DECRETO FORAL 20/2019, de 6 de marzo, por el que se aprueba la política de protección de datos y seguridad de la información de la Administración de la Comunidad Foral de Navarra y sus organismos públicos.

Sección:I - Comunidad Foral de Navarra
Rango de Ley:Decreto foral
 
ÍNDICE
EXTRACTO GRATUITO
PREÁMBULO

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), en adelante RGPD, de plena aplicación a partir del 25 de mayo de 2018, establece en su artículo 24, dentro de las obligaciones generales del responsable del tratamiento de datos personales, que, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el citado reglamento. Así mismo, dispone que dichas medidas se revisarán y actualizarán cuando sea necesario y que, cuando sean proporcionadas en relación con las actividades de tratamiento, entre dichas medidas se incluirá la aplicación por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.

En el mismo sentido, el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en adelante LOPDyGDD, referido a las obligaciones generales del responsable y encargado del tratamiento, establece que dichos responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del RGPD, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la LOPDyGDD, sus normas de desarrollo y la legislación sectorial aplicable.

Por su parte, el artículo 13 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, relativo a los derechos de las personas en sus relaciones con las Administraciones Públicas, contempla expresamente el derecho a la protección de datos personales y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos. Dichos medios deben asegurar la interoperabilidad y seguridad de los sistemas y soluciones adoptadas, garantizarán la protección de los datos personales y facilitarán preferentemente la prestación conjunta de servicios a las personas interesadas. En este sentido, el artículo 156 de la citada Ley 40/2015, de 1 de octubre, dispone que el Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de los medios electrónicos en el ámbito del sector público, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en adelante ENS, tiene por objeto determinar la política de seguridad de la información en la utilización de los medios electrónicos por las Administraciones Públicas, por los ciudadanas y ciudadanos en sus relaciones con dichas Administraciones Públicas y por las Administraciones Públicas cuando se relacionen entre sí.

El artículo 11 del citado Real Decreto 3/2010, de 8 de enero, exige que todos los órganos superiores de las Administraciones Públicas dispongan formalmente de su política de seguridad, que se aprobará por la persona titular del órgano superior correspondiente. Esta política de seguridad se establecerá con base en los principios básicos recogidos en el capítulo II de la propia norma (seguridad integral, gestión de riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica, y función diferenciada) y se desarrollará aplicando los requisitos mínimos consignados en el ya mencionado artículo 11.1.

A su vez, la plena aplicación del RGPD a partir del 25 de mayo de 2018 exige que la Administración de la Comunidad Foral de Navarra y sus organismos públicos adopten una política de protección de datos a fin de garantizar y poder demostrar que los tratamientos que llevan a cabo son conformes al citado reglamento.

Siendo obligaciones legales de la Administración de la Comunidad Foral de Navarra y sus organismos públicos, tanto la aprobación de una política de seguridad de la información como la de una política de protección de datos, se considera conveniente adoptar una política conjunta de protección de datos y seguridad de la información, dada la íntima conexión entre ambas materias. Esta política común ha de permitir recoger y delimitar con claridad las responsabilidades y funciones tanto en materia de protección de datos como de seguridad de la información, de forma que se aborden tanto las cuestiones comunes a ambos ámbitos como aquellas que resultan propias de cada uno de ellos; ha de ser aplicable a todos los sistemas de información y a todas las unidades que integren la Administración de la Comunidad Foral de Navarra y sus organismos públicos y a todo el personal con acceso a la información de la que sean responsables la Administración de la Comunidad Foral de Navarra y sus organismos públicos, con independencia de su destino, condición laboral o relación por la que se acceda a la información. Al ser un marco general de referencia, éste podrá ser complementado por políticas específicas que contemplen la naturaleza y características propias de la Administración de la Comunidad Foral de Navarra y sus organismos públicos.

Así pues, la política de protección de datos y de seguridad de la información es el documento base mediante el cual se define el marco de referencia que permite la gestión de la protección de datos y de la seguridad de la información en el contexto de las actividades de tratamiento con datos personales y los sistemas de información de la Administración de la Comunidad Foral de Navarra y sus organismos públicos. En este marco general se delimitan las diferentes responsabilidades y roles necesarios para definirla, implantarla y gestionarla, roles que se integrarán en la estructura orgánica existente. La protección de datos y la seguridad de la información deben contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas de la Administración de la Comunidad Foral de Navarra y de sus organismos públicos para conformar un todo coherente y eficaz.

En su virtud, a propuesta de la Consejera de Presidencia, Función Pública, Interior y Justicia, y de conformidad con la decisión adoptada por el Gobierno de Navarra en sesión celebrada el día seis de marzo de dos mil diecinueve,

DECRETO:

Artículo 1 Objeto y ámbito de aplicación.
  1. La política de protección de datos y seguridad de la información de la Administración de la Comunidad Foral de Navarra y sus organismos públicos (PPDSI) es el conjunto de medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de la normativa aplicable al tratamiento de los datos personales, e incluye, así mismo, los principios básicos y requisitos mínimos que permitan una protección adecuada de la información que se gestiona en el ámbito de la Administración de la Comunidad Foral de Navarra y de sus organismos públicos.

  2. La PPDSI será de aplicación a todos los sistemas de información y a todas las actividades de tratamiento de datos personales de los que sean responsables la Administración de la Comunidad Foral de Navarra y sus organismos públicos.

  3. La PPDSI será de obligado cumplimiento para todas las unidades que conforman la estructura de la Administración de la Comunidad Foral de Navarra y de sus organismos públicos y para todo el personal con acceso a la información de la que es responsable aquella, con independencia de su destino, condición laboral o relación por la que se accede a la información.

  4. En el ámbito de aplicación material del RGPD y el ENS, la presente PPDSI afectará a la información tratada por cualquier medio con independencia del soporte, que gestiona la Administración de la Comunidad Foral de Navarra y sus organismos públicos en el ejercicio de sus competencias.

Artículo 2 Principios de protección de datos y seguridad de la información.

La...

Para continuar leyendo

SOLICITA TU PRUEBA