Agencia Estatal Boletín Oficial del Estado
El marco de relación entre la Administración Pública y los ciudadanos a través de los medios electrónicos se encuentra establecido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Por su parte, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, define en su artículo 156 el objeto del Esquema Nacional de Seguridad (ENS) y lo incorpora como parte esencial en la configuración del archivo electrónico de los documentos regulado en el artículo 46 y en el régimen de relaciones electrónicas y transferencias de tecnología entre las Administraciones públicas, tal como establece el artículo 158 de esta norma.
Ambas normas han sido objeto de desarrollo en virtud del Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.
La Administración digital debe ser confiable para que los ciudadanos realicen los trámites administrativos correspondientes con total seguridad y fiabilidad. Para ello, el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante ENS) en el ámbito de la Administración digital, persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas.
La Política de Seguridad de la Información constituye el marco de referencia orientado a facilitar la definición, gestión, administración e implementación de los mecanismos y procedimientos de seguridad establecidos en el ENS.
Del mismo modo, determina que la Política de Seguridad de la Información debe ser coherente con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos) y la normativa vigente en esta materia, en lo que corresponda, prevaleciendo lo relativo a la protección de datos de carácter personal en caso de discrepancias.
La Orden HFP/873/2021, de 29 de julio, aprobó la Política de Seguridad de la Información en el ámbito de la Administración digital del Ministerio de Hacienda y Función Pública. Las modificaciones introducidas en la estructura del ministerio en virtud del Real Decreto 829/2023, de 20 de noviembre, con las modificaciones introducidas por el Real Decreto 1230/2023, de 29 de diciembre, y por el Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales, junto con la aprobación del Real Decreto 206/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda, aconsejan la aprobación de la presente orden ministerial que deroga aquella.
Esta norma se ajusta a los principios de buena regulación contenidos en el artículo 129 de la Ley 39/2015, de 1 de octubre. En particular, a los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia.
El fundamento jurídico del proyecto se encuentra en el artículo 12 del Real Decreto 311/2022, de 3 de mayo, que establece que todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente, lo que enlaza con los principios de necesidad, seguridad jurídica y transparencia.
De acuerdo con los principios de eficacia y eficiencia, el proyecto mantiene la estructura organizativa preexistente en relación con la Política de Seguridad de la Información (PSI) en el Ministerio de Hacienda, incluyendo las cuestiones relativas a protección de datos personales y política de continuidad de negocio.
De la norma proyectada no se derivan impactos apreciables en el orden económico, presupuestario, de distribución de competencias, ni por razón de género, introduciéndose únicamente algunas modificaciones puntuales en relación con la normativa vigente con anterioridad, con lo que se da cumplimiento al principio de proporcionalidad. No obstante, atendiendo al principio de buena regulación normativa, se ha optado por la derogación de la orden vigente con anterioridad y la aprobación de una nueva norma.
Esta orden ha sido informada por la Comisión Ministerial de Administración Digital y la Agencia Española de Protección de Datos.
En su virtud, con la aprobación previa del Ministro para la Transformación Digital y de la Función Pública, dispongo:
1. De acuerdo con lo previsto en el artículo 12.3 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en al ámbito de la Administración Electrónica, constituye el objeto de la presente orden la aprobación de la Política de Seguridad de la Información (en adelante PSI) en el ámbito de la Administración digital del Ministerio de Hacienda, así como su marco organizativo y tecnológico.
2. La PSI será de obligado cumplimiento para todos los órganos superiores y directivos del Ministerio de Hacienda, incluidos los órganos territoriales adscritos al Ministerio, que no tengan establecida su propia política de seguridad, siendo aplicable a los activos empleados por el Departamento en la prestación de los servicios de la Administración digital.
3. Se podrán adscribir a la presente PSI aquellos organismos y entidades de derecho público vinculados o dependientes del Ministerio de Hacienda que no tengan establecida su propia política de seguridad y así lo soliciten.
4. La PSI será de obligado cumplimiento para todo el personal que acceda tanto a los sistemas de información como a la propia información que sea gestionada por el Departamento, con independencia de cuál sea su destino, adscripción o relación.
El Ministerio de Hacienda es el Departamento de la Administración General del Estado encargado de la propuesta y ejecución de la política del Gobierno en las siguientes materias: hacienda pública, presupuestos y gastos, empresas públicas, aplicación y gestión de los sistemas de financiación autonómica y local, provisión de información sobre la actividad económico-financiera de las distintas administraciones públicas y estrategia, coordinación y normativa en materia de contratación pública.
El marco normativo en que se desarrollan las actividades del Ministerio de Hacienda en el ámbito de la prestación de los servicios electrónicos a los ciudadanos, sin perjuicio de la legislación específica, se compone, principalmente, de las siguientes disposiciones:
1. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
2. Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
3. Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
4. Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información que traspone la Directiva Europea NIS (Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.
5. Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.
6. Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
7. Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
8. Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
9. Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en al ámbito de la Administración Electrónica y las Instrucciones Técnicas de Seguridad dictadas para su aplicación.
10. Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.
11. Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en al ámbito de la Administración Electrónica y las Normas Técnicas de Interoperabilidad dictadas su aplicación.
12. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
13. Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento nacional de identidad y sus certificados de firma electrónica.
14. Orden HAP/548/2013, de 2 de abril, por la que se crean y regulan sedes electrónicas en el Ministerio de Hacienda y Administraciones públicas.
15. Orden HAP/547/2013, de 2 de abril, por la que se crea y se regula el Registro Electrónico del Ministerio de Hacienda y Administraciones públicas.
Del mismo modo, forman parte del marco regulatorio las normas aplicables a la Administración Electrónica del Departamento que desarrollen o complementen las anteriores y que se encuentren dentro del ámbito de aplicación de la PSI.
1. Principios básicos.
Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Se establecen los siguientes:
a) Alcance estratégico: La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas del Departamento para conformar un todo coherente y eficaz.
b) Responsabilidad diferenciada: En los sistemas de información se diferenciará el responsable de la información, que determina los requisitos de seguridad de la información tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable del sistema, que tiene la responsabilidad sobre la prestación de los servicios; y el responsable de la seguridad, que determina las decisiones para satisfacer los requisitos de seguridad. En los supuestos de tratamientos de datos personales además se identificará el responsable de tratamiento y, en su caso, el encargado de tratamiento, de acuerdo con el artículo 12 de esta orden.
c) Seguridad integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas de información.
d) Gestión de Riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. El análisis y gestión de riesgos, cuando se aplique al tratamiento de datos personales, tendrá especial consideración con los riesgos para los derechos y libertades de las personas físicas.
e) Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
f) Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido y dedicado.
g) Seguridad por defecto: Los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad y protección de datos personales por defecto y desde el diseño.
2. Principios particulares.
Las directrices fundamentales de seguridad se concretan en un conjunto de principios particulares y responsabilidades específicas, que se configuran como objetivos instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que inspiran las actuaciones del Departamento en dicha materia. Se establecen los siguientes:
a) Protección de datos de carácter personal: Se adoptarán las medidas técnicas y organizativas destinadas a garantizar y poder demostrar que la seguridad del tratamiento es conforme con la normativa vigente en materia de protección de datos personales.
b) Gestión de activos de información: Los activos de información del Departamento se encontrarán inventariados y categorizados y estarán asociados a un responsable.
c) Seguridad ligada a las personas: Se implantarán los mecanismos necesarios para que cualquier persona que acceda o pueda acceder a los activos de información, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos.
d) Seguridad física: Los activos de información serán emplazados en áreas seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que contienen dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales.
e) Seguridad en la gestión de comunicaciones y operaciones: Se establecerán los procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación y actualización de las Tecnologías de la Información y Comunicaciones. La información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad.
f) Control de acceso: Se limitará el acceso a los activos de información por parte de usuarios, procesos y otros sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y autorización acordes a la criticidad de cada activo. Además, quedará registrada la utilización del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organización.
g) Adquisición, desarrollo y mantenimiento de los sistemas de información: Se contemplarán los aspectos de seguridad de la información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
h) Gestión de los incidentes de seguridad: Se implantarán los mecanismos apropiados para la correcta identificación, registro, notificación y resolución de los incidentes de seguridad.
i) Gestión de la continuidad: Se implantarán los mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de sus procesos de negocio, de acuerdo con las necesidades de nivel de servicio de sus usuarios.
j) Cumplimiento: Se adoptarán las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información y protección de datos personales.
1. La estructura organizativa para la gestión de la seguridad de la información en el ámbito descrito por la PSI del Ministerio de Hacienda está compuesta por los siguientes agentes:
1. El Comité de Dirección de Seguridad de la Información.
2. El Grupo de trabajo Técnico de Seguridad de la Información.
3. Los responsables de la seguridad.
4. Los responsables de la información.
5. Los responsables del servicio.
6. Los responsables del sistema.
7. La persona delegada de la Protección de Datos del departamento y las personas delegadas de Protección de Datos de los organismos públicos adscritos al departamento.
2. Los responsables de la seguridad, la información, el servicio y el sistema serán designados y renovados por cada órgano superior o directivo del Ministerio de Hacienda, así como por cada organismo o entidad de derecho público vinculado o dependiente del Departamento a los que sea de aplicación la presente PSI, de acuerdo con lo previsto en los artículos 8, 9 y 10.
1. El Comité de Dirección de Seguridad de la Información (en adelante CDSI), adscrito a la Subsecretaría del Ministerio de Hacienda, está compuesto por los siguientes miembros:
a) Presidencia: La persona titular de la Subsecretaría del Ministerio de Hacienda.
b) Vicepresidencia Primera: La persona titular de la Inspección General del Ministerio de Hacienda.
c) Vicepresidencia Segunda: La persona titular del Departamento de Servicios y Coordinación Territorial.
d) Vocales:
1.º Dos personas representantes de la Secretaría de Estado de Hacienda, nombrados por la persona titular de dicho órgano superior, de las que al menos una de ellas tenga rango mínimo de director general y la otra con rango mínimo de subdirector general.
2.º Dos personas representantes de la Secretaría de Estado de Presupuestos y Gastos, nombrados por la persona titular de dicho órgano superior, de las que al menos una de ellas tenga rango mínimo de director general y la otra con rango mínimo de subdirector general.
3.º Una persona en representación de la Intervención General de la Administración del Estado, nombrada por la persona titular de dicho órgano, con rango mínimo de subdirector general.
4.º Una persona en representación de la Secretaría General de Fondos Europeos, nombrada por la persona titular de dicho órgano, con rango mínimo de subdirector general.
5.º La persona titular de la Subdirección General de Tecnologías de la Información y de las Comunicaciones, que actuará como secretario, con voz y voto y, en caso de ausencia, podrá ser sustituido por una funcionaria o un funcionario de la Subdirección General de Tecnologías de la Información y de las Comunicaciones.
6.º La persona designada delegada de Protección de Datos del departamento, que participará con voz, pero sin voto, haciéndose constar en acta su parecer si no coincide con la decisión adoptada por el CDSI.
Las personas titulares de los órganos señalados podrán designar, de acuerdo con lo previsto en el artículo 13.1 de la Ley 40/2015, de 1 de octubre, una persona suplente que deberá tener al menos la categoría de subdirector adjunto o asimilado.
2. El CDSI ejercerá las siguientes funciones:
a) Aprobar las propuestas de modificación y actualización permanente que se hagan sobre la PSI.
b) Aprobar el resto de la normativa de seguridad de primer nivel definida en el artículo 15.1.a).
c) Velar e impulsar el cumplimiento de la PSI y de su desarrollo normativo.
d) Promover la mejora continua en la gestión de la seguridad de la información y la protección de datos personales.
e) Seguimiento del estado de la política de continuidad del negocio e impulso de su mejora.
f) Resolver los posibles conflictos que puedan derivarse del establecimiento de la citada estructura organizativa.
3. El CDSI se reunirá con carácter ordinario al menos una vez al año, y con carácter extraordinario cuando lo decida su Presidencia y las sesiones se celebrarán de forma presencial o a distancia, lo que se especificará necesariamente en la convocatoria.
4. El CDSI podrá recabar del personal técnico, propio o externo, la información pertinente para la toma de sus decisiones.
5. En lo no previsto en esta orden, el funcionamiento del CDSI se ajustará a lo dispuesto en materia de órganos colegiados por la sección 3.ª del capítulo II del título preliminar de la Ley 40/2015, de 1 de octubre.
1. El «Grupo de Trabajo Técnico de Seguridad de la Información» (GTTSI en adelante), dependiente del CDSI, es competente, con carácter permanente, para conocer las cuestiones técnicas que deban de abordarse en relación con la PSI.
2. El GTTSI estará compuesto por los siguientes miembros: la persona titular de la Subdirección General de Tecnologías de la Información y de las Comunicaciones, que ejercerá la presidencia, un Inspector de los Servicios, las personas designadas responsables de la seguridad, de acuerdo con la definición dada por el artículo 8 y la persona delegada de Protección de Datos ministerial. Asimismo, y con el fin de asegurar la coordinación en materia de seguridad de la información con el conjunto del Ministerio y con otras instancias de la AGE, el GTTSI contará con la participación de la persona responsable de la seguridad de la Agencia Estatal de la Administración Tributaria y, en el mismo, podrán participar representantes de órganos superiores o directivos del Ministerio de Hacienda y organismos y entidades de derecho público vinculados o dependientes del Departamento a las que no les sea de aplicación la PSI.
3. El GTTSI colaborará con el CDSI en las cuestiones que éste le encomiende y, de forma particular, le corresponderá:
a) Elaborar estudios, análisis previos y propuestas de modificación y actualización de la PSI.
b) Elaborar estudios, análisis previos y propuestas para el resto de la normativa de seguridad de primer nivel definida en el artículo 15.1.a).
c) Analizar el cumplimiento de la PSI y de su desarrollo normativo.
d) Analizar las medidas de seguridad de la información, de protección de datos personales y de los servicios electrónicos prestados por los sistemas de información.
e) Analizar el estado de la política de continuidad del negocio.
f) Estudiar las actividades de concienciación y formación en materia de seguridad.
4. El GTTSI se reunirá con carácter ordinario con una frecuencia mínima de dos veces al año y máxima de cuatro, y con carácter extraordinario cuando lo decida el presidente del CDSI. Las sesiones se celebrarán de forma presencial o a distancia, lo que se especificará necesariamente en la convocatoria.
5. En lo no previsto en esta orden el funcionamiento del grupo de trabajo se ajustará a lo dispuesto en materia de órganos colegiados por la sección 3.ª del capítulo II del título preliminar de la Ley 40/2015, de 1 de octubre.
1. Conforme al artículo 13 del ENS, responsable de la seguridad es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
Cada órgano superior o directivo del Ministerio de Hacienda, así como cada organismo o entidad de derecho público vinculado o dependiente del Departamento a los que sea de aplicación la presente PSI designará una persona responsable de la seguridad, sin que, de acuerdo con lo previsto en la disposición adicional primera de la presente orden, implique, en ningún caso, un aumento de las actuales dotaciones ni de las retribuciones de dichos efectivos por ningún concepto.
2. El ámbito de actuación de cada responsable de la seguridad se limitará única y exclusivamente a los sistemas de información y servicios de tecnologías de la información y de las comunicaciones que sean competencia y responsabilidad directa del centro o centros para los que haya sido designado responsable de la seguridad.
3. Serán funciones de cada responsable de la seguridad, dentro del ámbito de actuación enunciado en el punto anterior, las siguientes:
a) Promover la seguridad de la información manejada, la protección de datos personales y de los servicios electrónicos prestados por los sistemas de información.
b) Elaborar la normativa de seguridad de segundo y tercer nivel definida en el artículo 15, en las letras b) y c), respectivamente.
c) Velar e impulsar el cumplimiento del cuerpo normativo definido en el artículo 15.
d) Encargarse de que la documentación de seguridad se mantenga organizada y actualizada, y de gestionar los mecanismos de acceso a dicha documentación.
e) Promover la mejora continua en la gestión de la seguridad de la información.
f) Impulsar la formación y concienciación en materia de seguridad de la información.
g) Cualesquiera otras funciones que el Real Decreto 311/2022, de 3 de mayo, asigne a los responsables de la seguridad.
1. Los responsables de la información tienen la potestad, dentro de su ámbito de actuación y de sus competencias, de establecer los requisitos de la información que manejan y, por lo tanto, de su protección.
2. Los responsables del servicio tienen la potestad, dentro de su ámbito de actuación y de sus competencias, de establecer los requisitos del servicio en materia de seguridad y, por tanto, la potestad de determinar los niveles de seguridad del servicio.
3. Si la información manejada incluye datos de carácter personal, los responsables de la información y los responsables del servicio deberán tener en cuenta, además, los requisitos derivados de la legislación correspondiente sobre protección de datos.
4. Cada órgano superior o directivo del Ministerio de Hacienda, así como cada organismo o entidad de derecho público vinculado o dependiente del Departamento a los que, conforme al artículo 1, les sea de aplicación la presente PSI, designará estos perfiles de acuerdo con su propia organización interna, sin que, de acuerdo con lo previsto en la disposición adicional primera de la presente orden, implique, en ningún caso, un aumento de las actuales dotaciones ni de las retribuciones de dichos efectivos por ningún concepto.
1. El responsable del sistema es la persona cuya responsabilidad es desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida.
2. Cada órgano superior o directivo del Ministerio de Hacienda, así como cada organismo o entidad de derecho público vinculado o dependiente del Departamento a los que, conforme al artículo 1, les sea de aplicación la presente PSI, designará este perfil de acuerdo con su propia organización interna, sin que, de acuerdo con lo previsto en la disposición adicional primera de la presente orden, implique, en ningún caso, un aumento de las actuales dotaciones ni de las retribuciones de dichos efectivos por ningún concepto.
1. La persona delegada de Protección de Datos, designada en virtud de lo dispuesto en los apartados 1.s) y 2.e) del artículo 13 del Real Decreto 206/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda, y de conformidad con los requisitos establecidos en el Reglamento General de Protección de Datos (Reglamento UE 2016/679), especialmente su artículo 37, y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, especialmente su artículo 34, es única para todo el Departamento, sin perjuicio de la existencia de personas delegadas de Protección de Datos en los organismos públicos adscritos al Departamento y del nombramiento de coordinadoras, o coordinadores en todos los órganos superiores del Departamento y en la Intervención General de la Administración del Estado.
2. En el ámbito de los tratamientos de datos personales, y sin perjuicio de las atribuciones establecidas en el Reglamento UE 2016/679 de forma exclusiva a los responsables y encargados de los tratamientos de datos personales, y de las atribuciones exclusivas de los responsables de la seguridad, el delegado de Protección de Datos ejercerá labores de asesoramiento y supervisión en el ámbito de la presente norma.
3. Prestará asistencia y asesoramiento a los responsables del tratamiento, a la hora de identificar los riesgos y adoptar medidas para la protección de los datos personales, y en cuanto a la supervisión de que las mismas se han adoptado y llevado a la práctica. En cualquier caso, las funciones ejecutivas de toma de las decisiones oportunas al respecto serán responsabilidad de los respectivos responsables del tratamiento.
4. Ejercerá labores de asistencia y asesoramiento a los responsables del tratamiento de datos personales, a los responsables de la seguridad y a los responsables del sistema, en los procesos de gestión de brechas de datos personales en el ámbito de la gestión general de incidentes de seguridad.
5. Prestará asesoramiento a los responsables de la seguridad y a los responsables del sistema, en cuanto a la implantación de medidas de seguridad que tengan un objeto distinto que la protección de datos, en la medida en que impliquen un tratamiento adicional de datos personales, tal y como dispone el artículo 24 del Real Decreto 311/2022, de 3 de mayo.
6. Participará en el CDSI en materia de protección de datos personales, con el objetivo compartido de procurar:
a) Alinear las respectivas normativas de cumplimiento, así como la definición e implantación de medidas de seguridad.
b) Impulsar y/o coordinar auditorías y revisiones del estado de cumplimiento de los requisitos y principios de la legislación aplicable.
c) Diseñar planes de formación y concienciación conjuntos con los de seguridad de la información.
1. La persona responsable de tratamiento es la persona física o jurídica, autoridad pública, servicio u otra entidad que, solo o junto con otros, determina los fines y medios del tratamiento y aplica las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la normativa vigente en materia de protección de datos personales.
La identidad de la persona responsable de tratamiento figura en el registro de las actividades de tratamiento efectuadas bajo su responsabilidad, de acuerdo con lo dispuesto en el artículo 30 del Reglamento General de Protección de Datos.
2. La persona encargada de tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento.
El CDSI podrá articular la creación de grupos de trabajo para la realización de actividades tales como: estudios, trabajos e informes, que se estimen convenientes.
1. La gestión de riesgos debe realizarse de manera continua sobre los sistemas de información y contemplar un análisis de riesgos avanzado que evalúe los riesgos residuales y proponga tratamientos adecuados. Cuando el análisis de riesgos se aplique a tratamientos de datos personales, se tendrán en cuenta los riesgos posibles que afecten a los derechos y libertades de las personas físicas.
2. Cada órgano superior o directivo del Ministerio de Hacienda, así como cada organismo o entidad de derecho público vinculado o dependiente del Departamento a los que, conforme al artículo 1, les sea de aplicación la presente PSI, y siempre dentro de su ámbito de actuación y de sus competencias, se encargará de analizar y evaluar los riesgos de funcionamiento de los servicios a fin de establecer las correspondientes medidas preventivas.
3. Para la realización del análisis de riesgos se tendrán en cuenta las recomendaciones publicadas para el ámbito de la Administración Pública y en especial las guías elaboradas por el Centro Criptológico Nacional y la Agencia Española de Protección de Datos.
1. El cuerpo normativo sobre seguridad de la información es de obligado cumplimiento y se estructura en los siguientes niveles relacionados jerárquicamente:
a) Primer nivel normativo: constituido por la PSI y las directrices generales de seguridad aplicables a los órganos superiores o directivos del Ministerio de Hacienda a los que, conforme al artículo 1, sea de aplicación la presente PSI.
b) Segundo nivel normativo: constituido por las normas de seguridad desarrolladas por cada órgano superior o directivo del Ministerio de Hacienda, así como por cada organismo público dependiente del Departamento a los que, conforme al artículo 1, les sea de aplicación la presente PSI. Estas normas de seguridad deberán:
1.º Limitarse única y exclusivamente al ámbito específico de las competencias de cada uno de dichos órganos u organismos adscritos a la presente PSI. Este ámbito vendrá determinado por los sistemas de información, los tratamientos de datos personales y servicios de tecnologías de la información y de las comunicaciones que sean prestados y gestionados directamente por dicho órgano u organismo.
2.º Cumplir estrictamente con lo indicado en el ENS, con la normativa vigente en materia de protección de datos personales y con el primer nivel normativo enunciado en el presente artículo.
3.º Ser aprobadas dentro del ámbito de cada uno de los citados órganos u organismos adscritos a la presente PSI.
c) Tercer nivel normativo: Procedimientos, guías e instrucciones técnicas. Son documentos que, cumpliendo con lo expuesto en la PSI, determinan las acciones o tareas a realizar en el desempeño de un proceso. Este tercer nivel normativo deberá:
1.º Limitarse única y exclusivamente al ámbito específico de las competencias de cada uno de dichos órganos u organismos adscritos a la presente PSI. Este ámbito vendrá determinado por los sistemas de información, los tratamientos de datos personales y servicios de tecnologías de la información y de las comunicaciones que sean prestados y gestionados directamente por dicho órgano u organismo.
2.º Cumplir estrictamente con lo indicado en el ENS, con la normativa vigente en materia de protección de datos personales y con el primer y segundo nivel normativos enunciados en el presente artículo.
3.º Ser aprobado dentro del ámbito de cada uno de los citados órganos u organismos adscritos a la presente PSI.
2. Además de la normativa enunciada con anterioridad, la estructura normativa podrá disponer, a criterio de cada uno de los órganos u organismos adscritos a la presente PSI, y siempre dentro del ámbito de sus competencias y responsabilidades, de otros documentos tales como: estándares de seguridad, buenas prácticas, informes técnicos, etc.
3. El personal de cada uno de los órganos, organismos o entidades adscritos a la presente PSI tendrá la obligación de conocer y cumplir, además de la presente PSI, todas las directrices generales, normas y procedimientos de seguridad de la información que puedan afectar a sus funciones.
1. La seguridad de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, constituye uno de los principios que deben regir su tratamiento, aplicándose para ello las medidas técnicas u organizativas apropiadas que garanticen un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. El cumplimiento de este principio corresponde al responsable del tratamiento que, adicionalmente, debe ser capaz de demostrarlo y aplicarlo de forma temprana en la fase de diseño del tratamiento y garantizando que su aplicación sea efectiva por defecto.
Esta responsabilidad se articulará a través del marco organizativo establecido en la presente Política de Seguridad y se llevará a cabo de conformidad con la normativa aplicable en materia de protección de datos personales relacionada en el artículo 3 de esta orden y el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, prevaleciendo las medidas derivadas de la aplicación de la normativa de protección de datos cuando, tras un análisis de riesgos, se estime que las mismas son superiores a las previstas en el Esquema Nacional de Seguridad.
2. La observación del principio de seguridad del tratamiento de los datos personales cobrará especial relevancia cuando sea probable que un determinado tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, en cuyo caso el responsable del tratamiento recabará el asesoramiento del delegado de protección de datos al realizar la preceptiva evaluación de impacto relativa a la protección de datos.
3. Las auditorías de seguridad previstas en el Esquema Nacional de Seguridad incorporarán la revisión de las medidas técnicas y organizativas de seguridad de los datos personales a las que se refiere este artículo.
1. Se desarrollarán actividades formativas específicas orientadas a la concienciación y formación de los empleados públicos del Departamento, así como a la difusión entre los empleados de la PSI y de su desarrollo normativo.
2. El Grupo de trabajo técnico de Seguridad de la Información y los responsables de la seguridad se encargarán de promover las actividades de formación y concienciación en materia de seguridad, según lo indicado en el artículo 7, apartado 3, letra f y en el artículo 8, apartado 3, letra f de esta orden.
Las medidas descritas en esta orden no supondrán incremento del gasto, siendo atendidas con los medios personales, técnicos y presupuestarios asignados al Ministerio de Hacienda.
Todos los órganos y unidades del Departamento prestarán su colaboración en las actuaciones de implementación de la PSI aprobada por esta orden.
Quedan derogadas las disposiciones de igual o inferior rango en lo que se opongan a lo dispuesto en esta orden ministerial y, en particular, en los que se refiere a los órganos y organismos integrados en el Ministerio de Hacienda, la Orden HFP/873/2021, de 29 de julio, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la Administración digital del Ministerio de Hacienda y Función Pública.
1. La presente orden entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».
2. Esta orden se publicará en las sedes electrónicas del Ministerio de Hacienda en cuyo ámbito sea de aplicación.
Madrid, 16 de julio de 2025.–La Vicepresidenta Primera y Ministra de Hacienda, María Jesús Montero Cuadrado.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
