Art. 8
8 / 27En vigor desde 24 nov 2024
1. Las personas responsables de los sistemas de información garantizan, en sus respectivos ámbitos, la puesta en marcha, mantenimiento y actualización de las medidas pertinentes en materia de seguridad de los sistemas de información. Asimismo, determinan los requisitos de seguridad de la información tratada, de los tratamientos realizados sobre la misma y de los servicios electrónicos que se prestan, en sus respectivos ámbitos.
2. Se designan como responsables de sus sistemas de información a las personas titulares de todos los órganos superiores y directivos del Ministerio de Inclusión, Seguridad Social y Migraciones y a las personas titulares de todos los organismos adscritos y órganos dependientes de los órganos superiores y directivos del Ministerio de Inclusión, Seguridad Social y Migraciones para la información que tratan en el ejercicio de sus competencias, sin perjuicio de que estos puedan delegar ciertas funciones en las direcciones y subdirecciones provinciales correspondientes.
3. Las personas responsables de los sistemas de información son responsables del tratamiento, responsables de la información y responsables de los servicios electrónicos en todos los sistemas de información que traten datos personales.
4. A las personas responsables de los sistemas de información les corresponden las siguientes funciones:
a) Garantizar que se gestiona el riesgo de seguridad de sus sistemas de información.
b) Definir los requisitos de seguridad de los sistemas de información de los que son responsables y, para cada uno de ellos, su nivel de riesgo residual aceptable.
c) Suspender el manejo de una determinada información o la prestación de un servicio si es informado de deficiencias graves de seguridad.
d) Adoptar las medidas necesarias para que el personal con acceso a sus sistemas de información conozca las normas de seguridad que debe aplicar.
e) Identificar y valorar la criticidad de la información que manejan y determinar en función de esta los requisitos de seguridad que es necesario cumplir para cada tipo de información.
f) Determinar el ciclo de vida de la información manejada y determinar los procedimientos de creación, tratamiento y destrucción de esta.
g) En cuanto a tratamientos con datos personales, deberán satisfacer los derechos de las personas titulares de los datos, registrar la condición que legitima el tratamiento, atender los derechos de información, acceso, rectificación, oposición, supresión («derecho al olvido»), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individuales automatizadas y realizar la evaluación de impacto en la privacidad.
h) Comunicar al delegado o delegada de protección de datos correspondiente, con carácter previo a su uso, los nuevos tratamientos de alto riesgo con datos personales.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli/es/o/2024/11/18/ism1320#art-8