Subir

Nueva Política de Protección de Datos de Carácter Personal del Consorcio Asturiano de Servicios Tecnológicos


Política de Protección de Datos de Carácter Personal del Consorcio Asturiano de Servicios Tecnológicos (CAST).

Vigente desde 01/05/2019 | BOPA 82/2019 de 30 de Abril de 2019

Mediante el presente acuerdo, el Consorcio de Servicios Tecnológicos de Asturias -CAST-, integrado por el Principado de Asturias y los municipios de menos de 20.000 habitantes relacionados en sus Estatutos, establece una política de protección de datos cuyo objeto consiste en, por un lado, establecer los principios, directrices y responsabilidades en la gestión de las actividades de tratamiento de datos de carácter personal, y por otro, diseñar los procedimientos y actuaciones para dar cumplimiento al Reglamente General de Protección de Datos -RGPD- y el resto de las normas vigentes en la materia.

Esta Política es de aplicación a los datos personales que son tratados -tanto en soporte electrónico como en soporte papel u otros- por el Consorcio dentro de las diferentes actividades de tratamiento de los que sea responsable el CAST, sin perjuicio de que sus disposiciones también sirvan de referencia, entre otras medidas o evidencias, como una acreditación de la capacitación técnica y organizativa del CAST en su relación como Encargado del Tratamiento con los municipios consorciados a los que presta sus servicios.

La Política ahora establecida resulta de obligado cumplimiento a los distintos órganos que conforman la estructura orgánica del CAST, según los Estatutos del Consorcio, y para todo el personal con acceso a la información que contenga datos de carácter personal con independencia de su relación como empleado público o como prestador de servicios contratado (art. 1).

El CAST debe tratar los datos personales bajo su responsabilidad conforme a los siguientes principios de protección de datos reconocidos en el art. 5 RGPD y demás normativa vigente en la materia (art. 3).

Esta Política, atendiendo al principio de transparencia, recoge la información que se debe facilitar a las personas afectadas por el tratamiento de datos personales, que será la relacionada en los arts. 13 RGPD y 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y establece diversos canales para la transmisión de la información de carácter gratuito y cumpliendo con las prescripciones de art. 12 RGPD (art. 13).

Asimismo, establece, las bases para la creación del Registro de actividades de tratamiento según los criterios recogidos en el art. 31 LOPD/18 y el desarrollo de los procesos de análisis de riesgos, evaluación de impacto en la protección de datos y gestión de los riesgos de seguridad de la información (arts. 14 y 16).

Otros contenidos que también desarrollados por la política que ahora se aprueba son la notificación de violaciones de seguridad de los datos de carácter personal (art. 18), el ejercicio de derechos por las personas interesadas (art. 19), las medidas de seguridad de la información (art. 21) y las medidas de control y evaluación de la gestión (arts. 25 y 26).

Se hace público que la Junta de Administración del CAST en la sesión celebrada el día 8 de abril de 2019, acordó por unanimidad la aprobación de la Política de Protección de Datos de Carácter Personal del Consorcio Asturiano de Servicios Tecnológicos, cuyo texto se transcribe en el siguiente anexo.

Se hace público que la Junta de Administración del CAST en la sesión celebrada el día 8 de abril de 2019, acordó por unanimidad la aprobación de la Política de Protección de Datos de Carácter Personal del Consorcio Asturiano de Servicios Tecnológicos, cuyo texto se transcribe en el siguiente anexo.

Introducción

El Consorcio Asturiano de Servicios Tecnológicos (CAST) pretende establecer con esta Política un marco regulatorio interno para dar respuesta a la vigente normativa en materia de protección de datos personales contenida tanto en el Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos —RGPD—), de plena aplicación a partir del 25 de mayo de 2018, como en la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos y garantía de los derechos digitales (en adelante LOPDGDD), la jurisprudencia, las interpretaciones, recomendaciones y directrices de las autoridad de control, la Agencia Española de Protección de Datos (AEPD) y el Comité Europeo.

El CAST aprueba esta norma de carácter interno en el marco de las potestades de autoorganización administrativa del Consorcio, al objeto de establecer directrices y procedimientos que permitan un cumplimiento efectivo de los nuevos requerimientos legales, con el máximo respeto a este derecho fundamental, a la protección de datos personales, que se extiende a todas las personas físicas que se encuentren en el territorio de la Unión Europea.

Además, el CAST propone un modelo de cumplimiento normativo desde el punto de vista organizativo que sirva de evidencia de las buenas prácticas y medidas de diligencia debida del Consorcio como una evidencia más que le permite acreditar, frente a los municipios a los que ofrece sus servicios, su compromiso con la garantía en la protección de los datos personales y la seguridad de la información, según lo recogido en el artículo 28 del RGPD.

El nuevo marco regulatorio relacionado con la protección de uno de los derechos fundamentales reconocidos en el artículo 18 de nuestra Constitución, supone que las organizaciones deben adoptar una actitud proactiva en el tratamiento de los datos personales de aquellas personas física que, de una forma u otra, se relacionan con las mismas y de los que son responsables. A tal efecto el RGPD establece en su artículo 24 como obligaciones generales del responsable del tratamiento, la aplicación de las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el citado Reglamento general de protección de datos (RGPD). Entre las medidas mencionadas se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas y directrices internas en relación con la protección de datos, en el marco de la gobernanza y buenas prácticas del Consorcio.

En desarrollo del nuevo modelo que debe ser seguido por un responsable en el tratamiento de los datos personales, bajo el principio denominado “accountability” (responsabilidad proactiva), impregna el espíritu de toda la normativa; la protección de los derechos y libertades de las personas físicas con respecto al tratamiento de sus datos personales exige la adopción de medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de los requisitos del RGPD, así como de otra normativa que en aplicación del mismo pueda desarrollarse. A fin de poder demostrar la conformidad con el cumplimiento normativo, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto, estableciendo directrices y procedimientos que den respuesta a requerimientos como el ejercicio de derechos por parte de las personas afectadas o la canalización de las incidencias de seguridad.

Por todo ello, el CAST considera preciso adoptar una política interna que permita clarificar los diferentes procedimientos internos, delimitando las responsabilidades y funciones de los diferentes órganos del Consorcio, teniendo en cuenta también la posición y funciones que desarrolla el Delegado de Protección de Datos, para evitar posibles disfunciones en la aplicación de esta nueva normativa.

La protección del derecho fundamental recogido en el artículo 18.4 de nuestra Constitución no puede entenderse sin su vinculación con las medidas de seguridad que deben ser apropiadas a los tratamientos realizados y que, como Consorcio público, debe atender a los requerimientos del Decreto 3/2010, de 8 de enero, por el que se aprueba el Esquema Nacional de Seguridad (en adelante ENS). La Junta General del CAST, para garantizar los mayores niveles de seguridad de la información en el marco de sus fines de soporte y apoyo a los municipios en su plena integración en la sociedad de la información y en la implantación de la administración electrónica, aprobó el 20 de octubre de 2017 la Política de Seguridad de la Información, en esta Política, en su artículo 6, se clarifican los roles y responsabilidades asignados dentro del consorcio a los diferentes órganos que componen el mismo, esta distribución de responsabilidades será el marco para la distribución de las fines en materia de protección de datos personales, separando las funciones del Responsable de Seguridad de la Información y del Delegado de Protección de Datos, siguiendo la interpretación de la Agencia Española de Protección de Datos.

La presente Política de protección de datos del Consorcio Asturiano de Servicios Tecnológicos (CAST), pretende coordinar esfuerzos dentro de la organización definir, implantar y gestionar la protección de datos del Consorcio, distribuyendo las diferentes actuaciones de acuerdo a los fines que le han sido atribuidas por el artículo 8 de los Estatutos del Consorcio.

Introducción

El Consorcio Asturiano de Servicios Tecnológicos (CAST) pretende establecer con esta Política un marco regulatorio interno para dar respuesta a la vigente normativa en materia de protección de datos personales contenida tanto en el Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos —RGPD—), de plena aplicación a partir del 25 de mayo de 2018, como en la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos y garantía de los derechos digitales (en adelante LOPDGDD), la jurisprudencia, las interpretaciones, recomendaciones y directrices de las autoridad de control, la Agencia Española de Protección de Datos (AEPD) y el Comité Europeo.

El CAST aprueba esta norma de carácter interno en el marco de las potestades de autoorganización administrativa del Consorcio, al objeto de establecer directrices y procedimientos que permitan un cumplimiento efectivo de los nuevos requerimientos legales, con el máximo respeto a este derecho fundamental, a la protección de datos personales, que se extiende a todas las personas físicas que se encuentren en el territorio de la Unión Europea.

Además, el CAST propone un modelo de cumplimiento normativo desde el punto de vista organizativo que sirva de evidencia de las buenas prácticas y medidas de diligencia debida del Consorcio como una evidencia más que le permite acreditar, frente a los municipios a los que ofrece sus servicios, su compromiso con la garantía en la protección de los datos personales y la seguridad de la información, según lo recogido en el artículo 28 del RGPD.

El nuevo marco regulatorio relacionado con la protección de uno de los derechos fundamentales reconocidos en el artículo 18 de nuestra Constitución, supone que las organizaciones deben adoptar una actitud proactiva en el tratamiento de los datos personales de aquellas personas física que, de una forma u otra, se relacionan con las mismas y de los que son responsables. A tal efecto el RGPD establece en su artículo 24 como obligaciones generales del responsable del tratamiento, la aplicación de las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el citado Reglamento general de protección de datos (RGPD). Entre las medidas mencionadas se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas y directrices internas en relación con la protección de datos, en el marco de la gobernanza y buenas prácticas del Consorcio.

En desarrollo del nuevo modelo que debe ser seguido por un responsable en el tratamiento de los datos personales, bajo el principio denominado “accountability” (responsabilidad proactiva), impregna el espíritu de toda la normativa; la protección de los derechos y libertades de las personas físicas con respecto al tratamiento de sus datos personales exige la adopción de medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de los requisitos del RGPD, así como de otra normativa que en aplicación del mismo pueda desarrollarse. A fin de poder demostrar la conformidad con el cumplimiento normativo, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto, estableciendo directrices y procedimientos que den respuesta a requerimientos como el ejercicio de derechos por parte de las personas afectadas o la canalización de las incidencias de seguridad.

Por todo ello, el CAST considera preciso adoptar una política interna que permita clarificar los diferentes procedimientos internos, delimitando las responsabilidades y funciones de los diferentes órganos del Consorcio, teniendo en cuenta también la posición y funciones que desarrolla el Delegado de Protección de Datos, para evitar posibles disfunciones en la aplicación de esta nueva normativa.

La protección del derecho fundamental recogido en el artículo 18.4 de nuestra Constitución no puede entenderse sin su vinculación con las medidas de seguridad que deben ser apropiadas a los tratamientos realizados y que, como Consorcio público, debe atender a los requerimientos del Decreto 3/2010, de 8 de enero, por el que se aprueba el Esquema Nacional de Seguridad (en adelante ENS). La Junta General del CAST, para garantizar los mayores niveles de seguridad de la información en el marco de sus fines de soporte y apoyo a los municipios en su plena integración en la sociedad de la información y en la implantación de la administración electrónica, aprobó el 20 de octubre de 2017 la Política de Seguridad de la Información, en esta Política, en su artículo 6, se clarifican los roles y responsabilidades asignados dentro del consorcio a los diferentes órganos que componen el mismo, esta distribución de responsabilidades será el marco para la distribución de las fines en materia de protección de datos personales, separando las funciones del Responsable de Seguridad de la Información y del Delegado de Protección de Datos, siguiendo la interpretación de la Agencia Española de Protección de Datos.

La presente Política de protección de datos del Consorcio Asturiano de Servicios Tecnológicos (CAST), pretende coordinar esfuerzos dentro de la organización definir, implantar y gestionar la protección de datos del Consorcio, distribuyendo las diferentes actuaciones de acuerdo a los fines que le han sido atribuidas por el artículo 8 de los Estatutos del Consorcio.

Título I. 
Disposiciones generales

Artículo 1. 
Ámbito objetivo de aplicación.

1. Constituye el objeto de esta Política de Protección de datos el establecimiento de los principios, directrices y las responsabilidades en la gestión de las actividades de tratamiento con datos de carácter personal del Consorcio de Servicios Tecnológicos de Asturias (en adelante CAST), además, del diseño de los procedimientos y de las medidas y actuaciones para dar cumplimiento al Reglamente General de Protección de Datos y el resto de las normas vigentes en la materia.

2. Esta Política será de aplicación a los datos personales que son tratados por el Consorcio dentro de las diferentes actividades de tratamiento de los que sea responsable el CAST, sin perjuicio de que sus disposiciones también sirvan de referencia, entre otras medidas o evidencias, como una acreditación de la capacitación técnica y organizativa del CAST en su relación como Encargado del Tratamiento con los municipios consorciados a los que presta sus servicios.

3. Esta Política será de obligado cumplimiento a los distintos órganos que conforman la estructura orgánica del CAST, según los Estatutos del Consorcio, y para todo el personal con acceso a la información que contenga datos de carácter personal con independencia de su relación como empleado público o como prestador de servicios contratado.

4. La Política de Protección de datos aprobada afectará a la información y datos personales tratados tanto por medios electrónicos, con independencia de los sistemas aplicables para su gestión, como aquellos que sean tratados en soporte papel u otro. Esta información se define según las siguientes normas:

a) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos —en adelante RGPD—).

b) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y garantía de derechos digitales y su normativa de desarrollo.

c) Normativa especial o sectorial que puedan contener previsiones en la materia

d) Jurisprudencia en la materia y las interpretaciones del Comité Europeo de Protección de Datos y de las autoridades de control de la UE, en concreto, las de la Agencia Española de Protección de Datos (AEPD)

e) Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público.

f) Ley 39/2015, de 1 de octubre, de procedimiento administrativo común.

g) Decreto 3/2010, de 8 de enero, por el que se aprueba el Esquema Nacional de Seguridad.

f) El Decreto 4/2010, de 8 de enero, por el que se aprueba el Esquema Nacional de Interoperabilidad.

5. Las definiciones de los términos contenidos en la presente Política deben interpretarse en el mismo sentido que las del artículo 4 del RGPD.

6. Las presentes instrucciones no serán de aplicación a los datos de personas fallecidas cuyo tratamiento se regirá, en su caso, por lo establecido en el artículo 3 de la LOPDGDD.

Artículo 2. 
Ámbito subjetivo de aplicación.

El CAST es una entidad de derecho público de carácter asociativo, bajo la forma de Consorcio, con personalidad jurídica propia integrado por el Principado de Asturias y los municipios de menos de 20.000 habitantes de la Comunidad Autónoma de Principado de Asturias que están relacionados en los Estatutos de la entidad (BOPA. núm. 185 de 9/8/2016).

EL CAST tiene entre sus fines el apoyo a los municipios menores de 20.000 habitantes del Principado de Asturias con el objetivo de contribuir a la plena integración de éstos en la sociedad de la información y en el aprovechamiento eficiente de las nuevas tecnologías.

Corresponde igualmente al CAST la cooperación con los municipios en materia tecnológica, en el ejercicio de los fines que le corresponden al Principado de Asturias como comunidad autónoma uniprovincial, que, en la práctica, supone la gestión de la información y el tratamiento de datos personales por cuenta de los municipios consorciados ostentando el CAST la posición jurídica de Encargado del Tratamiento, según el artículo 28 del RGPD.

Artículo 3. 
Principios de protección de datos personales.

1. El CAST tratará los datos personales bajo su responsabilidad conforme a los siguientes principios de protección de datos reconocidos en el artículo 5 del RGPD y demás normativa vigente en la materia:

a) Licitud, lealtad y transparencia: los datos de carácter personal serán tratados de manera lícita, leal y transparente en relación con la persona afectada.

b) Legitimación en el tratamiento de datos personales: solo se tratarán los datos de carácter personal cuando dicho tratamiento se encuentre amparado en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD.

c) Limitación de la finalidad: los datos de carácter personal serán tratados para el cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

d) Minimización de datos: los datos de carácter personal serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

e) Exactitud: los datos de carácter personal serán exactos y, en su caso, actualizados siguiendo indicaciones de las personas afectadas; se adoptarán todas las medidas razonables para que se supriman o rectifiquen, sin dilación, aquellos que sean inexactos con respecto a los fines para los que se tratan, según las comunicaciones recibidas.

f) Limitación del plazo de conservación: los datos de carácter personal serán mantenidos de forma que se permita la identificación de los personas afectadas el tiempo necesario para los fines que justificaron su tratamiento, o para la presentación de reclamaciones por los personas afectadas o ante la existencia de alguna obligación legal que obligue a su conservación y/o bloqueo, sin perjuicio del cumplimiento de las obligaciones legales en materia de política de gestión documental y archivo del consorcio público.

g) Integridad y confidencialidad: los datos de carácter personal serán tratados de tal manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Quienes intervengan en el tratamiento de los datos estarán sujetos al deber de secreto y confidencialidad incluso después de haber concluido aquel, se extremarán estas precauciones en el supuesto de contratación con terceros en los que se traten datos personales, incluso cuando incidentalmente pueda conocer datos personales. La obligación de secreto será complementaria a las obligaciones que puedan tener los empleados públicos por su propia normativa reguladora de su profesión o por la de terceros contratados por el CAST.

h) Responsabilidad proactiva: El CAST será responsable del cumplimiento de los principios anteriormente señalados y adoptará las medidas técnicas y organizativas que le permitan estar en condiciones de demostrar dicho cumplimiento.

i) Derechos de las personas afectadas: se adoptarán las medidas y procedimientos que garanticen el adecuado ejercicio por las personas afectadas de los derechos de acceso, rectificación, supresión, oposición y, cuando sea posible, limitación del tratamiento y portabilidad respecto de sus datos de carácter personal.

l) Seguridad integral: la seguridad tenderá a la preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad. La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el tratamiento de los datos personales del CAST.

m) Gestión de Riesgos: la gestión del riesgo es el conjunto de actividades coordinadas que CAST desarrolla para dirigir y controlar el riesgo, entendiendo como riesgo el efecto de la incertidumbre sobre la consecución de los objetivos que, en el marco del RGPD, es la protección de los derechos y libertades de los titulares de los datos que trata la CAST. El análisis y gestión de riesgos son parte esencial del modelo de responsabilidad proactiva propugnado por el RGPD en la protección de datos, de forma que permita el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables por el CAST. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia, el coste de las medidas de seguridad (respetando el debido equilibrio presupuestario y control del déficit público), el estado de la técnica y la afectación a los derechos de los personas interesadas y en el marco de los requerimientos del Esquema Nacional de Seguridad.

n) Proceso de evaluación: El CAST implantará un proceso de control, verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos, siguiendo los requerimientos del Esquema Nacional de Seguridad.

o) Protección de datos y seguridad desde el diseño: CAST promoverá la implantación del principio de protección de datos desde el diseño con el objetivo de cumplir los requisitos definidos en el RGPD y demás normativa vigente, y, por tanto, los derechos de las personas afectadas de forma que la protección de datos se encuentre presente en las primeras fases de concepción de los diferentes proyectos que vaya a desarrollar la entidad. Asimismo, la seguridad de la información se aplicará desde el diseño inicial de los sistemas de información.

p) Consentimiento de la persona afectada, en aquellos tratamientos donde la base de legitimación sea el consentimiento, según el artículo 6.1.a) del RGPD, este debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que se acepta el tratamiento. La declaración se recabará principalmente por medios escritos sin perjuicio de otras que puedan evidenciar la acción afirmativa de la persona afectada por cualquier otro medio.

o) Tratamiento de datos de categorías especiales: El CAST con carácter general no trata datos de categorías especiales, en los supuestos en que esto fuese necesario se cumplirán con la prescripción del RGPD, así como la adecuación normativa a la base de licitud contenida en la LOPDGDD (artículo 9).

q) Con carácter general, el CAST no tomará decisiones automatizadas utilizando datos personales de los interesados que se relacionen con el organismo.

Artículo 4. 
Directrices generales en el tratamiento de datos del CAST.

Las directrices fundamentales de protección de datos se configuran como objetivos para garantizar el cumplimiento de los principios básicos de la presente política de protección de datos y serán principios inspiradores de las actuaciones del CAST. Para la adecuada implantación de estas directrices y teniendo en cuenta los requerimientos del RGPD y de la vigente normativa se implementarán entre otras las siguientes actuaciones:

a) Creación, gestión y mantenimiento del Registro de Actividades de Tratamiento: se mantendrá un Registro de Actividades de Tratamiento, sometido a la debida publicidad en los términos que establezca la normativa vigente, en el Portal web del Consorcio.

b) Se establecerán directrices para que las personas afectadas estén informadas de forma transparente, con un lenguaje entendible y accesible, de los tratamientos de sus datos personales por parte del Consorcio.

c) Se evitarán, en la medida de lo posible, las transferencias de datos personales fuera del Espacio Económico Europeo. En caso de que fuese necesario el tratamiento de datos fuera de la UE el CAST adoptará las medidas técnicas organizativas previstas en el RGPD, debiendo, entre otras:

• Informar pormenorizadamente a las personas afectadas por dicho tratamiento.

• Priorizar el tratamiento de datos en países integrantes del Espacio Económico Europeo o aquellos que cuentan con una adecuada protección, de acuerdo al listado publicado al efecto por la Agencia Española de Protección de Datos.

• Verificar que el tratamiento de datos se realiza en empresas adheridas a acuerdos con la Unión Europea en materia de protección de datos como el Escudo de Privacidad.

• Verificar el consentimiento inequívoco de las personas afectadas para dicho tratamiento, si este fuese preciso.

• Adhesión a normas corporativas vinculantes, cláusulas tipo adoptadas o códigos de conducta por la Comisión Europea.

d) Seguridad en el tratamiento de datos personales: se implantarán los mecanismos necesarios para que cualquier persona que acceda o pueda acceder a los activos de información y a los datos de carácter personal, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos, asimismo se tendrá en cuenta los requisitos de seguridad física, en la gestión de las comunicaciones y operaciones, teniendo en cuenta el ciclo de vida del tratamiento de los datos personales desde se incorporación a los sistemas hasta su total destrucción, garantizando la seguridad por defecto.

e) Gestión de los incidentes de seguridad: se implantarán los mecanismos apropiados para el control y minimización del impacto en las personas afectadas, diseñando protocolos para la debida actuación para la gestión y resolución del incidente, teniendo en cuenta la necesidad de comunicar, en los términos previstos en el RGPD, a la AEPD y a las personas afectadas aquellos que puedan ocasionarles especiales perjuicios en su intimidad.

f) Cumplimiento: se adoptarán las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de protección de datos de carácter personal, entre ellas las necesarias para la adecuada gestión de los derechos de los personas afectadas por el tratamiento, estableciéndose procedimientos de respuesta rápida adecuados al cumplimiento de los plazos establecidos en la normativa y respetando, en todo caso, el derecho de los personas afectadas a recurrir ante las autoridades de control.

g) En la contratación de servicios con empresas externas se tendrá en cuenta si estas van a acceder a datos personales tanto si el CAST es Responsable como Encargado del Tratamiento. En su caso, y en función del acceso que puedan tener, se tendrán en cuenta en los pliegos del contrato la exigencia de medidas técnicas y organizativas precisas, así como la acreditación de la solvencia suficiente en cumplimiento del RGPD y demás normativa vigente en la materia.

Título II. 
De la organización del CAST

Artículo 5. 
Distribución funcional en cumplimiento de la política de protección de datos del CAST como responsable del tratamiento.

El CAST, según las funciones descritas en el artículo anterior, tratará como responsable del tratamiento de los datos personales cuando determine los fines y medios del tratamiento, según la definición del artículo 4 apartado séptimo del RGPD, en cumplimiento de las diversas medidas técnicas y organizativas contenidas en el RGPD, en la normativa vigente en la materia, y en la presente Política, se atribuyen las siguientes responsabilidades y funciones, sin perjuicio de aquellas otras contenidas en los Estatutos del CAST, la Política de Seguridad de Información o en la definición competencial de la Relación de Puestos de Trabajo:

• A la Junta de Administración le corresponde, como órgano superior en materia de seguridad de la información y de la protección de datos de carácter personal:

— La dirección del Consorcio en materia de protección de datos personales.

— La aprobación de las políticas o instrucciones en materia de protección de datos personales del CAST dando cuenta a la Junta General.

— La aprobación del Registro de Actividades del Tratamiento y, en su caso, la modificación o supresión de tratamientos del Registro de Actividad del Tratamiento, según la propuesta formulada por los responsables funcionales.

— El ejercicio de acciones judiciales o administrativas en defensa del Consorcio como responsable del tratamiento de los datos personales, para lo cual contará con el asesoramiento del Delegado de Protección de Datos, o bien, en la defensa de los intereses del CAST en las posibles reclamaciones por parte de terceros.

• A la Presidencia del Consorcio le corresponden las siguientes funciones que podrán ser delegadas conforme a lo establecido en la normativa vigente y en los Estatutos del Consorcio:

— La aprobación/firma de las resoluciones y/o comunicaciones relacionadas con la respuesta al ejercicio de derechos u otras peticiones realizadas por las personas afectadas por el tratamiento de sus datos personales.

— La firma de los contratos de Encargado del Tratamiento con entidades o personas físicas contratadas por el CAST, en función de las atribuciones de los Estatutos del Consorcio.

— La designación, cese o remoción de la persona designada como Delegado/a de Protección de Datos.

— La modificación puntual del contenido del Registro de Actividades del Tratamiento, siempre que la misma no suponga la creación o supresión de una nueva actividad del tratamiento.

• A la Dirección Gerencia del Consorcio:

— Dictar las instrucciones internas, en desarrollo de los acuerdos o resoluciones ratificados por la Junta de Administración, precisas en cumplimiento de la política de protección de datos del CAST.

— La inscripción ante la AEPD del Delegado de Protección de Datos.

— La notificación a la AEPD y/o las personas afectadas aquellos incidentes de seguridad que, siguiendo las indicaciones del RGPD y las interpretaciones de la AEDP sean susceptibles de notificación.

— Elevar la propuesta de creación, modificación y supresión de operaciones del Registro de Actividades del Tratamiento para su aprobación por la Junta de Administración.

— La presidencia de aquellas comisiones o grupos de trabajo que, cómo asesores del CAST, puedan crearse para la coordinación de las políticas en materia de protección de datos.

• Las personas que actúan como responsables funcionales de área: Área de gestión municipal y dinamización tecnológica y Área económico-administrativa.

— La propuesta de creación, modificación o supresión de los Registros de Actividad del Tratamiento.

— Mantenimiento de los Registros de Actividad.

• La persona designada como Delegado/a de protección de datos: informa y asesora al responsable del tratamiento de las obligaciones en materia de cumplimiento del RGPD, supervisa el cumplimiento, asesorando en las evaluaciones de impacto, lleva a cabo labores de concienciación y formación del personal, además, será coopera con la autoridad de control.

• La persona designada como Responsable de la seguridad de la información, según la Política de Seguridad de la información del CAST: determina los requisitos de seguridad de la información tratada que contenga datos personales, en el marco de la aplicación del Esquema Nacional de Seguridad, además de gestionar y canalizar los incidentes de seguridad contando con el asesoramiento del Delegado de Protección de Datos.

• La Comisión Asesora sobre Seguridad de la Información del CAST será también el órgano consultivo del CAST en materia de protección de datos personales, en el que podrán participar con voz, pero sin voto el Delegado de Protección de Datos, cuyas funciones y composición se encuentran definidas en la Política de Seguridad de la Información del CAST.

Artículo 6. 
La persona designada como Delegado/a de Protección de Datos del CAST.

El CAST cuenta con una persona designada como Delegado/a de Protección de Datos, inscrito ante la AEPD, a fin de dar cumplimiento a lo requerido en el artículo 37 del RGPD, como organismo público obligado a su designación en el apartado primero del citado precepto.

La persona designada como Delegado/a llevará a cabo las tareas establecidas en el artículo 39 del citado RGPD, así como las que se deriven de la normativa española de protección de datos de carácter personal, de los criterios y documentos de buenas prácticas que se adopten la Agencia Española de Protección d Datos, en su condición de autoridad de control, o por el Comité Europeo de Protección de Datos, en concreto, el desempeño de las tareas de mediación en el caso de reclamación de una persona interesada que les atribuye el artículo 37 de la LOPDGDD.

La persona designada como Delegado/a de Protección de Datos del CAST será una persona física interna o externa a la organización que debe reunir las condiciones y la capacitación jurídica y técnica adecuada según lo establecido en la normativa vigente. En todo caso, deberá ser respetado en la independencia de sus actuaciones, además de asignarle los medios materiales y de personal que precise en el desempeño de su trabajo.

En el desempeño de sus tareas, tendrá acceso a los datos personales y procesos de tratamiento del CAST para la realización de sus funciones dentro del Consorcio, siendo respetado en la realización de las mismas, apoyando el Consorcio sus gestiones.

La persona designada como Delegado/a del CAST, cuando el Consorcio actúe como Encargado del Tratamiento, colaborará con los Delegados de Protección de Datos de los Responsables con lealtad y respeto a las instrucciones dadas y a la normativa vigente.

Artículo 7. 
Responsable funcional.

Las funciones del Responsable funcional recaerán en la persona titular del órgano o Área administrativa que gestione cada procedimiento administrativo y en cuyo ámbito se lleve a cabo el tratamiento de los datos de carácter personal, en su caso.

El Responsable Funcional colaborará con la persona designada como Delegado/a de Protección de Datos, comunicando aquellas incidencias detectadas o propuestas en la mejora de la gestión de la protección de datos personales.

Artículo 8. 
Creación de grupos de trabajo.

Los órganos de la dirección del CAST a propuesta de la Comisión Asesora sobre Seguridad de la Información del CAST o del Delegado de Protección de Datos, dentro de su respectivo ámbito, podrán crear grupos de trabajo específicos para el estudio o análisis de actuaciones concretas del CAST, para la mejora de los principios recogidos en la presente política. Los grupos de trabajo podrán contar con la asistencia de personas externas al Consorcio en función de los temas tratados.

Artículo 9. 
Obligaciones del personal.

Todos los órganos y unidades de la CAST prestarán su colaboración en las actuaciones de implementación en la Política de protección de datos.

Todas las personas que presten servicio en la CAST tienen la obligación de conocer y cumplir lo previsto en la presente Política, así como en las normas y procedimientos que la desarrollen.

Todos los empleados públicos del CAST, así como cualquier otro personal que pueda prestar sus servicios en el CAST tiene el deber de colaborar en la mejora de los principios y requisitos en materia de protección de datos evitando actuaciones que puedan incrementar los riesgos a los que se encuentran expuestos los datos personales, tanto en la función del CAST como Responsable del Tratamiento como en la de Encargado. A tal efecto, se establecerán mecanismos de canalización de propuestas o sugerencias en la sede electrónica del CAST al Delegado del Protección de Datos que, una vez analizadas, podrá remitir a la Comisión Asesora sobre Seguridad de la Información del CAST con el objetivo de ayudar en la mejorar de los procesos y las actuaciones del CAST en la materia.

Artículo 10. 
Resolución de conflictos.

En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la Política de protección de datos y de aquellos otros que puedan designarse en cumplimiento de las medidas del Esquema Nacional de Seguridad corresponderá, en última instancia, a la Junta de Administración, asistida por la Comisión Asesora sobre Seguridad de la Información del CAST y por el Delegado de Protección de Datos, de acuerdo a las funciones de dirección atribuidas por el artículo 5 de la presente política.

Título III. 
De la gestión de las medidas organizativas y técnicas

Artículo 11. 
Categorías de datos personales y de personas afectadas.

1. Con carácter general, CAST, trata las siguientes tipologías de datos personales:

— Identificativos (nombre, apellidos y documento nacional de identidad).

— De contacto (email, teléfono, dirección).

— Profesionales (cargo en un municipio o empresa).

El Consorcio, de forma excepcional, puede tratar datos de categorías especiales de datos personales, definidas en el artículo 9 del RGPD. Los datos de salud, discapacidad o filiación sindical solo serán tratados en el marco de las operaciones del tratamiento relacionadas con la gestión de los datos de las personas empleadas del Consorcio o por prevención de riesgos laborales (vigilancia de la salud). El CAST respetará, en todo momento, las prescripciones del RGPD y la LOPDGDD.

2. Las categorías de las personas afectadas se corresponden con aquellos que mantienen algún tipo de relación con la entidad, entre otros se deben considerar:

— Personas empleadas del Consorcio.

— Personas representantes de las entidades consorciadas.

— Proveedores y personas empleadas de los prestadores de servicios del CAST.

— Personas empleadas por las Entidades a la que presta servicio el Consorcio.

— Personas usuarias de los servicios que presta el CAST.

Artículo 12. 
Licitud del tratamiento.

Los datos personales solo serán tratados para la finalidad para la que fueron recogidos.

Con carácter general, los datos personales no serán cedidos o comunicados a terceros, salvo los supuestos en los que exista una obligación legal o mandato de una autoridad administrativa o judicial. En el supuesto de que el CAST precise de comunicar los datos excepcionalmente y al margen de las obligaciones legales o requerimientos, deberá informar a las personas interesadas y, en su caso, requerirles su consentimiento, conforme a las prescripciones del RGPD, además tendrá en cuenta también:

— El contexto de la recogida de los datos, así como la categoría de las personas interesadas y de la naturaleza de los datos personales, debiendo adoptar medidas específicas para los datos de categorías especiales (de salud, biométricas, raza, religión…) según el artículo 9 del RGPD.

— Las posibles consecuencias que puedan derivarse para las personas interesadas del nuevo tratamiento de datos personales no previsto inicialmente.

— La necesidad de garantizar las mismas medidas de seguridad técnicas y organizativas para el tratamiento de los datos personales con independencia de las categorías de personas afectadas.

El CAST trata los datos personales, con carácter general, en cumplimiento de una obligación legal, artículo 6.1.c) o para el ejercicio de los fines, como misión de interés público o ejercicio de potestad pública, que le han sido atribuidos, según el artículo 6.1 e) del RGPD, o bien para la ejecución de un contrato entre las partes, artículo 6.1 b) del RGPD.

En ocasiones para la realización de actividades concretas de tratamiento podrá requerir de las personas interesadas su consentimiento que deberá ser recogido teniendo en cuenta los siguientes principios que permitan evidenciar que ha sido otorgado de forma libre, voluntaria e informada, así el Consorcio procurará que:

— El consentimiento no sea base de legitimación de un tratamiento cuando exista un desequilibrio entre la persona interesada y el CAST, lo que supone que, por cualquier motivo, el Consorcio pueda tener una posición dominante en la relación entre las partes, atendiendo además a su consideración de entidad pública que no permitan el ejercicio libre y voluntario del consentimiento de la persona interesada.

— Se acredite, con carácter general, el consentimiento por escrito, conservando en todo momento la evidencia documental del mismo, sin perjuicio de otros medios que permita la aplicación de las nuevas tecnologías. Si ello no fuese posible, el medio utilizado debe poder permitir la conservación de la clara acción afirmativa de la persona interesada.

— El modelo para recabar el consentimiento utilizado por el CAST —pudiendo optar por dos capas de información una primera más sencilla y otra más ampliada a disposición de los personas afectadas— requiriera de una información pormenorizada que incluya: la referencia al CAST como responsable del tratamiento, la finalidad, los destinatarios, la realización de transferencias internacionales y cuáles son los derechos en la protección de datos personales, incluida la revocación, y cómo puede ejercitarlos, así como aquellas otras que sean requeridas por la legislación vigentes o los criterios de la AEPD.

— Que en el supuesto de que existan varias finalidades se requerirá el consentimiento individualizado para cada una de ellas, respetando en todo momento la voluntad y la libre elección de la persona interesada que puede confirmar o revocar cualesquiera de ellos de forma independiente.

— No podrá supeditarse la ejecución de un contrato al consentimiento de la persona interesada para finalidades distintas al mantenimiento, desarrollo o control de la actividad contractual.

— El lenguaje utilizado para informar a las personas interesadas del tratamiento de los datos debe ser inteligible, sencillo, claro, entendible —con la posibilidad de emplear iconos cuando estos sean aprobados por la autoridad de control competente— y accesible.

— Se deberán establecer mecanismos gratuitos y de fácil acceso que garanticen la posibilidad de revocación del consentimiento en cualquier momento por parte de las personas afectadas.

— El CAST garantizará la efectividad inmediata de la revocación del consentimiento, pudiendo conservar solo en el supuesto de que exista una obligación legal, incluida la posibilidad de presentar alegaciones por parte de las personas interesadas.

— La retirada del consentimiento no supone la ilicitud previa del tratamiento que hubiese consentido la persona interesada de forma voluntaria.

Artículo 13. 
Información a las personas afectadas.

El CAST respetará el principio de transparencia en la información a las personas afectadas por el tratamiento de datos personales, estableciendo diversos canales para la transmisión de la información de carácter gratuito y cumpliendo con las prescripciones de artículo 12 del RGPD.

El CAST podrá utilizar iconos normalizados para facilitar la transparencia de la información suministrada a las personas interesadas cuando estos hayan sido aprobados por la autoridad de control o el Comité Europeo de Protección de Datos.

La información será la relacionada en el artículo 13 del RGPD y el artículo 11 de la LOPDGDD, además se pondrá a disposición de las personas interesadas en una primera de información básica:

— Identificación del CAST como responsable del tratamiento y datos de contacto.

— Forma de canalizar las cuestiones y/o solicitudes al Delegado de Protección de Datos, con sus datos de contacto.

— Finalidad o finalidades del tratamiento y la base jurídica que legitima su tratamiento para el cumplimiento de una obligación legal o misión de interés público o ejercicio de poder público y, en determinados supuestos, el consentimiento o la relación contractual.

— Cesiones o comunicaciones de datos a terceros, con la identificación del fundamento de la comunicación o la existencia de una obligación legal, con referencia a los destinatarios.

— La existencia de transferencias internacionales de datos. En el supuesto de que los datos se traten fuera de la UE se debe indicar la referencia a la existencia de garantía adecuadas conforme a los artículos 46, 47 o 49 del RGPD.

— La posibilidad del ejercicio de derechos reconocidos en el RGPD y el canal para su ejercicio, incluida la posible revocación del consentimiento cuando está sea la base de la licitud del tratamiento de los datos personales.

— Remisión a una información más ampliada en la Sede Electrónica y/o Portal web del CAST u otro medio que permita el acceso a las personas afectadas de forma gratuita, sencilla e inmediata, según lo establecido en el artículo 11 de la LOPDGDD.

Además de esta primera información se suministrará a las personas interesados la contenida en el artículo 13 en los apartados segundo y tercero del RGPD, sin perjuicio de aquella otra que el CAST considere que pueda mejorar la transparencia del Consorcio en el tratamiento de los datos personales.

En el supuesto de que los datos no provengan de la propia persona interesada se debe informar además del contenido recogido en el artículo 14 del RGPD, dentro del plazo establecido, debiendo ser transparentes en las categorías de datos tratados y las fuentes de procedencia de los mismos, conforme con el artículo 11 de la LOPDGDD.

Artículo 14. 
Registro de actividades de tratamiento.

El CAST, como medida de carácter organizativo, creará un Registro de Actividades del Tratamiento, según la definición establecida en el artículo 30 del RGPD, según los criterios recogidos en el artículo 31 de la LOPDGDD.

El Registro de Actividades del Tratamiento será aprobado por la Junta de Administración del CAST, a propuesta de la Dirección Gerencia, tras la tramitación del oportuno expediente iniciado a instancia de los responsables funcionales y previa consulta con el Delegado de Protección de Datos.

El Registro de Actividades del Tratamiento será publicado en el Portal de Transparencia del Consorcio, según lo establecido en el artículo 31.2 de la LOPDGDD y en el artículo 6 bis de la Ley 19/2013 de Transparencia, acceso a la información y buen gobierno. El Registro ofrecerá la información relativa al tratamiento de datos personales en cada una de las fichas, de manera accesible, con un lenguaje sencillo y fácil de entender.

El Registro de Actividades del Tratamiento tendrá formato electrónico y quedará a disposición de la Agencia Española de Protección de Datos a efectos de dar cumplimento con el citado artículo del RGPD.

Cuando el responsable funcional de cada área detecte una nueva operación en la que se traten datos personales que no se encuentre recogidos en los conjuntos de actividades incluidos en el Registro de Actividades, comunicará al Delegado de Protección de Datos la propuesta de incorporación del nuevo tratamiento, dando inicio a la tramitación del oportuno expediente que será elevado por la Dirección Gerencia como propuesta para aprobación de la Junta de Administración del CAST.

Asimismo, el responsable funcional deberá mantener actualizado los tratamientos que, en función de los fines que le sean atribuidas. Las modificaciones o supresiones serán aprobadas por la Junta de Administración previa consulta al Delegado de Protección de Datos.

El CAST desarrollará un procedimiento específico, tramitado en un expediente electrónico de acuerdo con el artículo 70 de la Ley 39/2015, de 1 de octubre, de procedimiento administrativo común, para la tramitación de las citadas modificaciones o supresiones, en el que se contemplarán los plazos de respuesta, aprobación y publicación en el Portal de Transparencia.

El Consorcio cuando actúe como Encargado del Tratamiento, de acuerdo con el artículo 30.3 del RGPD, mantendrá a disposición del Responsable del tratamiento un Registro de actividad que comprenda los requisitos establecidos en el RGPD y el resto de la normativa vigente. Cada responsable funcional podrá proponer las modificaciones oportunas del citado Registro, que será responsabilidad de la Dirección Gerencia, previa consulta al Delegado de Protección de Datos, para su aprobación por la Junta de Administración.

Artículo 15. 
Privacidad desde el diseño.

1. En virtud del principio de privacidad desde el diseño y por defecto, el CAST establecerá las medidas necesarias para la protección por defecto y desde el inicio de los procesos de diseño de nuevas tecnologías o modelos de gobernanza, entre otros, respetando los principios relacionados con la privacidad desde el diseño, aplicando diferentes medidas como: la reducción al máximo de los datos personales tratados (aplicación del principio de minimización), seudoanimización de los datos personales en cuenta esto sea posible, ser transparentes en el tratamiento de datos personales permitiendo a los interesados la supervisión y al responsable la mejora de los sistemas de seguridad de la información.

2. Los principios de privacidad desde el diseño y por defecto serán tenidos en cuenta en la contratación de servicios por parte del CAST, cuando se derive de la naturaleza del contrato, debiendo constar así reflejado en los pliegos de prescripciones técnicas, según lo dispuesto en el artículo 126 de la Ley 9/2017, de 8 de noviembre, con contratos del sector público.

Artículo 16. 
Análisis de riesgos, evaluación de impacto en la protección de datos y gestión de los riesgos de seguridad de la información.

1. Cuando la información contenga datos de carácter personal se realizará un análisis de riesgos que permita identificar y gestionar los riesgos minimizándolos hasta los niveles que puedan considerarse aceptables, según lo establecido en el RGPD.

El análisis, tendrá en cuenta entre otros, los riesgos para los derechos y libertades de las personas físicas respecto de las actividades de tratamiento con datos personales que lleve a cabo el CAST, los sistemas de información que sirven de soporte a las actividades de tratamiento, la tipología de los datos tratados y las categorías de personas afectadas. La probabilidad y la gravedad del riesgo para los derechos y libertades de las personas interesadas se delimitarán conforme a la naturaleza, el contexto y los fines del tratamiento de los datos.

2. Asimismo, el CAST llevará a cabo una evaluación de impacto de las actividades de tratamiento en la protección de datos personales cuando del análisis realizado resulte probable que el tratamiento suponga un riesgo significativo para los derechos y libertades de las personas, conforme a lo previsto en el artículo 35 del RGPD y el artículo 28.2 de la LOPDGDD. También se llevará a cabo una evaluación de impacto antes del inicio de un tratamiento de datos, siempre que así sea preciso en función de lo establecido en el RGPD, la LOPDGDD o las directrices de la AEPD.

3. La ponderación de los riesgos será realizada sobre una base objetiva. El CAST, como organismo público, según lo dispuesto en la disposición adicional Primera de la LOPDGDD adoptará los criterios recogidos en el artículo 32 del RGPD. Para el análisis, evaluación y gestión de riesgos se utilizarán las metodologías facilitadas por el Centro Cristológico Nacional (CCN), así como las guías, recomendaciones y herramientas elaboradas por la AEPD y el Comité Europeo.

4. La gestión de riesgos de seguridad de la información realizarse de manera continua, conforme a los principios de gestión de la seguridad basada en el riesgo, teniendo en cuenta la necesidad de establecer reevaluaciones periódicas de los riesgos evaluados, identificando, en su caso, aquellos nuevos que puedan surgir. Deberá considerarse especialmente las modificaciones en el tratamiento de los datos personales incluidos en el Registro de Actividades del Tratamiento.

5. En la realización de los análisis de riesgo y, en su caso, evaluaciones de impacto, deberá contar con el Delegado de Protección de Datos según las funciones atribuidas por el artículo 37 del RGPD.

Artículo 17. 
Transferencias Internacionales de Datos.

1. Con carácter general, el Consorcio no realizará transferencias de datos personales fuera del espacio de la Unión Europea, ámbito de aplicación del RGPD, ni como Responsable del Tratamiento ni recurrirá a Encargados del Tratamiento que directa o mediante un tercero trate datos fuera de la UE.

2. En el supuesto de que, excepcionalmente, fuese preciso un tratamiento de datos fuera de la Unión Europea, este deberá realizarse en países que cuenten con un nivel adecuado de protección bien por pertenecer al Espacio Económico Europeo o por haber sido así calificados por la autoridad de control o bien respetando las salvaguardas establecidas en el Capítulo V del RGPD sobre transferencias internacionales y en el Título VI de la LOPDGDD, en aquellos supuestos no regulados por la normativa europea. Entre otras se pueden citar:

— Empresas adheridas a acuerdos internacionales, como el supuesto del Privacy Shield.

— Consentimiento de la persona interesada previa información, para realizar la transferencia.

— La transferencia es necesaria para la ejecución o conclusión de un contrato.

— La transferencia es necesaria para el establecimiento, ejercicio o defensa de intereses.

— La transferencia es necesaria para proteger los intereses vitales.

3. En las transferencias internacionales, además, deberá tener en cuenta si pudiera encontrarse en alguno de los supuestos de autorización de la AEPD contemplados en el artículo 42 de la LOPDGDD o del artículo 43 para las comunicaciones previas.

Artículo 18. 
Notificación de violaciones de seguridad de los datos de carácter personal.

El CAST adoptará las medidas necesarias para garantizar la notificación de las violaciones de seguridad de los datos de carácter personal que pudieran producirse a través del procedimiento establecido al efecto, de conformidad con lo dispuesto en el artículo 33 del RGPD.

Igualmente adoptará las medidas procedentes para la comunicación a las personas afectadas que pudieran haberse visto afectadas por la violación de seguridad de los datos de carácter personal, conforme a lo dispuesto en el artículo 34 del RGPD, la forma de notificación será desarrollada en el mismo procedimiento del apartado anterior. La comunicación remitida a las personas afectadas se realizará con una explicación accesible, entendible y pormenorizada de los datos personas afectadas por el incidente y de las potenciales repercusiones que pueden producirse en la esfera de la intimidad personal o familiar.

En todo caso, se respetarán los plazos establecidos en el RGPD para su notificación, teniendo en cuenta también las directrices que en la materia han sido dictadas por la AEPD o las del Comité Europeo de Protección de Datos.

En la relación con los Encargados del Tratamiento del CAST que puedan tratar datos personales se dictarán directrices para la rápida actuación y comunicación de los incidentes de seguridad que puedan producirse.

Artículo 19. 
Ejercicio de derechos por las personas interesadas.

Las personas interesadas podrán ejercitar los derechos reconocidos en el RGPD directamente, previa acreditación de su identidad o por medio de un representante, según lo establecido en el artículo 11 del RGPD y el artículo 12 de la LOPDGDD.

La acreditación de la representación podrá realizarse por cualquier medio válido en derecho, incluyendo los medios telemáticos que pueda poner a disposición el CAST en su sede electrónica.

El CAST para el ejercicio de derechos habilitará diversos canales de comunicación accesibles y gratuitos, facilitando modelos de formularios para una mejor comprensión a las personas afectadas de cómo pueden ejercitar sus derechos. Si entre los canales a disposición de las personas afectadas el CAST habilita un medio de comunicación y recepción de las notificaciones a través de su sede electrónica, la identidad podrá acreditarse mediante el DNI-e o certificado electrónico reconocido o cualificado.

Los medios a disposición de las personas interesadas serán los siguientes, sin perjuicio de que la persona interesada pueda presentar la solicitud por otro canal:

— Correo postal.

— Presentación presencial en el Registro del Consorcio.

— Registro electrónico en la sede electrónica del CAST.

En el supuesto de que la persona afectada no presente de forma adecuada su identificación o el CAST tenga dudas sobre la identidad de la persona afectada podrá requerirle la subsanación o aportación de documentación adicional.

Para la tramitación de las solicitudes de las personas afectadas CAST dictará los procedimientos internos precisos para dar respuesta en tiempo y en la forma elegida, siguiendo lo establecido en el artículo 12 del RGPD y en los artículos 12 y siguientes la LOPDGDD.

Artículo 20. 
Sensibilización y formación.

Se desarrollarán actividades formativas específicas orientadas a la concienciación y formación del personal que presta sus servicios en el Consorcio, así como a la difusión entre los mismos de esta Política y de las instrucciones y políticas internas que deban desarrollarse.

El CAST dispondrá los medios necesarios para que todas las personas con acceso a la información sean informadas acerca de sus deberes en el respeto a la intimidad y la protección de los datos de las personales que se relacionen con el Consorcio, así como de los riesgos existentes en el tratamiento de la información.

El Delegado de Protección de Datos supervisará las acciones de concienciación y formación del personal que participa en las operaciones de tratamiento con datos personales, a fin de garantizar el cumplimiento de esta Política.

El CAST, como Consorcio de apoyo a los ayuntamientos de Asturias, extenderá la sensibilización al personal de los municipios consorciados.

Artículo 21. 
Medidas de seguridad de la información.

Las medidas de seguridad de la información, según los riesgos evaluados, deberán ser adecuadas al contenido del Esquema Nacional de Seguridad, según lo establecido en la Disposición adicional primera de la LOPDGDD.

Artículo 22. 
Plazo de conservación y bloqueo.

1. La conservación de los datos personales tratados por el CAST tendrá en cuenta:

— La terminación de la finalidad por la que fueron recogidos y tratados.

— Los plazos de la política documental y archivo del organismo.

— La prescripción de las infracciones o de la posible presentación de reclamaciones con independencia del orden al que pertenezcan.

— Cualquiera obligación legal existente en relación a la conservación de los documentos.

2. Si el Consorcio dispusiese de datos personales en archivos permanentes, el tratamiento de datos personales se fundamentará en el interés público de conservación, según lo previsto en la vigente legislación en materia de archivo documental y conservación del patrimonio, según lo dispuesto en el artículo 26 de la LOPDGDD.

3. Los datos personales que una vez finalizado el tratamiento sean conservados para la prescripción de infracciones o presentación de reclamaciones permanecerán bloqueados según lo previsto en el artículo 32 de la LOPDGDD.

Título IV. 
De las relaciones con terceros en el tratamiento de datos personales

Artículo 23. 
Principios generales.

1. El CAST en sus actividades como Encargado del Tratamiento respetará en todo momento las directrices de los Responsables del Tratamiento, en cumplimiento de lo establecido en la normativa vigente en la materia.

El CAST mantendrá una actitud proactiva, apoyando y colaborando con el Responsable del Tratamiento en la gestión de los datos personales y aportando sus conocimientos técnicos y jurídicos en la mejora en el tratamiento de los datos personales, respetando en todo momento la legislación vigente, las instrucciones y procedimientos del Responsable del Tratamiento.

2. En su posición del Responsable del Tratamiento, el Consorcio, dictará instrucciones en los pliegos de contratación y que formarán parte del contrato administrativo a los Encargados del Tratamiento, pudiendo, eventualmente, dictar instrucciones no previstas inicialmente por escrito, respetando los principios de la normativa de protección de datos personales, la presente Política y aquellas otras emanadas por la AEPD o el Comité Europeo de Protección de Datos. Se requerirá, especialmente, que el personal que trabaje para los Encargados del Tratamiento haya sido informado y formado sobre la normativa de protección de datos personales y las instrucciones del CAST, incluyendo lo relacionado con las medidas de seguridad de la información, además de los deberes de deber de secreto y confidencialidad requerido.

Para los tratamientos de datos incidentales por parte de terceros que presten un servicio al CAST los pliegos de contratación contemplarán la necesidad de que el contratista informe a sus trabajadores sobre la normativa de protección de datos personales y la necesidad de mantener medidas de diligencia debida, respetando los deberes de secreto y confidencialidad en sus actuaciones.

Artículo 24. 

Encargados del Tratamiento del CAST.

El CAST, en la redacción de los contratos para la prestación de servicio o aquellos otros en los que puedan tratarse datos personales responsabilidad del Consorcio, tendrá en cuenta los principios en materia de protección de datos del artículo 28 del RGPD en todo el ciclo del tratamiento de los datos personales desde la elección de los contratistas, que deben ofrecer garantías suficientes para aplicar medidas técnicas y organizativas apropiadas respetando la libre concurrencia y competencia en las licitaciones públicas, hasta la finalización de la relación contractual con la devolución o, en su caso, destrucción de los mismos.

Los pliegos de contratación establecerán las medidas que el CAST propone para el control, evaluación y, en su caso, auditoría sobre las medidas técnicas y organizativas adoptadas por el Encargado del tratamiento, verificando el grado de cumplimiento de la normativa vigente y de las instrucciones dadas en los contratos al efecto.

En el supuesto de que el CAST admita la subcontratación en un encargo del tratamiento, será precisa su autorización previa, con conocimiento detallado de los datos personales personas afectadas, el tratamiento a realizar, las medidas de seguridad de la información, las posibles transferencias internacionales de datos y el resto de las condiciones pactadas entre las partes en materia de protección de datos, requiriéndose la firma de un acuerdo por escrito entre el contratista y el subcontratista autorizado.

Título V. 
De las medidas de control y evaluación

Artículo 25. 
Revisión y auditoría.

El CAST llevará a cabo de forma periódica, cumpliendo con los plazos establecidos en la normativa vigente o a iniciativa propia, una auditoría encaminada a la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar el adecuado tratamiento de los datos personales.

En todo caso realizará una auditoría específica y extraordinaria cuando se lleven a cabo modificaciones sustanciales en el sistema de información propio del Consorcio que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas para el tratamiento de los datos personales o cuando se hayan detectado incidentes de seguridad reiterados o ante los cambios de la normativa vigente en materia de seguridad de la información.

Las auditorías serán supervisadas por el Delegado de Protección de Datos.

Se deberá tener en cuenta en las modificaciones de la organización interna del Consorcio su efecto sobre las medidas organizativas en materia de protección de datos para, en su caso, proceder a realizarse una revisión de las mismas.

Artículo 26. 
Revisión de la Política de protección de datos.

La presente política se someterá a un proceso de revisión a fin de adaptarse a las circunstancias técnicas u organizativas que puedan surgir o en respuesta a las nuevas necesidades en el tratamiento de datos personales por parte del CAST. La revisión se realizará con carácter obligatorio cuando entren en vigor modificaciones de las normas que afectan directa o indirectamente a la protección de datos personales o a la estructura o fines del CAST.

DISPOSICIONES ADICIONALES. 

Disposición adicional primera. 
Desarrollo de procedimientos

Corresponderá a la Dirección de la CAST, a propuesta de los miembros que integran la estructura organizativa de la política y asistida por la Comisión Asesora sobre Seguridad de la Información del CAST y por el Delegado de Protección de Datos, la adopción de los procedimientos, guías e instrucciones técnicas necesarios para el desarrollo de la presente Política.

En el proceso de desarrollo normativo podrá requerirse la colaboración de los responsables funcionales.

Disposición adicional segunda. 
Publicidad

La presente Política, en aplicación del principio de transparencia establecido en el RGPD será publicado en el Boletín Oficial del Principado de Asturias y en el portal de transparencia del Consorcio.

DISPOSICIÓN FINAL. 

Disposición final única. 
Entrada en vigor

Esta Política entrará en vigor a partir del día siguiente a su publicación en el Boletín Oficial del Principado de Asturias.