DECRETO 22/2021, de 30 de septiembre, por el que se aprueba la política de seguridad de la información y protección de datos de la Administración de la Comunidad de Castilla y León.
| Sección | II - Disposiciones Generales |
| Emisor | Consejeria Economia y Hacienda |
| Rango de Ley | Decreto |
La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, establece, en su artículo 13, el derecho de los ciudadanos a la protección y confidencialidad de sus datos y a la seguridad de los mismos cuando figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
En el mismo sentido, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, determina, en su artículo 156, que la política de seguridad en la utilización de medios electrónicos se realizará de acuerdo con las prescripciones establecidas en el Esquema Nacional de Seguridad, en el que se determinan los principios básicos y requisitos mínimos que han de garantizar la seguridad de la información tratada.
El Esquema Nacional de Seguridad, que fue aprobado mediante Real Decreto 3/2010, de 8 de enero, y modificado parcialmente por el Real Decreto 951/2015, de 23 de octubre, tiene como finalidad la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
El artículo 11 del citado Real Decreto 3/2010, de 8 de enero, exige que todos los órganos superiores de las Administraciones Públicas dispongan formalmente de su política de seguridad, que se aprobará por el titular del órgano superior correspondiente. Esta política de seguridad se establecerá con base en los principios básicos recogidos en el Capítulo II de la propia norma (seguridad integral, gestión de riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica y función diferenciada) y desarrollará una serie de requisitos mínimos.
La Estrategia de Ciberseguridad de la Unión Europea presentada por la Comisión y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad, en diciembre de 2020, tiene como finalidad reforzar la resiliencia colectiva europea contra las ciberamenazas y ayudar a garantizar que todos los ciudadanos y las empresas puedan beneficiarse plenamente de unos servicios y herramientas digitales fiables y de confianza, correspondiendo a las Administraciones Públicas un papel destacado en la custodia de un ciberespacio libre y seguro.
Lunes, 4 de octubre de 2021
Asimismo, el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, pretende sentar las bases de una normativa de privacidad que se adecue a la nueva realidad tecnológica y social, dando un paso más en la defensa de los derechos de los ciudadanos, en lo que hace referencia a su privacidad.
Por otra parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, tiene por objeto, a tenor de lo dispuesto en su artículo 1, adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679, antes mencionado, completando sus disposiciones y garantizando los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución. De igual modo, la disposición adicional primera de esta ley orgánica establece que en los tratamientos de datos personales realizados en el ámbito del sector público se deben aplicar las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad.
En el ámbito autonómico, por lo que se refiere a la política de seguridad de la información, el artículo 3 del Decreto 7/2013, de 14 de febrero, de utilización de medios electrónicos en la Administración de la Comunidad de Castilla y León, exige, asimismo, que esta se desarrolle aplicando el Esquema Nacional de Seguridad.
En consonancia con esa previsión se dictó la Orden HAC/858/2014, de 30 de septiembre, por la que se aprueba la política de seguridad de la información de la Administración de la Comunidad de Castilla y León. La orden dispone que esta política tiene que ser objeto de una revisión periódica. Esta necesidad de revisión se justifica aún más por el periodo de tiempo transcurrido desde su aprobación, por los cambios normativos que se han producido y por los cambios habidos en las distintas estructuras orgánicas de las diferentes consejerías.
Por lo que atañe a la política de protección de datos personales, el artículo 12 del Estatuto de Autonomía de Castilla y León dispone, en el marco del derecho a una buena Administración, que la ley garantizará a los ciudadanos en sus relaciones con la Administración autonómica, entre otros, el derecho a la protección de datos personales.
El artículo 45 de la Ley 2/2010, de 11 de marzo, de Derechos de los Ciudadanos en sus relaciones con la Administración de la Comunidad de Castilla y León y de Gestión Pública, establece que las actuaciones administrativas a través de medios electrónicos respetarán, en todo caso, la normativa sobre protección de datos de carácter personal.
Por su parte, el Decreto 11/2003, de 23 de enero, por el que se regulan los ficheros de datos de carácter personal susceptibles de tratamiento automatizado de la Administración de la Comunidad de Castilla y León, establece las disposiciones necesarias para garantizar en ese ámbito el cumplimiento de la legislación estatal en la materia. Toda vez que el Reglamento (UE) 2016/679 es aplicable desde el día 25 de mayo de 2018, resulta necesaria la derogación expresa y sustitución de este decreto.
Por tanto, visto que es necesario adaptar ambas políticas a la legislación vigente y a la realidad actual, y dado que están íntimamente ligadas, se considera conveniente aprobar una norma que las regule de manera conjunta y en la que se establezcan claramente las funciones, actividades y responsabilidades implicadas.
El presente decreto responde, tanto en su finalidad y contenido como en el procedimiento de su elaboración, a los principios de buena regulación establecidos en el artículo 129 de la Ley 39/2015, de 1 de octubre. También han sido tenidos en cuenta los principios de accesibilidad, coherencia, y responsabilidad establecidos en la Ley 2/2010, de 11 de marzo.
En este sentido, partiendo de los planteamientos que informan los principios de necesidad, eficiencia y eficacia, y poniéndolos en relación con lo expuesto en los párrafos precedentes, puede afirmarse que este decreto sirve al interés general, identificando el problema público que se pretende resolver, que es dotar de seguridad las relaciones electrónicas entre ciudadanos y Administración, con pleno respeto a la legislación en materia de protección de datos. Se considera que este decreto es adecuado para garantizar su consecución evitando cargas administrativas innecesarias o accesorias y racionalizando, en su aplicación, la gestión de los recursos públicos al no implicar incremento del gasto.
Por lo que respecta al cumplimiento del principio de proporcionalidad, existe un equilibrio entre los impactos previsibles de la norma y las medidas que se adoptan para conseguir el objetivo del desarrollo de una política de seguridad de la información y de protección de datos. El decreto contiene la regulación imprescindible para atender al fin que lo justifica, que es la creación de las condiciones de confianza necesarias en el uso de los medios electrónicos, mediante la aplicación de las medidas que garanticen la seguridad de los sistemas, las comunicaciones, los servicios electrónicos y el cumplimiento de las obligaciones establecidas en la normativa vigente en materia de protección de datos personales.
El contenido de este decreto cumple con el principio de seguridad jurídica, al ser coherente con el resto del ordenamiento jurídico autonómico, nacional y de la Unión Europea, generando un marco regulatorio que define el ámbito de aplicación, el marco organizativo y los instrumentos para desarrollar su contenido. El decreto define también las medidas a adoptar y las funciones atribuidas a cada órgano competente en materia de seguridad de la información y de protección de datos personales, facilitando su actuación y la toma de decisiones.
El principio de transparencia se ha garantizado en la elaboración del decreto a través de los mecanismos de consulta previa, audiencia e información pública y petición de los informes correspondientes.
El Decreto 20/2019, de 1 de agosto, por el que se establece la estructura orgánica de la Consejería de Transparencia, Ordenación del Territorio y Acción Exterior, atribuye a esta Consejería las competencias en materia de coordinación y seguimiento del cumplimiento de la normativa de protección de datos personales. Por su parte, el Decreto 23/2019, de 1 de agosto, regulador de la estructura orgánica de la Consejería de Fomento y Medio Ambiente, encomienda a esta las competencias en materia de coordinación y ejecución de las medidas que garanticen la seguridad de los sistemas de información.
La experiencia acumulada en la gestión de las materias indicadas, las referidas modificaciones normativas y los cambios organizativos habidos en estos sectores de la actividad administrativa hacen necesaria la presente norma para configurar una política de seguridad de la información y protección de datos personales acorde con el momento actual.
La Política de Seguridad de la Información y Protección de Datos define el marco de referencia que permite la gestión de la seguridad de la información en los sistemas de la Administración de la Comunidad de Castilla y León y la gestión de los datos personales. Seguridad y gestión entendidas como un...
Para continuar leyendo
Solicita tu prueba