DECRETO 14/2023, de 21 de agosto, por el que se aprueba la Política de Seguridad de la Información y Protección de Datos de la Gerencia Regional de Salud de Castilla y León.
| Sección | II - Disposiciones Generales |
| Emisor | CONSEJERÍA DE INDUSTRIA, COMERCIO Y EMPLEO |
| Rango de Ley | Decreto |
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en su artículo 3 establece que las Administraciones Públicas han de asegurar en sus relaciones a través de medios electrónicos la interoperabilidad y seguridad de los sistemas. También el artículo 13 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge el derecho de las personas en sus relaciones con las Administraciones Públicas a la protección de datos personales, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones. Y por último, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, por la que se adapta al ordenamiento jurídico español el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en su artículo 1 garantiza los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución y cuya disposición adicional primera establece que en los tratamientos de datos personales realizados en el ámbito del sector público se deben aplicar las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad.
El Real Decreto 311/2022, de 3 de mayo, que regula el Esquema Nacional de Seguridad, establece, en el artículo 12, que la Política de Seguridad de la Información es el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta. Asimismo, cada órgano o entidad con personalidad jurídica propia del sector público deberá contar con una Política de Seguridad formalmente aprobada por el órgano competente.
Para dar cumplimiento a las exigencias mencionadas, la Junta de Castilla y León ha aprobado el Decreto 22/2021, de 30 de septiembre, por el que se aprueba la Política de Seguridad de la Información y Protección de Datos de la Administración de la Comunidad de Castilla y León. Dicha norma regula el marco organizativo y de gestión aplicable a todos los sistemas de información y a todas las actividades de tratamiento de datos personales de los que sean responsables los órganos de la Administración General de la Comunidad de Castilla y León, así como sus organismos autónomos y entes públicos de derecho privado cuando ejerzan potestades administrativas. No obstante, el apartado primero del artículo 2 establece la posibilidad de que dichos organismos y entidades puedan aprobar su propia Política de Seguridad de la Información y Protección de Datos, siempre que esta sea coherente con el decreto y se aplique su capítulo segundo («Organización de la Política de Seguridad de la Información y Protección de Datos»). En coherencia con el precepto mencionado, la disposición adicional séptima recoge que, para
Miércoles, 23 de agosto de 2023
la Gerencia Regional de Salud de Castilla y León, en atención a sus especiales funciones y singularidades respecto a su organización y funcionamiento, se podrá establecer una Política de Seguridad de la Información y Protección de Datos propia, resultando de aplicación, en todo caso, a la Gerencia Regional de Salud el Capítulo II del decreto.
El Servicio de Salud de Castilla y León, denominado Gerencia Regional de Salud, es un organismo autónomo adscrito a la Consejería competente en materia de sanidad, dotado de personalidad jurídica, patrimonio y tesorería propios, y con plena capacidad de obrar para el cumplimiento de sus fines. La Gerencia Regional de Salud tiene como misión ejercer las competencias de administración y gestión de servicios, prestaciones y programas públicos sanitarios de carácter asistencial y de atención a la salud de la Comunidad de Castilla y León y aquellos otros que le encomiende la Administración de la Comunidad Autónoma conforme a los objetivos y principios de la Ley 8/2010, de 30 de agosto, de Ordenación del Sistema de Salud de Castilla y León.
En atención a sus especiales funciones, la Gerencia Regional de Salud cuenta con singularidades en su organización y funcionamiento. A tal efecto dispone de una estructura territorial y funcional diferente de la correspondiente a la Administración General de la Comunidad, de la que forman parte todos los centros e instituciones sanitarias y en la que se integra la actividad asistencial correspondiente a los diferentes niveles asistenciales.
Así mismo hay que poner de manifiesto que la información que recaba la Gerencia Regional de Salud de Castilla y León en sus sistemas de información es un activo esencial para el ejercicio de sus competencias. No obstante, si bien su gestión mediante las nuevas tecnologías es altamente beneficiosa, en este entorno tanto la seguridad de la información como la responsabilidad asociada a la protección de los datos personales resultan imperativas.
De acuerdo con lo expuesto, el presente decreto regula la Política de Seguridad de la Información y Protección de Datos de la Gerencia Regional de Salud de Castilla y León, conforme a los principios y requisitos mínimos del Decreto 22/2021, de 30 de septiembre, así como a la organización establecida en su capítulo segundo. A tal efecto el decreto consta de veintinueve artículos, estructurados en cuatro capítulos, cuatro disposiciones adicionales, una disposición derogatoria y dos disposiciones finales.
El Capítulo I, «Disposiciones Generales», señala el objeto y ámbito de aplicación, interpretación de las definiciones, el marco regulatorio aplicable y los principios fundamentales que rigen la Política de Seguridad de la Información y Protección de Datos.
El Capítulo II «Organización de la Política de Seguridad de la Información y Protección de Datos de la Gerencia Regional de Salud», comprende los artículos 7 a 20, que establecen la estructura organizativa, compuesta por: el Comité de Seguridad de la Información; la Comisión Ejecutiva de Seguridad de la Información; las Comisiones Ejecutivas de las áreas de salud; los responsables de la información y del tratamiento de datos personales; los responsables del servicio; los encargados del tratamiento; la persona responsable de la seguridad de la Gerencia Regional de Salud y los responsables de la seguridad delegados; los responsables del sistema; los administradores de seguridad; y el delegado de protección de datos de la Gerencia Regional de Salud. También incluye un mecanismo de resolución de conflictos.
El Capítulo III, «Desarrollo de la Política de Seguridad de la Información y Protección de Datos», comprende los artículos 21 y 22, está dedicado a la estructura documental y
normativa y a la gestión y coordinación de la Política de Seguridad de la Información y Protección de Datos.
El Capítulo IV «Gestión de la Política de Seguridad de la Información y Protección de Datos», comprende los artículos 23 a 29, que regulan la obligación de realizar análisis de riesgos y evaluaciones de impacto de protección de datos, así como la gestión de los riesgos de seguridad de la información; uso de medios digitales por las personas empleadas públicas; auditoría de seguridad; notificación de violaciones de seguridad de los datos personales; registro de actividades de tratamiento; formación y concienciación; y obligaciones profesionales.
En cuanto a las cuatro disposiciones adicionales, la primera regula la aplicación de los principios y previsiones de la Política de Seguridad de la Información y Protección de Datos de la Gerencia Regional de Salud por los Comités de Ética de la Investigación adscritos a la Consejería de Sanidad. La segunda señala el mecanismo para la designación de las personas responsables. La tercera regula la constitución de los órganos colegiados de seguridad de la información. Y, por último, la cuarta establece la no discriminación por razón de sexo en el uso del lenguaje inclusivo.
En las disposiciones derogatoria y finales se dejan sin efecto todas las disposiciones de igual o inferior rango que se opongan al decreto, se contempla una habilitación normativa a favor de la persona titular de la Consejería de Sanidad y se establece la fecha de entrada en vigor.
El decreto responde, tanto en su finalidad y contenido como en el procedimiento de su elaboración, a los principios de buena regulación establecidos tanto en el artículo 129 de la Ley 39/2015, de 1 de octubre, como en el artículo 42 de la Ley 2/2010, de 11 de marzo, de los derechos de los Ciudadanos en sus relaciones con la Administración de la Comunidad de Castilla y León.
En relación con los principios de necesidad, eficiencia y eficacia, puede afirmarse que el decreto sirve al interés general, identificando el problema público que se pretende resolver, que es dotar de seguridad las relaciones electrónicas entre ciudadanos y Administración, con pleno respeto a la legislación en materia de protección de datos. No impone cargas administrativas innecesarias o accesorias y contribuye a la racionalización de la gestión de los recursos públicos al no implicar incremento del gasto.
Por lo que respecta al principio de proporcionalidad, existe un equilibrio entre los impactos previsibles de la norma y las medidas que se adoptan para conseguir el objetivo del desarrollo de una política de seguridad de la información y de protección de datos. El decreto contiene la regulación imprescindible para atender al fin que lo justifica, que es la creación de las condiciones de confianza necesarias en el uso de los medios electrónicos, mediante la aplicación de las medidas que garanticen la seguridad de los sistemas, las comunicaciones, los servicios electrónicos y el cumplimiento de las obligaciones...
Para continuar leyendo
Solicita tu prueba