DF 81/2023 — Seguridad de la información y protección de datos personales
Marco normativo
El Decreto Foral 81/2023 establece, en el ámbito del Sector Público Foral de Bizkaia, las medidas de seguridad de la información y de protección de los datos personales. Se enmarca en el Reglamento General de Protección de Datos de la Unión Europea (Reglamento UE 2016/679, RGPD), en la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales (LOPDGDD), y en el Esquema Nacional de Seguridad (ENS).
Su finalidad es garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información tratada por la organización foral, así como el cumplimiento de las obligaciones en materia de protección de datos personales.
Datos clave
- Decreto Foral 81/2023: seguridad de la información y protección de datos del sector público foral de Bizkaia.
- Marcos: RGPD (Reglamento UE 2016/679), LOPDGDD (LO 3/2018) y Esquema Nacional de Seguridad (ENS).
- Objetivo: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
Principios de protección de datos
El tratamiento de datos personales se rige por los principios del RGPD: licitud, lealtad y transparencia; limitación de la finalidad (los datos se recogen con fines determinados, explícitos y legítimos); minimización (solo los datos adecuados, pertinentes y limitados a lo necesario); exactitud; limitación del plazo de conservación; e integridad y confidencialidad.
A ellos se añade el principio de responsabilidad proactiva (accountability): el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas y ser capaz de demostrar el cumplimiento, incluyendo la protección de datos desde el diseño y por defecto.
Datos clave
- Principios RGPD: licitud/lealtad/transparencia, limitación de la finalidad, minimización, exactitud, limitación del plazo de conservación, integridad y confidencialidad.
- Responsabilidad proactiva (accountability); protección de datos desde el diseño y por defecto.
Derechos de las personas
Las personas cuyos datos se tratan disponen de los derechos reconocidos por el RGPD y la LOPDGDD: acceso, rectificación, supresión ("derecho al olvido"), limitación del tratamiento, oposición y portabilidad, así como el derecho a no ser objeto de decisiones individuales automatizadas con efectos jurídicos.
La organización debe facilitar el ejercicio de estos derechos, atender las solicitudes en los plazos legales e informar de forma transparente sobre los tratamientos que realiza, garantizando además el derecho a presentar reclamación ante la autoridad de control competente.
Datos clave
- Derechos: acceso, rectificación, supresión ("olvido"), limitación, oposición y portabilidad.
- Derecho a no ser objeto de decisiones automatizadas con efectos jurídicos.
- Derecho a reclamar ante la autoridad de control.
Seguridad de la información (ENS)
La seguridad se aborda mediante un sistema de gestión basado en el análisis y la gestión de riesgos. Conforme al Esquema Nacional de Seguridad, los sistemas se categorizan (básica, media o alta) en función del impacto que un incidente tendría sobre la información y los servicios, y se aplican las medidas de seguridad proporcionadas a esa categoría.
Las medidas se agrupan en marco organizativo, marco operacional y medidas de protección, e incluyen el control de accesos, la formación y concienciación del personal, la gestión de incidentes, las copias de seguridad, la protección de los soportes y comunicaciones, y la continuidad del servicio.
Datos clave
- ENS: gestión basada en análisis de riesgos; categorías básica, media o alta según el impacto.
- Tres grupos de medidas: marco organizativo, marco operacional y medidas de protección.
Responsabilidades y deberes del personal
La norma define las funciones y responsabilidades en la organización: el responsable del tratamiento, los responsables de la seguridad y del sistema, y el Delegado de Protección de Datos (DPD), figura obligatoria en el sector público, que informa, asesora y supervisa el cumplimiento y actúa como punto de contacto con la autoridad de control.
El personal al servicio de la organización está sujeto al deber de confidencialidad y secreto respecto de los datos a los que accede, debe usar los recursos conforme a las políticas de seguridad y comunicar las brechas o incidentes de seguridad de los que tenga conocimiento.
Datos clave
- Figuras: responsable del tratamiento, responsables de seguridad y del sistema, y Delegado de Protección de Datos (DPD), obligatorio en el sector público.
- DPD: informa, asesora y supervisa; punto de contacto con la autoridad de control.
- Personal: deber de confidencialidad y secreto, uso conforme a las políticas y comunicación de brechas.