DECRETO 130/2012, de 24 de agosto, del Consell, por el que se establece la organización de la seguridad de la información de la Generalitat.
| Sección | I - Disposiciones Generales |
| Emisor | Conselleria de Hacienda y Administración Pública |
| Rango de Ley | Decreto |
Índice
La organización de la seguridad de la información.
Anexo. Glosario de términos
La información constituye un activo de primer orden para la Generalitat desde el momento en que resulta esencial para la prestación de gran parte de sus servicios. Por otro lado, las tecnologías de la información y las comunicaciones se han hecho imprescindibles también y cada vez más para las administraciones públicas. Sin embargo, las indiscutibles mejoras que aportan al tratamiento de la información vienen acompañadas de nuevos riesgos y, por lo tanto, es necesario introducir medidas específicas para proteger tanto la información como los servicios que dependan de ella.
La seguridad de la información tiene como objetivo proteger la información y los servicios reduciendo los riesgos a los que están sometidos hasta un nivel que resulte aceptable. Dentro de cada organización sólo sus máximos directivos tienen las competencias necesarias para fijar dicho nivel, ordenar las actuaciones y habilitar los medios para llevarlas a cabo. En este sentido, establecer una política de seguridad de la información y hacer el subsiguiente reparto de tareas y responsabilidades son actuaciones prioritarias, puesto que son los dos instrumentos principales para el gobierno de la seguridad y constituyen el marco de referencia para todas las actuaciones posteriores.
El objeto de la presente disposición es establecer el marco organizativo de la seguridad de la información, complementando al Decreto 66/2012, de 27 de abril, del Consell, por el que se establece la política de seguridad de la información de la Generalitat, en el ámbito de la Administración de la Generalitat y de sus entidades autónomas, a excepción de la organización de seguridad que afecta a la conselleria con competencias en sanidad y a la Agència Valenciana de Salut ya que, dada la especialidad de la regulación de la información de que disponen, se ha considerado oportuno que su organización en materia de seguridad de la información se apruebe mediante un instrumento normativo específico.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), tiene como objeto garantizar y proteger, en lo que concierne al tratamiento de los datos
personales, las libertades públicas y los derechos fundamentales de las personas físicas y especialmente de su honor e intimidad personal y familiar. Su artículo 9.1 dispone que «el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural».
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece las medidas de seguridad mínimas que deben aplicarse a los ficheros automatizados y no automatizados que contengan datos de carácter personal, entre las que se incluye el nombramiento de una serie de figuras con responsabilidades específicas.
La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, tiene entre sus fines la creación de las condiciones de confianza en el uso de los medios electrónicos mediante el establecimiento de las medidas necesarias para la preservación de la integridad de los derechos fundamentales y, en especial, los relacionados con la intimidad y la protección de datos de carácter personal. En su disposición final octava esta Ley establece que corresponde al Gobierno y a las Comunidades Autónomas, en el ámbito de sus respectivas competencias, dictar las disposiciones necesarias para el desarrollo y aplicación de dicha Ley.
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, desarrolla la Ley 11/2007, de 22 de junio, y fija una serie de requisitos mínimos que deben concretarse en el correspondiente plan de adecuación. Entre tales requisitos están la aprobación formal de la política de seguridad y la organización de la seguridad.
En el ámbito autonómico los antecedentes normativos en esta materia se encuentran en el Decreto 96/1998, de 6 de julio, del Consell, por el que se regulan la organización de la función informática, la utilización de los sistemas de información y el Registro de Ficheros Informatizados en el ámbito de la Administración de la Generalitat, y en el Decreto 112/2008, de 25 de julio, del Consell, por el que se crea la Comisión Interdepartamental para la Modernización Tecnológica, la Calidad y la Sociedad del Conocimiento en la Comunitat Valenciana.
Por otra parte, es imprescindible citar también la Ley 3/2010, de 5 de mayo, de la Generalitat, de Administración Electrónica de la Comunitat Valenciana, que se promulgó al amparo del artículo 19.2 del Estatut d'Autonomia de la Comunitat Valenciana, que reconoce el derecho de acceso de los valencianos a las nuevas tecnologías y a que la Generalitat desarrolle políticas activas que impulsen la formación, las infraestructuras y su utilización, así como el artículo 49.3.16ª que establece que la Generalitat tiene la competencia exclusiva sobre el «régimen de las nuevas tecnologías relacionadas con los servicios de información y del conocimiento». El artículo 37.4 de la Ley 3/2010 dispone que «las administraciones públicas, en función de su capacidad y posibilidades, aprobarán, o adoptarán mediante los oportunos acuerdos y convenios, políticas de seguridad de la información para la aplicación efectiva de los principios señalados en los apartados anteriores, pudiendo promover la constitución o incorporación a los grupos y centros de seguridad a los que se refiere el artículo 35.6 de esta Ley».
La Ley 3/2005, de 15 de junio, de la Generalitat, de Archivos, tiene por objeto regular el Sistema Archivístico Valenciano y establecer los derechos y obligaciones relativas al patrimonio documental, y en su artículo 6.3 promueve que la preservación de los documentos electrónicos se realizará de forma que se garantice que los documentos permanecen completos, tanto en su contenido como en su estructura y su contexto; fiables, en cuanto puedan seguir dando fe del contenido; auténticos, en cuanto que originales que no han sufrido alteración en las eventuales migraciones; y accesibles, en cuanto a su localización y legibilidad. El artículo 9 de esta Ley establece que el órgano directivo del Sistema Archivístico Valenciano tendrá competencia sobre «la supervisión técnica de los proyectos de construcción y equipamiento de los archivos de la Comunitat Valenciana que formen parte del Sistema Archivístico Valenciano».
Por lo expuesto, en cumplimiento de lo dispuesto en la disposición final octava de la Ley 11/2007, de 22 de junio, de Acceso Electrónico
de los Ciudadanos a los Servicios Públicos, y del artículo 37.4 de la Ley 3/2010, de 5 de mayo, de la Generalitat, de Administración Electrónica de la Comunitat Valenciana, a propuesta del conseller de Hacienda y Administración Pública, y previa deliberación del Consell, en la reunión del día 24 de agosto de 2012,
DECRETO
El objeto del presente decreto es establecer el reparto de funciones y responsabilidades en materia de seguridad de la información.
La organización de la seguridad regulada en el presente decreto es aplicable a las Consellerias de la Generalitat, así como a sus entidades autónomas dependientes, a las que se refiere el artículo 5.1 del Texto Refundido de la Ley de Hacienda Pública de la Generalitat, exceptuando a la conselleria con competencias en sanidad y a la Agència Valenciana de Salut.
La seguridad de la información depende de todas las personas que participan en su tratamiento y compromete a todas las que integran la organización. Todo el personal incluido en el ámbito de aplicación del presente decreto, que participe en el tratamiento de información, incluidos empleados, subcontratistas y terceros, se...
Para continuar leyendo
Solicita tu prueba