El Decreto que regula la política de seguridad de la información actualiza la normativa en la materia y regula las directrices, el marco organizativo y los instrumentos necesarios para dotar de seguridad la Administración digital y el tratamiento de datos, haciendo hincapié en las medidas de concienciación y de formación dirigidas a los empleados públicos.
Consejo de Gobierno del 30 de septiembre de 2021
Castilla y León |
Consejería de Economía y Hacienda
La Junta de Castilla y León ha aprobado esta mañana el Decreto por el que se regula la nueva Política de Seguridad de la Información y Protección de Datos Personales (PSIPD) de la Administración de la Comunidad. La norma ha sido aprobada a propuesta de la Consejería de Economía y Hacienda y a iniciativa conjunta de la Consejería de Fomento y Medio Ambiente y de la Consejería de Transparencia, Ordenación del Territorio y Acción Exterior, departamentos competentes en materia de seguridad de la información y de protección de datos personales, respectivamente.
Se actualiza la normativa autonómica en la materia
Este Decreto deroga y sustituye a la Orden de 2014 que regulaba esta materia hasta la fecha. Desde 2014 se han producido diversos cambios normativos que obligan a adaptar esta política, principalmente una modificación en 2015 del Esquema Nacional de Seguridad; la entrada en vigor del Reglamento Europeo de Protección de Datos en 2016 y de la Ley Orgánica de Protección de Datos en 2018, y la aprobación de la Estrategia de Seguridad Nacional en 2017 y de la Estrategia de Ciberseguridad de la Unión Europea en 2020. Todas estas normas introducen cambios relevantes en figuras y procedimientos relacionados con la seguridad de la información y la protección de datos, especialmente en el ámbito de las administraciones públicas.
Por todo ello, el nuevo Decreto actualiza la normativa autonómica vigente, estableciendo, además, por primera vez, un tratamiento conjunto de las medidas de seguridad necesarias para proteger tanto los sistemas de información como los datos de carácter personal, dada la íntima relación funcional y organizativa que existe entre ambos aspectos.
La PSIPD tiene como objetivo generar la suficiente confianza en el uso de los medios electrónicos para permitir a los ciudadanos y a las administraciones públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios con plenas garantías.
Este Decreto es de aplicación a todos los sistemas de información y a todas las actividades de tratamiento de datos personales de los que sean responsables los órganos de la Administración General de la Comunidad de Castilla y León, así como sus organismos autónomos y entes públicos de derecho privado cuando ejerzan potestades administrativas, sin perjuicio de que dichos organismos puedan aprobar su propia política de seguridad de la información y protección de datos en coherencia con la PSIPD general.
Contenido del Decreto
La PSIPD establece los principios fundamentales por los que deben regirse todas las actividades relacionadas con la seguridad de la información y el tratamiento de datos personales, definiendo las directrices que han de informar cualquier medida de carácter organizativo, técnico, humano y material para permitir la gestión segura de los sistemas de información de la Administración de la Comunidad de Castilla y León, es decir los programas, aplicaciones, bases de datos, plataformas u otros elementos tecnológicos que soporten información.
Se establece el marco organizativo de la política de seguridad, en el que cobra especial relevancia el Comité de Seguridad de la Información como órgano colegiado fundamental de impulso, seguimiento y coordinación de la PSIPD. Se definen los diferentes responsables previstos en el Esquema Nacional de Seguridad y los delegados de protección de datos, así como las consejerías y centros directivos competentes en la materia.
Define también los instrumentos necesarios que van a permitir el desarrollo de la política y la implementación de medidas de seguridad concretas en los sistemas de información, a fin de garantizar la protección de la información y los datos personales de los ciudadanos. Establece la necesidad de gestionar los riesgos de los sistemas y la auditoría periódica de los mismos, sin olvidar que uno de los elementos clave en la seguridad son las personas, por lo que se recogen de manera expresa previsiones en materia de formación y concienciación, así como las obligaciones del personal al servicio de la Administración de la Comunidad en relación con la PSIPD.
En materia de protección de datos personales, se determinan los responsables del tratamiento y los delegados de protección de datos, y se regula de manera específica el grupo de trabajo para coordinar a estos últimos; se establece el procedimiento de notificaciones a la Agencia Española de Protección de Datos de las posibles incidencias en la seguridad de los datos personales y se crea el Registro de Actividades de Tratamiento, entre otras cuestiones.
Cada vez más ciberataques
Desde el año 2020, y como consecuencia de la pandemia provocada por la COVID-19, se ha incrementado exponencialmente el uso de medios digitales por los ciudadanos, en especial del teletrabajo. Por otro lado, han aumentado tanto el número de ciberataques a administraciones públicas como su impacto negativo en el normal funcionamiento de estas, como se ha podido ver en los últimos meses. En el primer trimestre de 2021, los servicios de ciberseguridad del CCN-CERT han detectado 13.799 incidentes de ciberseguridad. Para garantizar la efectividad de las medidas de protección, detección y respuesta frente a las ciberamenazas, la Administración de la Comunidad ha sentado los pilares fundamentales mediante la aprobación de su PSIPD.
