de Seguridad es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

2. Esta responsabilidad recaerá en la persona titular de la Viceconsejería encargada de la coordinación general de las actividades y funciones del departamento.

3. El Responsable de Seguridad tendrá las funciones siguientes:

a) Coordinar el desarrollo de la PSIPG.

b) Promover la seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.

c) Proponer la normativa de seguridad de segundo nivel, que según el artículo 6 del presente Decreto, se corresponde con las políticas específicas de seguridad y con las normas STIC, de obligado cumplimiento.

d) Aprobar la normativa de seguridad de tercer nivel, que según el artículo 6 del presente Decreto, se corresponde a los procesos, procedimientos STIC e instrucciones técnicas STIC.

e) Procurar que la documentación de seguridad se mantenga organizada y actualizada, y de gestionar los mecanismos de acceso a la misma.

f) Promover las actividades de concienciación y formación en materia de seguridad y protección de datos personales en su ámbito de responsabilidad.

g) Realizar la coordinación y seguimiento de la implantación de los proyectos de adecuación al Esquema Nacional de Seguridad y a la normativa vigente en materia de protección de datos de carácter personal.

h) Realizar los preceptivos análisis de riesgos, de seleccionar las salvaguardas a implantar y de revisar el proceso de gestión del riesgo, elevando un informe anual al Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos.

i) Promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información y de protección de datos de carácter personal, y analizar los informes de auditoría, elaborando las conclusiones a presentar a los Responsables del Servicio y los Responsables de la Información y del tratamiento para que adopten las medidas correctoras adecuadas.

j) Coordinar el proceso de Gestión de la Seguridad.

k) Firmar la Declaración de Aplicabilidad, que comprende la relación de medidas de seguridad seleccionadas para un sistema (artículo 27 y Anexo II.2 del ENS).

l) Elaborar informes periódicos de seguridad que incluyan los incidentes más relevantes de cada periodo.

m) Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del Real Decreto 3/2010, de 8 de enero, y las medidas de seguridad que deben aplicarse de acuerdo con lo previsto en el Anexo II del mismo Real Decreto.

n) Proponer la Declaración de Conformidad, para su aprobación por el titular del Departamento, previo informe del Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos.

ñ) Verificar que las medidas de seguridad son adecuadas para la protección de la información y los servicios.

4. Cuando la complejidad, distribución, separación física de sus elementos o número de usuarios de los sistemas de información lo justifiquen, el Responsable de Seguridad podrá designar los responsables de seguridad delegados que considere necesarios, que tendrán dependencia funcional directa de aquel y serán responsables en su ámbito de todas aquellas acciones que les delegue el mismo.

5. Para el ejercicio de sus funciones podrá contar con el asesoramiento y apoyo del Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos, así como de la unidad administrativa responsable de los servicios informáticos del departamento.

Artículo 13.- Responsable del Sistema.

1. El Responsable del Sistema será la persona titular de la Secretaría General al corresponderle la dirección y coordinación de las actuaciones en materia de tecnologías de la información y de administración electrónica en el ámbito del Departamento.

2. El Responsable del Sistema tendrá las funciones siguientes:

a) Desarrollar, operar y mantener el sistema de Información durante todo su ciclo de vida, así como aprobar los cambios que afecten a la seguridad del modo de operación del sistema.

b) Implantar las medidas necesarias para garantizar la seguridad del sistema durante todo su ciclo de vida, siguiendo las indicaciones del Responsable de Seguridad.

c) Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.

d) Suspender el manejo de una determinada información o la prestación de un servicio electrónico si es informado de deficiencias graves de seguridad, previo acuerdo con el Responsable de dicha información o servicio, y con el Responsable de Seguridad.

Artículo 14.- Administrador o Administradora de Seguridad.

1. La administración de la seguridad de los sistemas de información propios del Departamento recaerá en la persona que ostente la jefatura de la unidad administrativa adscrita a la Secretaría General responsable de los servicios informáticos del Departamento.

2. Serán funciones de la administración de seguridad las siguientes:

a) La implementación, gestión y mantenimiento de las medidas de seguridad aplicables a los sistemas de información.

b) La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad de los sistemas de información.

c) La gestión de las autorizaciones concedidas a los usuarios de los sistemas.

d) La aplicación de los procedimientos de seguridad.

e) Aprobar los cambios de configuración de los sistemas de información.

f) Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.

g) Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.

h) Monitorizar el estado de seguridad de los sistemas proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema.

i) Informar a los Responsables de Seguridad y del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.

j) Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.

3. Estas funciones podrán ser desarrolladas directamente por el Administrador o Administradora de Seguridad, también coordinando a otros empleados y empleadas públicas o mediante la supervisión y control de contratos de prestación de servicios.

Artículo 15.- Responsables del tratamiento de datos personales.

1. A efectos de lo dispuesto en el artículo 4.7 del Reglamento General de Protección de Datos, los Responsables del tratamiento de datos personales serán las personas titulares de los órganos que lleven a cabo cualquier actividad de tratamiento de datos personales.

2. Los Responsables del tratamiento de datos personales serán los responsables de determinar los fines y medios del tratamiento, así como el contenido y uso de los datos tratados a lo largo de todo el ciclo de vida del tratamiento, debiendo velar por el efectivo cumplimiento de la normativa vigente en materia de protección de datos personales en las actividades de tratamiento que gestionen.

3. Para el desarrollo de sus funciones, los Responsables del tratamiento de datos personales contarán con la colaboración y el apoyo de las personas responsables de la unidades administrativas de su organización.

Artículo 16.- Delegada o Delegado de protección de datos.

La Delegada o el Delegado de protección de datos llevará a cabo las tareas establecidas en el artículo 39 del RGPD, así como en el resto de normativa vigente en materia de protección de datos personales. En el ejercicio de sus funciones, no podrá recibir instrucciones, respondiendo directamente al más alto nivel jerárquico del departamento.

En el desempeño de sus funciones, la delegada o el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento.

Artículo 17.- Resolución de conflictos.

En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la PSIPG, este será resuelto por el superior jerárquico de los mismos, prevaleciendo, en su caso, la decisión que determine el responsable del tratamiento de datos personales que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal. En su defecto, será resuelto por la persona titular del departamento, oído el Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos.

Artículo 18.- Registro de actividades de tratamiento.

La Secretaría General mantendrá actualizado el registro de las actividades de tratamiento con datos de carácter personal de las que sea responsable el Departamento, que incluirá toda la información a la que se refiere el artículo 30 del RGPD y que podrá consultarse en el Portal web de la Presidencia del Gobierno, así como en el Portal web que determine el órgano horizontal competente en materia de administración electrónica, modernización y calidad de los servicios.

Artículo 19.- Gestión de riesgos.

1. La gestión de riesgos debe realizarse de manera continua sobre los sistemas de información, conforme a los principios de gestión de la seguridad basada en los riesgos y reevaluación periódica de los artículos 6 y 9 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

2. El Responsable de Seguridad es el encargado de realizar los preceptivos análisis de riesgos, y de seleccionar las salvaguardas a implantar.

3. Los Responsables de la Información y de los Servicios son los responsables de los riesgos sobre la información y sobre los servicios, respectivamente, y por tanto de aceptar los riesgos residuales calculados en el análisis, y de realizar su seguimiento y control.

4. El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse cada año por parte del Responsable de Seguridad, que elevará un informe al Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos.

Artículo 20.- Auditoría.

1. Los sistemas de información propios del Departamento serán objeto, al menos cada dos años, de una auditoría regular ordinaria interna o externa que verifique el cumplimiento de los requerimientos del Esquema Nacional de Seguridad. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad requeridas.

2. Los informes de auditoría quedarán a disposición del Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos.

Artículo 21.- Obligaciones del personal.

1. Todo el personal que presta servicios en el Departamento tiene la obligación de conocer y cumplir la PSIPG y la normativa de seguridad derivada, siendo responsabilidad del Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos disponer los medios necesarios para que la información llegue a los afectados. En este sentido, la preservación de la seguridad de la información y la protección de datos personales serán consideradas objetivos comunes, y serán las personas, junto con la tecnología y los procesos, el pilar fundamental para el mantenimiento de la seguridad de la información.

2. Asimismo, el personal deberá colaborar en las actuaciones de implementación de la PSIPG y en la mejora de los principios y requisitos en materia de protección de datos y seguridad de la información evitando o, en su caso, aminorando los riesgos a los que se encuentra expuesta la información y los datos personales de los que es responsable el Departamento. A tal efecto, comunicará a los integrantes de la estructura organizativa de la PSIPG cualquier propuesta o sugerencia que ayude a preservar la confidencialidad, la integridad y la disponibilidad de la información.

3. Todo el personal que se incorpore al Departamento o vaya a tener acceso a alguno de sus sistemas de información o la información gestionada por ellos deberá ser informado de la PSIPG.

Artículo 22.- Formación y concienciación.

1. Se desarrollarán actividades formativas específicas orientadas a la concienciación y formación del personal del Departamento, así como a la difusión de la PSIPG y de su desarrollo normativo.

2. El Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos y el Responsable de Seguridad se encargarán de promover las actividades de formación y concienciación en materia de seguridad y protección de datos.

3. La delegada o el delegado de protección de datos supervisará las acciones de concienciación y formación del personal que participa en las operaciones de tratamiento con datos personales, a fin de garantizar el cumplimiento de la PSIPG.

Artículo 23.- Actualización PSIPG.

La propuesta de revisión de la PSIPG la elaborará el Responsable de Seguridad con el apoyo del Comité para la Gestión y Coordinación de la Seguridad de la Información y Protección de Datos y será aprobada por la personal titular del Departamento.

Disposición adicional única.

La aplicación de las previsiones contenidas en este Decreto no supondrá incremento del gasto público. Por tanto, los órganos afectados deberán desarrollar las medidas derivadas de su cumplimiento ateniéndose a sus disponibilidades presupuestarias ordinarias, no dando lugar, en ningún caso, a planteamientos de necesidades adicionales de financiación.

Disposiciones finales.

Primera.- Facultad para dictar instrucciones de interpretación y aplicación.

Se faculta a la persona titular de la Secretaría General para dictar las instrucciones que sean necesarias para la correcta interpretación y aplicación del presente Decreto.

Segunda.- Entrada en vigor.

El presente Decreto entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de Canarias.

En Canarias, a 13 de octubre de 2020.

EL PRESIDENTE

DEL GOBIERNO,

Ángel Víctor Torres Pérez.

© Gobierno de Canarias