Decreto 70/2017, de 6 de junio, por el que se modifica el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
| Sección | 1. Disposiciones Generales |
| Emisor | Consejería de Empleo, Empresa y Comercio |
| Rango de Ley | Decreto |
Las tecnologías de la información y las comunicaciones (TIC) han impulsado el bienestar y progreso de las sociedades de forma que gran parte de las relaciones públicas y privadas dependen de las mismas. Sin embargo, su aplicación y uso conlleva muchos beneficios pero también plantea retos que es necesario abordar. Con el tiempo y la evolución tecnológica, han aparecido riesgos y amenazas, cada vez más sofisticadas y numerosas, dando lugar a un ciberespacio cada día más hostil.
Tal y como establece la Estrategia de Ciberseguridad de la Unión Europea, nuestra libertad y prosperidad dependen, cada vez más, de un ciberespacio abierto, protegido y seguro, correspondiendo a las Administraciones Públicas un papel destacado en la custodia del mismo. En el ámbito europeo, el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), pretende sentar las bases de una normativa de privacidad que se adecue a la nueva realidad tecnológica y social, dando un paso más en la defensa de los derechos de los ciudadanos, ante la creciente preocupación de éstos durante los últimos años por la falta de control sobre sus propios datos que han podido percibir cuando los han facilitado a terceros.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y sus normas de desarrollo determinan las medidas para la protección de los datos de carácter personal.
La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, señala en su artículo 13.h) que quienes, de conformidad con el artículo 3, tienen capacidad de obrar ante las Administraciones Públicas, son titulares, en sus relaciones con ellas, del derecho a la protección de datos de carácter personal y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, determina, en su artículo 3.2, que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas y garantizarán la protección de los datos de carácter personal y facilitarán preferentemente la prestación conjunta de servicios a los interesados.
La articulación de las cuestiones relativas a la seguridad de la información a las que hacen mención las leyes referidas, se lleva a cabo en la actualidad a través del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, modificado a su vez por el Real Decreto 951/2015, de 23 de octubre, siendo su finalidad la creación de las condiciones de confianza en el uso de los medios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
El Estatuto de Autonomía para Andalucía, en su artículo 34, reconoce el derecho a acceder y usar las nuevas tecnologías y a participar activamente en la sociedad del conocimiento, la información y la comunicación, mediante los medios y recursos que la ley establezca. Asimismo, el artículo 58.1.2.º atribuye a la Comunidad Autónoma de Andalucía competencias exclusivas sobre el régimen de las nuevas tecnologías relacionadas con la Sociedad de la Información y del Conocimiento, en el marco de la legislación del Estado.
La Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía, señala en su artículo 7.2 que los principios que rigen las relaciones que mantenga la Administración de la Junta de Andalucía con la ciudadanía y con otras Administraciones Públicas a través de redes abiertas de telecomunicación son los de simplificación y agilización de trámites, libre acceso, accesibilidad universal y confidencialidad en el tratamiento de la información, y de seguridad y autenticidad en orden a la identificación de las partes y el objeto de la comunicación. Para ello, establece que estos sistemas deben de cumplir con el requisito de existencia de medidas de seguridad que eviten la interceptación y alteración de las comunicaciones, así como los accesos no autorizados.
Por otra parte, la Resolución de 27 de septiembre de 2004, de la Secretaría General para la Administración Pública, por la que se establece el manual de comportamiento de los empleados públicos en el uso de los sistemas informáticos y redes de comunicaciones de la Administración de la Junta de Andalucía, define el uso correcto de equipos, servicios e instalaciones, lo que se considerará uso indebido y la responsabilidad del personal con respecto al cumplimiento o violación de estas normas.
La entonces Consejería de Innovación, Ciencia y Empresa puso en marcha, en el año 2007, un programa de seguridad de los sistemas de información denominado «Programa Alcazaba», que tenía como objetivo final la elaboración de un Plan Director de Seguridad para la Administración de la Junta de Andalucía. Las actuaciones realizadas en el marco de ese programa sirvieron para diseñar el Acuerdo de 16 de noviembre de 2010, del Consejo de Gobierno, por el que se aprobó el Plan Director de Seguridad de los Sistemas de Información y Telecomunicaciones de la Administración de la Junta de Andalucía (2010-2013).
Este Plan contenía entre sus medidas el desarrollo y aprobación de un marco normativo de seguridad para la Administración de la Junta de Andalucía, contemplando concretamente la aprobación de un documento de política de seguridad que había de mostrar el compromiso expreso del Gobierno Andaluz con la gestión de la seguridad, sus objetivos y principios básicos, el marco de referencia común y la descripción de la estructura organizativa en la que se apoyará el gobierno de la seguridad en la Administración de la Junta de Andalucía.
La ejecución de dicha medida derivó en la elaboración y aprobación del Decreto 1/2011, de 11 de enero, por el que se establecía la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
La experiencia adquirida durante estos años ha venido a ratificar la necesidad de reforzar el gobierno de la seguridad TIC en la Administración de la Junta de Andalucía, en línea con los estándares nacionales e internacionales en la materia, tal y como vienen haciendo las organizaciones con más experiencia en gestión de la seguridad.
Vistos los antecedentes mencionados, la modificación que se plantea del Decreto 1/2011, de 11 de enero, se basa, fundamentalmente, en introducir cambios en la organización corporativa de la seguridad TIC, potenciando la estructura de gobierno mediante la definición de atribuciones específicas a las Consejerías en relación con su propia seguridad y con la de las entidades vinculadas o dependientes de ellas, clarificando la aplicación del principio de función diferenciada y delimitando las funciones que deben desempeñar las distintas áreas implicadas en el mantenimiento de la seguridad, en línea con los perfiles con responsabilidad en seguridad definidos en el Real Decreto 3/2010, de 8 de enero.
De acuerdo con el artículo 5 de la Ley 12/2007, de 26 de noviembre, para la promoción de la igualdad de género en Andalucía, este Decreto integra el principio de igualdad de género de forma transversal en su elaboración, garantizando con ello un impacto positivo en la igualdad de oportunidades entre mujeres y hombres.
En virtud de lo anterior, oído el Comité de Seguridad de TIC de la Junta de Andalucía, a propuesta de la Consejería de Empleo, Empresa y Comercio, de conformidad con el artículo 21.3 de la Ley 6/2006, de 24 de octubre, del Gobierno de la Comunidad Autónoma de Andalucía, en el ejercicio de las atribuciones conferidas por el artículo 27.9 de la citada Ley, y previa deliberación del Consejo de Gobierno en su...
Para continuar leyendo
Solicita tu prueba