Decreto Foral 81/2023, de 4 de julio, de la Diputación Foral de Bizkaia por el que se aprueba la Política de seguridad de la información y protección de datos personales del sector público foral de Bizkaia.
Vigente desde 07/07/2023 | BOB 130/2023 de 6 de Julio de 2023
Con la publicación de este decreto se aprueba el documento en el que se regula de forma unificada la política de seguridad de la información y protección de datos personales del sector público foral de Bizkaia, integrado por la diputación foral y sus entidades y órganos forales, vinculados y adscritos a la misma, recogiendo el contenido de las disposiciones publicadas sobre estas materias.
Para ello, se disponen los principios básicos, los requisitos mínimos, las garantías de seguridad de los sistemas de información, la protección de la información y los datos personales en el teletrabajo, entre otras regulaciones.
Vigencia desde: 07-07-2023
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), establece en el Considerando 1 que «La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (“la Carta”) y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan» y en el Considerando 78 del RGPD se establece que: «La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto…».
Es por ello que el RGPD en su artículo 24, dentro de las obligaciones generales del responsable del tratamiento de datos personales, determina que, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el reglamento. Así mismo, dispone que dichas medidas se revisarán y actualizarán cuando sea necesario y que, cuando sean proporcionadas en relación con las actividades de tratamiento, entre dichas medidas se incluirá la aplicación por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
La Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y
garantía de los derechos digitales, (en adelante LOPDyGDD) regula el derecho fundamental de las personas físicas a la protección de datos personales del artículo 18.4 de la Constitución, que se ejercerá con arreglo a lo establecido en el RGPD y la propia ley orgánica.
El artículo 28 de la LOPDyGDD establece como obligaciones generales, tanto para el responsable del tratamiento como para los encargados de tratamiento, y teniendo en cuenta lo establecido en los artículos 24 y 25 del RGPD, que éstos determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el RGPD, con la LOPDyGDD, sus normas de desarrollo y la legislación sectorial aplicable.
Por otro lado, el artículo 13 de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las Administraciones Públicas, relativo a los derechos de las personas en sus relaciones con las Administraciones Públicas, contempla en su letra h), el derecho a la protección de datos personales y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
Además, el artículo 3.2 de la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público, dispone que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados.
El artículo 156 de la Ley 40/2015, de 1 de octubre, dispone que el Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de los medios electrónicos en el ámbito del sector público, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada. El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante, Real Decreto 311/2022 por el que se regula el ENS), establece que las Administraciones Públicas deben aplicar medidas de seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Considerando la íntima conexión entre ambas materias, esto es, la protección de los datos personales y la gestión de la seguridad de la información, y la obligación de establecer políticas para cada ámbito, se considera la adopción de una única política de seguridad de la información y protección de datos personales que permita un mejor entendimiento y aplicación en el sector público foral de Bizkaia, que lo conformas la Diputación Foral de Bizkaia y las entidades forales.
La Ley Orgánica 3/1979, de 18 de diciembre, de Estatuto de Autonomía para el País Vasco establece en sus artículos 24.2 y 37.3 letra a), respectivamente, la capacidad de autoorganización de los Territorios Históricos y la competencia exclusiva que éstos tienen para la organización, régimen y funcionamiento de sus propias instituciones. En la línea del EAPV, la Ley vasca 27/1983, de 25 de noviembre, de Relaciones entre las Instituciones Comunes de la Comunidad Autónoma y los órganos Forales de sus Territorios Históricos (en adelante, LTH), atribuye a estos últimos, en su artículo 7.a.1), competencia exclusiva entre otras, para la organización, régimen y funcionamiento de sus órganos forales.
La Diputación Foral de Bizkaia de conformidad con lo establecido en la Norma Foral 3/87, de 13 de febrero sobre elección, organización, régimen y funcionamiento de las Instituciones Forales del Territorio Histórico de Bizkaia, en su artículo 12.1, es el órgano colegiado que, en la esfera de sus competencias, asume el gobierno y administración de Bizkaia, correspondiéndole la función ejecutiva, la potestad reglamentaria y la iniciativa normativa. Teniendo en cuenta el marco de competencias expuesto y su capacidad de autoorganización, la Diputación Foral de Bizkaia ha aprobado el siguiente marco jurídico de adecuación al RGPD y al ENS, aplicable a la institución foral y al resto de las entidades forales del sector público foral de Bizkaia:
1. Decreto Foral de la Diputación Foral de Bizkaia 173/2013, de 10 de diciembre, por el que se aprueba la implantación de medidas de seguridad, organizativas, de infraestructura, aplicaciones y servicios en materia de protección de datos de carácter personal. Modificado por el Decreto Foral de la Diputación Foral de Bizkaia 187/2015, de 15 de diciembre.
2. Acuerdo de la Diputación Foral de Bizkaia de 21 de marzo de 2017 por el que se aprueba la Política de Seguridad de la información.
3. Acuerdo de la Diputación Foral de Bizkaia de 27 de marzo de 2018, por el que se procede a la aprobación del Código de Conducta Informático para su aplicación en la Diputación Foral de Bizkaia.
4. Acuerdo de la Diputación Foral de Bizkaia de 15 de mayo de 2018, por el que se procede a la creación, designación y regulación del estatuto jurídico de la persona delegada de protección de datos de la Diputación Foral de Bizkaia y entidades forales del artículo 2 del Decreto Foral Normativo 5/2013, de 3 de diciembre, por el que se aprueba el Texto Refundido de la Norma Foral 5/2006 de 29 de diciembre, General Presupuestaria del Territorio Histórico de Bizkaia.
5. Orden Foral 11774/2019, de 19 de noviembre, de la Diputada Foral de Administración Pública y Relaciones Institucionales, por la que se revisa y actualiza la organización y funciones de la Comisión Interdepartamental de Dirección en materia de protección de datos de carácter personal y de las personas responsables departamentales en materia de datos de carácter personal, a la luz del Decreto Foral de la Diputación Foral de Bizkaia 173/2013, de 10 de diciembre, por el que se aprueba la implantación de medidas de seguridad, organizativas, de infraestructura, aplicaciones y servicios en materia de protección de datos de carácter personal.
6. Acuerdo de la Diputación Foral de Bizkaia de 18 de febrero de 2020, por el que se procede a la creación, regulación, mantenimiento y publicación del Registro de Actividades de Tratamiento de datos personales de la Diputación Foral de Bizkaia, de conformidad con el artículo 30 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
En el artículo 27.6 letra p) del Decreto Foral de la Diputación Foral de Bizkaia 84/2022, de 28 de junio, por el que se aprueba el Reglamento que regula el Gabinete del Diputado General y el Gabinete de Estrategia Digital y Corporativa, se establece que la Sección de asesoramiento jurídico, seguridad de la información y protección de datos de la Dirección General de Buen Gobierno y Transparencia perteneciente al Gabinete de Estrategia Digital y Corporativa, tiene como funciones, entre otras las de: «Analizar y proponer mejoras organizativas, de procedimientos y funcionales en materia del Esquema Nacional de Seguridad y protección de datos, y elaborar la documentación técnica y los desarrollos normativos procedentes. A este respecto se encargará de identificar los niveles de cumplimiento de las medidas de seguridad y protección de datos aplicables y determinar las recomendaciones correspondientes y promoverá la implantación coordinada de las mismas, asumiendo las funciones de responsable de seguridad de ficheros a efectos de la normativa vigente en materia de protección de datos y de los sistemas de información afectos al Esquema Nacional de Seguridad.»
Además, el artículo 22 de dicho decreto foral establece que el Gabinete de Estrategia Digital y Corporativa es el órgano al que compete la dirección, impulso y coordinación de iniciativas corporativas, proyectos y actuaciones de naturaleza interdepartamental de la Diputación Foral de Bizkaia y de las entidades del sector público foral encaminadas a la consecución de una administración avanzada, digital e innovadora en su modelo de gestión, que cuente con sistemas de mejora continua de los servicios públicos que redunden en el bienestar de la ciudadanía, eficiente en el uso de los recursos, tanto materiales como humanos y liderada por un equipo de dirección y empleados públicos guiados por los más altos estándares de transparencia y buen gobierno.
Por todo lo anterior, se propone la regulación y aprobación de la Política de seguridad de la información y protección de datos personales del sector público foral de Bizkaia, a fin de unificar las disposiciones aprobadas hasta la fecha por la institución foral en esta materia, y en aras a disponer de un marco jurídico único integral en los dos ámbitos. Dando cumplimiento a los anteriormente citados Decreto Foral 173/2013 y Orden Foral 11774/2019, se ha informado al Comité de Dirección en materia de Protección de datos y Seguridad de la Información del sector público foral en sesión celebrada el 14 de diciembre de 2022.
La estructura se articula en torno a un artículo único que aprueba ocho capítulos, una disposición adicional, una disposición transitoria, tres disposiciones derogatorias y dos disposiciones finales:
Los capítulos son:
— Capítulo I: Misión y marco normativo.
— Capítulo II: Objeto y ámbito de aplicación.
— Capítulo III: Principios básicos de la seguridad de la información y protección de datos personales.
— Capítulo IV: Roles y responsabilidades.
— Capítulo V: Protección de datos personales.
— Capítulo VI: Requisitos mínimos de la política de seguridad de la información y garantías de seguridad de los sistemas de información.
— Sección 1.ª: Requisitos mínimos de la política de seguridad de la información.
— Sección 2.ª: Garantías de seguridad de los sistemas de información.
— Capítulo VII: Análisis y gestión de riesgos.
— Capítulo VIII: Protección de la información y los datos personales en situaciones de movilidad, trabajo en remoto y teletrabajo.
El presente decreto foral responde a los principios de buena regulación previstos en
la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las Administraciones Públicas, y recogidos en el artículo 3 del Decreto Foral 87/2021, de 15 de junio, de la Diputación Foral de Bizkaia, por el que se regula el procedimiento de elaboración de disposiciones de carácter general en la Diputación Foral de Bizkaia.
Atendiendo a lo dispuesto en el Decreto Foral 87/2021, en su elaboración se han
cumplimentado los siguientes trámites:
1. Orden Foral de incoación, conforme al artículo 12.
2. Informe Jurídico del gabinete promotor, conforme al artículo 16.
3. Informe de control económico e informe de organización, conforme al artículo 17.
4. Informe de Evaluación Previa del Impacto en Función del Género, conforme al artículo 18.
5. Informe de legalidad, conforme al artículo 20.
El artículo 39.k) de la Norma Foral 3/1987, de 13 de febrero, sobre Elección, Orga-
nización, Régimen y Funcionamiento de las Instituciones Forales del Territorio Histórico de Bizkaia, señala que compete a los Diputados Forales proponer a la Diputación Foral, para su aprobación, los proyectos de decreto foral en las materias propias de su departamento; la disposición adicional segunda del Decreto Foral de la Diputación Foral de Bizkaia 84/2022, de 28 de junio, por el que se aprueba el Reglamento que regula el Gabinete del Diputado General y el Gabinete de Estrategia Digital y Corporativa, establece que a los efectos de tramitar la gestión y elaboración de los proyectos de disposiciones normativas y de propuestas de acuerdos en cuantas materias específicas le corresponde al Gabinete de Estrategia Digital y Corporativa en virtud del presente decreto foral se habilita y establece, que la Ilustrísima Diputada Foral de Administración Pública y Relaciones Institucionales elevará y propondrá a Consejo de Gobierno y firmará las propuestas que le realice el Jefe de dicho Gabinete y que tienen su habilitación económica en la correlativa competencia presupuestaria ubicada en el orgánico del Departamento de Administración Pública y Relaciones Institucionales, del que la Diputada Foral ostenta la titularidad y la competencia orgánica y funcional, todo ello dando cumplimiento al artículo 39 de la Norma Foral 3/1987, de 13 de febrero, sobre Elección, Organización, Régimen y Funcionamiento de las Instituciones Forales del Territorio Histórico de Bizkaia. En su virtud, a iniciativa de la Diputada Foral del Administración Pública y Relaciones
Institucionales, y previa deliberación de la Diputación Foral de Bizkaia,
DISPONGO:
Aprobación de la Política de seguridad de la información y protección de datos personales del sector público foral de Bizkaia, que se incluye a continuación.
En Bilbao, a 4 de julio de 2023.
La diputada foral de Administración Pública y Relaciones Institucionales,
ELIXABETE ETXANOBE LANDAJUELA
El Diputado General,
UNAI REMENTERIA MAIZ
El sector público foral del Territorio Histórico de Bizkaia se halla integrado por la Diputación Foral de Bizkaia y por sus entidades forales, entes vinculados a la Diputación Foral de Bizkaia y adscritos a sus departamentos, que pueden adoptar la forma de: organismos autónomos forales, entidades públicas empresariales forales, sociedades mercantiles forales, fundaciones forales, consorcios forales y otros entes forales de derecho público distintos a los anteriores.
El sector público foral tiene como objetivo básico lograr el mayor nivel de calidad de vida posible para toda la sociedad de Bizkaia, tomando para ello las decisiones necesarias en el ámbito de las competencias establecidas en el EAPV y en la LTH, y demás normativa. Para el desempeño de sus actividades y prestación de servicios públicos, el cumplimiento de la normativa vigente en protección de datos y seguridad de la información exige dotar al sector público foral de la presente política reguladora de la protección de datos personales y de seguridad de la información.
Se establece el marco jurídico en materia de protección de datos personales y seguridad de la información que sirve de referencia y valida la Política de seguridad de la información y protección de datos personales del sector público foral de Bizkaia.
Legislación y normas aplicables:
a) El presente decreto foral.
b) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
c) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDyGDD).
d) Ley 2/2004, de 25 de febrero, de ficheros de datos de carácter personal de titu-laridad pública y de creación de la Agencia Vasca de Protección de Datos.
e) Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
f) Decreto Foral Normativo 5/2013, de 3 de diciembre, por el que se aprueba el Texto Refundido de la Norma Foral 5/2006 de 29 de diciembre, General Presupuestaria del Territorio Histórico de Bizkaia.
g) Norma Foral 2/2005, de 10 de marzo, General Tributaria del Territorio Histórico de Bizkaia.
h) Norma Foral 1/2016, de 17 de febrero, de Transparencia de Bizkaia.
i) Decreto Foral de la Diputación Foral de Bizkaia 106/2020, de 1 de diciembre, por el que se regula la apertura de datos en el portal de datos abiertos de la Diputación Foral de Bizkaia Open Data Bizkaia.
j) Decreto Foral de la Diputación Foral de Bizkaia 84/2022, de 28 de junio, por el que se aprueba el Reglamento que regula el Gabinete del Diputado General y el Gabinete de Estrategia Digital y Corporativa.
k) Normativa foral cuyo ámbito de aplicación está orientado a la regulación del dato: Gobernanza del dato y Estatuto del dato.
l) Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las Administraciones Públicas.
m) Ley 40/2015, de 1 de octubre, de régimen jurídico del Sector Público.
n) Resto de normativa que resulte de aplicación.
Complementan el marco normativo las guías e instrucciones emitidas por Autoridades de Control y Organismos oficiales en materia de protección de datos personales y seguridad de la información, así como las resoluciones dictadas por la Diputación Foral de Bizkaia en esta materia:
a) Acuerdo de la Diputación Foral de Bizkaia de 27 de marzo de 2018, por el que se procede a la aprobación del Código de Conducta Informático para su aplicación en la Diputación Foral de Bizkaia.
b) Acuerdo de la Diputación Foral de Bizkaia de 18 de febrero de 2020, por el que se procede a la creación, regulación, mantenimiento y publicación del Registro de Actividades de Tratamiento de datos personales de la Diputación Foral de Bizkaia, de conformidad con el artículo 30 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
c) Instrucción de cumplimiento del Gabinete de Estrategia Digital y Corporativa de 30 de marzo de 2020, para la incorporación en Reglamentos de estructura, de las funciones y responsabilidades que desempeñan: las personas dinamizadoras en materia de protección de datos y seguridad de la información y las direcciones generales, en calidad de responsables del tratamiento en materia de protección de datos y en calidad de responsables de información en materia de seguridad de la información.
Para facilitar la interpretación de la presente política se facilita el siguiente glosario de términos, el cual puede completarse con lo establecido en el artículo 4 del RGPD y en el anexo IV del Real Decreto 311/2022 por el que se regula el ENS: Ámbito de protección de datos personales
a) Datos personales: toda información sobre una persona física identificada o iden-tificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
b) Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
c) Evaluación de impacto: herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo.
Ámbito seguridad de la información
a) Activo: componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la Diputación Foral de Bizkaia o para las entidades forales. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
b) Análisis de riesgos: utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.
c) Autenticidad: propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.
d) Categoría de un sistema: nivel, dentro de la escala Básica-Media-Alta, con el que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo. La categoría del sistema recoge la visión holística del conjunto de activos como un todo armónico, orientado a la prestación de unos servicios.
e) Confidencialidad: propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados.
f) Disponibilidad: propiedad o característica de los activos consistente en que las en-tidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.
g) Incidente de seguridad: suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información
h) Integridad: propiedad o característica consistente en que el activo de informa-ción no ha sido alterado de manera no autorizada.
i) Medidas de seguridad: conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, de disuasión, de protección, de detección y reacción, o de recuperación.
j) Sistema de información: conjunto organizado de recursos para que la informa-ción se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
k) Trazabilidad: propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.
4.1. Objeto
La presente política de seguridad de la información y protección de datos personales del sector público foral de Bizkaia tiene por objeto:
a) Establecer el marco normativo que recoja los principios básicos y requisitos mínimos que permitan una protección adecuada de la información que se gestiona en el ámbito del sector público foral de Bizkaia, y que será de aplicación, a todos los servicios y sistemas de información y a todas las actividades de tratamiento de datos personales de los que sean responsables la Diputación Foral de Bizkaia y sus entidades forales. En particular, la política de seguridad de la información establece las directrices que rigen la forma en la que la Diputación Foral de Bizkaia y sus entidades forales gestionan y protegen la información que tratan y los servicios que prestan.
b) Definir el modelo organizativo y técnico apropiado para garantizar el cumplimiento de la normativa aplicable al tratamiento de los datos personales y al acceso y utilización de los sistemas de información.
4.2. Ámbito de aplicación
Lo dispuesto en esta política será de obligado cumplimiento para todas las unidades
que conforman la estructura orgánica de la Diputación Foral de Bizkaia y de sus entidades forales y para todo el personal con acceso a la información de las que son responsables aquellas, con independencia de su destino, condición laboral o relación por la que se accede a la información. En particular, quedarán comprendidas en el ámbito subjetivo de aplicación:
a) La Diputación Foral de Bizkaia y las entidades forales comprendidas en el artículo 2 del Decreto Foral Normativo 5/2013, de 3 de diciembre, por el que se aprueba
el Texto Refundido de la Norma Foral 5/2006 de 29 de diciembre, General Presupuestaria del Territorio Histórico de Bizkaia, respecto de la información tratada por cualquier medio con independencia del soporte en el que se encuentre.
b) Otras personas o entidades con acceso a información: cuando las entidades incluidas en el ámbito de aplicación subjetivo de la presente política utilicen servicios externos o permitan el acceso legítimo o cedan información a terceras personas, en particular cuando éstas participen, utilicen, operen o administren datos personales y/o sistemas de información y comunicaciones, se les hará partícipes de esta Política de seguridad de la información y protección de datos personales del sector público foral de Bizkaia, quedando sujetas a las obligaciones establecidas en las mismas.
Todo el personal empleado dentro del ámbito de aplicación de esta política tiene la obligación de conocerla y cumplirla, así como de conocer y cumplir las normativas que se deriven de ésta. La unidad orgánica competente en protección de datos y/o seguridad de la información de la Diputación Foral de Bizkaia, y los responsables de seguridad en las entidades forales, dispondrán los medios necesarios para que la información llegue a las personas afectadas, para lo cual se apoyarán en la infraestructura de roles definida en la presente política.
La protección de datos personales y la seguridad de la información compromete y obliga a todo el personal interno de Diputación Foral de Bizkaia y entidades forales, así como a terceras personas que presten servicios a éstas o que se relacionen con las mismas mediante la correspondiente relación jurídica.
La Diputación Foral de Bizkaia fomentará el desarrollo de planes de formación, enfocados y dirigidos tanto al personal de la Diputación Foral de Bizkaia como al de las entidades forales para que reciban sesiones de concienciación en materia de protección de datos personales y seguridad de la información de manera periódica. En particular, se prestará especial atención a los siguientes ámbitos y objetivos:
a) Que se preste formación y concienciación a las nuevas incorporaciones de per-sonal, y de forma periódica y continuada, a todo el personal de la Diputación Foral de Bizkaia, así como al de las entidades forales.
b) Que las personas con responsabilidad en el uso, operación o administración de sistemas reciban formación para el manejo seguro de los sistemas, en la medida en que la necesiten para desempeñar de forma eficaz y eficiente su trabajo.
c) Que la formación en protección de datos personales y seguridad de la informa-ción que se diseñe y apruebe para su impartición entre personal perteneciente a grupos específicos, que por las necesidades del puesto de trabajo necesiten adquirir conocimientos en la misma, tenga carácter preferente y en su caso, sea obligatoria al objeto de cubrir estas necesidades formativas en el desempeño de las funciones del puesto y la correcta asunción de las responsabilidades inherentes al mismo.
La Diputación Foral de Bizkaia y las entidades del sector público foral de Bizkaia serán responsables del cumplimiento de lo dispuesto en la presente política y deberán ser capaces de demostrar su cumplimiento, asumiendo su responsabilidad proactiva.
Para ello, tratarán la información y los datos personales conforme a los siguientes principios estructurales de la protección de datos y la seguridad de la información:
a) Alcance estratégico: la protección de datos personales y la seguridad de la información deberán contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas de la Diputación Foral de Bizkaia y las entidades forales para conformar un todo coherente y eficaz.
b) Responsabilidad proactiva: la Diputación Foral de Bizkaia y las entidades forales serán responsables del cumplimiento de los principios referenciados en este artículo y adoptarán las medidas organizativas, operacionales y técnicas que le permitan estar en condiciones de demostrar dicho cumplimiento.
c) Diferenciación de responsabilidades: las responsabilidades que se detallan sobre los datos personales, la información, los servicios, la seguridad y otros aspectos de la gestión se encontrarán diferenciadas en diversos roles, que estarán permanentemente habilitados y capacitados para desempeñar su función. Respecto a los sistemas de información de la Diputación Foral de Bizkaia y de las entidades forales se diferencian, entre otros, los siguientes roles: responsable de la información, responsable del servicio, responsable de seguridad y responsable del sistema, se detallan sus atribuciones y se establecen mecanismos de coordinación y resolución de conflictos. Completan el marco de responsabilidades el resto de los roles descritos en la presente política respecto del ámbito de protección de datos. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información.
d) Cumplimiento: se adoptarán las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información y protección de datos personales.
e) Licitud, lealtad y transparencia: se tratarán los datos personales de manera lícita, leal y transparente con las personas físicas titulares de los mismos, sus representantes y en su caso, personas interesadas.
f) Limitación de la finalidad: los datos personales serán recogidos con fines determinados, explícitos y legítimos y no serán tratados ulteriormente de manera incompatible con dichos fines. El tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, no se considerará incompatible con los fines iniciales.
El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial y cumpliendo las condiciones y los requisitos establecidos en la normativa de protección de datos de aplicación en el Considerando 50, el artículo 6.4 RGPD y el cumplimiento del deber de informar de ese otro fin ulterior conforme a los artículos 13.3 y 14.4 RGPD.
g) Minimización de datos: los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
h) Exactitud: los datos personales serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan, de acuerdo con el principio de exactitud.
i) Limitación del plazo de conservación: los datos personales serán mantenidos de forma que se permita la identificación de las personas interesadas durante no más tiempo del necesario para los fines del tratamiento de los datos personales y cumplimiento del plazo de prescripción de posibles responsabilidades que deriven del tratamiento; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89.1 RGPD, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el reglamento a fin de proteger los derechos y libertades, de acuerdo con el principio de limitación del plazo de conservación.
j) Integridad y confidencialidad: los datos serán tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. El objeto último de la seguridad de la información será el de garantizar que Diputación Foral de Bizkaia y las entidades forales puedan cumplir sus objetivos utilizando sistemas de información.
k) Atención a los derechos de las personas interesadas: se adoptarán las medidas que garanticen el adecuado ejercicio por las personas interesadas, cuando proceda, de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad respecto de sus datos personales.
l) Actualización y adecuación: la protección de los datos de los sistemas de información y de los servicios será adecuada, independientemente de los cambios de contexto que se produzcan, adaptándose de manera eficaz y eficiente en todo momento.
m) Seguridad como proceso integral: la seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales, jurídicos y organizativos relacionados con los sistemas de información y empleados por la Diputación Foral de Bizkaia y las entidades forales. La aplicación de la presente política estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural.
Se adoptarán las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información y protección de datos personales. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y la de los responsables orgánicos, para evitar que, la ignorancia, la falta de organización y de coordinación o de instrucciones adecuadas, constituyan fuentes de riesgo para la seguridad.
n) Gestión de la seguridad basada en los riesgos: el proceso de seguridad que protegerá los derechos y libertades de las personas interesadas, así como los activos de la Diputación Foral de Bizkaia y las entidades forales se basará en la gestión del riesgo que permita minimizarlo hasta niveles aceptables, manteniendo el equilibrio entre la funcionalidad, la naturaleza de los datos, los tratamientos y las medidas de control a aplicar.
ñ) Análisis y gestión de los riesgos: el análisis y gestión de riesgos será parte esencial del proceso de seguridad y constituirá una actividad continua y permanentemente actualizada. La gestión de los riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos a niveles aceptables. La reducción a estos niveles se realizará mediante una apropiada aplicación de medidas de seguridad, de manera equilibrada y proporcionada a la naturaleza de la información a tratar, de los servicios a prestar y de los riesgos a los que estén expuestos. En el capítulo VII de la presente política se desarrolla este principio en cuanto al análisis y gestión de riesgos.
o) Prevención, detección, respuesta y conservación: para la seguridad de los sistemas de información de la Diputación Foral de Bizkaia y de las entidades forales, y con el objetivo de minimizar las vulnerabilidades y lograr que las amenazas no se materialicen o que en caso de producirse no afecten gravemente a la información que manejan o a los servicios que prestan, se establecerán las siguientes medidas:
1.º Medidas de prevención para eliminar o reducir la posibilidad de que las amenazas se materialicen.
2.º Medidas de detección para descubrir la presencia de un incidente de seguridad.
3.º Medidas de respuesta dirigidas a restaurar la información y los servicios afectados por un incidente de seguridad.
4.º Medidas de conservación para garantizar en el sistema de información los datos e información en soporte electrónico.
Además, los sistemas de información de la Diputación Foral de Bizkaia y de las entidades forales mantendrán disponibles los servicios durante todo el ciclo vital de la información digital para la preservación del patrimonio digital.
p) Proporcionalidad: la Diputación Foral de Bizkaia y las entidades forales establecerán medidas de protección, detección y recuperación que resulten proporcionales a los potenciales riesgos y a la criticidad y el valor de la información de los tratamientos de datos personales y de los servicios afectados.
q) Reducción de la probabilidad y del impacto: se considerará el establecimiento de líneas de defensa constituidas por distintas capas de seguridad que permitan reducir los tiempos de reacción ante cualquier incidente, reducir la probabilidad de que se produzcan y minimizar el impacto sobre las personas interesadas, o los activos de Diputación Foral de Bizkaia y las entidades forales.
r) Existencia de líneas de defensa: se dispondrá de una estrategia de protección constituida por múltiples capas de seguridad. Cada capa permitirá:
1.º Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse.
2.º Reducir la probabilidad de que el sistema de información sea comprometido en su conjunto.
3.º Minimizar el impacto final sobre el mismo.
Las líneas de defensa estarán constituidas por medidas de naturaleza organizativa, física y lógica.
s) Seguridad de los activos de información: se implantarán las medidas técnicas y organizativas necesarias para que las personas que tienen acceso a los activos de información y a los datos personales conozcan sus obligaciones y responsabilidades y, de este modo, se reduzca el riesgo derivado de un uso indebido de dichos activos.
t) Seguridad en la gestión de comunicaciones: se establecerán los procedimientos necesarios para lograr una adecuada gestión de la seguridad y actualización de las tecnologías de la información y comunicaciones. La información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad.
u) Gestión de los incidentes de seguridad: la Diputación Foral de Bizkaia fortalecerá la ciberseguridad de su sector público foral con la dedicación de recursos económicos, humanos y tecnológicos que se han de dimensionar atendiendo al principio de proporcionalidad y al nivel de seguridad requerido, para lo que establecerá la debida planificación y procedimentación procurando la participación de los agentes involucrados, según una dinámica de mejora continua participativa.
v) Seguridad del entorno tecnológico: la Diputación Foral de Bizkaia, con el objetivo de alcanzar, mantener y garantizar un entorno tecnológico seguro en todo el sector público foral de Bizkaia (Diputación Foral de Bizkaia y entidades forales) respecto a la utilización de la infraestructura informática y de los sistemas de la información y contando con el soporte para ello de su administrador de seguridad, Lantik S.A.M.P, planificará y ejecutará cuantas medidas técnicas y organizativas sean necesarias para el despliegue de las tareas que den cumplimiento a la presente política de seguridad de la información y protección de datos personales u otras normas, disposiciones y/o resoluciones administrativas que se adopten en el ámbito de la seguridad de la información y en el de la protección de datos personales. Todo ello, con el fin último de evitar disfunciones que pudieran propiciar la aparición de incidentes de seguridad provocadas por puntos débiles en los sistemas de información que posibiliten incidentes accidentales o incluso, ciberataques.
w) Vigilancia continua y reevaluación periódica: se establecerán mecanismos de vigilancia continua que permitan la detección de actividades o comportamientos anómalos y la respuesta a los mismos. Además, se realizará una evaluación permanente de los activos en cuanto a su estado de seguridad que mida su evolución, detecte sus vulnerabilidades e identifique sus deficiencias de configuración. También se reevaluarán y actualizarán periódicamente las medidas de seguridad para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.
x) Infraestructura y recursos informáticos: la Diputación Foral de Bizkaia y las entidades forales disponen de infraestructura y recursos informáticos que garantizan la eficiencia y rapidez en la prestación de sus servicios. Entre estos instrumentos de trabajo se incluyen, entre otros: equipos informáticos, programas, servidores y redes que posibilitan el uso de las herramientas informáticas, el acceso a otras redes (por ejemplo: internet, intranet, red corporativa), la utilización de servicios corporativos como el correo electrónico y el acceso a aplicaciones.
y) Adquisición e instalación de productos de seguridad para el acceso y uso aceptable de los sistemas de información: la utilización de la infraestructura informática se realizará conforme a las pautas y directrices que establece el Código de Conducta Informático aprobado mediante Acuerdo de la Diputación Foral de Bizkaia de 27 de marzo de 2018 o, en su caso, cualquier modificación o actualización futura que derive del mismo, y resto de normativa y procedimientos de seguridad que se aprueben.
z) Seguridad desde el diseño y por defecto: la Diputación Foral de Bizkaia tiene como objetivo avanzar en la implementación de una cultura de cumplimiento y responsabilidad para mitigar los riesgos. La inclusión de la protección de datos y seguridad desde el diseño y por defecto para todos los tratamientos de datos personales y los sistemas de información, será promovido por la Diputación Foral de Bizkaia y las entidades forales de acuerdo con la normativa de protección de datos personales y de seguridad de la información. En este sentido, teniendo en cuenta que el cumplimiento del principio de protección de datos personales está relacionado con el principio de transparencia, se adquiere el compromiso de realizar un planteamiento en el que se diseñen procesos orientados a la obtención de resultados más respetuosos con la privacidad y la transparencia, así como con las dimensiones de seguridad, disponibilidad, autenticidad, trazabilidad, integridad y confidencialidad, seleccionando aquellas opciones de las futuras aplicaciones, productos o servicios que afecten significativamente a estas.
La estructura organizativa del sector público foral de Bizkaia, que establece y asigna las funciones, competencias y responsabilidades en el ámbito de la protección de datos personales y de la seguridad de la información, se desarrolla en las figuras y roles descritos en el presente capítulo.
A fin de dotar de estabilidad la estructura de seguridad de la información y de protección de datos personales, los roles descritos se asignan a puestos o cargos de la estructura orgánica de cada entidad del sector público foral (Diputación Foral de Bizkaia o entidades forales). Por lo tanto, el nombramiento para el puesto o cargo que corresponda conlleva la asunción del rol, así como la consiguiente aceptación de responsabilidades y funciones en el ejercicio del puesto o cargo correspondiente.
Es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otras, determina los fines y medios del tratamiento, de acuerdo con el artículo 4 del RGPD. Para su desempeño le corresponden las siguientes responsabilidades y funciones:
a) Decide y aplica las medidas técnicas y organizativas de seguridad adecuadas a los tratamientos de datos que se encuentren bajo su responsabilidad.
b) Realiza los correspondientes análisis de riesgos y evaluaciones de impacto cuando sean necesarios de acuerdo con el RGPD.
c) Notifica a la autoridad de control competente las violaciones de la seguridad de los datos personales, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará a la persona interesada sin dilación indebida. Para realizar estas notificaciones contará con la asistencia técnica del administrador de seguridad y, en su caso, se valorará la delegación de la tarea en éste, según complejidad técnica de la violación.
d) Resuelve las solicitudes de ejercicio de derechos en materia de protección de datos personales con arreglo a los artículos 15 a 22 del RGPD.
e) Con carácter general, desempeña el resto de las funciones que le asigne la normativa de protección de datos personales.
8.1. En el ámbito de la Diputación Foral de Bizkaia: serán responsables del tratamiento, con carácter general, las direcciones generales, tal y como establece el Acuerdo de la Diputación Foral de Bizkaia de 18 de febrero de 2020, por el que se procede a la creación, regulación, mantenimiento y publicación del Registro de Actividades de Tratamiento de datos personales de la Diputación Foral de Bizkaia.
8.2. En el ámbito de las entidades forales: en la misma línea, serán responsables del tratamiento de datos personales las direcciones generales o gerencias, o cualquier otra unidad orgánica que disponga de la atribución de estas funciones.
Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Desempeña las siguientes responsabilidades y funciones:
a) Asiste a la persona responsable del tratamiento, teniendo en cuenta la naturaleza del tratamiento, para el cumplimiento de las medidas técnicas y organizativas apropiadas, siempre que sea posible, para que éste pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de las personas interesadas.
b) Ayuda a la persona responsable del tratamiento a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición de la persona encargada del tratamiento.
c) A elección de la persona responsable del tratamiento, suprime o devuelve todos los datos personales una vez finaliza la prestación de los servicios de tratamiento, y suprime las copias existentes, a menos que se requiera la conservación de los datos personales.
d) Pone a disposición de la persona responsable del tratamiento toda la informa-ción necesaria para demostrar el cumplimiento de las obligaciones, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones.
e) Informa inmediatamente a la persona responsable del tratamiento si, de acuerdo con su criterio, una instrucción o actividad infringe cualquier disposición en materia de protección de datos personales.
f) Notifica sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
g) Cuando una persona encargada de tratamiento recurra a otra persona encar-gada para llevar a cabo determinadas actividades de tratamiento por cuenta de la persona responsable, se impondrá a esta otra persona encargada, mediante contrato u otro acto jurídico, las mismas obligaciones de protección de datos personales que las estipuladas en el contrato u acto jurídico entre responsable y encargado principal, en particular la prestación de las garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del RGPD. Si esa otra persona encargada incumple sus obligaciones de protección de datos personales, la persona encargada inicial seguirá siendo plenamente responsable ante la persona responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones de la otra persona encargada.
h) Con carácter general, desempeña el resto de las funciones que le asigne la normativa de protección de datos personales.
En el ámbito de la Diputación Foral de Bizkaia y de las entidades forales, serán aquellas personas físicas o jurídicas con las que la Diputación Foral de Bizkaia o las entidades forales establezcan una relación jurídica que aúne de manera acumulativa las siguientes características:
1.º La relación jurídica se formalice mediante alguno de los siguientes negocios jurídicos: encargo a medio propio, encomienda de gestión, convenio o contrato.
2.º Estos negocios jurídicos den lugar y generen tratamientos de datos personales.
Le corresponden las siguientes responsabilidades y funciones:
a) Responsabilidad última del uso que se haga de la información, y de su protección.
b) Responsabilidad última de cualquier error o negligencia que conlleve un incidente de seguridad, en el ámbito de protección de datos personales en las dimensiones de confidencialidad o de integridad y en el ámbito de seguridad de la información en la dimensión de disponibilidad.
c) Valora la información y los servicios pertenecientes a su sistema de información, según el impacto que tendría un incidente que afectara a la seguridad de la información con perjuicio para las dimensiones de seguridad, siguiendo el procedimiento y dentro del marco establecido en el Anexo I del Real Decreto 311/2022 por el que se regula el ENS.
d) Determina los requisitos de seguridad y los niveles de seguridad de la información y de los servicios pertenecientes a su sistema de información. La aprobación formal de los requisitos de seguridad, niveles de seguridad y valoraciones se realizará por el responsable de la información a propuesta conjunta de los responsables del servicio de su sistema de información (éstos proponen y determinan previamente los requisitos, niveles y valoraciones de seguridad de la información y del servicio) con la asistencia del responsable de seguridad y con el soporte del administrador de seguridad.
e) Propone al responsable de seguridad la categoría de su información y/o de su sistema/s de información, dentro de su ámbito competencial.
f) Participa en la toma de decisión de la suspensión de larga duración del trata-miento de la información que le afecte, junto con el Comité de Dirección en materia de protección de datos personales y seguridad de la información del sector público foral, responsables del servicio afectado y el responsable de seguridad. Además, es informado por el responsable de seguridad de la suspensión cautelar del tratamiento de la información que le afecte, suspensión cautelar que adopta el responsable de seguridad.
g) Con carácter general, debe tener en cuenta las indicaciones del responsable del sistema y del responsable de seguridad.
10.1. En el ámbito de la Diputación Foral de Bizkaia: con carácter general serán las direcciones generales respecto a la información o sistema/s de información de su ámbito competencial, según se establece en la instrucción de cumplimiento del Gabinete de Estrategia Digital y Corporativa de 30 de marzo de 2020, para la incorporación en Reglamentos de estructura, de las funciones y responsabilidades que desempeñan. El procedimiento de designación y /o renovación del rol de responsable de información se realizará mediante la aprobación por la Diputación Foral de Bizkaia del correspondiente reglamento de estructura orgánica en el que se incluirá dicho rol.
10.2. En el ámbito de las entidades forales: en la misma línea, serán las direcciones generales o gerencias, o cualquier otra unidad orgánica que disponga de la atribución de estas funciones. El procedimiento de designación y/o renovación del rol de responsable de información se realizará mediante la aprobación del mismo por el órgano de gobierno correspondiente de cada entidad foral.
Le corresponden las siguientes responsabilidades y funciones:
a) Propone al responsable de información para su aprobación definitiva: la valora-ción de su servicio y de la información tratada en el mismo, y la determinación de los requisitos de seguridad y los niveles de seguridad del mismo.
Para la valoración tendrá en cuenta el impacto que supondría un incidente que afectará a la seguridad con perjuicio para las dimensiones de seguridad, siguiendo el procedimiento y dentro del marco establecido en el Anexo I del Real Decreto 311/2022 por el que se regula el ENS, con la asistencia del responsable de seguridad y con el soporte del administrador de seguridad.
b) Participa en la toma de decisión de la suspensión de larga duración de la presta-ción de su servicio, junto con el Comité de Dirección en materia de protección de datos personales y seguridad de la información del sector público foral, responsables de la información afectados, y el responsable de seguridad. Además, es informado por el responsable de seguridad de la suspensión cautelar del servicio que le afecte, suspensión cautelar que adopta el responsable de seguridad.
c) Con carácter general, debe tener en cuenta las indicaciones del responsable del sistema y del responsable de seguridad.
11.1. En el ámbito de la Diputación Foral de Bizkaia: con carácter general, serán las Jefaturas de Servicio (o en su caso, sección en defecto de servicio en la estructura orgánica). El procedimiento de designación y /o renovación del rol de responsable del servicio se realizará mediante la aprobación por la Diputación Foral de Bizkaia del correspondiente reglamento de estructura orgánica en el que se incluirá dicho rol.
11.2. En el ámbito de las entidades forales: este rol se desempeñará por las personas responsables de las áreas/servicios/unidades en que se estructure cada entidad, siendo responsabilidad de cada entidad, la determinación y la asignación específica de funciones de acuerdo con su estructura orgánica. El procedimiento de designación y /o renovación del rol de responsable de servicio se realizará mediante la aprobación del mismo por el órgano de gobierno correspondiente de cada entidad foral.
Le corresponden las siguientes responsabilidades y funciones:
a) Mantiene la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo con lo establecido en la presente política y en el resto de normativa aplicable.
b) Promueve la formación y concienciación en materia de seguridad, definiendo e impulsando iniciativas de formación y sensibilización para el desarrollo y promoción de buenas prácticas en materia de seguridad de la información.
c) Elabora y propone para su aprobación la política de seguridad, que incluye las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los incidentes de seguridad que afecten a la Diputación Foral de Bizkaia y a las entidades forales y a los servicios.
d) Desarrolla las normas, procedimientos, guías e instrucciones de seguridad y supervisa su efectividad, impulsando la realización de las auditorías periódica de seguridad que sean necesarias.
e) Recibe, interpreta y aplica las instrucciones y guías emanadas de las autoridades competentes, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.
f) Recopila, prepara y suministra información o documentación a las autoridades competentes, a su solicitud o por propia iniciativa.
g) Firma la declaración de aplicabilidad, documento que formaliza la relación de medidas de seguridad seleccionadas, que se realizará con la asistencia del administrador de seguridad.
h) Actúa como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.
i) Constituye el punto de contacto con la autoridad competente en materia de seguridad de la información.
j) Es interlocutor de los roles de responsable de la información, responsables del servicio, responsable del sistema, responsable de seguridad física, responsable de gestión de personal y administrador de la seguridad del sistema.
k) Asiste a los responsables de información y responsable de servicio, sobre el correcto ejercicio de sus funciones en materia del Esquema Nacional de Seguridad.
l) Notificar a la autoridad competente, a través del Equipo de Respuesta ante Incidentes (ERI) de referencia y sin dilación indebida, los incidentes de seguridad que tengan efectos perturbadores en la prestación de los servicios.
m) Participa en la gestión adecuada de los incidentes de seguridad y de las acciones de tratamiento que se sigan, con la asistencia del administrador de seguridad. Analiza y propone salvaguardas que prevengan incidentes similares en el futuro, con la asistencia del administrador de seguridad.
n) Reporta al responsable de la información, en su caso responsable del tratamiento y al responsable del servicio, respectivamente, de las decisiones e incidentes en materia de seguridad que afecten a la información y al servicio que les compete, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados, con la asistencia del administrador de seguridad.
ñ) Determina la categoría del sistema de información conforme a las valoraciones propuestas por responsables de información y de servicios, y con la asistencia del administrador de seguridad.
o) Impulsa y realiza el análisis de riesgos periódico, y el informe de resultados del proceso de análisis de riesgos y su Plan de Tratamiento de riesgos, y, además, asume la responsabilidad de gestión de las tareas del Plan de Tratamiento de Riesgos. En todo el proceso, cuenta con la asistencia del administrador de seguridad para la infraestructura TIC.
p) Gestiona la realización de auditorías de los sistemas de información en los plazos que establece el Esquema Nacional de Seguridad.
q) Analiza los resultados de los análisis de riesgos y auditorías realizadas y pro-pone acciones de mejora y correctoras para el adecuado cumplimiento y alineamiento con el Esquema Nacional de Seguridad.
r) Analiza y propone mejoras organizativas, de procedimientos y funcionales en el marco del plan de alineamiento del Esquema Nacional de Seguridad. Para ello, se encarga de identificar los niveles de cumplimiento de las medidas de seguridad aplicables y determinar las recomendaciones correspondientes, y promueve la implantación coordinada de las mismas y de los sistemas de información afectos al Esquema Nacional de Seguridad.
s) Adopta o en su caso, valida las propuestas del administrador de seguridad de la información, respecto a las medidas urgentes que se estimen necesarias para prevenir, mantener y restablecer la seguridad de la información en todas aquellas situaciones que constituyan amenazas y generen riesgos para la seguridad de la información en cuanto a disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad, con especial incidencia en la gestión inminente de ciber incidentes asociados a los sistemas y tecnologías de Información y comunicaciones (TIC).
t) Garantiza el adecuado reporte al Centro Criptológico Nacional de los indicadores necesarios para obtener el Informe Nacional del Estado de la Seguridad (INES) según lo establecido en el artículo 32 del Real Decreto 311/2022 por el que se regula el ENS.
u) Participa en la adopción de la decisión de suspensión de larga duración de un tratamiento o servicio, junto con el Comité de Dirección en materia de protección de datos personales y seguridad de la información del sector público foral, responsables de la información y responsables de servicio afectados. Adopta la decisión de suspensión cautelar de un servicio, e informa de la misma al Comité de Dirección en materia de protección de datos personales y seguridad de la información del sector público foral, responsables de información y responsables de servicio afectados.
v) Con carácter general para la ejecución de las responsabilidades y funciones descritas, debe disponer del soporte del administrador de seguridad.
12.1. En el ámbito de Diputación Foral de Bizkaia: será la unidad orgánica competente en protección de datos y/o seguridad de la información de la Diputación Foral de Bizkaia. El procedimiento de designación y /o renovación del rol de responsable de seguridad se realizará mediante la aprobación por la Diputación Foral de Bizkaia del correspondiente reglamento de estructura orgánica en el que se incluirá dicho rol.
12.2. En el ámbito de las entidades forales: cada entidad foral determinará el área/servicio/unidad en la que recaerá el rol de responsable de seguridad. El procedimiento de designación y /o renovación del rol de responsable de seguridad se realizará mediante la aprobación del mismo por el órgano de gobierno correspondiente de cada entidad foral.
Le corresponden las siguientes responsabilidades y funciones:
a) Desarrolla, opera y mantiene el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
b) Define la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
c) Debe cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
d) Propone y ejecuta la suspensión de larga duración del tratamiento de una cierta información o de la prestación de un determinado servicio, y también ejecuta la suspensión cautelar.
e) Define la organización y el despliegue de los procesos tecnológicos.
f) Reporta al responsable de la información de las incidencias funcionales relativas a la información que le compete; reporta al responsable del servicio de las incidencias funcionales relativas al servicio que le compete; y reporta al responsable de seguridad de las actuaciones en materia de seguridad, en particular, en lo relativo a decisiones de arquitectura del sistema, entregándole un resumen consolidado de los incidentes de seguridad.
g) Planifica la implantación de las salvaguardas en el sistema.
h) Ejecuta el plan de mejora de la seguridad que se apruebe de ser necesario, para atender a los riesgos que no son aceptables.
13.1. En el ámbito de Diputación Foral de Bizkaia: será Lantik S.A.M.P. en particular, la Dirección de unidad de seguridad y tecnología de Lantik S.A.M.P. o en su caso, el área, servicio, unidad orgánica o dirección competente en este ámbito de Lantik S.A.M.P. en calidad de responsable del sistema. El procedimiento de designación y /o renovación de Lantik S.A.M.P. como responsable del sistema se determinará en el encargo anual.
13.2. En el ámbito de las entidades forales: cada entidad foral deberá designar un responsable del sistema. Las entidades forales podrán designar como responsable del sistema a Lantik S.A.M.P. previa aceptación de los requisitos y condiciones tecnológicas que determine Lantik S.A.M.P., cuyo alcance estará circunscrito, en todo caso, a los servicios que sean objeto de encargo a Lantik S.A.M.P. por parte de la entidad. En este caso, será responsable del sistema la Dirección de unidad de seguridad y tecnología de Lantik S.A.M.P. o en su caso, el área, servicio, unidad orgánica o dirección competente en este ámbito de Lantik S.A.M.P. El procedimiento de designación y /o renovación de Lantik S.A.M.P. como responsable del sistema se determinará en el encargo anual.
Le corresponden las siguientes responsabilidades y funciones:
a) Implementa, gestiona y mantiene las medidas de seguridad aplicables a los sis-temas de tecnologías de información.
b) Gestiona los servicios de seguridad.
c) Propone medidas de gestión y control de acceso a los sistemas de información y su gestión. Implementa, gestiona y mantiene las medidas de seguridad aplicables a la gestión de acceso a los sistemas de información.
d) Reporta al responsable del sistema y al responsable de seguridad de los inciden-tes de seguridad y de las acciones de configuración, actualización o corrección.
e) Gestiona, configura y actualiza el hardware y software en los que se basan los mecanismos y servicios de seguridad del sistema de tecnología de la Información.
f) Gestiona las autorizaciones y privilegios concedidos a personas usuarias del sis-tema, incluyendo la monitorización de que la actividad desarrollada en el sistema se ajusta a lo autorizado y el aseguramiento de la aplicación de los procedimientos que se aprueben para el manejo del sistema de información.
g) Aplica los procedimientos operativos de seguridad (POS).
h) Asegura que los controles de seguridad establecidos son adecuadamente observados.
i) Asegura que son aplicados los procedimientos aprobados para manejar el sistema de información.
j) Supervisa que todo el equipamiento se ajusta a lo autorizado, supervisa las actuaciones y la aplicación de los procedimientos de seguridad, supervisa que las actividades de las personas usuarias del sistema son conformes a lo autorizado para cada una de ellas, y también supervisa las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
k) Monitoriza el estado de la seguridad y el cumplimiento de los controles en su ámbito competencial de las tecnologías de la información y las comunicaciones.
l) Informa al responsable de seguridad y al responsable del sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
m) Asiste al responsable de seguridad para la determinación por este de la catego-ría del sistema de información.
n) Asiste al responsable de seguridad para la firma por este de la Declaración de Aplicabilidad.
ñ) Asiste al responsable de seguridad durante el proceso de análisis de riesgos y en particular, en la elaboración del informe de resultados y de su Plan de Tratamiento de riesgos. Gestiona el desarrollo y ejecución de las tareas del Plan de Tratamiento de Riesgos dentro del proceso de Análisis y Gestión de Riesgos y de acuerdo con las instrucciones y colaboración inmediata del responsable de seguridad correspondiente, dentro de su ámbito competencial de tecnologías de la información y las comunicaciones.
o) Gestiona de manera adecuada los incidentes de seguridad, en particular las ta-reas que se le asignen para la prevención, detección, respuesta y conservación de los incidentes y de las acciones de tratamiento que se sigan, de acuerdo con las funciones que se establezcan en el procedimiento que regule la gestión de incidentes. En particular y entre otras que se definirán y desarrollarán en el procedimiento que se apruebe para la gestión de incidentes de seguridad, a destacar:
1.º Gestiona el registro de incidentes de seguridad y de las acciones de tratamiento que se realicen. Para ello, lleva a cabo el registro, contabilidad y gestión de los incidentes de seguridad en los sistemas de información bajo su responsabilidad.
2.º Aísla el incidente para evitar la propagación a elementos ajenos a la situación de riesgo.
3.º Toma decisiones a corto plazo si la información se ha visto comprometida y pudiera tener consecuencias graves y asegura la integridad de los elementos críticos del sistema de información si se ha visto afectada la disponibilidad de los mismos. En el procedimiento a aprobar se reducirá el margen de discrecionalidad del administrador de seguridad al mínimo al respecto de esta función.
4.º Mantiene y recupera la información almacenada por el sistema de información y sus servicios asociados.
5.º Investiga el incidente: determina el modo, los medios, los motivos y el origen del incidente de seguridad.
p) Asiste al responsable del tratamiento en la notificación de las violaciones de seguridad de los datos personales. En el caso de complejidad técnica, este podrá delegar la notificación en el administrador de seguridad.
q) Asiste al responsable de seguridad en las consultas técnicas que surjan durante el desarrollo de las auditorías y resto de procesos para el cumplimiento del ENS, dentro de su ámbito competencial de tecnologías de la información y las comunicaciones.
r) Cualesquiera otras actuaciones del ámbito de la seguridad relacionadas con su ámbito funcional y competencial que le sean encomendadas por el responsable de seguridad, por el responsable del sistema o por el Comité de Dirección en materia de protección de datos personales y seguridad de la información del sector público foral.
14.1. En el ámbito de Diputación Foral de Bizkaia: será Lantik S.A.M.P. y dependerá a nivel funcional (para la protección de la información) del responsable de seguridad, y a nivel operativo y orgánico (para la adecuada prestación del servicio) del responsable del sistema. En particular, el departamento de seguridad, o el área, servicio o unidad orgánica competente en seguridad de Lantik S.A.M.P. en calidad de administrador de seguridad se encargará de la coordinación, implementación, gestión y mantenimiento de las medidas de seguridad relativas a tecnología de la Información. El procedimiento de designación y /o renovación de Lantik S.A.M.P como administrador de seguridad se determinará en el encargo anual.
14.2. En el ámbito de las entidades forales: cada entidad foral deberá designar un administrador de seguridad. Las entidades forales podrán designar como administrador de seguridad a Lantik S.A.M.P. previa aceptación de los requisitos y condiciones tecnológicas que determine Lantik S.A.M.P., cuyo alcance estará circunscrito, en todo caso, a los servicios que sean objeto de encargo a Lantik S.A.M.P. por parte de la entidad. En este caso, será administrador de seguridad el departamento de seguridad, o el área, servicio o unidad orgánica competente en seguridad de Lantik S.A.M.P. El procedimiento de designación y /o renovación de Lantik S.A.M.P como administrador de seguridad se determinará en el encargo anual.
Le corresponde la implantación de las medidas de seguridad física que le competan dentro del marco de las medidas determinadas por el responsable de seguridad de la información e informar a éste de su grado de implantación, eficacia e incidentes.
15.1. En el ámbito de Diputación Foral de Bizkaia: será el personal que compone la Unidad de Forales para la Diputación Foral de Bizkaia o, en su caso, la unidad orgánica que en cualquier modificación de la estructura asumiera dichas funciones.
15.2. En el ámbito de las entidades forales: cada entidad foral designará su responsable de seguridad física, de acuerdo con sus estatutos o régimen jurídico interno y en ejercicio de sus potestades de autoorganización.
Le corresponde la determinación e implantación de las medidas organizativas y técnicas de seguridad que le competen en el ámbito de gestión de personal. Para el desempeño de estas funciones cuenta con la asistencia y el asesoramiento del responsable de seguridad y del administrador de seguridad.
16.1. En el ámbito de Diputación Foral de Bizkaia: será la Dirección General de Régimen Jurídico y Función Pública o, en su caso, la unidad orgánica que en cualquier modificación de la estructura asumiera dichas funciones.
16.2. En el ámbito de las entidades forales: cada entidad foral designará un responsable de gestión de personal en la persona que desempeñe funciones en el área/ unidad de recursos humanos, de acuerdo con sus estatutos o régimen jurídico interno y en ejercicio de sus potestades de autoorganización.
Le corresponden las siguientes responsabilidades y funciones:
a) Informa y asesora al responsable o al encargado del tratamiento y al personal empleado que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras normas o disposiciones de protección de datos.
b) Supervisa el cumplimiento por el responsable o el encargado del tratamiento de lo dispuesto en el RGPD, en otras normas o disposiciones de protección de datos personales y en la presente política, en particular respecto a la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
c) Ofrece el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del RGPD.
d) Coopera con la autoridad de control.
e) Actúa como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 RGPD y realizar consultas, en su caso, sobre cualquier otro asunto.
f) Cualquier otra función o responsabilidad que la normativa de protección de datos le atribuya. Estatuto del DPD:
a) No podrá ser removida ni sancionada por el responsable del tratamiento por desempeñar sus funciones, salvo que incurriera en dolo o negligencia grave en su ejercicio, al tratarse de un puesto integrado en la estructura orgánica de la propia Diputación Foral de Bizkaia.
b) Se garantizará su independencia dentro de la Diputación Foral de Bizkaia y entidades forales, debiendo evitarse cualquier conflicto de intereses. Se garantizará por el responsable del tratamiento que no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones.
c) Tendrá acceso a los datos personales y procesos de tratamiento en el ejercicio de sus funciones, no pudiendo oponer a este acceso el responsable del tratamiento la existencia de cualquier deber de confidencialidad o secreto.
d) Rendirá cuentas directamente al más alto nivel jerárquico de la persona responsable del tratamiento.
En el ámbito de la Diputación Foral de Bizkaia y de las entidades forales: será la jefatura de la unidad orgánica competente en el ámbito de protección de datos de la Diputación Foral de Bizkaia. En caso de vacancia, ausencia o enfermedad de la jefatura, la cobertura de la DPD será desempeñada por el personal técnico de la unidad.
Equipo DPD. Entre el personal de apoyo a la DPD se encuentran:
a) El personal técnico de la unidad orgánica competente en protección de datos y/o seguridad de la información de la Diputación Foral de Bizkaia.
b) Las personas dinamizadoras en materia de protección de datos y seguridad de la información de la Diputación Foral de Bizkaia y de las entidades forales que se recogen en el siguiente artículo.
c) Cualesquiera otras personas o roles, que, por necesidades sobrevenidas, se determine su necesidad de apoyo.
Le corresponde la realización de funciones de interlocución, impulso, coordinación, colaboración y la correcta difusión e implementación de las medidas técnicas y organizativas que se adopten en materia de protección de datos personales y seguridad de la información en el departamento o gabinete, o en la entidad foral para cuya función de dinamización hayan sido designadas.
Además, tal y como dispone el artículo anterior las personas dinamizadoras forman parte del equipo DPD. A estos efectos, asumirán el desempeño de las funciones que en cada caso este rol les asigne y determine para el correcto cumplimiento de la normativa de protección de datos personales. En particular y entre otros, la participación en los procesos de análisis de riesgos y evaluaciones de impacto y la realización de cuantos informes y/ o tareas relacionados con estos procesos les sean encomendados, siguiendo las instrucciones y la metodología establecidas por los organismos oficiales y las autoridades de control, y las que la DPD determine.
18.1. En el ámbito de Diputación Foral de Bizkaia: serán las personas designadas y nombradas de manera nominal mediante Orden Foral, en cada departamento o gabinete donde se encuentre adscrita la persona que pase a desempeñar las funciones de dinamización.
Todos los departamentos y gabinetes de la Diputación Foral de Bizkaia recogerán en sus decretos de estructura orgánica la unidad administrativa a la que se atribuyen las funciones propias para la dinamización y el desempeño de este rol.
Ante la ausencia de designación nominal o para el caso de producirse períodos temporales en los que la persona nombrada no se encuentre en funciones, las mismas recaerán, se desempeñarán y serán responsabilidad de la unidad a la que pertenezca o que tenga atribuida las funciones en el reglamento de estructura orgánica.
18.2. En el ámbito de las entidades forales: cada entidad designará las personas dinamizadoras.
El Comité es el órgano colegiado superior competente para la toma de decisiones y ejercicio de funciones de dirección y coordinación en materia de seguridad de la información y protección de datos con plenos efectos en todo el sector público foral, y que da cumplimiento a la medida 3.1 política de seguridad del marco organizativo del Anexo II del ENS y resto de normativa de protección de datos.
19.1. Funciones del Comité
En el ámbito de Seguridad de la Información
a) Coordina todas las funciones de seguridad de la Diputación Foral de Bizkaia y de las entidades forales.
b) Vela, impulsa y supervisa el cumplimiento de la normativa en seguridad de la información.
c) Atiende las inquietudes manifestadas en el ámbito de seguridad de la informa-ción en las sesiones del comité y se las transmite a los responsables de seguridad respectivos de Diputación Foral de Bizkaia y de las entidades forales, para recabar respuestas y soluciones.
d) Recaba, de los responsables de seguridad de la Diputación Foral de Bizkaia y de todas las entidades forales, los informes sobre el estado de la seguridad.
e) Dirige el trabajo de los siguientes roles: personas dinamizadoras, responsables de seguridad, administradores de seguridad, responsable de la información y responsable del servicio tanto de la Diputación Foral de Bizkaia como de las entidades forales, y resto de roles definidos en la presente política.
f) En su caso, propone y designa roles en el ámbito de seguridad de la información.
g) Recibe las comunicaciones del responsable de seguridad relacionadas con los cambios de normativa de seguridad de la información.
h) Promueve la mejora continua de la seguridad de la información en la Diputación Foral de Bizkaia y entidades forales.
i) Vela porque la seguridad de la información se tenga en cuenta en todos los proyectos desde su diseño inicial hasta su puesta en ejecución.
j) Recibe dación en cuenta de la normativa y procedimientos de seguridad deriva-dos de la presente política.
k) Recibe dación en cuenta de las medidas técnicas y organizativas de seguridad de la información.
l) Recibe dación en cuenta del estado de los procesos de análisis de riesgos, auditorías, medidas de seguridad y resto de actuaciones que den cumplimiento al Esquema Nacional de Seguridad.
m) Aprueba el informe de resultados del proceso de análisis de riesgos y su correspondiente plan de tratamiento de riesgos, a propuesta del responsable de seguridad en colaboración con Lantik S.A.M.P.
n) Aprueba el plan de mejora de la seguridad que se apruebe de ser necesario, para atender a los riesgos que no son aceptables, a propuesta del responsable de seguridad en colaboración con Lantik S.A.M.P.
ñ) Recibe dación en cuenta de los niveles de seguridad de la información y de la categorización de los Sistemas de información y los servicios.
o) Recibe dación en cuenta de la Declaración de aplicabilidad.
p) Acuerda la suspensión de larga duración del tratamiento de cierta información o la prestación de un determinado servicio, junto con los responsables de la información, responsables de servicio afectados y responsable de seguridad, a propuesta del responsable del sistema. Además, es informado de la suspensión cautelar de un servicio.
q) Sirve de órgano de interlocución permanente entre los distintos departamentos y gabinetes de la Diputación Foral de Bizkaia, y en las entidades forales.
r) Recibe dación en cuenta de los incidentes de seguridad acontecidos.
s) Recibe dación en cuenta del estado de la seguridad y de las posibles incidencias en la ejecución de las medidas de seguridad. En el ámbito de protección de datos
a) Coordina todas las funciones de protección de datos personales de la Diputación Foral de Bizkaia y de las entidades forales.
b) Vela, impulsa y supervisa el cumplimiento de la normativa de protección de datos personales.
c) Atiende las inquietudes manifestadas en el ámbito de protección de datos per-sonales en las sesiones del Comité y se las transmite a los responsables del tratamiento respectivos de Diputación Foral de Bizkaia y de las entidades forales, para recabar respuestas y soluciones.
d) Vela porque la protección de datos personales se tenga en cuenta en todos los proyectos desde su diseño inicial hasta su puesta en ejecución.
e) Sirve de órgano de interlocución permanente entre los distintos departamentos y gabinetes de la Diputación Foral de Bizkaia, y en las entidades forales.
f) Dirige el trabajo de los siguientes roles: personas dinamizadoras y responsables del tratamiento, tanto de la Diputación Foral de Bizkaia como de las entidades forales, y en su caso, resto de roles definidos en la presente política.
g) En su caso, propone y designa roles en el ámbito de protección de datos personales.
h) Recibe la dación en cuenta del estado de los procesos de análisis de riesgos, evaluaciones de impacto y medidas de seguridad que procedan en el ámbito de la protección de datos personales.
i) Recibe dación en cuenta de la normativa y procedimientos de protección de da-tos personales derivados de la presente política.
j) Recibe dación en cuenta de las medidas técnicas y organizativas de protección de datos personales.
19.2. Composición del Comité
Presidencia
Será ejercida por la persona titular del departamento o gabinete de la Diputación Foral de Bizkaia que tenga atribuidas las competencias en materia de protección de datos y seguridad de la información.
La Presidencia del Comité tiene las siguientes funciones:
a) Ostentar la representación del órgano.
b) Acordar la convocatoria de las sesiones ordinarias y extraordinarias y la fijación del orden del día, teniendo en cuenta, en su caso, las peticiones de los demás miembros formuladas con la suficiente antelación.
c) Presidir las sesiones del Comité, moderar el desarrollo de los debates y suspenderlos por causas justificadas.
d) Dirigir las deliberaciones y, en general, ejercitar las facultades precisas para el adecuado desarrollo de las sesiones.
e) Dirimir con su voto los empates, a efectos de adoptar acuerdos.
f) Asegurar el cumplimiento de la normativa aplicable.
g) Visar las actas y certificaciones de los acuerdos del Comité.
h) Ejercer cuantas otras funciones sean inherentes a su condición de presidente del órgano.
Vicepresidencia
Recaerá en la Dirección General de la Diputación Foral de Bizkaia que tenga atribuidas las competencias en materia de protección de datos personales y seguridad de la información.
La Vicepresidencia del Comité tiene las siguientes funciones:
a) Sustituir al presidente en caso de ausencia, vacante o enfermedad.
b) Cuantas le sean delegadas por la presidencia.
Vocales y Suplentes Vocales:
a) Un/a director/a general designado/a en cada departamento o gabinete de la Diputación Foral de Bizkaia, que actuará en calidad de vocal representante del departamento o gabinete y de todas las entidades forales adscritas al mismo. En consecuencia, se encargará de reportar las decisiones adoptadas en el Comité que afecten al departamento y a las entidades forales a las que representa. También se encargará de reportar al Comité las decisiones del ámbito de seguridad de la información o de protección de datos personales adoptadas por las entidades forales.
b) Un representante de Lantik S.A.M.P. que actuará en representación del administrador de seguridad de la Diputación Foral de Bizkaia y de las entidades forales que designen el rol de administrador de seguridad en Lantik S.A.M.P.
c) Un representante de Lantik S.A.M.P. que actuará en representación del responsable del sistema de la Diputación Foral de Bizkaia y de las entidades forales que designen el rol de responsable del sistema en Lantik S.A.M.P.
Suplentes: con el objetivo de dar continuidad a las tareas que sean responsabilidad del Comité, se deben nombrar en cada departamento o gabinete las y los suplentes, que tendrán igualmente el cargo de director/a general o en su caso, de subdirector/a de la Diputación Foral de Bizkaia.
Las y los vocales y/o suplentes del Comité tienen las siguientes funciones:
a) Asistir a las sesiones y participar en los debates.
b) Presentar al Comité las propuestas que estimen oportunas.
c) Emitir su voto, expresando el sentido del mismo, así como formular voto par-ticular discrepante con el parecer de la mayoría. Posibilidad de delegación de voto: en caso de imposibilidad de asistencia del vocal titular o suplente, se podrá delegar el voto en otro miembro del comité.
d) Proponer la constitución de grupos técnicos de trabajo.
Secretaria/o
Recaerá en el personal técnico de la unidad orgánica competente en protección de
datos y/o seguridad de la información de la Diputación Foral de Bizkaia.
La Secretaría tiene las siguientes funciones:
a) Asistir a las sesiones con voz pero sin voto.
b) Preparar las sesiones.
c) Levantar las actas de las sesiones del Comité.
d) Expedir certificaciones de los Acuerdos del Comité.
e) Archivar y custodiar los documentos en que consten las actuaciones desarrolla-das por el Comité.
Asesores externos y/o internos: podrán formar parte del Comité, asimismo, asesores
externos y/o internos cuya asistencia se requiera para informar sobre asuntos específicos. Tendrán voz pero no voto.
19.3. Funcionamiento del Comité
a) El Comité queda válidamente constituido, a efectos de la celebración de sesiones, deliberaciones y toma de acuerdos con la asistencia, presencial o a distancia, del Presidente y Secretario o en su caso, de quienes les suplan, y la de la mitad, al menos, de sus miembros.
En las sesiones que se celebren a distancia, los miembros podrán encontrarse en distintos lugares siempre y cuando se asegure por medios electrónicos, considerándose también tales los telefónicos, y audiovisuales, la identidad de los miembros o personas que los suplan, el contenido de sus manifestaciones, el momento en que éstas se producen, así como la interactividad e intercomunicación entre ellos en tiempo real y la disponibilidad de los medios durante la sesión. Entre otros, se considerarán incluidos entre los medios electrónicos válidos, el correo electrónico, las audioconferencias y las videoconferencias.
b) El Comité adopta sus acuerdos por mayoría simple de las personas asistentes con derecho a voto. En caso de empate decide el voto del presidente/a o, en caso de ausencia, el vicepresidente/a.
c) De cada sesión se levanta acta que contendrá la indicación de las personas que hayan intervenido, así como las circunstancias de lugar y tiempo en que se ha celebrado, los puntos principales de la deliberación, la forma y resultados de la votación y el contenido de los acuerdos. Las actas son firmadas por la/ el secretaria/o, con el visto bueno de la Presidencia o, en caso de ausencia, el vicepresidente/a, y se aprobarán en la misma o en la siguiente sesión.
d) Las personas miembros del Comité pueden hacer constar en acta sus votos particulares, ya sea a la totalidad del acuerdo, ya sea a cuestiones puntuales del mismo.
19.4. Régimen de sesiones del Comité
a) El Comité celebrará al menos una sesión ordinaria al año.
b) Además, puede celebrar sesiones extraordinarias a iniciativa de la Presidencia o, en caso de ausencia, del vicepresidente/a, o a petición de dos tercios de sus integrantes. La solicitud de convocatoria de sesiones extraordinarias a petición de dos tercios de las y los integrantes del Comité se realizará por escrito y ha de contener la propuesta motivada de los asuntos a tratar. En este caso, la Presidencia convocará la sesión extraordinaria y el orden del día incluirá necesariamente los puntos solicitados, pudiendo la Presidencia adicionar otros asuntos.
Es un grupo de trabajo de carácter técnico al servicio de la seguridad de la información, sin dependencia jerárquica ni adscripción orgánica ni funcional, que se encargará de alinear y coordinar la puesta en práctica de las actividades, procesos y medidas en materia de seguridad de la información, orientadas a garantizar la seguridad y evitar la aparición de incidentes de seguridad en los sistemas de información y los ciberataques. Asimismo, atenderá las inquietudes del Comité de Dirección y garantizará su función de coordinación general.
20.1. Composición del equipo
Las siguientes personas y roles compondrán el Equipo técnico combinado en función de las necesidades a tratar:
a) Personal de la unidad orgánica competente en protección de datos y/o seguridad de la información de la Diputación Foral de Bizkaia.
b) Personal perteneciente a Lantik S.A.M.P., que éste designe al efecto.
c) Personal que desempeña alguno de los roles en protección de datos personales y seguridad de la información, de acuerdo con la presente política.
d) Otras personas representantes de las diferentes áreas/unidades/servicios o sec-ciones pertenecientes a los departamentos o gabinetes de Diputación Foral de Bizkaia o entidades forales.
20.2. Funciones
Se reunirá tantas veces como sea necesario para el ejercicio de sus funciones.
a) Gestiona de modo estratégico la seguridad de la información, la definición, planificación y posterior ejecución de medidas de seguridad, y el despliegue de procesos.
b) Gestiona los incidentes de seguridad en calidad de parte integrante del Comité de Ciberseguridad.
c) Coordina la seguridad de la información a efectos prácticos y asiste al Comité de Dirección para el correcto desempeño de su función de coordinación general de la seguridad de la información y del resto de funciones, necesidades e inquietudes.
d) Impulsa y coordina las actuaciones de los diferentes departamentos de la Diputación Foral de Bizkaia y entidades forales afectadas, asegurando la correcta difusión e implementación de las medidas técnicas y organizativas que se adopten en materia de seguridad de la información. Para ello, realiza funciones de coordinación e impulso respecto de las personas dinamizadoras.
e) Coordina los procesos, el seguimiento, y la evolución de los análisis de riesgos, tareas de los planes de tratamiento de riesgos, auditorías y su seguimiento y cuantas otras medidas técnicas, organizativas y operacionales resulten necesarias para el adecuado cumplimiento del ENS.
f) Trata cualquier otra cuestión en materia de seguridad de la información que en su caso sea necesaria.
Es el grupo especializado en el ámbito de la ciberseguridad para la adopción de medidas técnicas y organizativas de seguridad y decisiones a adoptar para la adecuada respuesta ante la aparición de un posible incidente de seguridad, con el objetivo de que tanto la información tratada como los servicios prestados se encuentren y se presten en las mejores condiciones desde el punto de vista de las dimensiones de seguridad del ENS: disponibilidad, integridad, confidencialidad, trazabilidad y autenticidad.
En el ámbito de la Diputación Foral de Bizkaia y de las entidades forales, formarán
parte del Comité:
a) Personal del equipo técnico combinado para la seguridad de la información.
b) Responsable del tratamiento y responsable de la información de los sistemas afectados por el incidente de los departamentos y gabinetes de Diputación Foral de Bizkaia y de las entidades forales.
c) Equipo de Respuesta a Incidentes (ERI) en calidad de equipo técnico que se encarga de gestionar los incidentes de seguridad y notificar los mismos a la autoridad competente cuando tengan efectos perturbadores en la prestación del servicio por cuenta del responsable de seguridad. El ERI estará compuesto por personal de Lantik S.A.M.P.:
1.º Personal del Departamento de Seguridad, área, servicio o unidad orgánica competente en materia de seguridad.
2.º C entro de Operaciones de Seguridad (SOC).
3.º Personal técnico especializado del servicio, área o unidad orgánica competente en función de la materia afectada por el incidente.
La Diputación Foral de Bizkaia y las entidades forales dispondrán de un procedimiento para la gestión de incidentes de seguridad que, entre otras, establezca la participación de este comité y de las personas y/o roles integrantes del mismo, para la gestión y resolución del incidente.
Si de manera incipiente se detecta que la peligrosidad y los riesgos del incidente son elevados el Comité de Ciberseguridad se constituirá con carácter urgente en Comité de gestión de crisis para la adopción de decisiones.
La Diputación Foral de Bizkaia creará un catálogo actualizado de roles con identificación del puesto o cargo que lo desempeñe. La creación y mantenimiento del catálogo corresponderá a la unidad orgánica competente en protección de datos y/o seguridad de la información de la Diputación Foral de Bizkaia.
Los departamentos y/o gabinetes de la Diputación Foral de Bizkaia y las entidades
forales comunicarán anualmente la relación de roles y designaciones, así como las renovaciones o modificaciones en el momento en que se produzcan.
En caso de que se produzca un conflicto o controversia relativo al ejercicio o desempeño de las funciones entre los distintos roles, regulados en la presente política, tanto en el ámbito de seguridad de la información como en de la protección de datos personales, su resolución será competencia del Comité de Dirección. Para la coordinación de actividades, procesos y medidas de seguridad se atenderá a cuanto disponga el Equipo técnico combinado para la seguridad de la información, tal y como se establece en el artículo que regula el mismo.
La Diputación Foral de Bizkaia y las entidades forales, dada su condición, respectivamente, de Administración Pública y de entidades del sector público foral, son responsables de los tratamientos de datos personales que realizan en el ejercicio de sus competencias. Es por ello, que se ha aprobado la creación y publicación accesible en formato electrónico de su RAT, y su posterior actualización y revisión, en cumplimiento de lo dispuesto en el artículo 30 RGPD y en el artículo 77 de la LOPDyGDD.
Este inventario de actividades de tratamiento de datos personales es accesible por medios electrónicos y se ha puesto a disposición de las autoridades de control: la AVPD y la Agencia Española de Protección de Datos (en adelante, AEPD).
24.1. Concepto
El RAT es el inventario en el que han de constar las actividades de tratamiento de datos personales que se llevan a cabo por las personas responsables o encargadas del tratamiento. En el caso de la Diputación Foral de Bizkaia, son, con carácter general, las direcciones generales de los diferentes departamentos y/o gabinetes de la diputación, en calidad de responsables de tratamiento de los datos personales que realizan, la que tienen la obligación de documentar el citado RAT.
24.2. Estructura y contenido
El RAT de la Diputación Foral de Bizkaia consta de la siguiente estructura:
24.2.1. Estructura general: formada por aquella información común para todas las actividades de tratamiento que realizan los diferentes departamentos y gabinetes de la diputación.
a) Base legitimadora: recoge información acerca de las bases jurídicas que legitiman el tratamiento de datos personales que realiza la diputación. Si bien en la estructura especifica se detalla las bases legitimadoras específicas aplicables a cada Actividad de Tratamiento, en este apartado se señalan a modo indicativo las disposiciones normativas con rango de ley habilitadoras de la actividad competencial de la Diputación Foral de Bizkaia y que legitiman los tratamientos de datos personales que esta realiza.
b) Medidas de seguridad: se refiere a las medidas técnicas de seguridad que la diputación aplica a las actividades de tratamiento que realiza. Estas medidas son las detalladas en el Anexo II del Real Decreto 311/2022 por el que se regula el ENS.
c) Tiempo de conservación: se informa del tiempo durante el cual la diputación conservará los datos personales que trata.
d) Tratamientos automatizados: se informa de que la diputación, con carácter general, no realiza tratamientos automatizados de datos para la elaboración de perfiles sobre los cuales se tomen decisiones con efectos jurídicos sobre las personas o les afecten significativamente.
e) Relaciones jurídicas con las personas encargadas del tratamiento: se contemple cómo gestiona la Diputación Foral de Bizkaia las relaciones con las personas encargadas del tratamiento.
24.2.2. Estructura específica: formada por aquella información relativa a cada una de las actividades de tratamiento que realizan los responsables del tratamiento de los diferentes departamentos y gabinetes que forman parte de la diputación.
Para cada una de las actividades de tratamiento registradas se mostrarán dos niveles de información: un primer nivel informativo y un segundo nivel en el que se mostrará la información específica, de manera accesible, transparente y mediante un lenguaje claro, detallándose la información que la normativa vigente en materia de protección de datos personales exige que contenga el RAT.
a) Identificación y datos de contacto del responsable del tratamiento: se informa de la denominación oficial, departamento o gabinete al que pertenece y los datos de contacto de la Dirección General responsable o corresponsable del tratamiento de los datos personales.
b) Finalidad del tratamiento: se recoge el motivo o la finalidad para la cual se precisa tratar los datos personales en cuestión.
c) Categorías de datos personales y de personas interesadas: se incluyen la tipología de datos personales objeto de tratamiento y la tipología de personas físicas titulares de datos personales.
d) Origen del dato personal: se informa de la procedencia de los datos personales.
e) Destinatarias/os del dato personal: se informa de las comunicaciones de los datos a terceras personas.
f) Legitimación específica: contempla la base legitimadora del tratamiento que, con carácter particular, aplica a la actividad de tratamiento en cuestión y que hace que el tratamiento de los datos personales sea legítimo.
g) Derechos en materia de protección de datos personales. La normativa de protección de datos personales otorga a las personas físicas derechos que pueden ejercer ante el responsable del tratamiento, siendo los siguientes: derecho de acceso, rectificación, supresión, oposición, limitación del tratamiento, el derecho a no ser objeto de decisiones individuales automatizadas y portabilidad en su caso. En este apartado se detalla y explica en qué consisten cada uno de estos derechos, y también se informa del modo en que las personas titulares o sus representantes pueden ejercer sus derechos personales ante la Diputación Foral de Bizkaia, así como del procedimiento que esta seguirá para su tramitación.
h) DPD: se recoge la información de contacto de la DPD. Se recoge información acerca del nombramiento y la identidad de la DPD de la Diputación Foral de Bizkaia y de las entidades del sector público foral, así como la forma de contactar con la persona que desempeña dicho rol.
Los RAT de las entidades forales recogerán y publicarán los elementos que son obligatorios en cuanto al contenido del mismo y que ya se han descrito anteriormente.
Los RAT, tanto de la Diputación Foral de Bizkaia como de las entidades forales serán actualizados de forma constante para que se garantice una imagen fiel y transparente de las actividades de tratamiento.
24.3. Publicidad
Se podrá acceder y consultar el RAT de la Diputación Foral de Bizkaia, y de las entidades forales, por medios electrónicos a través de la web bizkaia.eus
Asimismo, las entidades forales publicarán sus RAT en sus páginas web corporativas.
La habilitación para el tratamiento de datos personales por parte de la Diputación Foral de Bizkaia o de las entidades forales se encuentra recogida en el artículo 6 del RGPD. Para cada actividad de tratamiento se identificará la base legitimadora de entre las tipificadas en dicho artículo, siendo el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, o el cumplimiento de una obligación legal las causas que apliquen con carácter general.
A modo indicativo se señalan a continuación, las disposiciones normativas con rango de ley habilitadoras de la actividad competencial de la Diputación Foral de Bizkaia:
a) Ley Orgánica 3/1979, de 18 de diciembre, de Estatuto de Autonomía del País Vasco.
b) Ley 27/1983, de 25 de noviembre, de Relaciones entre las Instituciones comunes de la Comunidad Autónoma y los órganos forales de sus Territorios Históricos.
c) Ley 12/2002, de 23 de mayo, Concierto Económico.
d) Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local.
e) Carta Europea de Autonomía Local de 15 de octubre de 1985.
f) Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas.
g) Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
La normativa expuesta no abarca ni agota la relación de normas aplicables en su ámbito de actuación, pero se reseñan por ser estructurales y marco del resto de normativa sectorial específica.
En el capítulo I «Misión y marco normativo» de esta política se enumeran también las disposiciones normativas habilitadoras de la actividad competencial de la Diputación Foral de Bizkaia y de las entidades forales para los ámbitos específicos de protección de datos personales y seguridad de la información.
En el supuesto menos frecuente de tratamiento de datos personales mediante la prestación del consentimiento de las personas físicas, éste se adecuará en todo caso a las características prescritas en el artículo 7 RGPD, pudiendo demostrarse que se ha recabado un consentimiento previo, libre, específico e informado cumpliendo con todas las garantías utilizando un lenguaje claro y sencillo. Además, se facilitará la retirada del consentimiento en cualquier momento y será tan fácil retirarlo como otorgarlo.
Son actos jurídicos que establecen la relación jurídica entre las personas responsables del tratamiento y las personas encargadas del tratamiento. Deben contener el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de personas interesadas, las obligaciones y derechos de ambas partes, así como el resto de las cuestiones que indica el artículo 28 del RGPD. Los encargos de tratamiento establecerán las instrucciones y directrices necesarias para que las entidades que tratan datos personales por cuenta de la Diputación únicamente tengan acceso legítimo a datos, respetando:
1.º Que los datos personales se destinen a la finalidad de prestar el servicio encargado y no se destinen a finalidades diferentes e incompatibles a las expresamente autorizadas.
2.º Que los datos personales no se comuniquen a terceras personas o entidades sin base jurídica legitimadora habilitante, de acuerdo con el artículo 6 RGPD.
3.º Que se garantice la confidencialidad e integridad de los datos personales mediante la implantación de medidas de seguridad.
26.1. En el ámbito de la Diputación Foral de Bizkaia: los encargos están integrados en los distintos instrumentos en los que se regula la relación jurídica de la Diputación Foral de Bizkaia con terceras personas. Entre dichos instrumentos destacan:
a) Encargos a medios propios: instrumento jurídico mediante el cual los poderes adjudicadores, entre los que se encuentran la Diputación Foral de Bizkaia y las entidades forales, pueden organizarse ejecutando de manera directa prestaciones propias de los contratos de obras, suministros, servicios, concesión de obras y concesión de servicios, a cambio de compensación económica, y valiéndose de otra persona jurídica distinta a ellos, ya sea de derecho público o de derecho privado, previo encargo a esta, siempre y cuando la persona jurídica que utilicen merezca la calificación jurídica de medio propio personificado respecto de ellos de conformidad con lo dispuesto en la Ley 9/2017, de 8 de noviembre de Contratos del Sector Público.
Mediante Acuerdo de la Diputación Foral de Bizkaia de 22 de mayo de 2018 se establece que son medios propios de la Diputación Foral de Bizkaia, las siguientes entidades forales:
1.º Interbiak Bizkaia S.A.M.P.
2.º Azpiegiturak S.A.M.P.
3.º Lantik S.A.M.P.
4.º Zugaztel S.A.M.P.
5.º Garbiker A.B. S.A.M.P.
6.º Bizkaiko Basalan S.A.M.P.
Mediante Acuerdo de la Diputación Foral de Bizkaia de 12 de noviembre de 2019 se aprueba el marco de regulación de los encargos horizontales a medios propios de la Diputación Foral de Bizkaia.
b) Contratos: contratos administrativos, privados o mixtos que se formalizan por los órganos de contratación de la Diputación Foral de Bizkaia con personas o entidades del sector privado en el marco de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público.
c) Convenios: instrumentos de colaboración previstos en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, mediante los que se formalizan compromisos entre dos o más partes, con efectos jurídicos adoptados por la Diputación Foral de Bizkaia, en calidad de Administración Pública, con otras administraciones públicas, organismos públicos, entidades pertenecientes al sector público, o con sujetos de derecho privado, con el objetivo de lograr un fin común.
d) Encomiendas de gestión: instrumentos jurídicos previstos en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, a través del cual la Diputación Foral de Bizkaia, por razones de eficacia o cuando no posea los medios técnicos idóneos para su desempeño, gestiona la realización y ejecución de actividades de carácter material o técnico de su competencia en otros órganos o entidades de derecho público (de la misma o de distinta administración), siempre que entre sus competencias estén esas actividades.
26.2. En el ámbito de las entidades forales: los encargos están integrados en los distintos instrumentos en los que se regula la relación jurídica de las entidades forales con terceras personas. Únicamente pueden ser encargadas de tratamiento aquellas personas físicas o jurídicas que otorgan las garantías establecidas y que cumplen las instrucciones y la normativa de protección de datos personales vigente.
En cumplimiento del deber de transparencia, cuando la Diputación Foral de Bizkaia o las entidades forales actúen en calidad de responsables del tratamiento, tomarán las medidas adecuadas para facilitar, a las personas físicas titulares de los datos toda la información indicada en los artículos 13 y 14 del RGPD, que distinguen, respectivamente:
a) Cuando los datos personales se obtengan directamente de la persona interesa-da, la información se facilitará en el momento en que se obtengan los datos.
b) Cuando los datos personales no se hayan obtenido de la persona interesada, la información se facilitará en el momento de la primera comunicación con las personas interesadas o cuando los datos se comuniquen por primera vez a otra persona destinataria. En este caso, la persona responsable del tratamiento tiene obligación de informar en el plazo razonable de un mes.
Las comunicaciones se realizarán de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a menores de edad. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando la persona interesada lo solicite, la información podrá facilitarse verbalmente siempre que se demuestre la identidad de la persona por otros medios.
En cumplimiento de los artículos 15 a 22 del RGPD, la Diputación Foral de Bizkaia y las entidades forales garantizarán el ejercicio de los siguientes derechos de la ciudadanía, respecto de los datos personales que trate:
a) Derecho de acceso. Faculta para conocer si se tratan los datos personales y toda la información completa de ese tratamiento. A modo enunciativo: datos personales, categorías, fines, destinatarios, plazo de conservación, origen, transferencias y comunicaciones.
b) Derecho de rectificación. Faculta para corregir los datos personales inexactos y completar los datos incompletos.
c) Derecho de supresión. Faculta para eliminar los datos personales en estos supuestos:
1.º Por tratamiento ilícito de datos.
2.º Por la desaparición de la finalidad que motivó el tratamiento o recogida.
3.º Por revocación del consentimiento (únicamente si se aportaron datos personales prestando consentimiento).
4.º Por oposición al tratamiento.
5.º Por cumplimiento de una obligación legal que establezca la necesidad de supresión.
d) Derecho de oposición. Cuando el responsable del tratamiento realice tratamiento de datos personales legitimado en una misión de interés público o ejercicio de poderes públicos, la persona interesada puede ejercitar el derecho de oposición, en cualquier momento, por motivos relacionados con su situación particular. En este supuesto, se realizará un juicio de ponderación de los intereses del responsable y de la persona interesada, valorando y ponderando:
1.º Los motivos legítimos imperiosos para el tratamiento del responsable.
2.º Los intereses, derechos y libertades de la persona interesada.
e) Derecho de limitación. Faculta para la limitación del tratamiento de datos personales, que implica la suspensión del tratamiento y en su caso, conservación de los datos, cuando se cumpla alguna de las condiciones siguientes:
1.º Cuando se impugna la exactitud de datos personales durante el plazo para verificar la exactitud.
2.º Cuando se presenta oposición al tratamiento manifestando motivos personales, mientras se verifica que el responsable trata sus datos legitimado en misión de interés público o ejercicio de poderes públicos, y se determina que este tratamiento del responsable prevalece.
3.º Cuando el tratamiento es ilícito y se solicita la limitación de uso y no la supresión.
4.º Cuando las personas necesitan los datos para el ejercicio o defensa de reclamaciones, pero simultáneamente el responsable ya no necesita esos datos para los fines del tratamiento.
f) Derecho a no ser objeto de decisiones individuales automatizadas. Se garantizará no ser sometido a una decisión basada únicamente en el tratamiento de datos personales, incluida la elaboración de perfiles, y que produce efectos jurídicos sobre la persona. No obstante, este derecho no se aplicará:
1.º Si fuera necesario para la celebración o ejecución de un contrato entre persona interesada y responsable del tratamiento.
2.º Si el tratamiento se encuentra autorizado por el Derecho de la Unión o de los Estados miembros.
3.º Si el tratamiento estuviera legitimado por el consentimiento.
g) Derecho a la portabilidad de los datos. Faculta para recibir los datos personales en un formato estructurado, de uso común y lectura mecánica y poder transmitir estos datos a otro responsable del tratamiento siempre que se den dos condiciones:
1.º Que el tratamiento esté basado en el consentimiento o en un contrato.
2.º Y que el tratamiento se efectúe por medios automatizados.
El derecho a la portabilidad no se aplica al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable de tratamiento, tal y como dispone el artículo 20 del RGPD.
Las personas físicas podrán ejercer ante la persona responsable del tratamiento, directamente o por medio de representante, los derechos arriba indicados en relación con los datos tratados por la Diputación Foral de Bizkaia o por las entidades forales. Podrán presentar asimismo una reclamación ante las autoridades de control.
28.1. Procedimiento para el ejercicio de derechos personales en Diputación Foral de Bizkaia
a) Presentación.
Las solicitudes referidas al ejercicio de derechos personales que se correspondan o hagan referencia en cuanto a su contenido al ámbito competencial que deba resolver algún responsable de tratamiento de la Diputación Foral de Bizkaia podrán presentarse mediante modelo de solicitud habilitado, que se pondrá a disposición de la ciudadanía de la siguiente forma:
1.º Telemáticamente: en la sede electrónica de la Diputación Foral Bizkaia, https:// www.ebizkaia.eus (procedimiento: ejercicio derechos datos personales).
2.º Presencialmente: en las oficinas de asistencia en materia de registro de la Diputación Foral de Bizkaia publicadas en la sede electrónica en los términos establecidos en el Decreto Foral 20/2021, de 30 de marzo, de la Diputación Foral de Bizkaia, regulador de las oficinas de asistencia en materia de registros.
b) Tramitación y resolución. De la solicitud presentada se dará traslado al responsable del tratamiento en cada caso competente según ejercicio de competencias y funciones de cada reglamento de estructura orgánica de la Diputación Foral de Bizkaia, y éste dispondrá de un plazo de un mes para responder a partir de la recepción de la solicitud, de acuerdo con el artículo 12.3 RGPD. Este plazo será prorrogable por un plazo máximo de dos meses, atendiendo a la complejidad y número de solicitudes. Los motivos de la prórroga serán debidamente informados.
c) Impugnación. En caso de desestimación expresa o presunta de la solicitud del ejercicio de derechos en materia de protección de datos personales correspondiente, las personas interesadas podrán recabar la tutela del derecho ante la AVPD mediante la presentación de reclamación ante la misma o, en su caso, de conformidad con el artículo 37 LOPDGDD, dirigir reclamación previa ante la DPD de la Diputación Foral de Bizkaia para su tramitación correspondiente dentro de la Diputación.
28.2. Procedimiento para el ejercicio de derechos personales en las entidades forales
Las solicitudes de ejercicio de derechos en materia de protección de datos personales podrán presentarse mediante escrito dirigido a la entidad foral a presentar en la dirección postal de la entidad o en el registro de la entidad o en la sede electrónica de la entidad si dispone de la misma, así como, en las oficinas de asistencia en materia de registro de la Diputación Foral de Bizkaia publicadas en la sede electrónica. Las entidades forales habilitarán el procedimiento para el ejercicio de los derechos, adaptado e individualizado para cada entidad foral, que no diferirá sustancialmente en cuanto a su contenido, a lo expuesto para la Diputación Foral de Bizkaia.
En la Diputación Foral de Bizkaia los datos personales se conservarán, con carácter general, durante el tiempo necesario para la tramitación del procedimiento correspondiente a la actividad o servicio para los que se recaben y además, se extiende durante el cumplimiento del plazo de prescripción o caducidad posterior para la extinción de las posibles responsabilidades ulteriores que pudieran acaecer derivadas del propio tratamiento, siempre teniendo en cuenta los plazos específicos que la LOPDyGDD incorpora en su Título IV para los tratamientos de datos personales concretos que en el mismo se dispone.
Se considerarán con carácter específico los siguientes plazos de conservación:
a) Archivo Administrativo General: la Comisión de Valoración, Selección y Eliminación de Documentos, regulada en el capítulo VI del Decreto Foral 90/2011, de 24 de mayo, de la Diputación Foral de Bizkaia, por el que se aprueba el Reglamento de Organización y Gestión del Sistema de Archivo Administrativo de la Diputación Foral de Bizkaia. (BOB número 103, de 31 de mayo) determinará, conforme a sus funciones, el plazo de conservación y el criterio de expurgo de cada documentación con datos personales que se someta a su valoración.
b) Control médico-sanitario y prevención de riesgos laborales. Se establecerán los plazos de conservación en función de la especificidad de cada norma concreta del sector de prevención:
1.º Documentación clínica: plazo mínimo de cinco años desde la fecha de alta de cada proceso asistencial, dando cumplimiento a la Ley 41/2002 de 14 noviembre, de autonomía del paciente y al Decreto 38/2012, de 13 de marzo, País Vasco, sobre historia clínica y derechos y obligaciones de pacientes y profesionales de la salud en materia de documentación clínica.
2.º Agentes biológicos: plazo mínimo de diez años desde que finalice la exposición, que podrá ser ampliado hasta cuarenta años, dando cumplimiento al Real Decreto 664/1997, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo.
3.º Agentes cancerígenos: plazo de cuarenta años desde que finalice la exposición, dando cumplimiento al Real Decreto 665/1997, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes cancerígenos durante el trabajo.
4.º Exposición amianto: plazo mínimo cuarenta años desde que finalice la exposición, dando cumplimiento al Real Decreto 396/2006, por el que se establecen las disposiciones mínimas de seguridad y salud aplicables a los trabajos con riesgo de exposición al amianto.
5.º Protección de radiaciones ionizantes: hasta que la persona trabajadora cumpla sesenta y cinco años y siempre respetando un mínimo treinta años, dando cumplimiento al Real Decreto 783/2001, por el que se aprueba el Reglamento sobre protección sanitaria contra radiaciones ionizantes.
6.º Plomo metálico y componentes iónicos: plazo de treinta años, dando cumplimiento a la Orden Ministerial de 9 de abril de 1986, que aprueba el reglamento de prevención de riesgos y protección de la salud por la presencia de plomo metálico y sus componentes iónicos en el ambiente de trabajo. BOE de 6/5/1986.
c) Videovigilancia y control de accesos: el tiempo de conservación de la imagen será de un mes, dando cumplimiento al artículo 22.3 de la LOPDyGDD.
Las entidades forales respetarán y establecerán los plazos de conservación en función de la materia y normativa aplicable.
El RGPD exige del responsable del tratamiento una configuración por defecto de los tratamientos que sea respetuosa con los principios de protección de datos personales, abogando por un procesamiento que sea lo menos intrusivo posible: mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales. Es por ello, que la Diputación Foral de Bizkaia trabajará desde el inicio de cada proyecto en la elección de valores de configuración y opciones de tratamiento fijadas en los sistemas y procedimientos que implementan el tratamiento y que determinan la cantidad de los datos personales recopilados, el alcance de su procesamiento, el período de su conservación y su accesibilidad, para garantizar que estos mínimos están establecidos.
Teniendo en cuenta que la protección de datos personales por defecto no se limita a requisitos sobre programas o dispositivos, sino que afecta también al propio diseño del tratamiento, con independencia del soporte en el que se desarrolle el mismo, las entidades comprendidas en el ámbito subjetivo de la presente política trabajarán en la línea de que los principios, derechos y obligaciones relativos a la protección de datos personales deban tenerse en cuenta desde el diseño y por defecto. En este sentido, una aplicación demostrable de la protección de datos personales por defecto se convierte en una de las medidas de responsabilidad proactiva que permite acreditar el cumplimiento de las obligaciones establecidas en la norma. Es por ello por lo que la Diputación Foral de Bizkaia aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean estrictamente necesarios para cada uno de los fines específicos del tratamiento. La Diputación Foral de Bizkaia asume esta obligación y se aplicará a:
1.º La cantidad de datos personales recogidos.
2.º La extensión de su tratamiento.
3.º Plazo de conservación.
4.º Accesibilidad.
Mediante estas medidas la Diputación Foral de Bizkaia garantizará que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
Las medidas de seguridad se incluirán por defecto, de manera que la seguridad de la información esté siempre por defecto en todos los sistemas, transferencias, soluciones y opciones cuando se traten datos personales. Aunque el riesgo del tratamiento para los derechos y libertades sea escaso, el responsable del tratamiento no podrá ignorar el establecimiento de medidas de seguridad.
En cuanto a dichas medidas de seguridad se elegirán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, entre otras: la seudonimización, el cifrado y la anonimización de datos personales, tal y como establece el artículo 32 del RGPD. Se aplicará el concepto de protección de datos personales por defecto, para asegurar que se contemplen todas aquellas medidas y garantías de «configuración por defecto» que, independientemente del riesgo, sea necesario establecer por «la naturaleza, el ámbito, el contexto y los fines del tratamiento».
Como cualquier otra medida de responsabilidad proactiva, en la Diputación Foral de Bizkaia la protección de datos personales por defecto se abordará de forma integrada con el resto de las garantías establecidas en el RGPD, y como parte integral de los procedimientos y de la cultura de la Diputación Foral de Bizkaia y de las entidades forales. La selección de medidas y garantías para la protección de datos personales por defecto tiene influencia sobre los requisitos que se establecen sobre los dominios de seguridad (confidencialidad, disponibilidad, trazabilidad, integridad y autenticidad) desde un punto de vista de «seguridad por defecto».
Con relación a la implementación de medidas de protección de datos personales por defecto, la Diputación Foral de Bizkaia, se centrará en tres estrategias cuyo contenido se detalla a continuación:
1.º Optimizar: la optimización del tratamiento persigue analizarlo desde el punto de vista de la protección de datos personales, lo que supone aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
2.º Configurar: esta estrategia debe permitir que el tratamiento sea adaptable con relación a los datos personales mediante valores (ajustes) disponibles en las aplicaciones, dispositivos o sistemas que lo implementan. Parte de esa configurabilidad ha de estar bajo el control de la persona usuaria.
3.º Restringir: la restricción garantiza que, por defecto, el tratamiento es lo más respetuoso posible con la privacidad, de modo que, las opciones de configuración han de estar ajustadas, por defecto, en aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
Cuando la utilización de una cookie (dispositivos de almacenamiento y recuperación de datos que se utilizan en un equipo terminal, como por ejemplo, un ordenador, teléfono móvil, tablet etc. de la persona usuaria durante la prestación de un servicio de la sociedad de la información) conlleve el tratamiento de datos personales, dentro de los supuestos regulados en el artículo 22.2 de la Ley 34/2002, de 11 de julio de servicios de la Sociedad de la información y de comercio electrónico, la Diputación Foral de Bizkaia y las entidades forales asegurarán el cumplimiento de la normativa de protección de datos personales, guías sobre cookies y sus actualizaciones publicadas tanto por la Agencia Española de Protección de Datos, como por otras autoridades de control, dando cumpliendo a las siguientes obligaciones:
a) Transparencia de la información: se debe facilitar a la persona usuaria información clara y completa sobre la utilización y la finalidad de los dispositivos de almacenamiento y recuperación de datos (cookies).
b) Obtención del consentimiento de la persona usuaria: para que este consentimiento sea válido deberá de ser otorgado de manera libre e informada, y debe poder demostrarse que se ha obtenido.
La seguridad de la información de la Diputación Foral de Bizkaia y las entidades forales se articula en base a esta política de seguridad de la información y protección de datos personales, de acuerdo con los principios básicos indicados en el capítulo III, y se desarrollará en la normativa de seguridad de la información que se apruebe, para el sector público foral de Bizkaia, dando cumplimiento al Esquema Nacional de Seguridad, en general, y a la política de seguridad, en particular.
La seguridad deberá comprometer a todas las personas pertenecientes a la Diputación foral de Bizkaia y a las entidades forales, tal y como se ha expuesto en de la presente política se procede a una organización y distribución de funciones en el capítulo IV de roles y en el artículo 4 respecto a su ámbito de aplicación, asignando expresamente responsabilidad diferenciada a los siguientes roles: responsable de la información, responsable del servicio, responsable de seguridad y responsable del sistema.
La Diputación Foral de Bizkaia, y las entidades forales, como organizaciones que desarrollan e implantan sistemas para el tratamiento de la información o la prestación de servicios realizarán su propia gestión de riesgos, de acuerdo con lo establecido en el capítulo VII de la presente política.
Esta gestión se realizará por medio del análisis y tratamiento de los riesgos a los que está expuesto el sistema. Sin perjuicio de lo dispuesto en el anexo II del Real Decreto 311/2022 por el que se regula el ENS, se empleará alguna metodología reconocida internacionalmente.
Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas
y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos.
Todo el personal relacionado con la información y los sistemas será informado y formado en los deberes, obligaciones y responsabilidades en materia de seguridad, tal y como se dispone en los artículos 5 y 6 de la presente política. Su actuación será supervisada para verificar que se siguen los procedimientos y normas de seguridad que se aprueben.
Todos los roles definidos en la presente política ejercerán sus funciones con la debida profesionalidad.
La Diputación Foral de Bizkaia y las entidades forales exigirán, de manera objetiva y no discriminatoria, que las organizaciones que les presten servicios de seguridad cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez en los servicios prestados.
Además, la seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición, construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento. Además, se exigirá que las empresas y organizaciones que presten servicios a la Diputación Foral de Bizkaia y a las entidades forales, tanto en el ámbito de la protección de datos personales, como en el de seguridad de la información, cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez en los servicios prestados.
Se establecerán los mecanismos necesarios de protección que controlen el acceso a los sistemas de información, a través de la mejora continua. Estos accesos estarán limitados a las personas usuarias, procesos, dispositivos u otros sistemas de información, debidamente autorizados y exclusivamente para el desempeño de las funciones atribuidas, de acuerdo con el artículo 17 del Real Decreto 311/2022 por el que se regula el ENS.
En caso de existir indicios de actividades delictivas o que comprometan la seguridad de la información tratada, deberán ser gestionados de acuerdo con el procedimiento y normativa que, en su caso, aplique.
Se procurará que los sistemas de información y su infraestructura de comunicaciones asociada se ubiquen en áreas controladas que sean emplazamientos seguros, y que sean protegidos, bien por controles de acceso físicos adecuados a su nivel de criticidad o mediante medidas apropiadas a los mismos, que garanticen su protección en función de los requisitos legales y normativos existentes, su valor para la Diputación Foral de Bizkaia y las entidades forales, y el riesgo al que pueden estar sometidos en cada momento, de acuerdo con el artículo 18 del Real Decreto 311/2022, por el que se aprueba el ENS. Como mínimo, las salas deben estar cerradas y disponer de un control de accesos.
En la adquisición de productos de seguridad o contratación de servicios de seguridad de las tecnologías de la información y la comunicación entre estos, se utilizarán de forma proporcionada a la categoría del sistema y el nivel de seguridad, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.
Para dar cumplimiento a cuanto dispone el artículo 20 del Real Decreto 311/2022, por el que se aprueba el ENS los sistemas de información de la Diputación Foral de Bizkaia y de las entidades forales, se diseñarán y configurarán otorgando los mínimos privilegios para su correcto desempeño y procurarán que:
a) Los sistemas proporcionen la funcionalidad imprescindible para que la Diputación Foral de Bizkaia y las entidades forales alcancen sus objetivos competenciales o contractuales.
b) Las funciones de operación, administración y registro de actividad sean las mínimas necesarias, y se asegurará que sólo sean accesibles por las personas autorizadas, desde emplazamientos o equipos que sean autorizados y definidos, pudiendo contemplarse y exigirse, en su caso restricciones de horario y puntos de acceso facultados.
c) Se eliminen o desactiven, mediante el control de la configuración, las funciones que sean innecesarias o inadecuadas al fin que se persigue, aprobando y aplicando, en su caso, las guías, procedimientos o directrices de configuración de seguridad para las diferentes tecnologías correspondientes a la categoría del sistema.
d) El uso ordinario del sistema sea sencillo y seguro para la persona usuaria, de forma que una utilización insegura requiera de un acto consciente por parte de la persona usuaria.
La inclusión de cualquier elemento físico o lógico en el catálogo actualizado de activos del sistema o su modificación requerirá autorización formal previa del administrador de seguridad. La evaluación y monitorización permanentes permitirán adecuar el estado de seguridad de los sistemas atendiendo las deficiencias de configuración, las vulnerabilidades identificadas y las actualizaciones que les afecten, así como la detección temprana de cualquier incidente que tenga lugar sobre los mismos, tal y como consta en el artículo 21 del Real Decreto 311/2022, por el que se aprueba el ENS.
Los detalles sobre la auditoría de registros de monitorización para la correcta adecuación del sistema se desarrollarán en una normativa específica.
Se prestará especial atención a la información almacenada o en tránsito a través de equipos o dispositivos portátiles o móviles, los dispositivos periféricos, los soportes de información y las comunicaciones sobre redes abiertas, que deberán analizarse especialmente para lograr una adecuada protección.
Se aplicarán procedimientos que garanticen la recuperación y conservación a largo
plazo de los documentos electrónicos producidos por los sistemas de información, cuando ello sea exigible.
Toda información en soporte no electrónico que haya sido causa o consecuencia directa de la información electrónica, que se encuentre en el ámbito de aplicación del ENS, deberá estar protegida con el mismo grado de seguridad que ésta, y para ello se aplicarán las medidas correspondientes al soporte según norma, procedimiento o directriz en su caso aplicable.
Toda información en soporte papel y en soporte informático se etiquetará adecuadamente en base a su clasificación para facilitar su uso, manipulación y protección, tal y como se desarrollará en la norma de seguridad sobre clasificación y etiquetado de la información. Los documentos y sus soportes, tanto físicos como electrónicos, llevarán un etiquetado que permita reconocer el nivel de clasificación de la información en base a los criterios de seguridad asociados, todo ello, en cumplimiento de lo que dispone el ENS, en su Anexo II, que indica que se ha de referenciar en la Política de Seguridad, un estándar de clasificación y etiquetado de la información.
Se protegerá el sistema de las conexiones a redes públicas, entendiendo por red pública de comunicaciones la red de comunicaciones electrónicas que se utiliza, en su totalidad o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles para el público, de conformidad a la definición establecida en el apartado 32 del anexo II, de la Ley 9/2014, de 9 de mayo, de Telecomunicaciones.
En todo caso, se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y se controlará su punto de unión, de acuerdo con el artículo 23 del Real Decreto 311/2022 por el que se regula el ENS.
De acuerdo con el artículo 24 del Real Decreto 311/2022 por el que se regula el ENS, y con la finalidad exclusiva de lograr el cumplimiento del objeto de esta política de seguridad de la información y protección de datos personales, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de las personas afectadas, y de acuerdo con la normativa sobre protección de datos personales, normativa de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de las personas usuarias, reteniendo la información estrictamente necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
Al objeto de preservar la seguridad de los sistemas de información, garantizando la rigurosa observancia de los principios de actuación de las Administraciones públicas y de conformidad con el RGPD y el respeto a los principios de limitación de la finalidad, minimización de los datos y limitación del plazo de conservación recogidos en esta política, la Diputación Foral de Bizkaia y las entidades forales podrán analizar las comunicaciones entrantes o salientes, y en la medida estrictamente necesaria únicamente para los fines de seguridad de la información, de forma que sea posible impedir el acceso no autorizado a las redes y sistemas de información, detener los ataques de denegación de servicio, evitar la distribución malintencionada de código dañino, así como otros daños a las redes y sistemas de información.
Para corregir, o en su caso, exigir responsabilidades, cada persona usuaria perteneciente a la Diputación Foral de Bizkaia o entidades forales, que acceda al sistema de información deberá estar identificada de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos y quién ha realizado una determinada actividad.
La Diputación Foral de Bizkaia y las entidades forales dispondrán de un procedimiento para la gestión de incidentes de seguridad, que dará cumplimiento al artículo 25 del Real Decreto 311/2022 por el que se regula el ENS y que regula los incidentes de seguridad. Este procedimiento será accesible y conocido entre las personas que se identifiquen en el procedimiento y que desempeñen roles y que conforme a éstos tengan asignadas responsabilidades y obligaciones. En este procedimiento se describirán los mecanismos de detección, los criterios de clasificación, los procedimientos de análisis y resolución, los cauces de comunicación a las partes interesadas, la notificación a las autoridades y organismos oficiales, así como el registro de las actuaciones que se desarrollen durante la gestión del mismo. El procedimiento dispondrá de los siguientes mecanismos para su gestión, sin perjuicio del desarrollo posterior por el procedimiento de Gestión de Incidentes de Seguridad:
a) Detección y registro.
b) Análisis y clasificación. Criterios de clasificación.
c) Comunicación interna.
d) Análisis y toma de decisión: según valoración y probabilidad del riesgo decisión a adoptar por rol correspondiente según gravedad del incidente.
e) Resolución: contención, erradicación y recuperación.
f) Informe de cierre.
g) Notificación, en su caso a agentes externos, autoridades competentes y en su caso, personas afectadas.
h) Reflexión y mejora.
Los sistemas de la Diputación Foral de Bizkaia y entidades forales dispondrán de copias de seguridad y de mecanismos que garanticen la continuidad de las operaciones en caso de pérdida de los medios habituales de trabajo o afección grave de los activos empleados, tal y como indica el artículo 26 del Real Decreto 311/2022 por el que se regula el ENS.
El proceso integral para la gestión de la protección de datos personales y seguridad de la información será mejorado de manera continua en base a los indicadores que se consideren en función de los requisitos establecidos, el nivel de madurez en cada momento y las necesidades estratégicas de Diputación Foral de Bizkaia y las entidades forales, tal y como indica el artículo 27 del Real Decreto 311/2022 por el que se regula el ENS.
La Diputación Foral de Bizkaia y las entidades forales adoptarán las medidas y refuerzos de seguridad correspondientes al Anexo II del Real Decreto 311/2022 por el que se regula el ENS, teniendo en cuenta:
a) Los activos que constituyen los sistemas de información.
b) La categoría del sistema.
c) Las decisiones que se adopten para gestionar los riesgos que se identifiquen.
Estas medidas de seguridad serán mínimos exigibles, siendo ampliables a criterio del responsable de seguridad por medidas adicionales de seguridad. Las medidas de seguridad del Anexo II podrán ser reemplazadas por otras medidas compensatorias, siempre y cuando se justifique documentalmente que protegen igual o mejor el riesgo sobre los activos y se satisfacen los principios básicos y requisitos mínimos recogidos en el ENS y en la presente política. Esta relación de medidas se formalizará en un documento denominado «Declaración de aplicabilidad», firmado por el responsable de seguridad. Como parte de la declaración de aplicabilidad se indicará de forma detallada la correspondencia entre las medidas compensatorias implantadas y las medidas del Anexo II que compensan.
Las entidades del sector privado, que, en virtud de una relación contractual, presten servicios o provean soluciones a la Diputación foral de Bizkaia y/o a las entidades forales para el ejercicio por éstas de sus competencias y potestades administrativas, y en particular sus sistemas de información cumplirán el Esquema Nacional de Seguridad y las directrices que emanen de los organismos oficiales. En particular, las referencias que se establezcan relativas a la política de seguridad.
Los pliegos de prescripciones administrativas o técnicas de la Diputación Foral de Bizkaia y de las entidades forales contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de Declaraciones o Certificaciones de Conformidad con el ENS. Esta cautela se extenderá a la cadena de suministro de estos contratistas.
En el caso de servicios externalizados, salvo por causa justificada y documentada,
la organización prestataria de los servicios designará un POC (punto o persona de contacto) para la seguridad de la información tratada y del servicio prestado. El POC de seguridad canaliza y supervisa, tanto el cumplimiento de los requisitos de seguridad del servicio o solución que presta, como las comunicaciones relativas a la seguridad de la información y la gestión de los incidentes para el ámbito de dicho servicio, en cumplimiento de lo dispuesto en el artículo 13.5 del Real Decreto 311/2022 por el que se regula el ENS.
Todas las aplicaciones y herramientas tecnológicas que afecten o se incorporen a la red corporativa deberán ser adquiridas con el visto bueno previo de Lantik, S.A.M.P., en particular, con la aprobación de su departamento de seguridad.
La utilización de infraestructuras y servicios comunes de la Diputación Foral de Bizkaia y de las entidades forales, incluidos los compartidos o transversales, facilitará el cumplimiento de lo dispuesto en esta política. Los supuestos concretos de utilización de estas infraestructuras y servicios serán determinados por la Diputación Foral de Bizkaia y las entidades forales.
La Diputación Foral de Bizkaia establecerá un Catálogo de Servicios Electrónicos, que será el registro que recoja el inventario de servicios y de la información (gestionada por estos) junto con la valoración y su justificación, y a partir del cual los responsables de información y servicio valorarán los requisitos de seguridad de la información almacenada y tratada y los servicios prestados, de acuerdo con lo establecido en el artículo 40 del Real Decreto 311/2022 por el que se regula el ENS. Asimismo, el Catálogo de servicios electrónicos se empleará como referencia para determinar el impacto que podría suponer sobre los mismos una amenaza de seguridad en los procesos de análisis de riesgos o impacto en el negocio, requeridos respectivamente en las medidas de seguridad op.pl.1 (relativa a la necesidad de realización del análisis de riesgos) y op.cont.1 (relativa al análisis de impacto en la continuidad del servicio) del Anexo II del citado Esquema Nacional de Seguridad.
El alcance del Catálogo deberá contemplar el conjunto de aquellos servicios que
conforman el ámbito objetivo de aplicación de la Ley 39/2015 de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas que estén sustentados en medios electrónicos y dirigidos a gestionar las competencias de la Diputación Foral de Bizkaia o desarrollar o contribuir a desarrollar el procedimiento administrativo.
La determinación del grado de detalle y granularidad de los diferentes servicios que
conformarán el Catálogo de servicios electrónicos se realizará adaptándolo para soportar los procesos de categorización del sistema, análisis de riesgos e impacto en el negocio especificados en el Esquema Nacional de Seguridad.
Las entidades forales, en la misma línea, definirán y adoptarán su correspondiente catálogo de servicios electrónicos conforme a los servicios que presten y a su ámbito de actuación.
Suspensión de larga duración: si se apreciaran deficiencias graves de seguridad que afecten a la prestación de un determinado servicio o al tratamiento de cierta información, el responsable del sistema propondrá la suspensión del tratamiento o la prestación del servicio. La decisión final será adoptada por el Comité de Dirección que deberá ser acordada con los responsables de la información y los servicios afectados y con el responsable de seguridad. La ejecución de la suspensión se efectuará por el responsable del sistema.
Suspensión cautelar o de corto plazo: se producirá la suspensión cautelar del servicio para dar una respuesta ágil ante un problema de seguridad que se detecte y se tratará de una suspensión de corta duración. El responsable de seguridad adopta la decisión e informa de la misma al Comité de Dirección, responsables de información y responsables de servicio afectados y su ejecución corresponderá al responsable del sistema.
La Diputación Foral de Bizkaia y las entidades forales, al respecto de contemplar las directrices para la estructuración de la documentación de seguridad del sistema, de su gestión y acceso, tal y como indica el artículo 12.1.e) del Real Decreto 311/2022 por el que se regula el ENS, el proceso de implantación de la presente política se establecerá mediante la normativa de seguridad, documentación y procedimientos de seguridad, del sistema de información. Esta normativa de seguridad trata sobre determinadas materias, entre otras, que se recogen a continuación:
a) Auditorías de registros de monitorización.
b) Clasificación, etiquetado y tratamiento de la información.
c) Control de accesos lógicos.
d) Gestión de incidentes de seguridad y datos personales.
La normativa de seguridad contempla un conjunto de regulaciones que, desarrollan la política de seguridad de la información y protección de datos personales, para cumplir el objetivo de ejecución y despliegue de los elementos esenciales y básicos que se regulan en la presente política. Para ello, cada norma de seguridad debe cumplir los siguientes aspectos:
a) Centrar su regulación en el objetivo específico que pretende alcanzar.
b) Incluir una descripción de acciones conforme a la norma.
c) Ser concisa, motivada e incluir referencias para que pueda realizarse una correcta interpretación de la misma.
En particular, los procedimientos de seguridad recogen una descripción detallada sobre cómo realizar una actividad concreta, de acuerdo con las directrices que se deban seguir. Estos procedimientos deberán recoger lo siguiente:
a) Ámbito objetivo y subjetivo de aplicación.
b) Roles intervinientes en el procedimiento.
c) Regulación del proceso a llevar a cabo.
d) En su caso, métricas para evaluar los resultados.
e) En su caso, posibilidad de reportar mejoras y deficiencias.
El proceso de análisis y gestión de los riesgos es un procedimiento en el que son objeto de análisis, revisión y gestión de los riesgos periódicos, en los plazos legalmente establecidos y conforme al procedimiento que desarrolle el mismo:
a) Los tratamientos de datos personales.
b) Toda la información y los sistemas de información que están sujetos a la presen-te Política.
Cuando se trate de actividades de tratamiento de datos personales que lleven a cabo la Diputación Foral de Bizkaia o las entidades forales, tal y como establece el artículo 32 RGPD, se aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluirá entre otros, la realización de un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Al evaluar la adecuación del nivel de seguridad se tendrán en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Cuando sea probable que un tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento llevará a cabo evaluaciones de impacto de las operaciones de tratamiento, con carácter previo al propio tratamiento, conforme a lo previsto en el artículo 35 del RGPD, la metodología establecida por las autoridades de control y el procedimiento que se determine al efecto.
Tal y como establecen los artículos 7 y 14 del Real Decreto 311/2022 por el que se regula el ENS, el proceso de análisis y gestión de riesgos es una medida de planificación dentro del marco operacional del Esquema Nacional de Seguridad, para proteger la operación del sistema como conjunto integral de componentes para un fin. En este proceso se evaluarán las amenazas y los riesgos a los que están expuestos, y permitirá identificar y gestionar los riesgos minimizándolos hasta los niveles que puedan considerarse aceptables. Además, se realizarán análisis de riesgos cuando concurra cualquiera de las siguientes circunstancias, pudiéndose en estos casos realizar un análisis circunscrito a los activos afectados:
a) Cuando cambie la información manejada de forma sustancial.
b) Cuando cambien los servicios prestados de forma sustancial.
Dando cumplimiento al procedimiento que desarrolle el proceso de Análisis y Gestión de Riesgos, la Diputación Foral de Bizkaia, mediante la unidad orgánica competente en protección de datos y/o seguridad de la información de la Diputación Foral de Bizkaia, en colaboración con su administrador de seguridad, Lantik S.A.M.P., realizará y coordinará los procedimientos de análisis y gestión de riesgos con cada una de las unidades implicadas en la Diputación Foral de Bizkaia, y con las entidades forales, cuando corresponda.
Dentro de la Diputación Foral de Bizkaia y en las entidades forales se convocarán
para su participación los siguientes roles intervinientes en el proceso de análisis de riesgos en el ámbito de seguridad de la información:
a) Responsable de servicio.
b) Personal dinamizador.
c) Unidad orgánica competente en protección de datos y/o seguridad de la informa-ción de la Diputación Foral de Bizkaia.
d) Lantik, S.A.P.A., en calidad de administrador de seguridad.
e) Responsable de la información.
f) Otros roles que se determine su necesidad de intervención en el proceso. En su caso, participación del Equipo técnico combinado para la seguridad de la información.
Dentro de la Diputación Foral de Bizkaia y en las entidades forales se convocan para su participación los siguientes roles intervinientes en el proceso de análisis de riesgos en el ámbito de protección de datos personales:
a) Responsable del tratamiento.
b) Personal dinamizador.
c) DPD o personal de la unidad orgánica competente en protección de datos y/o seguridad de la información de la Diputación Foral de Bizkaia.
d) Otros roles que se determine su necesidad de intervención en el proceso. Por ejemplo, en el caso del administrador de seguridad para aquellas cuestiones técnicas en las que sea necesaria su participación.
En este proceso se determinarán los activos más importantes a analizar desde el punto de vista de las dimensiones de la seguridad (disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad) y se evaluarán las amenazas y los riesgos a los que están expuestos, permitiendo identificar y gestionar los riesgos, minimizándolos hasta los niveles que puedan considerarse aceptables. Se deberá realizar una validación de cada uno de los análisis de riesgos de los servicios analizados que se consignarán en el correspondiente Informe de resultados del proceso, en el que se recogerán los riesgos identificados, la propuesta y asunción del riesgo mínimo aceptable y el plan de tratamiento de riesgos a ejecutar.
En el proceso se realiza un análisis que describe los siguientes aspectos:
a) Identificación y valoración cualitativa de los activos más valiosos del sistema.
b) Identificación y cuantificación de las amenazas más probables.
c) Identificación y valoración de las salvaguardas que protegen de dichas amenazas.
d) Identificación y valoración del riesgo residual.
El equipo técnico combinado para la seguridad de la información participará en los procesos de análisis de riesgos o revisión de los mismos y, además, coordinará la correcta ejecución, despliegue y seguimiento de las medidas técnicas, organizativas y operacionales que se incluyan dentro de cada plan de tratamiento de riesgos.
El informe de resultados junto con su Plan de Tratamiento de Riesgos será realizado por el responsable de seguridad en colaboración con Lantik S.A.M.P y se dará cuenta del proceso y de los resultados al Comité de dirección para su aprobación.
La categoría de seguridad de los sistemas de información de la Diputación Foral de Bizkaia y/o de las entidades forales modulará el equilibrio entre la importancia de la información que maneja y los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que están expuestos, bajo el principio de proporcionalidad.
La determinación de la categoría de seguridad del sistema de información se efectuará en función de la valoración del impacto que tendría un incidente que afectase a la seguridad de la información o de los servicios con perjuicio para las dimensiones de seguridad ( disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad) y siguiendo cuanto dispone, tanto el procedimiento descrito en el anexo I del Real Decreto 311/2022 por el que se regula el ENS, como las facultades establecidas en el artículo 41 del mismo y en la presente política.
Cuando por necesidades del servicio, situaciones extraordinarias o por la concurrencia de circunstancias debidamente reguladas en la Diputación Foral de Bizkaia y en las entidades forales, el personal tenga que desarrollar sus funciones fuera de las instalaciones forales, es decir, en situación de prestación de servicios en movilidad, trabajo en remoto o en el marco de un programa de teletrabajo, se deberán establecer las medidas necesarias para garantizar la protección de los sistemas de información y de los datos personales. En concreto, se deberán establecer las siguientes medidas:
60.1. Indicaciones y directrices para la Diputación Foral de Bizkaia y las entidades forales
a) Definir y establecer las instrucciones, guías y medidas jurídicas, técnicas y organizativas que estimen necesarias para proteger la información y los datos personales en el desempeño de las situaciones de movilidad, trabajo en remoto y teletrabajo, que contemplarán las necesidades concretas y los riesgos particulares introducidos por el acceso a los recursos corporativos desde espacios que no están bajo su control.
b) Determinar las formas de acceso remoto permitidas qué tipo de dispositivos son válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad definidos. También deben definirse las responsabilidades y obligaciones que asumen las personas que desempeñen funciones en situación de movilidad, trabajo en remoto y teletrabajo.
c) Garantizar los derechos digitales de las personas que desempeñen funciones en situación de movilidad, trabajo en remoto y teletrabajo de acuerdo con la regulación contenida en el Título X de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, y en particular cuanto dispone el artículo 87 respecto al derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
d) Informar al personal que desempeñe funciones en situación de movilidad, tra-bajo en remoto y teletrabajo: se informará de las instrucciones, guías y medidas jurídicas, técnicas y organizativas adoptadas, de las principales amenazas por las que puedan verse afectados al trabajar desde fuera de la Diputación Foral de Bizkaia y de las entidades forales, y de las posibles consecuencias que pueden materializarse de acontecer las mismas.
e) Elegir soluciones y prestadores de servicio confiables y con garantías: se evitará contratar y utilizar aplicaciones y soluciones de trabajo remoto y/o teletrabajo que no ofrezcan garantías y que puedan dar lugar a la exposición de los datos personales del personal que desempeñe funciones en situación de movilidad, trabajo en remoto y teletrabajo y de las personas interesadas y de la información y los servicios corporativos de la Diputación Foral de Bizkaia y de las entidades forales, en particular, a través de los servicios de correo y mensajería.
Se recurrirá a proveedores y encargados de tratamiento que ofrezcan soluciones probadas y garantías suficientes. Si estos acceden a datos personales, tendrán la consideración de encargados de tratamiento y la relación se regirá por un contrato u otro acto jurídico que vincule al encargado respecto del responsable. Este contrato debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de personas interesadas, y las obligaciones y derechos del responsable, de acuerdo con los términos establecidos en el artículo 28.3 del RGPD.
f) Restringir el acceso a la información: los perfiles o niveles de acceso a los recursos y a la información tienen que configurarse en función del rol y/o del puesto de trabajo que cada persona desempeñe en situación de movilidad, trabajo en remoto y teletrabajo. A su vez, hay que aplicar restricciones de acceso adicionales, en función del tipo de dispositivo desde el que se acceda a la información (equipos portátiles corporativos securizados, equipos personales externos y dispositivos móviles como smartphones o tablets) y también, dependiendo de la ubicación desde la que se accede.
g) Configurar y actualizar periódicamente los equipos: los dispositivos serán re-visados y se asegurará que están correctamente actualizados y configurados para garantizar el cumplimiento de las instrucciones, guías y medidas que se aprueben para situaciones de movilidad establecidas por la Diputación Foral de Bizkaia y de las entidades forales, así como el control de los perfiles de acceso definidos.
h) Monitorizar los accesos realizados a la red corporativa desde el exterior: se utilizará un sistema de gestión de eventos automatizado para que monitorice los logs, detectando fallos de rendimiento, mal funcionamiento o errores e intrusiones. Adicionalmente, la configuración definida para monitorizar los accesos a los recursos de forma remota debe ser revisada de forma periódica para garantizar que no ha sido alterada ni desactivada sin autorización.
i) Gestionar racionalmente la protección de datos personales y la seguridad de la información: las medidas y garantías establecidas en las instrucciones, guías y medidas que se definan, se establecerán a partir de un análisis de riesgos en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información y a los datos personales. Los recursos a los que se pueda acceder se limitarán en función de la valoración del riesgo que represente una pérdida del dispositivo y la exposición o acceso no autorizado a la información manejada.
j) Cifrado de equipos: el equipamiento que vaya destinado a situaciones de movilidad, trabajo en remoto y teletrabajo será cifrado.
60.2. Directrices para el personal que participa en las acciones de movilidad, trabajo en remoto y teletrabajo
a) Observar y cumplir las instrucciones, guías y medidas jurídicas, técnicas y organizativas definidas y aprobadas por la Diputación Foral de Bizkaia y por las entidades forales para las situaciones de movilidad, así como del resto de las normas y procedimientos que las desarrollen (en particular, Código de Conducta Informático) y, especialmente, lo que concierne al deber de confidencialidad de la persona que desempeñe funciones en situación de movilidad, trabajo en remoto y teletrabajo con relación a los datos personales a los que tuviera acceso en el desempeño de sus funciones laborales. Especial consideración se deberá tener respecto a las condiciones que regulen la realización de videollamadas en situaciones de movilidad, trabajo en remoto y teletrabajo.
b) Proteger el dispositivo utilizado en movilidad, trabajo en remoto y/o teletrabajo y el acceso al mismo. Con respecto a los dispositivos y equipos portátiles, el personal que tenga a su disposición uno de ellos debe extremar su precaución cuando haga uso de los mismos o los transporte fuera de las instalaciones de la Diputación Foral de Bizkaia y de las entidades forales. El contenido del dispositivo puede ser confidencial por lo que deben adoptarse todas las precauciones para evitar la pérdida o sustracción del mismo.
Una vez concluida la jornada de trabajo en situación de movilidad, trabajo en remoto y/o teletrabajo debe desconectarse la sesión de acceso remoto y apagar o bloquear el acceso al dispositivo.
c) Garantizar la protección de la información que se está manejando. Fuera de las instalaciones corporativas se adoptarán las precauciones necesarias para garantizar la confidencialidad de la información que se está tratando, conforme a las siguientes pautas:
1.º Minimizar o evitar la entrada y salida de documentación en soporte papel y extremar las precauciones para evitar accesos no autorizados por parte de terceras personas. La información en soporte papel, incluyendo borradores, no se puede desechar sin garantizar que es adecuadamente destruida.
2.º Extremar las precauciones para evitar el acceso no autorizado a la información personal, propia y de terceras personas, manejada, no dejando a la vista ningún soporte de información en el lugar donde se desarrolle la movilidad, trabajo en remoto o el teletrabajo y bloqueando las sesiones de los dispositivos cuando estos estén desatendidos.
3.º Evitar exponer la pantalla a la mirada de terceras personas.
4.º Prevenir que se puedan escuchar conversaciones por parte de terceras personas utilizando, por ejemplo, auriculares o retirándose a un espacio en el que la persona en situación de movilidad, trabajo en remoto o teletrabajo no esté acompañada.
d) Guardar la información en los espacios de red habilitados, se adoptarás las siguientes precauciones:
1.º Evitar almacenar la información generada durante la situación de movilidad, trabajo en remoto, teletrabajo, de forma local en el dispositivo utilizado, y hacer uso de los recursos de almacenamiento compartidos o en la nube proporcionados por la Diputación Foral de Bizkaia y las entidades forales.
2.º No utilizar aplicaciones no autorizadas por la Diputación Foral de Bizkaia y las entidades forales para compartir información (servicios en nube de alojamiento de archivos, correos personales, mensajería rápida, etc.).
3.º Revisar y eliminar periódicamente la información residual que pueda quedar almacenada en el dispositivo, como archivos temporales del navegador o descargas de documentos.
e) Comunicar con carácter inmediato el incidente de seguridad, si hay sospecha de que la información o los datos personales han podido verse comprometidos, o ante cualquier anomalía que pueda afectar a la seguridad de la información y a los datos personales tratados se notificará el incidente siguiendo el procedimiento y los canales que a tal efecto definan y aprueben la Diputación Foral de Bizkaia y las entidades forales.
De conformidad con lo previsto en la disposición adicional primera de la Constitución española, en el artículo 41 del Estatuto de Autonomía para el País Vasco, aprobado por medio de Ley Orgánica 3/1979, de 18 de diciembre, y en el Concierto Económico con la Comunidad Autónoma del País Vasco, aprobado por medio de Ley 12/2002, de 23 de mayo, lo dispuesto en la presente política se entiende sin perjuicio de las especialidades aplicables a la administración tributaria y de las normas relativas al carácter reservado de los datos obtenidos por la misma en el ejercicio de sus funciones, reguladas ambas en la Norma Foral 2/2005, de 10 de marzo, General Tributaria del Territorio Histórico de Bizkaia y en sus disposiciones reglamentarias de desarrollo.
El anteproyecto de Ley de Protección de Datos Personales y de la Autoridad Vasca de Protección de Datos y el anteproyecto de Ley de creación de la agencia vasca de ciberseguridad-euskadiko zibersegurtasun agentzia, que en la actualidad están siendo tramitadas para su aprobación por el Parlamento Vasco, a partir de su entrada en vigor formarán parte del marco normativo recogido en el artículo 2 de la presente política. Así mismo, y en lo referente a este marco normativo resultará de aplicación las disposiciones derogatorias que, en su caso, contengan las respectivas leyes tras su entrada en vigor.
A la entrada en vigor del presente decreto quedan derogadas todas las disposiciones de igual o inferior rango que se opongan o contradigan lo establecido en la misma.
A la entrada en vigor del presente decreto, en lo que respecta a la regulación de los roles y responsabilidades del sector público foral de Bizkaia (Diputación Foral de Bizkaia y entidades forales) en el ámbito de la protección de datos personales y seguridad de la información, que se realiza en el capítulo IV, quedan derogadas y modificadas las regulaciones vigentes de los roles recogidas en otras disposiciones de igual o inferior rango. En particular, quedan derogadas las siguientes:
a) El Acuerdo de la Diputación Foral de Bizkaia de 15 de mayo de 2018, por el que se procede a la creación, designación y regulación del estatuto jurídico de la persona delegada de protección de datos de la Diputación Foral de Bizkaia y entidades forales del artículo 2 del Decreto Foral Normativo 5/2013, de 3 de diciembre, por el que se aprueba el Texto Refundido de la Norma Foral 5/2006 de 29 de diciembre, General Presupuestaria del TTHH Bizkaia.
b) Decreto Foral de la Diputación Foral de Bizkaia 173/2013, de 10 de diciembre, por el que se aprueba la implantación de medidas de seguridad, organizativas, de infraestructura, aplicaciones y servicios en materia de protección de datos de carácter personal.
c) Decreto Foral de la Diputación Foral de Bizkaia 187/2015, de 15 de diciembre, por el que se modifica el Decreto Foral 173/2013, de 10 de diciembre, por el que se aprueba la implantación de medidas de seguridad, organizativas, de infraestructura, aplicaciones y servicios en materia de protección de datos de carácter personal.
A la entrada en vigor del presente decreto, queda derogada la política de seguridad de la información de la Diputación Foral de Bizkaia y de todas las entidades forales incluidas en los presupuestos del Territorio Histórico de Bizkaia, aprobada mediante Acuerdo de la Diputación Foral de Bizkaia de 21 de marzo de 2017.
La presente política contenida en este decreto foral entrará en vigor y surtirá efectos desde el día siguiente al de su publicación en el «Boletín Oficial de Bizkaia».
La Política de seguridad de la información y protección de datos personales del sector público foral de Bizkaia será revisada, en un plazo máximo de 5 años a computar desde la entrada en vigor del presente decreto que la aprueba. En todo caso, será revisada cada vez que se produzcan modificaciones sustanciales en la normativa, en las instrucciones o guías oficiales que determinen la necesidad de su actualización.
Se faculta a la diputada foral de Administración Pública y Relaciones Institucionales o a la diputada o diputado foral del departamento que sea competente en materia de protección de datos y/o seguridad de la información, para aprobar o bien elevar a consejo de Gobierno para su aprobación la propuesta de resoluciones administrativas o de disposiciones administrativas de carácter general, cuando sea necesario actualizar, desarrollar o ejecutar lo dispuesto en este decreto foral.
En particular, respecto al ámbito de seguridad de la información, la política de seguridad que se aprueba en el presente decreto se configura como la norma de seguridad a alto nivel que establece los roles, estructura general, requisitos mínimos y garantías básicas de seguridad pero tal y como dispone el ENS y las Guías del CCN-CERT es necesario disponer y aprobar el resto de normativa de seguridad complementaria (normas, procedimientos, guías e instrucciones de seguridad) que desarrollen de manera detallada la parte organizativa, operacional y técnica de seguridad, y es por ello que se motiva la necesidad de la presente habilitación. De igual manera, en el ámbito de protección de datos personales puede surgir la necesidad de completar lo regulado en el presente decreto.