Aviso legal

Artículo 1. Objeto y ámbito de aplicación.

1. El objeto del presente acuerdo es definir el marco de referencia que permite la gestión de la protección de datos en el contexto de las actividades de tratamiento con datos de carácter personal.
2. Será de aplicación en el ámbito de los tratamientos con datos de carácter personal por parte de la Diputación de Córdoba y su Sector Público Institucional, integrado por el Instituto Provincial de Bienestar Social, el Instituto Provincial de Cooperación con la Hacienda Local, el Instituto Provincial de Desarrollo Económico, el Consorcio Provincial de Extinción de Incendios, el Patronato Provincial de Turismo de Córdoba, la Agencia Provincial de la Energía, la Fundación Provincial de Artes Plásticas Rafael Botí, la Empresa Provincial de Aguas de Córdoba, la Empresa Provincial de Residuos y Medio Ambiente, la Empresa Provincial de Informática y el Grupo Cinco Suelo Industrial.

Artículo 2. Principios de aplicación.

Diputación de Córdoba y su Sector Público Institucional tratarán la información y los datos personales bajo su responsabilidad conforme a los siguientes principios:

1. Licitud, lealtad y transparencia: los datos de carácter personal serán tratados de manera lícita, leal y transparente para el interesado;
2. Legitimación en el tratamiento: sólo se tratarán los datos de carácter personal cuando el tratamiento se encuentre amparado en alguna de las causas de legitimación establecidas en el artículo 6 del RGPD, así como se observará el artículo 9 de la misma norma en caso de tratamiento de datos de carácter especial;
3. Limitación de la finalidad: los datos de carácter personal serán tratados con una o varias finalidades determinadas, explícitas y legítimas, y no serán tratados posteriormente de manera incompatible con esos fines;
4. Minimización de datos: se aplicarán medidas técnicas y organizativas para garantizar que sean objeto de tratamiento únicamente los datos que sean precisos para cada uno de los fines específicos del tratamiento, reduciendo la extensión del tratamiento y su accesibilidad;
5. Exactitud: se dispondrá de medidas razonables para que los datos se encuentren actualizados y se supriman o modifiquen sin dilación cuando sean inexactos;
6. Limitación del plazo de conservación: la conservación de los datos debe limitarse en el tiempo al logro de los fines que persigue el tratamiento. Una vez que esas finalidades se han alcanzado, los datos deben ser borrados, bloqueados o, en su defecto, anonimizados, es decir, desprovistos de todo elemento que permita identificar a los interesados. En este sentido será de aplicación la normativa sobre archivos y patrimonio documental;
7. Seguridad en el tratamiento: se llevará a cabo el análisis de riesgos orientado a determinar las medidas técnicas y organizativas necesarias para garantizar la integridad y la confidencialidad de los datos personales que traten. Quienes intervengan en el tratamiento de los datos estarán sujetos al deber de secreto incluso después de haber concluido aquél;
8. Atención de los derechos de los afectados: se adoptarán medidas para garantizar el adecuado ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad respecto de sus datos de carácter personal;
9. Protección de datos desde el diseño y por defecto: se actuará de forma proactiva y preventiva en el diseño de productos y servicios, previendo los posibles riesgos para los derechos y libertades de los afectados en el tratamiento al objeto de reducir la probabilidad de que se materialicen amenazas y/o mitigar su impacto;
10. Responsabilidad proactiva: cada entidad será responsable del cumplimiento de los principios anteriormente señalados y adoptará las medidas técnicas y organizativas que le permitan estar en condiciones de demostrar dicho cumplimiento.

Artículo 3. Responsabilidades específicas.

Se establecen para cada entidad las siguientes directrices mínimas a fin de cumplir con los principios básicos y objetivos de la presente Política:

• Elaborar el Registro de actividades de tratamiento efectuadas bajo la propia responsabilidad y por cuenta de otros responsables. Se deberán aprobar en conformidad con el artículo 30 del RGPD, añadiendo un código de actividad a fin de facilitar el cumplimiento de los principios de transparencia e información al ciudadano y la actuación de los empleados públicos. Deberá mantenerse continuamente actualizado.
• Contar con una Política de privacidad y una Política de cookies que se integrarán en un Aviso legal, que deberá ser claro y accesible desde cualquier página de la Sede electrónica y de los Portales de internet de cada entidad. Dichos textos observarán lo dispuesto en los artículos 12 y 13 del RGPD.
• Implantar los mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a los datos de carácter personal, conozca sus responsabilidades reduciendo el riesgo derivado de un uso indebido de dichos datos.
• Establecer los procedimientos necesarios para lograr una adecuada gestión de la seguridad, de forma que la información de carácter personal que se transmita a través de cualquier medio deberá ser adecuadamente protegida considerando su nivel de sensibilidad.
• Respetar en los procedimientos administrativos y aplicativos automatizados vigentes, así como en los futuros, los principios de minimización y limitación de la finalidad. En su caso deberán rediseñarse de acuerdo a la siguiente letra f) para cumplir con las disposiciones del RGPD.
• Implementar la privacidad desde el diseño y por defecto. El enfoque orientado a la gestión del riesgo y de responsabilidad proactiva del RGPD requiere el compromiso de los responsables en garantizar la privacidad de los datos personales, así como asumir que coexisten obligaciones y derechos de los interesados en la actividad administrativa. En términos prácticos se deberá:
1. Fijar criterios de recogida de datos de carácter personal limitados a la finalidad que persigue cada tratamiento.
2. Limitar el uso de los datos personales para la/s finalidades para la/s que fueron recabados y asegurarse de que existe base legitimadora del tratamiento, observando lo dispuesto en el artículo 9 del RGPD en el caso de datos de carácter personal sensibles.
3. Restringir en lo posible los accesos a los datos personales a las partes implicadas en los tratamientos de forma que cada unidad o empleado acceda únicamente a los datos necesarios para llevar a cabo su función o desarrollar su actividad utilizando, por ejemplo, perfiles o roles.
4. Definir plazos de conservación de los datos de carácter personal cuando el mismo no se corresponda con el que determine la normativa de archivos y patrimonio documental.
• Contar para cada contrato o convenio administrativo que incluya acceso a datos de carácter personal de titularidad provincial con el necesario instrumento jurídico que regule el encargo de tratamiento. Cada entidad del sector público es responsable última de los riesgos que afectan a la información tratada y a los servicios prestados de los que es titular, por lo que se debe exigir a los proveedores o prestadores de servicios la información y la ejecución de las acciones necesarias para el cumplimiento de los objetivos.

Artículo 4. Evaluación de impacto en la protección de datos.

En conformidad con el artículo 35 del RGPD, cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, cada responsable realizará con carácter previo a la puesta en funcionamiento o modificación del mismo, una Evaluación del impacto en la protección de datos personales. Tal evaluación incluirá como mínimo:

1. una descripción sistemática de las operaciones de tratamiento previstas y de los fines del mismo;
2. una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad;
3. una evaluación de los riesgos inherentes al tratamiento;
4. las medidas y mecanismos previstos que garanticen la protección de los datos y la conformidad con el RGPD.

Artículo 5. Notificación de violaciones de seguridad de los datos de carácter personal.

Se adoptarán las medidas necesarias para garantizar la comunicación al Consejo de Transparencia y Protección de Datos de Andalucía, como autoridad competente, de las violaciones de seguridad de los datos de carácter personal que pudieran producirse. Tal comunicación tendrá lugar sin dilación indebida, y a más tardar 72 horas depués de tener constancia de la misma, de conformidad con lo dispuesto en el artículo 33 del RGPD. Igualmente se adoptarán las medidas procedentes para la comunicación a los interesados que pudieran haberse visto afectados por la violación de seguridad de los datos de carácter personal, en los casos y conforme a lo dispuesto en el artículo 34 del RGPD.

Artículo 6. Revisión y auditoría.

Se llevarán a cabo de forma periódica, y al menos cada dos años, una auditoría encaminada a la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos.

Artículo 7. El responsable del tratamiento.

La condición de responsable del tratamiento o responsable recae en la presidencia de cada entidad en los términos establecidos en el artículo 4.7 del RGPD. Corresponderá a este órgano aprobar las normas que se consideren necesarias en conformidad con la presente Política y la normativa de aplicación.

Artículo 8. El responsable del servicio.

Se considera responsable del servicio al jefe del servicio o unidad asimilada, a quién corresponderá aprobar los procedimientos que considere oportunos en desarrollo de las normas de protección de datos aprobadas por el responsable de tratamiento. La aprobación de cada procedimiento requerirá la previa participación del delegado de protección de datos a efectos de verificar la acomodación del mismo a dichas normas y evitar conflictos en el tratamiento que se lleve a cabo por diferentes unidades.

Artículo 9. El delegado de protección de datos.

En el desempeño de sus tareas el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, debiendo garantizarse su efectiva participación en forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales de conformidad con el artículo 38 del RGPD.

Propondrá a cada responsable los textos que correspondan a cada normativa de desarrollo de la presente Política, Informará y asesorará al responsable o al encargado del tratamiento y a los empleados que se ocupen del mismo, de las obligaciones que les incumben, y supervisará el cumplimiento de las políticas de protección de datos, incluida la asignación de responsabilidades, la concienciación y formación del personal, y las auditorías correspondientes, de conformidad con el artículo 39 del RGPD.

Artículo 10. Obligaciones del personal.

Todos los órganos y unidades de cada entidad prestarán su colaboración en las actuaciones de implementación de la Política de protección de datos.

Del mismo modo, todas las personas que presten servicio en cada una de las entidades dónde aplique la Política de protección de datos tienen la obligación de conocer y cumplir lo previsto en ella así como en las normas y procedimientos que la desarrollen, evitando y aminorando los riesgos a los que se encuentran expuestos los datos personales, y ayudando a preservar la confidencialidad e integridad de la información.

Artículo 11. Concienciación y formación.

Se desarrollarán actividades formativas específicas orientadas a la concienciación y formación del personal, así como a la difusión entre los mismos de la Política de protección de datos y de su desarrollo normativo.

Cada responsable dispondrá los medios necesarios para que todas las personas con acceso a la información sean informadas acerca de sus deberes y obligaciones así como de los riesgos existentes en el tratamiento de la información.

El delegado de protección de datos supervisará las acciones de concienciación y formación del personal que participa en las operaciones de tratamiento con datos personales, para lo cual elaborará un plan anual de formación en la materia.

Disposición derogatoria única.

El presente acuerdo deroga el anterior acuerdo sobre Política de protección de datos.

Objeto

La presente política tiene por finalidad informar de manera clara y precisa sobre las Cookies que se utilizan en esta página web.

IPBS Córdoba a través de su página web https://www.ipbscordoba.es y todos los subdominios y servicios incluidos bajo la misma, le informa sobre las Cookies almacenadas en el sitio web y el motivo de su uso, conforme con las normas españolas que regulan el uso de Cookies en relación a la prestación de servicios de comunicación electrónica según el Real Decreto ley 13/2012 del 30 de marzo así como el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, informándole que usted está prestando su consentimiento para poder utilizarlas.

Acerca de las Cookies

Las Cookies son pequeños archivos de información que el servidor envía al ordenador de quien accede a la página para el correcto funcionamiento y visualización de los sitios Web por parte del usuario, así como la recogida de estadísticas.

En ningún caso las Cookies podrían dañar su equipo. Por contra, el que estén activas nos ayuda a identificar y resolver los posibles errores.

Tipología, finalidad y funcionamiento general de las Cookies

A continuación, se realiza una clasificación de las Cookies en función de una serie de categorías y que de manera frecuente se encuentran en un sitio web. No obstante, es necesario tener en cuenta que una misma cookie puede estar incluida en más de una categoría.

Las Cookies, en función de su permanencia, pueden dividirse en 2 tipos:

• Cookies de sesión: Son Cookies temporales que permanecen en el archivo de Cookies de su navegador hasta que el Usuario abandona la página web, por lo que ninguna queda registrada en el disco duro de su ordenador. La información obtenida por medio de estas Cookies, sirven para analizar pautas de tráfico en el website. A la larga, esto permite proporcionar una mejor experiencia para mejorar el contenido y facilitar su uso.
• Cookies persistentes: son almacenadas en el disco duro y nuestra web las lee cada vez que el Usuario realiza una nueva visita. Una cookie permanente posee una fecha de expiración determinada. La cookie dejará de funcionar después de esa fecha. Estas Cookies se utilizan, generalmente, para facilitar los servicios de compra y registro.

Adicionalmente, en función de su objetivo, las Cookies pueden clasificarse de la siguiente forma:

Cookies de rendimiento

Este tipo de cookie recuerda sus preferencias para las aplicaciones de los servicios, por lo que no tiene que volver a configurar todo nuevamente tras cada visita.

Entre estas se incluyen:

• Ajustes de volumen de reproductores de vídeo o sonido.
• Las velocidades de transmisión de vídeo que sean compatibles con su navegador.
• Los objetos guardados en el “carrito de la compra” en los Servicios de E-commerce tales como tiendas.

Cookies de geo-localización

Estas Cookies se utilizan para conocer el país desde que se conecta un usuario que solicita un servicio. Esta cookie es totalmente anónima, y sólo se utiliza para ayudar a orientar el contenido a su ubicación

Cookies de registro

Las Cookies de registro se generan tras el registro del Usuario o una vez ha abierto su sesión, y se utilizan para identificarle en los Servicios con los siguientes objetivos:

• Mantener al Usuario identificado de forma que si abandona un Servicio durante un periodo de tiempo y en otro momento u otro día vuelve a entrar en dicho Servicio, seguirá identificado, facilitando así su navegación sin tener que volver a identificarse. Esta funcionalidad se puede suprimir si el usuario pulsa la opción “cerrar sesión”, de forma que esta cookie se elimina y la próxima vez que entre en el Servicio el usuario tendrá que iniciar sesión para estar identificado.
• Comprobar si el usuario está autorizado para acceder a ciertos Servicios, por ejemplo, para participar en un concurso.

Adicionalmente, algunos Servicios pueden utilizar conectores con redes sociales tales como Facebook o Twitter. Cuando el usuario se registra en un Servicio con credenciales de una red social, autoriza a la red social a guardar una cookie persistente que recuerda su identidad y le garantiza acceso a los Servicios hasta que expira. El usuario puede borrar esta cookie y revocar el acceso a los Servicios mediante redes sociales actualizando sus preferencias en la red social que específica.

Cookies analíticas

Cada vez que un usuario visita un servicio, una herramienta de un proveedor externo genera una cookie analítica en el ordenador del usuario. Esta cookie que sólo se genera en la visita, servirá en próximas visitas a los servicios del sitio web para identificar de forma anónima al visitante. Los objetivos principales que se persiguen son:

• Permitir la identificación anónima de navegadores y dispositivos de los usuarios navegantes, no de las personas, a través de la “cookie” y por lo tanto la contabilización aproximada del número de visitantes y su tendencia en el tiempo.
• Identificar de forma anónima los contenidos más visitados y por lo tanto más atractivos para los usuarios.

Cookies de publicidad

Este tipo de “Cookies” permiten ampliar la información de los anuncios mostrados a cada usuario anónimo en los Servicios del sitio web. Entre otros, se almacena la duración o frecuencia de visualización de posiciones publicitarias, la interacción con las mismas, o los patrones de navegación y/o comportamientos del usuario ya que ayudan a conformar un perfil de interés publicitario. De este modo, permiten ofrecer publicidad afín a los intereses del usuario. Se debe de informar del uso de estas Cookies.

Cookies publicitarias de terceros

El sitio web ofrece a sus anunciantes la opción de servir anuncios a través de terceros (“Ad-Servers”). De este modo, estos terceros pueden almacenar Cookies enviadas desde los Servicios del sitio web procedentes de los navegadores de los usuarios, así como acceder a los datos que en ellas se guardan. Las empresas que generan estas Cookies tienen sus propias políticas de privacidad.

Condiciones y declaración sobre Cookies

En esta página web se prohíbe expresamente la realización de «framings» o la utilización por parte de terceros de cualesquiera otros mecanismos que alteren el diseño, configuración original o contenidos de la página web.

El acceso a la página implica de forma obligatoria la utilización de Cookies. Ninguna de las Cookies del sitio web almacena información de carácter personal; únicamente se almacena información técnica necesaria para el correcto funcionamiento de la web

Cookies que utilizamos

Según la tipología de Cookies descrita anteriormente, esta web sólo hace uso de:

• Cookies analíticas para obtener datos anónimos de acceso con fines estadísticos (Google)
• Cookies de registro para establecer sesión de usuario (Sede Electrónica)
• Cookies de terceros cuando la web enlaza con sus redes sociales (Twitter o Facebook)

Inhabilitación de Cookies

Normalmente es posible dejar de aceptar las Cookies del navegador, o dejar de aceptar las Cookies de un Servicio en particular.

Todos los navegadores modernos permiten cambiar la configuración de Cookies. Estos ajustes normalmente se encuentran en las ‘opciones’ o ‘Preferencias’ del menú de su navegador.

Asimismo, puede configurar su navegador o su gestor de correo electrónico, así como instalar complementos gratuitos para evitar que se descarguen los Web Bugs al abrir un email.

La web ofrece orientación al usuario sobre los pasos para acceder al menú de configuración de las Cookies y, en su caso, de la navegación privada en cada uno de los navegadores principales:

• Edge: Configuración-> Configuración-> Configuración Avanzada.
• Para más información, puede consultar el soporte de Microsoft o la Ayuda del navegador.
• Firefox: Herramientas-> Opciones-> Privacidad-> Historial-> Configuración Personalizada.
• Para más información, puede consultar el soporte de Mozilla o la Ayuda del navegador.
• Chrome: Configuración-> Mostrar opciones avanzadas-> Privacidad-> Configuración de contenido.
• Para más información, puede consultar el soporte de Google o la Ayuda del navegador.
• Safari: Preferencias-> Seguridad.
• Para más información, puede consultar el soporte de Apple o la Ayuda del navegador.

Actualizaciones y cambios en la política de Cookies

Estas listas se actualizarán con la mayor celeridad posible a medida que cambien o evolucionen los servicios del sitio web ofrecidos en el mismo. Sin embargo, ocasionalmente durante esta actualización puede ser que la lista no incluya ya una cookie, aunque siempre se referirá a Cookies con propósitos idénticos a los registrados en estas listas.

Nuestros datos

Este sitio web es propiedad y está gestionado por el IPBS Córdoba. Puede ponerse en contacto con el IPBS Córdoba vía correo electrónico o a través de nuestro formulario de contacto.

1. Objeto

Los ciudadanos confían en que los servicios disponibles por medios electrónicos se presten en unas condiciones de seguridad equivalentes a las que se encuentran cuando se acercan personalmente a las oficinas de la Administración. Además, buena parte de la información contenida en los sistemas de información de las AA.PP. y los servicios que prestan constituyen activos nacionales estratégicos. La información y los servicios prestados están sometidos a amenazas y riesgos provenientes de acciones malintencionadas o ilícitas, errores o fallos y accidentes o desastres.

Por lo anteriormente expuesto la Excelentísima Diputación Provincial de Córdoba, el Instituto Provincial de Bienestar Social, el Instituto Provincial de Cooperación con la Hacienda Local, el Instituto Provincial de Desarrollo Económico, el Consorcio Provincial de Extinción de Incendios, el Patronato Provincial de Turismo de Córdoba, la Agencia Provincial de la Energía, la Fundación Provincial de Artes Plásticas Rafael Botí, la Empresa Provincial de Aguas de Córdoba, la Empresa Provincial de Residuos y Medio Ambiente y la Empresa Provincial de Informática (en adelante la Diputación de Córdoba y su Sector Público Institucional)

Aprueba la siguiente Política de Seguridad y debe aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad (en adelante, ENS), regulado en el Real Decreto 3/2010, de 8 de Enero, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Para que conste el compromiso de Diputación de Córdoba y su Sector Público Institucional hacen pública su visión, misión y valores en materia de seguridad de la información.

Para que todo el personal y usuarios sean conscientes de las obligaciones, normativas y procedimientos en materia de seguridad de la información, esta política y la normativa de seguridad estará a disposición de todos los usuarios autorizados en el portal del empleado o en la intranet corporativa.

Visión:

Las diferentes áreas y servicios deben cerciorarse de que la seguridad de la información es una parte vital de los servicios públicos prestados por Diputación de Córdoba y su Sector Público Institucional.

Misión:

Diputación de Córdoba y su Sector Público Institucional ha de custodiar y tratar dicha información en todo su ciclo de vida (recogida, transporte, tratamiento, almacenamiento y destrucción) poniendo la seguridad de la información como base.

Valores:

Las áreas y servicios de Diputación de Córdoba y su Sector Público Institucional deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, garantizando así la continuidad en la prestación de los servicios con una calidad y seguridad adecuada.

2. Alcance

La presente Política de Seguridad tiene aplicación a todas las áreas, servicios, empleados internos y externos Diputación de Córdoba y su Sector Público Institucional, cualquiera que sea su clasificación jerárquica. Igualmente, aplica a todos los sistemas de la información e infraestructuras de comunicación utilizadas para la realización de las funciones propias de las distintas entidades.

3. Marco Normativo

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, establece principios y derechos relativos a la seguridad en relación con el derecho de los ciudadanos a comunicarse con las AA.PP. a través de medios electrónicos; y su artículo 42 crea el Esquema Nacional de Seguridad. Aún estando derogada establece los principios de la seguridad de la información en la administración electrónica.

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010, de 8 de enero determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos. El ENS está constituido por los principios básicos y requisitos mínimos para una protección adecuada de la información. Será aplicado por las AA.PP. para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias.

El Esquema Nacional de Interoperabilidad (ENI), regulado por el Real Decreto 4/2010, de 8 enero, establece el conjunto de criterios y recomendaciones que deberán ser tenidos en cuenta por las Administraciones Públicas para la toma de decisiones tecnológicas que garanticen la interoperabilidad. Las normas técnicas complementarias de interoperabilidad desarrollan ciertos aspectos técnicos.

Las Leyes 39/2015 y 40/2015 regulan el Procedimiento Administrativo Común y el Régimen Jurídico de las Administraciones. Dentro de estas leyes se hace referencia expresa al ENS como sistema de gestión segura de la información para las administraciones y al ENI como referencia en la interoperabilidad de las administraciones.

Así mismo, la Ley Orgánica 3/2018, de 5 de Diciembre, de Protección de Datos y garantía de los derechos digitales, tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar, además de garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.

Reglamento (EU) 679/2016, de 27 de abril de 2016, de Tratamiento de Datos de Carácter Personal y Libre Circulación de Datos establece en la obligación de disponer medidas técnicas y organizativas para garantizar la confidencialidad, disponibilidad e integridad de la información. Así mismo dispone que dichas medidas han de ser proactivas y el responsable del tratamiento ha de ser capaz de demostrar que se siguen esas medidas y demostrar su aplicación.

4. Organización de Seguridad

Para gestionar y coordinar proactivamente la seguridad de la información se constituye como órgano de gestión el Comité de Seguridad de la Información.

El Comité estará constituido por los siguientes cargos:

Responsable de la información: que tendrá potestad de aprobar los requisitos de una información en materia de seguridad y tendrá capacidad ejecutiva para aprobar, planificar y trasladar estas necesidades al Pleno de Diputación de Córdoba y extensivo a sus sector público institucional. Podrá convocar las reuniones del Comité. Será responsable directo de la ejecución de las medidas adoptadas por el comité y su seguimiento.

Responsable de Seguridad: asesorará y tendrá potestad para determinar técnicamente los requisitos de seguridad de la información y de los servicios en materia de seguridad. Así mismo informará sobre el estado de la seguridad en el área de los sistemas de la información y comunicación. Podrá convocar las reuniones, remitir información y comunicados a los miembros del comité.

Administrador de los sistemas de la información: será miembro de este comité. Tendrán la obligación de vigilar el cumplimiento de las normas de seguridad dentro de su área e informar coordinadamente al Responsable de la Información del cumplimiento de la normativa de seguridad aprobada por el Comité de Seguridad y de la seguridad de los sistemas de la información.

Responsables de Entidades del Sector Público Institucional: serán las personas responsables de los servicios o de la explotación de las distintas instituciones que establecen los requisitos, fines y medios para la realización de las tareas en las distintas instituciones.

Además, tendrán la responsabilidad legal de vigilar el cumplimiento de las normas de seguridad dentro de su institución e informar al Responsable de la Información del cumplimiento de la normativa de seguridad aprobada por el Comité de Seguridad.

En caso de vacante o ausencia de los Responsables de entidades del Sector Público Institucional deberá asistir a las sesiones del Comité la persona que ejerza las funciones de dirección o gerencia de la entidad correspondiente.

Representante de la Diputación Provincial: Será la persona que representará a los distintos servicios de la entidad, y coordinará y gestionará la información de la institución.

Secretaría: tendrá la obligación de supervisar que los procedimientos aprobados por el comité se ajusten a derecho y asesorar al comité en esta materia. Además, levantará acta de las reuniones.

Delegado de Protección de Datos: Ejercerá las siguientes funciones y competencias:

• 1) Informar y asesorar a los miembros del Comité en la materia de protección de datos.
• 2) Supervisar el cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas aprobadas por el mismo Comité en la actividad del mismo.
• 3) Participar con voz pero sin voto en las reuniones del Comité de seguridad de la información, señalando que si un asunto se sometiera a votación se hará constar siempre en acta su parecer.

Los miembros de este comité serán nombrados por decreto de Presidencia una vez aprobado en pleno este documento, contemplando medidas transitorias con objeto de garantizar el cumplimiento de la seguridad. Además, las futuras resoluciones de nombramientos de responsables de áreas, responsables de entidades vinculadas o cambios en la distribución de funciones de área y entidades deberán contemplar expresamente el nombramiento como miembro en este comité de seguridad de la información.

4.1 Funciones del Comité de Seguridad

Sus funciones son las siguientes:

• Responsabilidades derivadas del tratamiento de datos de carácter personal.
• Atender las inquietudes de la Corporación y de las diferentes áreas.
• Informar regularmente del estado de la seguridad de la información a la Junta de Gobierno.
• Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información.
• Elaborar la estrategia de evolución de Diputación de Córdoba y su Sector Público Institucional en lo que respecta a la seguridad de la información.
• Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
• Elaborar (y revisar regularmente) la Política de Seguridad de la información para que sea aprobada por el Comité de Seguridad.
• Aprobar la normativa de seguridad de la información.
• Evaluar los riesgos de manera periódica para establecer las adecuadas medidas de seguridad necesarias atendiendo a los resultados.
• Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información.
• Monitorizar los principales riesgos residuales asumidos por la empresa y recomendar posibles actuaciones respecto de ellos.
• Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.
• Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
• Aprobar planes de mejora de la seguridad de la información de la empresa. En particular, velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.
• Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
• Establecer medidas adecuadas para la formación, información y concienciación de todo el personal en materia de seguridad de la información y protección de datos de carácter personal.
• Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la empresa, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
• En caso de ocurrencia de incidentes de seguridad de la información aprobará el Plan de Mejora de la Seguridad.

El Comité de Seguridad de la Información no es un comité técnico, pero recabará regularmente del personal técnico propio o externo, la información pertinente para tomar decisiones. El Comité de Seguridad de la Información se asesorará de los temas sobre los que tenga que decidir o emitir una opinión. Este asesoramiento se determinará en cada caso, pudiendo materializarse de diferentes formas y maneras:

• Grupos de trabajo especializados internos, externos o mixtos.
• Asesoría externa.
• Asistencia a cursos u otro tipo de entornos formativos o de intercambio de experiencias.

4.2 Grupo de Trabajo de carácter permanente

El Comité contará en su seno con un Grupo de Trabajo de Carácter Permanente a fin de agilizar los desarrollos del Comité que no requieran la presencia de todos los integrantes del mismo.

De manera no exhaustiva sus funciones son de información a los diferentes órganos, monitorización de la actividad de las organizaciones, en especial de la Diputación de Córdoba y EPRINSA, determinación de la idoneidad de convocar sesiones extraordinarias, así como establecer el orden del día de las sesiones. Estará integrado por los siguientes miembros:

• Responsable de la información
• Responsable de Seguridad
• Administrador de los sistemas de la información
• Representante de la Diputación Provincial
• Secretario
• Delegado de protección de datos

5. Concienciación

Diputación de Córdoba y su Sector Público Institucional establecerá los mecanismos necesarios, atendiendo a las propuestas del Comité de Seguridad, para que todo el personal disponga de la información, formación y concienciación apropiada para gestionar de acuerdo a esta Política de Seguridad y su normativa interna derivada la información, tanto en materia de privacidad.

El Comité establecerá mecanismos adecuados de difusión de la información y registrará todas las acciones formativas que se dispongan en este sentido.

6. Gestión del Riesgo

Diputación de Córdoba y su Sector Público Institucional realizará periódicamente y cada vez que los sistemas de la información sufran una alteración significativa un Análisis de Riesgo, siguiendo las directrices expuestas por el ENS en su artículo 6, de modo que se puedan anticipar los riesgos existentes. Este análisis de riesgo y sus conclusiones han de ser analizadas por el Comité de Seguridad y establecer las salvaguardas adecuadas para que el nivel de riesgo sea aceptable.

Para que esto se plasme el comité desarrollará un procedimiento de Análisis de Riesgos y Evaluación de Impacto Potencial que ha de establecer claramente los valores de riesgo aceptables, los criterios de aceptación de riesgo residual, la periodicidad del análisis y cuándo se realizará de modo excepcional.

7. Revisión de esta Política de Seguridad

La presente política de seguridad ha de ser un documento que refleje fielmente el compromiso de Diputación de Córdoba y su Sector Público Institucional con la seguridad de la información. Por lo tanto, esta política podrá ser modificada a propuesta del Comité de Seguridad para adaptarse a cambios en el entorno legislativo, técnico u organizativo.

Consulte el documento completo: Politica de seguridad de la información