Art. 6
En vigor desde 3 ago 2022
El prestador cualificado de servicios electrónicos de confianza:
a) Dispondrá de un modelo de gestión continua del riesgo que incluirá un análisis de riesgos especifico que se revisará con una periodicidad mínima anual y, en todo caso, siempre que se produzca un cambio en el sistema, en los procedimientos organizativos, en el estado de la tecnología, o en cualquier otro aspecto que pudiera influir en el perfil de riesgo del procedimiento de identificación.
Este análisis deberá tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento de los datos personales, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas conforme a lo exigido por la normativa de protección de datos personales.
Asimismo, realizará una evaluación de impacto en la protección de datos personales cuando del análisis realizado resulte probable que el tratamiento suponga un alto riesgo para los derechos y libertades de las personas, conforme a lo previsto en la citada normativa.
b) Adoptará medidas técnicas y organizativas adicionales a las indicadas en esta orden cuando el resultado del análisis de riesgos efectuado así lo requiera.
En relación con los datos de carácter personal, adoptará las medidas técnicas y organizativas apropiadas, según lo establecido en el artículo 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016.
Estas medidas se actualizarán sin dilación indebida cuando se tenga conocimiento de vulnerabilidades que puedan dan lugar a brechas de seguridad.
c) Evaluará y documentará las características de seguridad del conjunto del sistema, incluyendo todos los elementos sustantivos de la plataforma de identificación, los canales de comunicación, y la generación y conservación de pruebas producidas durante el proceso de identificación.
d) Empleará un producto de identificación remota por vídeo que cumpla los requisitos mínimos de seguridad indicados en el anexo F.11 de la Guía de Seguridad de las TIC CCN-STIC-140, del Centro Criptológico Nacional de categoría alta. El prestador cualificado deberá seguir las indicaciones de configuración y uso seguro del producto. El cumplimiento de dicha obligación deberá ser certificado siguiendo metodologías de evaluación reconocidas por el Organismo de Certificación del ENECSTI (Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información), por un organismo acreditado según la norma ISO/IEC 17065.
No obstante, en caso de indisponibilidad de metodologías de evaluación aplicables para la certificación del producto, se admitirá la acreditación de cumplimiento de la citada obligación mediante la evaluación de su seguridad e inclusión en el listado de productos cualificados del Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (Guía de Seguridad de las TIC CCN-STIC-105) publicado por el Centro Criptológico Nacional.
e) Notificará inmediatamente al órgano supervisor, y en cualquier caso antes de 24 horas desde su conocimiento, cualquier violación de la seguridad o pérdida de integridad que tenga impacto en el servicio.
Asimismo, en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la Agencia Española de Protección de Datos sin dilación indebida conforme a lo previsto en el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016.
Se modifica la letra d) por el art. único.1 de la Orden ETD/743/2022, de 26 de julio. Ref. BOE-A-2022-12934 Téngase en cuenta que la letra d) entra en vigor el 1 de marzo de 2023, según establece la disposición final segunda , en la redacción dada por el art. único.3 de la citada Orden.
Tus anotaciones
Proeli/es/o/2021/05/06/etd465#art-6