Esta política de protección de datos y de seguridad de la información delimita las diferentes responsabilidades y roles necesarios para definirla, implantarla y gestionarla.
El Gobierno de Navarra ha aprobado, en su sesión de este miércoles, un Decreto Foral por el que sienta las bases para garantizar la seguridad de la información y la protección de los datos que obran en su poder.
Esta política de protección de datos y de seguridad de la información (PPDSI, en adelante) delimita las diferentes responsabilidades y roles necesarios para definirla, implantarla y gestionarla, roles que se integrarán en la estructura orgánica existente. La protección de datos y la seguridad de la información, ha informado el Gobierno foral, deben contar con el compromiso y apoyo de todos los niveles directivos, "de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas de la Administración para conformar un conjunto coherente y eficaz".
La PPDSI será de aplicación a todos los sistemas de información y a todas las actividades de tratamiento de datos personales de los que sean responsables la Administración y sus organismos públicos. Afectará a la información tratada por cualquier medio, con independencia del soporte.
Según se recoge en el Decreto Foral, son obligaciones legales de la Administración foral y sus organismos públicos tanto la aprobación de una política de seguridad de la información como la de una política de protección de datos.
Por ello, ha expuesto el Ejecutivo, se ha considerado conveniente adoptar una política conjunta de protección de datos y seguridad de la información, dada la conexión entre ambas materias, cumpliendo de este modo con lo establecido en el Reglamento General de Protección de Datos, la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales y el Esquema Nacional de Seguridad.
La estructura organizativa para gestionar la seguridad de la información en el ámbito de la PPDSI está compuesta por responsables del tratamiento, de la información, del servicio, de la seguridad de la información y del sistema, así como por la delegada de Protección de Datos y el Comité de Protección de Datos y Seguridad de la Información.
PRINCIPIOS DE PROTECCIÓN
La Administración tratará la información y los datos personales conforme a los siguientes principios de protección de datos y seguridad de la información: licitud, lealtad y transparencia; legitimación en el tratamiento de datos personales; minimización de los datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad.
Otros principios son la responsabilidad proactiva y diferenciada; atención a los derechos de las personas afectadas; seguridad integral; gestión de riesgos; proceso de verificación; protección de datos por defecto; seguridad ligada a las personas; control de acceso; gestión de los incidentes de seguridad; y uso aceptable de los sistemas de información.
Además, la Administración mantendrá actualizado el registro de las actividades de tratamiento de datos personales de las que sea responsable. Cuando la información contenga datos personales se llevará a cabo, de forma periódica, un análisis que permita identificar y gestionar los riesgos.
Esta evaluación incluirá un análisis de los riesgos para los derechos y libertades de las personas físicas respecto de las actividades de tratamiento con datos personales que lleve a cabo la Administración, así como para los sistemas de información que sirven de soporte para dichas actividades de tratamiento.
La gestión de riesgos de seguridad de la información debe realizarse de manera continua sobre el sistema de información, conforme a los principios de gestión de la seguridad basada en los riesgos y en la reevaluación periódica.
REVISIÓN Y AUDITORÍA
La Administración llevará a cabo, de forma periódica y en los plazos legalmente establecidos, auditorías encaminadas a la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos y sistemas de información.
En todo caso, se llevará a cabo una auditoría específica y extraordinaria cuando se lleven a cabo modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas. Las auditorías serán revisadas por los responsables de seguridad de la información y por la delegada de Protección de Datos.
