Decreto por el que se aprueba la política de seguridad de la información y Protección de Datos Personales de la Administración de la Comunidad Autónoma de Cantabria
Cerrado Consejería de Presidencia, Justicia, Seguridad y Simplificación Administrativa

 

En nuestra sociedad el uso de las nuevas tecnologías de la información se ha hecho cotidiano transformando la vida diaria de los ciudadanos, lo que ha supuesto una revolución para el funcionamiento interno de las organizaciones públicas y privadas.

Evidentemente, también ha supuesto la introducción de cambios profundos en la relación entre estas organizaciones y su entorno, agilizándose los intercambios de información entre entidades y permitiendo ofrecer servicios accesibles a las personas en cualquier momento y lugar.

Las indudables ventajas que conlleva esta masiva presencia de las nuevas tecnologías de la información, también ha supuesto afrontar importantes desafíos para que su utilización sea compatible con los derechos y deberes de la ciudadanía en los países democráticos.

Entre estos desafíos ha cobrado en los últimos años una excepcional importancia la seguridad de las infraestructuras tecnológicas y de la información que se almacena o se trata con ellas con el objeto de salvaguardar los sistemas de información de organizaciones públicas y privadas de intentos de extorsión, sabotaje o cualquier práctica delictiva.

En el ámbito de las Administraciones Públicas, el Gobierno de la nación ha sido consciente de la importancia de las nuevas tecnologías y de su utilidad para mejorar los servicios que éstas prestan a los ciudadanos. También de la importancia de la seguridad de la información y de la necesidad de establecer un marco legal para regularla y garantizarla.

Así la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos, regulando los aspectos básicos de la utilización de las tecnologías de la información en la actividad administrativa, en las relaciones entre las Administraciones Públicas, así como en las relaciones de los ciudadanos con las mismas con la finalidad de garantizar sus derechos, un tratamiento común ante ellas y la validez y eficacia de la actividad administrativa en condiciones de seguridad jurídica.

Entre los fines de estas leyes, se señala la necesidad de crear unas condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad y los derechos fundamentales, y en especial, los relacionados con la intimidad y la protección de datos de carácter personal.

En este sentido, la aprobación del Esquema Nacional de Seguridad por el Real Decreto 3/2010, de 8 de enero, tiene como meta precisamente atender a esa necesidad, para permitir a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Así, lo que se busca es garantizar la calidad de la información y la adecuada prestación de los servicios sin interrupciones, mediante una estrategia de gestión de la seguridad de la información que combine medidas preventivas y de supervisión de la actividad diaria, con procedimientos específicos de respuesta ante los incidentes que pudieran presentarse y con la capacidad de adaptación a los cambios en las condiciones del entorno.

Esta gestión de la seguridad de la información debe entenderse como un proceso integral, constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los sistemas de información, descartándose cualquier actuación puntual o tratamiento coyuntural. Esta gestión implica directamente tanto al personal especialista en tecnología, como a los gestores con capacidad de decisión sobre la información o los servicios prestados, así como al resto de personas que usan o acceden de algún modo a los sistemas de información. Por ello se debe prestar la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que, ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.

El Esquema Nacional de Seguridad establece la obligación para las administraciones públicas de poner en marcha un conjunto de medidas de seguridad concretas, de tipo organizativo, operacional y de protección. Entre las medidas de tipo organizativo incluye la obligación de formalizar una Política de Seguridad de la Información para la organización, en la que se definen, entre otros aspectos, la estructura para la gestión de la seguridad de la información y la asignación de funciones y roles.

Como consecuencia de ello, nuestra Comunidad Autónoma aprobó el Decreto 31/2015, de 14 de mayo, por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria, desarrollándose la normativa a través de la Orden PRE/48/2016, de 22 de julio, por la que se regulan las normas de seguridad sobre utilización de los recursos y sistemas tecnológicos y de información en la Administración de la Comunidad Autónoma de Cantabria, la  Orden PRE/49/2016, de 22 de julio, por la que regula la estructura de gestión de seguridad de la información y de la continuidad de los servicios del Organismo Pagador y la Orden PRE/50/2016, de 22 de julio, por la que regula la estructura de gestión de seguridad de la información y de la continuidad de los servicios del Servicio Cántabro de Empleo, y la Orden PRE/59/2018, de 2 de noviembre, por la que se regulan las condiciones sobre seguridad de la información y protección de datos personales a incorporar en los Pliegos de Cláusulas Administrativas Particulares y de Prescripciones Técnicas en la contratación pública de la Administración de la Comunidad Autónoma de Cantabria.

Desde entonces, ha habido numerosos cambios legislativos que afectan a las normas citadas y que conviene actualizar, no solo por las modificaciones referidas al procedimiento administrativo o al régimen jurídico del sector público, sino sobre todo, las que tienen que ver con la protección de datos personales tras la entrada en vigor del Reglamento Europeo General de Protección de Datos, Reglamento 2016/679, de 27 de abril, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Esa normativa pretende proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, por lo que se establece que el responsable del tratamiento de datos deberá aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la normativa, aplicando las oportunas políticas que cumplan con los principios de protección de datos desde el diseño y por defecto.

Es ahí donde tiene cabida una de las principales novedades, la obligación para las administraciones públicas que traten datos personales de designar un delegado de Protección de Datos (en adelante DPD), una figura independiente, con un perfil específico y con estatus especial que, por coherencia, debe ser contemplado para incardinarlo en nuestra Administración en el sentido que establece la propia normativa sobre protección de datos personales.

Y en este sentido, se ha estimado conveniente impulsar un decreto que incorpore todas estas novedades, con el decidido deseo de adoptar una política conjunta de protección de datos y seguridad de la información que permita recoger y delimitar con claridad las responsabilidades y funciones tanto en materia de protección de datos como de seguridad de la información, de forma que se aborden tanto las cuestiones comunes a ambos ámbitos como aquellas que resultan propias de cada uno de ellos y siempre en atención al Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, el RGPD y la  Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Así pues, de conformidad con lo establecido en el artículo 133.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, con carácter previo a la elaboración del proyecto de decreto, se procede a sustanciar una CONSULTA PÚBLICA, a través del Portal de Transparencia de Cantabria, para recabar la opinión de ciudadanos, organizaciones y asociaciones más representativas potencialmente afectadas por la futura norma acerca de:

Los problemas que se pretenden solucionar con la norma.

La necesidad y oportunidad de su aprobación.

Los objetivos de la norma.

Las posibles soluciones alternativas regulatorias y no regulatorias.

Se pretende fijar la Política de Seguridad de la Información y Política de Protección de los Datos Personales, estableciendo los objetivos, principios básicos y la estructura organizativa para la gestión de la seguridad de la información de forma integral en nuestra Administración, adaptándose a la nueva normativa que, a nivel general, se ha venido aprobando en los últimos años.

La entrada en vigor del Reglamento Europeo General de Protección de Datos, Reglamento 2016/679, de 27 de abril, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales requiere la adopción de una serie de medidas en la estructura de la Administración de la Comunidad Autónoma de Cantabria.

Partiendo de la estructura del Decreto 31/2015, de 14 de mayo, que se pretende reformar en su integridad para adaptarlo, se incorporan las novedades legislativas y se incorpora la regulación de la figura del Delegado de Protección de Datos.

El Gobierno de Cantabria, en su compromiso con la nueva normativa de protección de datos y, en especial, con los nuevos retos que plantea el tratamiento de datos personales con las nuevas tecnologías de la información y la nueva relación electrónica entablada entre la ciudadanía y la Administración de la Comunidad Autónoma de Cantabria, ha diseñado una estrategia de adaptación a las nuevas obligaciones en la materia, en la que ya se han producido los primeros pasos, encomendando las funciones de Delegado de Protección de Datos e introduciendo en su estructura el órgano directivo competente en la materia a través del Decreto 71/2017, de 28 de septiembre, por el que se establece la estructura orgánica de la Consejería de Presidencia y Justicia y se modifican parcialmente las Relaciones de Puestos de Trabajo de la Presidencia del Gobierno y de la Consejería de Presidencia y Justicia, en la última versión dada en el Decreto 85/2018, de 18 de octubre o aprobando la Orden PRE/59/2018, de 2 de noviembre, por la que se regulan las condiciones sobre seguridad de la información y protección de datos personales a incorporar en los Pliegos de Cláusulas Administrativas Particulares y de Prescripciones Técnicas en la contratación pública de la Administración de la Comunidad Autónoma de Cantabria.

Sin embargo, es necesario ir más allá, asumiendo el principio de responsabilidad proactiva indicado en la nueva normativa sobre protección de datos, de manera que se refuercen todas las medidas de seguridad de los datos personales en función de una evaluación pormenorizada de riesgos de los datos personales que guarda en su relación habitual con la ciudadanía.

Ello implica incorporar a la estructura de la Administración la figura del DPD y reformar aquella normativa que hoy se encuentra obsoleta, como el Decreto 48/1994, de 18 de octubre, por el que se regulan los ficheros informatizados con datos de carácter personal dependientes de los órganos de la Administración de la Comunidad Autónoma  y sus organismos autónomos o el propio Decreto 31/2015, de 14 de mayo, por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria anteriormente citado.

El Gobierno de Cantabria tiene voluntad de desarrollar las iniciativas normativas necesarias para proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales. En primer lugar, resulta necesario reforzar, al amparo de la nueva normativa básica, que el responsable del tratamiento de datos aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la normativa, aplicando las oportunas políticas que cumplan con los principios de protección de datos desde el diseño y por defecto.

En segundo lugar, la obligación para las administraciones públicas que manejen datos personales de designar un delegado de Protección de Datos, una figura independiente con un perfil específico y con estatus especial que, por coherencia, debe ser contemplada para incardinarlo en nuestra Administración en el sentido que establece la propia normativa sobre protección de datos personales.

Es por ello que, habiendo ya una normativa general, es necesario impulsar una norma autonómica que incorpore todas estas novedades en el decidido impulso de adoptar una política conjunta de protección de datos y seguridad de la información que permita recoger y delimitar con claridad las responsabilidades y funciones tanto en materia de protección de datos como de seguridad de la información, de forma que se aborden tanto las cuestiones comunes a ambos ámbitos como aquellas que resultan propias de cada uno de ellos y siempre en atención al Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, el RGPD y la  Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Y en este sentido, la mejor alternativa regulatoria es la figura del decreto.

 

TRÁMITE DE CONSULTA PÚBLICA

Las correspondientes opiniones deberán realizarse por escrito y se dirigirán a la Dirección General de Servicios y Atención a la Ciudadanía o a la Dirección General de Organización y Tecnología, ubicadas en la calle Peña Herbosa, número 29, de Santander, pudiendo ser presentadas en el Registro General del Gobierno de Cantabria, así como en los Registros u oficinas establecidos en el artículo 16 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Dichas opiniones podrán realizarse durante el plazo de diez días naturales a contar desde la publicación de la presente resolución en el Portal de Transparencia de Cantabria.

 

Fecha de inicio: 02/01/2019

Fecha de finalización: 11/01/2019

 

 

ACTUALIZACIÓN 15/05/2019

 

Vista la Memoria-Propuesta de los directores generales de Organización y Tecnología, y de Servicios y Atención a la Ciudadanía, de 26 de abril de 2019, referida al citado proyecto normativo, se ha considerado oportuno someterlo a información pública, de conformidad con el artículo 119.3, de la Ley de Cantabria 6/2002, de 10 de diciembre, de Régimen Jurídico del Gobierno y de la Administración de la Comunidad Autónoma de Cantabria y 133.2, de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Por ello, se somete a información pública, por un plazo de 15 días hábiles a contar desde el día siguiente al de la publicación de la resolución en el Boletín Oficial de Cantabria.

El proyecto estará a disposición del público en las dependencias de la Dirección General de Servicios y Atención a la Ciudadanía y de la Dirección General de Organización y Tecnología, de la Consejería de Presidencia y Justicia, en horario de 09:00 a 14:00 horas, ubicadas en la calle Peña Herbosa, número 29, 4º planta, de Santander y podrá consultarse en esta página web.

Las alegaciones o sugerencias al citado proyecto de decreto deberán realizarse por escrito y se dirigirán a la Dirección General de Servicios y Atención a la Ciudadanía o a la Dirección General de Organización y Tecnología, ambas de la Consejería de Presidencia y Justicia, pudiendo ser presentadas en su Registro General, así como en los Registros u oficinas establecidos en el artículo 16 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

 

Fecha de inicio: 16/05/2019

Fecha de finalización: 05/06/2019

 

Comentarios
Debes iniciar sesión para poder comentar