Boletín Oficial de la Junta de Andalucía - Histórico del BOJA Boletín número 128 de 06/07/2021

La Resolución de 6 de julio de 2020, por la que se aprobó la Política de Seguridad de la Información de la Agencia Tributaria de Andalucía, así como la estructura organizativa responsable de su ejecución, constituye el documento de política de seguridad TIC adecuado a sus particularidades, dentro de las directrices comunes de la Administración de la Junta de Andalucía. Como agencia de régimen especial dependiente de la Consejería competente en materia de Hacienda, la Agencia Tributaria de Andalucía se ajusta en la Resolución de 6 de julio de 2020 a la Orden de 21 de octubre de 2019, de la entonces Consejería de Hacienda, Industria y Energía, por la que se establece la política de seguridad de esta última.

Posteriormente, el Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía, modifica, entre otras disposiciones, el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones de la Administración de la Junta de Andalucía, incidiendo en la estructura organizativa recogida en el citado Decreto 1/2011, de 11 de enero, que daba respuesta a las obligaciones impuestas por el Esquema Nacional de Seguridad.

Debe destacarse que su Capítulo II, referido a la organización del sistema, siguiendo elementales principios de simplificación, economía, eficacia y eficiencia administrativas, ha evitado la creación ex novo de un comité para la seguridad interior, optando por incluir las que hubieran sido sus funciones y tareas entre las de los actuales Comités de Seguridad TIC, que deberán modificar su denominación, funciones y, eventualmente, composición para incluir los relativos al ámbito de la seguridad interior. Esta solución organizativa, que supone además un nuevo avance en la coordinación entre la seguridad física y la ciberseguridad, favorece las sinergias posibles entre ambas materias y exige la adecuación de la Resolución de 6 de julio de 2020.

Además, la reciente creación de la Agencia Digital de Andalucía (en adelante, ADA) por la disposición adicional vigesimosegunda de la Ley 3/2020, de 28 de diciembre, del Presupuesto de la Comunidad Autónoma de Andalucía para el año 2021, a la que se atribuye, entre otros fines, la definición y ejecución de los instrumentos de tecnologías de la información, telecomunicaciones, ciberseguridad y gobierno abierto y su estrategia digital, en el ámbito de la Administración de la Junta de Andalucía, sus agencias administrativas y sus agencias de régimen especial, así como la aprobación de sus Estatutos por Decreto 128/2021, de 30 de marzo, aconsejan también introducir determinadas modificaciones en el anexo «Documento de Política de Seguridad TIC» de la Resolución de 6 de julio de 2020.

En particular, resulta conveniente ajustar algunos perfiles de la estructura organizativa de la seguridad de la información de la Agencia a las modificaciones introducidas por el Decreto 171/2020, de 13 de octubre, de la que formará parte la Agencia Digital de Andalucía desde el inicio de su funcionamiento efectivo, que se ha producido con la publicación de la aprobación de sus Estatutos en el Boletín Oficial de la Junta de Andalucía de 8 de abril de 2021, en cuanto que asumirá la dirección de los encargos y convenios, así como la condición de responsable de los contratos, cuyo objeto esté relacionado con las tecnologías de la información y comunicación, entre otras entidades, de las agencias de régimen especial.

Conviene reseñar asimismo que el modelo organizativo que se utiliza en la prestación de servicios digitales integrales e integrados a la Agencia Tributaria de Andalucía es el de Acuerdo de Nivel de Servicio (ANS), firmado por ambas partes, consistente en un catálogo de servicios sujetos a unos indicadores de cumplimiento que asume la ADA.

En virtud de lo expuesto, esta Presidencia de la Agencia, de conformidad con lo establecido en el artículo 11 de la Ley 23/2007, de 18 de diciembre, por la que se crea la Agencia Tributaria de Andalucía y se aprueban medidas fiscales, en el artículo 12 del Estatuto de la Agencia, aprobado por Decreto 4/2012, de 17 de enero, en el artículo 10 del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, en el Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía, y en el artículo 14 de la Orden de 21 de octubre de 2019, por la que se establece la política de seguridad de la información de la entonces Consejería de Hacienda, Industria y Energía, a propuesta de la Dirección de la Agencia Tributaria de Andalucía,

RESUELVO

Primero. Modificación del anexo «Documento de Política de Seguridad TIC».

I. Se modifica el apartado III, «Principios de la política de seguridad TIC», del siguiente modo:

Se añade una nueva letra k) al punto 2, que queda redactada en los términos siguientes:

«k) Gestión Unificada de la Seguridad: La Agencia promoverá la coordinación entre seguridad física y ciberseguridad.»

II. Se modifica el apartado IV, «Misión y estructura normativa», de la forma siguiente:

Se da nueva redacción a la letra c), que queda redactada del siguiente modo:

«c) Tercer nivel normativo: Procedimientos de Seguridad de la Información.

El tercer nivel normativo está constituido por los Procedimientos de Seguridad de la Información, instrucciones de carácter técnico o procedimental que se deben observar en tareas o actividades relacionadas con la seguridad de la información y la protección de la información y de los servicios. Se aplicarán a un ámbito específico o a un sistema determinado, dependiendo del aspecto tratado. Estas normas serán aprobadas por la Dirección de la Agencia.

Igualmente, en base al ANS con la ADA, serán de aplicación en la Agencia Tributaria de Andalucía aquellos procedimientos aprobados y establecidos por la ADA, en virtud a su Política de Seguridad TIC, que afecten a los sistemas de información, infraestructuras y equipamiento puestos a disposición de la Agencia.

Todos estos niveles prestarán especial atención a las exigencias derivadas del ENS. Debido al carácter personal y reservado de la información manejada y a los servicios puestos a disposición de los ciudadanos en el ámbito de la Administración Electrónica, la Agencia desarrolla sus actividades de acuerdo con las normas vigentes en dichas materias, entre las que cabe destacar, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

3. El Comité de Seguridad Interior y Seguridad TIC establecerá los mecanismos para compartir y difundir la documentación en materia de seguridad de la información, con el propósito de su conocimiento y aplicación en el ámbito de la Agencia.»

III. Se modifica el apartado V, «Organización de la Seguridad», en los términos siguientes:

1. Se da nueva redacción a los puntos 3 y 4, que quedan redactados de la siguiente forma:

«3. La estructura organizativa de la seguridad de la información de la Agencia Tributaria de Andalucía, de acuerdo con el ENS, el decreto y la orden está compuesta por:

a) Comité de Seguridad Interior y Seguridad TIC.

b) Responsable de Seguridad TIC.

c) Responsable de la Información, condición que corresponde a la persona titular de la Dirección de la Agencia.

d) Responsables del Servicio.

e) Responsable del Sistema.

f) Grupo de trabajo permanente y Comisión Técnica de Seguridad Funcional.

Además, en el ámbito de la Agencia, las siguientes figuras ostentan atribuciones directamente relacionadas con la seguridad TIC que son las que les asigna la normativa sobre protección de datos:

a) Delegado de Protección de Datos.

b) Responsable del Tratamiento, condición que corresponde a la persona titular de la Dirección de la Agencia.

c) Encargados del Tratamiento.

4. Creación y funcionamiento del Comité de Seguridad Interior y Seguridad TIC.

En cumplimiento de lo establecido en el artículo 10 del decreto, se crea el Comité de Seguridad Interior y Seguridad TIC de la Agencia, como órgano colegiado de dirección y seguimiento en materia de seguridad interior y de los activos TIC de titularidad de aquélla o cuya gestión o explotación tenga encomendada.

El Comité de Seguridad Interior y Seguridad TIC de la Agencia tendrá la siguiente composición, garantizándose, en la medida de lo posible, la representación paritaria de mujeres y hombres, conforme a lo establecido en el artículo 19.2 de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía:

a) Presidencia: La persona titular de la Presidencia de la Agencia.

b) Vicepresidencia: La persona titular de la Vicepresidencia de la Agencia.

c) Vocalías:

1.º La persona titular de la Dirección de la Agencia.

2.º La persona titular de Subdirección de Coordinación y Relaciones Institucionales.

3.º Las personas titulares de los Departamentos de la Agencia.

4.º Las personas titulares de dos Gerencias Provinciales de la Agencia, designadas por la Presidencia de la Agencia, a propuesta de la Dirección de la Agencia.

5.º La persona designada Responsable de Seguridad de la Agencia.

6.º La persona a la que se le asignen las funciones de Delegado de Protección de Datos.

d) Secretaría: La persona titular de Departamento de Organización y Gestión de Recursos.

En caso de vacante, ausencia, enfermedad u otras causas legales, la persona titular de la Presidencia será sustituida por la persona titular de la Vicepresidencia. Tanto la Vicepresidencia como las Vocalías y la Secretaría podrán designar a una persona que las sustituya, con carácter permanente y aplicando un criterio de paridad entre mujeres y hombres, de entre personal funcionario a su servicio que ocupen puestos de trabajo de nivel 28 o superior, con la excepción de la Secretaría cuyo suplente podrá ocupar puestos de nivel inferior, sin perjuicio de que posteriormente pueda designarse a otro suplente. Dicha designación será comunicada a la Secretaría.

El Comité se reunirá con carácter ordinario dos veces al año y, con carácter extraordinario, cuansí lo acuerde la Presidencia de la Agencia. También podrá celebrar reuniones extraordinarias, adicionales a las ordinarias, si se produjeran incidentes de seguridad graves o se produjeran conflictos que pudieran afectar gravemente a los servicios prestados por la Agencia. Todas las reuniones se realizarán previa convocatoria y de las mismas se levantará acta.

El Comité podrá convocar, a través de la Presidencia por iniciativa propia o a propuesta de alguno de sus miembros, y cuando el tratamiento de determinados temas específicos lo requiera, a personal técnico de la organización a los efectos de recibir asesoramiento especializado.

El Comité designará a un grupo de personas que, en caso de producirse incidentes de seguridad de la información, coordinarán las actuaciones para la comunicación, reporte, toma de medidas de contención y registro, conjuntamente al personal TIC de ADA y su Unidad de Seguridad TIC.»

2. Se da nueva redacción al punto 5, con el siguiente tenor:

«5. Funciones del Comité de Seguridad Interior y de Seguridad TIC.

Son funciones del Comité:

a) La definición, aprobación y seguimiento de los objetivos, iniciativas y planes estratégicos en seguridad y para la seguridad interior, incluidos el Plan de Seguridad Interior de la Agencia.

b) Velar por la disponibilidad de los recursos necesarios para desarrollar las iniciativas y planes estratégicos, así como en el Plan de Seguridad interior de la Agencia, y, a tal fin, proponer a la Agencia Digital de Andalucía, la adquisición de productos y servicios corporativos de seguridad TIC, en aquellos supuestos para los que se determine su conveniencia por criterios de oportunidad y eficacia.

c) Elevación de propuestas de revisión de la Política de Seguridad de la Información para su aprobación por parte de la Presidencia de la Agencia.

d) Establecimiento de directrices comunes y supervisión del cumplimiento de la Política de Seguridad de la Información de la Agencia, así como de la normativa de seguridad interior, por parte de los órganos y unidades centrales y territoriales de la Agencia y otros organismos o entidades que en virtud de norma, acuerdo o convenio tengan acceso a los sistemas de información de la Agencia Digital de Andalucía, puestos a disposición de la Agencia.

e) Supervisión del nivel de riesgo y toma de decisiones, en coordinación con el responsable del servicio, según el artículo 10 del ENS, en la respuesta a incidentes de seguridad que afecten a los activos TIC puestos a disposición de la Agencia.

f) Promoción de la educación, entrenamiento y concienciación sobre las medidas legales y organizativas relativas a la Seguridad TIC, así como sobre las medidas relativas a la seguridad interior, entre el personal de la Agencia y el personal dependiente de otros encargados del tratamiento.

g) La adopción de decisiones en caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la Política de Seguridad de la Información de la Agencia.

h) Atender a las indicaciones de la Unidad de Seguridad TIC de la Agencia Digital de Andalucía.

i) El análisis y la propuesta a la Dirección de la Agencia de la adopción de decisiones para la prevención o para la respuesta a incidentes susceptibles de generar una crisis de seguridad en la Agencia Tributaria de Andalucía.

j) Elevar a la Dirección de la Agencia propuestas de revisión del marco normativo y organizativo interno de la Agencia en materia de seguridad interior, así como propuestas de revisión del marco general en materia de seguridad interior, para su tramitación, si procede, al órgano competente en seguridad interior de la Administración de la Junta de Andalucía.

k) Cualquier otra que se le asigne, por órgano o normativa competente, en materia de seguridad interior.

El Comité aprobará, por mayoría simple de sus miembros, sus propias reglas de organización, funcionamiento y adopción de acuerdos.»

3. Se da nueva redacción al primer párrafo del punto 6, que queda redactado del siguiente modo:

«El Comité de Seguridad Interior y Seguridad TIC nombrará, a propuesta de la Dirección de la Agencia, al Responsable de Seguridad TIC de la misma entre personas que ostenten como mínimo nivel de Jefe de Servicio, debiéndose cumplir, además, el principio de función diferenciada respecto a la responsabilidad sobre la prestación de los servicios.»

4. Se da nueva redacción al punto 9, que queda redactado de la forma siguiente:

«9. Responsable del Sistema.

Tendrá la condición de Responsable del Sistema la persona que designe el órgano competente de la Agencia Digital de Andalucía.

Corresponderá al Responsable del Sistema las funciones que le asigna el ENS, así como la operación del sistema de información, atendiendo a las medidas de seguridad determinadas por el Responsable de Seguridad.

Su responsabilidad puede extenderse al ámbito interno de la organización (utilización de sistemas propios) o estar compartimentada entre una responsabilidad mediata (de la propia organización) y una responsabilidad inmediata (de terceros, públicos o privados), cuando los sistemas de información se encuentran externalizados.»

5. Se da nueva redacción al punto 10, que queda redactado en los términos siguientes:

«10. Esquema conceptual de la Seguridad de la Información y la Protección de Datos.

De acuerdo con el ENS, la ubicación o posibles ubicaciones de las figuras mencionadas es la siguiente:

GRÁFICO

ESTRUCTURA DE SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS DE LA ATRIAN
ORGANIZACIÓN INTERNA	(*) ACUERDO DE NIVEL DE SERVICIO ATRIAN/ADA	ORGANIZACIÓN EXTERNA
COMITÉ DE SEGURIDAD TIC
RESPONSABLE DE LA INFORMACIÓN
RESPONSABLE DE LA SEGURIDAD TIC
RESPONSABLES DE SERVICIO
GRUPO DE TRABAJO PERMANENTE		RESPONSABLE DEL SISTEMA
COMISIÓN TÉCNICA DE SEGURIDAD FUNCIONAL
RESPONSABLE DEL TRATAMIENTO
DELEGADO DE PROTECCIÓN DATOS		ENCARGADOS TRATAMIENTO DE LA INFORMACIÓN
(*) Acuerdo de Nivel de Servicios entra la Agencia Tributaria de Andalucía y la Agencia Digital de Andalucía

La responsabilidad máxima en materia de seguridad de la información ENS y protección de datos corresponde a la persona titular de la Dirección de la Agencia, que tendrá la condición de Responsable del Tratamiento del RGPD.

Para el ámbito de aplicación del ENS y del RGPD, en la operativa de la Agencia participan terceros externos a la propia organización (públicos o privados). Por este motivo, en el gráfico aparecen los roles correspondientes a la organización interna y también aquellos otros que pudieran ubicarse en organizaciones externas.

De acuerdo con el Esquema Nacional de Seguridad, se diferencian los siguientes ámbitos de responsabilidad:

1. La responsabilidad legal y la especificación de las necesidades o requisitos, que corresponderán a la Dirección de la Agencia, que es también Responsable de la Información y del Tratamiento, así como a los Responsables del Servicio.

2. La supervisión, que corresponde al Responsable de Seguridad y al Delegado de Protección de Datos, en sus respectivos ámbitos.

3. La operación del sistema de información, que corresponde al Responsable del Sistema».

6. Se da nueva redacción al punto 11. Primero. Uno, que queda redactado en los términos siguientes:

«Primero. Grupo de trabajo permanente.

Uno. Composición.

El Grupo de trabajo permanente estará integrado por:

a) Responsable de la Información.

b) Responsable de Seguridad TIC.

c) Responsable del Sistema.

d) Responsables de Servicio, relacionados con el uso de la información, tanto en el ámbito territorial como en el central. La Dirección de la Agencia designará a dos funcionarios con al menos nivel 27, uno por cada ámbito.

e) Delegado de Protección de Datos.»

7. Se da nueva redacción al punto 11. Segundo. Uno, que queda redactado del siguiente modo:

«Segundo. Comisión Técnica de Seguridad Funcional.

Uno. Composición.

La Comisión Técnica de Seguridad Funcional estará integrada por:

a) Responsables de Servicio, relacionados con el uso de la información, tanto en el ámbito territorial como en el central. La Dirección de la Agencia designará a dos funcionarios con al menos nivel 27, uno por cada ámbito.

b) Un funcionario de cada una de las siguientes áreas de trabajo, designados por la Dirección de la Agencia a propuesta de las personas titulares de los respectivos Departamentos de la Agencia:

- Organización y gestión de recursos, que comprende los siguientes servicios:

i. Personal, gestión económica, control interno y asistencia jurídica.

- Aplicación de los tributos, que comprende los siguientes servicios:

i. Coordinación, información y asistencia, gestión tributaria, inspección, valoración y recaudación.

- Innovación y análisis de la información:

i. Innovación tecnológica, procedimiento tributario y estadística.

c) Delegado de Protección de Datos.»

IV. Se da nueva redacción al punto 1 del apartado VI, «Organización en materia de protección de datos de carácter personal», que queda redactado de la forma siguiente:

«VI. Organización en materia de protección de datos de carácter personal.

1. De acuerdo con la normativa aplicable en materia protección de datos de carácter personal, en el ámbito de la Agencia y conforme al ANS, o el instrumento que lo sustituya suscrito con la Agencia Digital de Andalucía, se establecen las siguientes funciones y responsabilidades:

a) La Dirección de la Agencia asume las funciones de responsable del tratamiento en virtud de lo establecido en el artículo 4, apartado 7 y en el artículo 24 del RGPD.

La Dirección de la Agencia podrá encargar a otros órganos u organismos, así como a otras personas físicas o jurídicas la ejecución de actividades de tratamiento.

Los organismos o entidades que traten datos por cuenta de la Agencia, en virtud de norma, acuerdo o convenio, asumen las funciones de encargado del tratamiento, en virtud de lo establecido en el artículo 4, apartado 8, y en el artículo 28 del RGPD.

b) La Agencia Digital de Andalucía, conforme al referido ANS, y sin perjuicio de lo establecido en el presente apartado, asume las funciones de encargado del tratamiento, en virtud de lo establecido en el artículo 4, (apartado 8), y en el artículo 28 del RGPD.

c) Las personas titulares de los Registros de la Propiedad, a las que se refiere la Resolución de 19 de diciembre de 2019, de la Agencia Tributaria de Andalucía, por la que se acuerda la delegación de determinadas funciones y competencias en materia de aplicación de los tributos y revisión en el Impuesto sobre Transmisiones Patrimoniales y Actos Jurídicos Documentados y el Impuesto sobre Sucesiones y Donaciones, asumen las funciones de encargado del tratamiento de los datos de carácter personal, en el ámbito de las funciones atribuidas a éstas por la citada resolución.

La información será accesible a través los sistemas de información y las soluciones tecnológicas puestas a su disposición por la Agencia.

Serán encargados del tratamiento, con las obligaciones inherentes, las personas titulares de las oficinas y todo su personal.

d) El Delegado de Protección de Datos en la Agencia, tendrá las funciones de supervisión y asesoramiento establecidas en el artículo 39 del RGPD.»

V. Se da nueva redacción al apartado VIII, «Auditorías de seguridad», que queda redactado de la forma siguiente:

«Al menos cada dos años, se realizará una auditoría de seguridad, que verifique el cumplimiento de los requerimientos del RGPD y su normativa de desarrollo, así como del ENS, para cada tratamiento y cada sistema de información, en el ámbito de la Agencia y del ANS. Estas auditorías se ajustarán a lo establecido en el ENS.

Los informes de auditoría serán elevados a las personas Responsables de la Información, del Tratamiento, de los Servicios y del Sistema, a la persona Delegada de Protección de Datos y al Responsable de Seguridad TIC y serán analizados por esta última, que presentará sus conclusiones a las personas Responsables de la Información y del Sistema, para que adopten las medidas correctoras adecuadas.

Los resultados obtenidos se elevarán al Comité de Seguridad Interior y Seguridad TIC para determinar las líneas de actuación a seguir y las posibles modificaciones a realizar sobre los controles y la normativa de seguridad.»

VI. Se añade un apartado XI «Prevención, detección, respuesta y recuperación de incidentes de seguridad», del siguiente tenor:

«La ATRIAN se integrará en los mecanismos establecidos por la ADA para responder eficazmente a los incidentes de seguridad, designando un punto de contacto para las comunicaciones relativas a incidentes detectados en otros órganos o en otros organismos. Igualmente, establecerá protocolos para el intercambio de información relacionada con el incidente, lo que incluye comunicaciones, en ambos sentidos, con AndalucíaCERT.

La ATRIAN podrá supervisar los planes de continuidad corporativos establecidos por ADA para los sistemas de información de su ámbito.

De todas las actuaciones citadas en el presente apartado la ATRIAN recibirá de la ADA cuantos informes, registros u otros documentos sean necesarios para que pueda supervisarse, por parte del Comité de Seguridad Interior y de Seguridad TIC, el cumplimiento de la presente política de seguridad.»

Segundo. Referencias en la Resolución de 6 de julio de 2020, de la Agencia Tributaria de Andalucía, por la que se aprueba la Política de Seguridad de la Información de esta Agencia, así como la estructura organizativa responsable de su ejecución.

1. Las menciones a la Consejería de Hacienda, Industria y Energía y a la Dirección General de Transformación Digital deberán entenderse referidas, respectivamente, a la Consejería de Hacienda y Financiación Europea y a la Agencia Digital de Andalucía.

2. Las menciones al Comité de Seguridad TIC deberán entenderse referidas al Comité de Seguridad Interior y Seguridad TIC.

Tercero. Efectos.

La presente resolución producirá efectos el día siguiente al de su publicación en el Boletín Oficial de la Junta de Andalucía.

Sevilla, 30 de junio de 2021.- El Presidente, Roberto Ochoa Torres.

Descargar PDF