DECRETO 55/2023, DE 6 DE JUNIO, POR EL QUE SE ESTABLECE LA POLÍTICA DE PROTECCIÓN DE DATOS EN LA ADMINISTRACIÓN DE LA JUNTA DE COMUNIDADES DE CASTILLA-LA MANCHA.
El artículo 13 
de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, establece el derecho de las personas en sus relaciones con las Administraciones Públicas a la protección y confidencialidad de sus datos y a la seguridad de los mismos cuando figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) plenamente aplicable desde el 25 de mayo de 2018, establece nuevas obligaciones al responsable del tratamiento y le obliga no solo a cumplir con la normativa sino a dotarse de las evidencias del cumplimiento.
La Ley Orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y garantía de los derechos digitales adapta nuestro ordenamiento a las novedades establecidas por el Reglamento General de Protección de Datos .
En el ámbito autonómico, se aprobó el Decreto 104/2008, de 22 de julio , de protección de datos de carácter personal en la Junta de Comunidades de Castilla-La Mancha, con el fin de garantizar el efectivo cumplimiento del derecho a la protección de datos por parte de la administración regional, en ejercicio de las competencias de autoorganización atribuidas por el Estatuto de Autonomía de Castilla-La Mancha y que establece como competencia exclusiva la organización, régimen y funcionamiento de sus instituciones de autogobierno en virtud de su artículo 31.1.1.ª, así como de elaboración del procedimiento administrativo derivado de las especialidades de su organización propia.
Asimismo, el Decreto 104/2008, de 22 de julio , incluía en su ámbito de aplicación a todo fichero registrado en soporte físico y a cualquier modalidad de uso posterior del mismo, fijó los criterios comunes a tener en cuenta por los responsables de los ficheros, definiendo las funciones de los responsables de seguridad, así como los procedimientos de actuación de éstos y los controles que permitían verificar la operatividad y el grado de adecuación de su función a la entonces vigente normativa de protección de datos.
Posteriormente, se publicó el Decreto 12/2010, de 16 de marzo , por el que se regula la utilización de medios electrónicos en la actividad de la Administración de la Junta de Comunidades de Castilla-La Mancha, que estableció las herramientas tecnológicas necesarias para posibilitar la relación administrativa con las necesarias garantías de seguridad, regulando la sede y el registro electrónico, los diferentes mecanismos de identificación de las personas en sus relaciones administrativas electrónicas, así como la identificación por medios electrónicos de los órganos administrativos en el ejercicio de sus competencias.
Por tanto, visto lo anterior, es necesario adaptar a la administración regional a esta nueva normativa.
El decreto pretende definir el marco de referencia que permita adaptar a nuestra administración a las nuevas exigencias, garantizando el adecuado tratamiento de datos personales en la prestación de los servicios públicos y pasando de un modelo de cumplimiento a un modelo de responsabilidad proactiva, teniendo en cuenta en todo momento el riesgo que los tratamientos tienen para los derechos y libertades de las personas interesadas.
El decreto define también las funciones atribuidas a cada órgano competente en materia de protección de datos. Además, se redefinen las funciones del Comité Regional de Protección de Datos, de sus vocales y se incorpora a la estructura organizativa la figura del Delegado de Protección de Datos, del que se detalla su designación, posición en la Administración y las funciones que tiene encomendadas.
Por su parte, el decreto se ajusta a los principios de buena regulación contenidos en el artículo 129 de la Ley 39/2015, de 1 de octubre: necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia.
Respecto a los principios de necesidad y eficacia, esta norma persigue el establecimiento de la política de protección de datos en el marco de las actividades de tratamiento de datos de carácter personal de la Administración de la Junta de Castilla-La Mancha, considerando el decreto el instrumento más idóneo para establecer una estructura organizativa y definir las personas responsables en la materia, garantizando con ello el derecho fundamental a la protección de datos de las personas que se relacionan con la administración regional, siendo en definitiva el medio necesario y suficiente para cumplir con la finalidad perseguida, tanto por lo que se refiere a su objeto como por su ámbito de aplicación.
En cuanto al principio de proporcionalidad, la norma contiene la regulación que se considera imprescindible para adaptar a la administración regional a la normativa que, en materia de protección de datos, ha sido dictada como consecuencia de la aplicación en nuestro ordenamiento jurídico del Reglamento General de Protección de Datos . Además, la aprobación de un nuevo decreto implica dotar del plus de seguridad jurídica que aporta una nueva y completa regulación que comprende tanto los aspectos organizativos, como de funcionamiento, dotando de certidumbre y claridad a esta materia y siendo coherente con el resto del ordenamiento jurídico.
En el preámbulo se define claramente el objetivo de la iniciativa normativa. Asimismo, el decreto se ajusta al principio de eficiencia sin que se introduzcan nuevas cargas sobre las ya existentes, siendo estas las que se consideran fundamentales para cumplir con la finalidad de la norma.
Por último, el decreto se dicta en ejercicio de las competencias exclusivas sobre organización, régimen y funcionamiento de sus instituciones de autogobierno y de procedimiento administrativo derivado de las especialidades de su organización propia atribuidas a la Junta de Comunidades de Castilla-La Mancha en los artículos 31.1. 1.ª y 28.ª, respectivamente, del Estatuto de Autonomía de Castilla-La Mancha.
En su virtud, a propuesta del Consejero de Hacienda y Administraciones Públicas, previa deliberación del Consejo de Gobierno en su reunión del día 6 de junio de 2023.
Dispongo:
Capítulo I
Disposiciones generales
Artículo 1. Objeto.
1. Constituye el objeto de este decreto establecer la Política de Protección de Datos Personales de la Administración de la Junta de Comunidades de Castilla-La Mancha y sus organismos públicos, en adelante, PPDPC-LM.
2. A los efectos de este decreto, se entiende por PPDPC-LM el conjunto de medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de la normativa aplicable al tratamiento de los datos personales.
Artículo 2. Ámbito de aplicación.
1. La PPDPC-LM será de aplicación a todas las actividades de tratamiento de datos personales por cualquier medio, con independencia del soporte, de las que sean responsables la Administración de la Junta de Comunidades de Castilla-La Mancha y sus organismos públicos, comprendiendo estos últimos, a estos efectos, a los organismos autónomos y entidades públicas vinculadas o dependientes de la primera.
2. La PPDPC-LM será de obligado cumplimiento para todos los órganos y unidades que conforman la estructura de la Administración de la Junta de Comunidades de Castilla-La Mancha y sus organismos públicos y para todo el personal con acceso a la información de la que son responsables, con independencia de su destino, condición laboral o relación por la que se accede a la información.
3. Asimismo, la PPDPC-LM deberá ser observada por aquellas personas que, no formando parte de la Administración de la Junta de Comunidades de Castilla-La Mancha y sus organismos públicos, tengan acceso a sus sistemas de información o a la información gestionada por ellos.
Artículo 3. Definiciones.
Las expresiones y términos utilizados en el presente decreto tendrán el significado indicado en las definiciones del artículo 4 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos ).
Artículo 4. Marco Normativo.
1. Al tratamiento de datos personales le será aplicable el Reglamento general de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y garantía de los derechos digitales.
2. Serán de aplicación a la PPDPC-LM las disposiciones en materia de protección de datos personales contenidas en la Ley 39/2015, de 1 de octubre , del Procedimiento Administrativo Común de las Administraciones Públicas; en la Ley 40/2015, de 1 de octubre , de Régimen Jurídico del Sector Público; en la Ley 9/2017, de 8 de noviembre , de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014; y en el Decreto 12/2010 , de 16/03/2010, por el que se regula la utilización de medios electrónicos en la actividad de la Administración de la Junta de Comunidades de Castilla-La Mancha.
3. La protección de los sistemas de información utilizados para la prestación de los servicios públicos y de la información tratada en el ámbito de la Administración electrónica se regirá por el Real Decreto 311/2022, de 3 de mayo , por el que se regula el Esquema Nacional de Seguridad.
4. Resultarán igualmente aplicables el resto de normas jurídicas que regulen aspectos relacionados con el tratamiento de los datos personales y la seguridad de la información.
Artículo 5. Principios de protección de datos.
Toda la actividad relacionada con el tratamiento de datos personales en la Administración de la Junta de Comunidades de Castilla-La Mancha y sus organismos públicos se regirá por los principios recogidos en el capítulo II del Reglamento General de Protección de Datos y en el título II de la Ley Orgánica 3/2018, de 5 de diciembre .
Capítulo II
Organización
Artículo 6. Estructura organizativa.
La estructura organizativa de la PPDPC-LM estará constituida por:
a) La consejería con competencias en materia de protección de datos.
b) El Comité Regional de Protección de Datos.
c) La Unidad de Protección de Datos.
d) El responsable del tratamiento.
e) El delegado de protección de datos.
f) Las personas referentes de protección de datos.
Artículo 7. La consejería con competencias en materia de protección de datos.
Corresponderá a la consejería competente en materia de protección de datos las siguientes funciones:
a) La elaboración de la normativa en materia de protección de datos.
b) La coordinación de la actuación, en materia de protección de datos de la Administración de la JCCM, de las personas designadas como delegadas de protección de datos para garantizar su uniformidad.
c) El fomento de la cultura de protección de datos en la Administración de la JCCM.
d) Establecer los criterios para la elaboración, coordinación y mantenimiento del registro de las actividades de tratamiento.
e) Cualquier otra actuación que incida directa o indirectamente en la política de protección de datos de la Administración de la JCCM.
Artículo 8. El Comité Regional de Protección de Datos.
1. El Comité Regional de Protección de Datos (en adelante CRPD) es un órgano colegiado de la Administración de la Junta de Comunidades de Castilla-La Mancha y sus organismos públicos adscrito a la consejería competente en esta materia.
En particular tendrá las siguientes funciones:
a) Informar los proyectos de disposiciones de carácter general en materia de protección de datos personales, así como promover su cumplimiento y divulgación.
b) Proponer planes de concienciación y formación en materia de protección de datos personales e informar los elaborados por otros órganos.
c) Informar todas las iniciativas, planes y proyectos que tengan especial trascendencia por afectar al resto de la organización y que estén encaminados a garantizar plenamente el derecho a la protección de los datos personales, que vayan a realizarse por cualquier órgano de la Administración de la Junta de Comunidades de Castilla-La Mancha y sus organismos públicos.
2. El Comité Regional de Protección de Datos tendrá la siguiente composición:
a) Presidencia: la persona titular del órgano directivo competente en materia de protección de datos.
b) Vicepresidencia: la persona responsable de la Unidad de Protección de Datos.
c) Vocalías:
1.º. Las personas designadas como delegado de protección de datos en la Administración de la Junta de Comunidades de Castilla-La Mancha y sus organismos públicos.
2.º. Las personas designadas como referentes de protección de datos de cada una de las consejerías en las que no existe delegado de protección de datos.
3.º.- Las personas que representen a otros organismos autónomos o a entidades de derecho público de la Administración Regional cuya presencia haya sido autorizada por la presidencia.
d) Secretaría: Una persona destinada en la Unidad de Protección de Datos.
e) Cualquiera de los miembros del CRPD podrá solicitar a la presidencia la asistencia a las reuniones de personas que tengan conocimientos técnicos o especializados en las materias a tratar.
En casos de vacante, ausencia, o enfermedad, la presidencia será sustituida por la vicepresidencia; las vocalías por personas funcionarias del grupo A1 o A2 que presten servicios en las secretarias generales de las diferentes consejerías de la Junta de Comunidades de Castilla-La Mancha; o en su caso, por personas al servicio del correspondiente organismo autónomo o entidad de derecho público. La secretaría será sustituida por una persona funcionaria del grupo A1 o A2 de la unidad de protección de datos.
3. El CRPD se reunirá, en sesión ordinaria, al menos una vez al año y, en sesión extraordinaria, cuando la presidencia lo estime oportuno para el cumplimiento de sus funciones o a solicitud expresa de cualquiera de sus miembros para deliberar sobre los asuntos que éstos hubieran propuesto para su inclusión en el orden del día.
Las convocatorias de las sesiones del CRPD se realizarán por la presidencia por medios electrónicos. El desarrollo de sus sesiones podrá realizarse de forma presencial o a distancia.
El CRPD podrá crear grupos de trabajo de carácter temporal para la realización de trabajos específicos, los cuales deberán ser aprobados por el propio Comité.
4. En lo no previsto en el presente decreto, el CRPD ajustará su actuación a lo dispuesto para el funcionamiento de los órganos colegiados en la Ley 40/2015, de 1 de octubre , de Régimen Jurídico del Sector Público.
Artículo 9. La Unidad de Protección de Datos.
1. La Unidad de Protección de Datos se configura como la unidad administrativa dependiente del órgano directivo competente en materia de protección de datos en la que se encuentra integrado el delegado de protección de datos de la administración de la Junta de Comunidades de Castilla-La Mancha, al cual prestará apoyo en las funciones que tiene encomendadas.
2. Corresponderán a esta Unidad las funciones siguientes:
a) Apoyo a las personas titulares de los órganos gestores de la Administración de la Junta de Comunidades de Castilla-La Mancha y sus organismos públicos, siempre que en su ámbito no se haya designado otro delegado de protección de datos distinto del delegado citado en el apartado 1 en la realización de evaluaciones de impacto, análisis de riesgos y cualquier otra cuestión sobre la materia.
b) Elaboración de guías, instrucciones, manuales y otros documentos.
c) Diseño y gestión del Registro de las Actividades de Tratamiento de la Junta de Comunidades de Castilla-La Mancha.
d) Establecer mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos en materia de protección de datos personales.
e) Cualquier otra encomendada por el órgano directivo competente en la materia.
Artículo 10. Responsable del tratamiento.
1. La condición de responsable del tratamiento recaerá en los órganos directivos y de apoyo de la Administración de la Junta de Comunidades de Castilla-La Mancha y en los órganos directivos de sus organismos públicos cuando determinen los fines y medios de un tratamiento, en los términos establecidos en el artículo 4.7 del Reglamento General de Protección de Datos.
También podrán ser responsables del tratamiento los entes diferenciados sin personalidad jurídica propia, tales como Centros Educativos y Sociales, Archivos, Bibliotecas y Museos, etc., que tengan capacidad o competencia para decidir sobre los fines y medios del tratamiento de datos personales que realicen.
2. Serán funciones del responsable del tratamiento:
a) Determinar los fines y medios del tratamiento.
b) Velar por el efectivo cumplimiento del Reglamento General de Protección de Datos , la Ley Orgánica 3/2018, de 5 de diciembre y la demás normativa de protección de datos en los tratamientos de datos personales que gestiona.
c) Mantener actualizado el registro de las actividades de tratamiento de datos en el ámbito de sus competencias y notificar al delegado de protección de datos las modificaciones que se realicen en el mismo a través de los referentes de protección de datos.
d) Responder a los requerimientos que le comunique al delegado de protección de datos en relación con los tratamientos de datos que gestiona en su ámbito de actuación.
e) Garantizar el cumplimiento de las obligaciones de secreto y confidencialidad derivadas de la normativa en materia de protección de datos personales en relación con los tratamientos que gestiona.
f) Garantizar el cumplimiento de la obligación de informar adecuadamente y aplicando el principio de transparencia en la recogida de los datos personales.
g) Analizar, gestionar y resolver las solicitudes de ejercicios de derechos de las personas interesadas, de acuerdo con lo previsto en el Reglamento General de Protección de Datos , la Ley Orgánica 3/2018, de 5 de diciembre y demás normativa de protección de datos.
h) Aprobar los informes de las evaluaciones de impacto en la protección de datos cuando el tratamiento entrañe alto riesgo para los derechos y libertades de las personas físicas, tarea en la que estará asesorado por su correspondiente delegado de protección de datos.
i) Aprobar los informes de los análisis de riesgos de los tratamientos de los que son responsables y actualizarlos cuando proceda.
j) Aplicar las medidas de seguridad técnicas y organizativas en los tratamientos de los que son responsables, a través del órgano competente en la implantación de cada medida.
k) Comunicar, a través de los referentes de protección de datos, al delegado de protección de datos correspondiente las brechas de datos personales para que proceda a su notificación a la Agencia Española de Protección de Datos.
l) Seleccionar, en su caso, encargados de tratamiento que ofrezcan garantías suficientes, firmar con ellos un contrato u otro acto jurídico que cumpla con lo previsto en el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre y realizar el seguimiento de la correcta aplicación de las medidas.
Artículo 11. Delegado de protección de datos.
1. La consejería con competencias en materia de protección de datos designará una persona como delegado de protección de datos que ejercerá sus funciones en el ámbito definido en el artículo 2, salvo el Sescam, que cuenta con su delegado de protección de datos.
Se podrán nombrar otros delegados de protección de datos en ámbitos concretos, cuando sus necesidades específicas así lo requieran. Dicho nombramiento deberá realizarse por la consejería u organismo público afectado previa autorización de la persona titular del órgano directivo de la consejería con competencias en protección de datos.
2. Los delegados de protección de datos serán designados entre personas que reúnan la cualificación profesional exigida por el artículo 37.5 del Reglamento General de Protección de Datos, acreditada por los mecanismos establecidos en el artículo 35 de la Ley Orgánica 3/2018, de 5 de diciembre, y de conformidad con lo establecido en la normativa reguladora en materia de función pública a este respecto.
3. En el desempeño de sus tareas los delegados de protección de datos tendrán acceso a los datos personales de los procesos de tratamiento afectados por este decreto.
4. En cumplimiento del artículo 38 del Reglamento General de Protección de Datos, se garantizará la independencia de los delegados de protección de datos en el desempeño de sus funciones, así como la participación de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos.
5. A los delegados de protección de datos, les corresponderá en su respectivo ámbito, entre otras, las funciones previstas en el artículo 39 del Reglamento General de Protección de Datos, en el artículo 37 de la Ley Orgánica 3/2018, de 5 de diciembre y en las directrices europeas sobre los delegados de protección de datos.
Artículo 12. Referentes de protección de datos.
1. Las secretarías generales de cada consejería u órgano directivo de los organismos objeto de este decreto deberán designar una persona dentro del ámbito de su organización cuando no cuenten con delegado de protección de datos para que desarrolle las funciones de referente de protección de datos.
Cuando una consejería u organismo público objeto de este decreto no cuente con delegado de protección de datos, las secretarias generales en el caso de las consejerías y los órganos directivos en el caso de los organismos públicos designarán una persona dentro del ámbito de su organización para que desarrolle las funciones de referente de protección de datos.
2. Las funciones de las personas designadas como referentes de protección de datos serán las siguientes:
a) Asistir al delegado de protección de datos, en particular en la notificación en plazo de las brechas de datos personales y en la respuesta de las reclamaciones en materia de protección de datos.
b) Realizar las actualizaciones indicadas por la persona responsable del tratamiento en el registro de las actividades de tratamiento.
c) Velar por el impulso en la tramitación de las solicitudes de ejercicio de los derechos en materia de protección de datos que reciban los responsables de los tratamientos en el ámbito de su Consejería.
d) Asistir a los responsables de los tratamientos en las evaluaciones de impacto y análisis de riesgos
e) Asesorar y colaborar con los responsables de tratamiento en el cumplimiento de sus restantes obligaciones en materia de protección de datos, sin perjuicio de las funciones del delegado de protección de datos.
f) Cualquier otra actuación que incida directa o indirectamente en la materia de protección de datos en su consejería u organismo.
Capítulo III
Gestión de la Política de Protección de Datos Personales
Artículo 13. Registro de las actividades de tratamiento.
1. La consejería competente en materia de protección de datos establecerá los criterios para la elaboración, coordinación y mantenimiento del registro de las actividades de tratamiento de la Administración de la Junta de Comunidades de Castilla-La Mancha y sus organismos públicos, que será único para todos los responsables del tratamiento comprendidos en su ámbito de actuación. Estos criterios asimismo serán de aplicación cuando la propia administración actúe como encargado de tratamiento en el ámbito definido en el artículo 2.
2. Los responsables y encargados del tratamiento estarán obligados a mantener actualizado en el ámbito de sus competencias el registro de las actividades de tratamiento, e incluirán toda la información relativa a sus tratamientos a la que se refiere el artículo 30 del Reglamento General de Protección de Datos.
Los responsables del tratamiento deberán comunicar a los delegados de protección de datos correspondientes cualquier adición, modificación o exclusión en el contenido del registro conforme a lo indicado en el artículo 10.
3. La Administración de la Junta de Comunidades de Castilla-La Mancha hará público el Inventario de Actividades de Tratamiento de Datos Personales, con el contenido del Registro de Actividades de Tratamiento, que será accesible en el Portal de Transparencia. Dicha obligación se extenderá a cada uno de los organismos públicos objeto de este decreto.
Artículo 14. Análisis de riesgos y evaluación de impacto en la protección de datos.
1. Los responsables del tratamiento deberán realizar un análisis de riesgos con el fin de identificar, evaluar y tratar los riesgos para los derechos y libertades de las personas físicas respecto de las actividades de tratamiento con datos personales de su competencia, minimizando dichos riesgos hasta los niveles que puedan considerarse aceptables.
Este análisis deberá realizarse de forma periódica y, en cualquier caso, siempre que exista un cambio significativo en la naturaleza, ámbito, contexto o fines del tratamiento.
2. Cuando del análisis de riesgos realizado resulte probable que un tratamiento suponga un riesgo significativo para los derechos y libertades de las personas, conforme a lo previsto en el artículo 35 del Reglamento General de Protección de Datos y en el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, o cuando dicho tratamiento esté incluido en el listado, publicado a tal fin, por la Agencia Española de Protección de Datos, los responsables del tratamiento deberán realizar una evaluación de impacto.
El proceso de valoración de la necesidad de realizar una evaluación de impacto en protección de datos deberá quedar documentado en todo caso.
3. Los responsables del tratamiento recabarán el asesoramiento de sus correspondientes personas delegadas de protección de datos al realizar las actuaciones previstas en los apartados anteriores.
Artículo 15. Seguridad en el tratamiento de los datos personales
1. Todos los tratamientos de datos personales, así como los sistemas de información empleados para el tratamiento de los mismos, deberán tener implantadas las medidas de seguridad técnicas y organizativas apropiadas para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
2. Los responsables del tratamiento deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad.
Artículo 16. Gestión de las violaciones de la seguridad de los datos personales.
1. El personal al que resulta de aplicación la PPDPC-LM que intervenga en el tratamiento de datos personales estará obligado a comunicar sin dilación las violaciones de la seguridad de los datos personales de las que tenga conocimiento en el desempeño de sus funciones.
Los responsables del tratamiento informarán de dichas violaciones de la seguridad, así como de otras de las que tenga conocimiento por otros medios y que afecten a los tratamientos de los que son responsables, a los delegados de protección de datos personales correspondientes a su ámbito de actuación.
2. Los responsables del tratamiento notificarán a la Agencia Española de Protección de Datos las violaciones de seguridad de los datos personales, de conformidad con lo previsto el artículo 33 del Reglamento General de Protección de Datos sin perjuicio de lo que pueda establecerse por procedimiento interno.
Así mismo, los delegados de protección de datos asesorarán sobre la conveniencia o no de que los responsables de tratamiento notifiquen a las personas interesadas afectadas las violaciones de seguridad de los datos personales, de conformidad con lo previsto en el artículo 34 del Reglamento General de Protección de Datos.
3. Las comunicaciones y notificaciones previstas en los apartados anteriores deberán realizarse conforme al procedimiento aprobado por la consejería competente en materia de protección de datos.
Sin perjuicio de lo anterior, las secretarías generales en el caso de las consejerías y los órganos directivos en el caso de los organismos públicos deberán aprobar un procedimiento de detección y gestión de las violaciones de seguridad de los datos personales que será de aplicación para todos los responsables de tratamiento de su ámbito de actuación.
Artículo 17. Desarrollo normativo de la PPDPC-LM en Castilla-La Mancha.
1. La PPDPC-LM se desarrollará por:
a) Órdenes.
b) Procedimientos generales.
c) Procedimientos específicos.
d) Otros documentos.
2. Las órdenes, de obligado cumplimiento para todas las consejerías y organismos incluidos en el ámbito de aplicación de la presente, serán aprobadas por la persona titular de la consejería competente en materia de protección de datos.
3. Los procedimientos generales serán aprobados por el órgano directivo competente en materia de protección de datos y en ellos se establecerá cómo se debe actuar y quiénes serán las personas encargadas de cada actuación.
4. Los procedimientos específicos serán aprobados por las secretarías generales en el caso de las consejerías y por los órganos directivos en el caso de los organismos públicos.
5. El resto de órganos, en el ámbito de sus competencias, aprobarán informes, propuestas, procedimientos, manuales, guías, así como otros documentos necesarios para el cumplimiento de esta normativa.
Artículo 18. Revisión de la Política de protección de datos.
1. La política de protección de datos será revisada periódicamente, a fin de que se mantenga actualizada en relación a la normativa, tanto estatal como europea, que resulte de aplicación, así como a las circunstancias técnicas y organizativas de ámbito autonómico.
2. Del resultado de esta revisión informará el Comité Regional de Protección de datos.
Artículo 19. Obligaciones del personal.
1. El personal al servicio de la Administración de la Junta de Comunidades de Castilla-La Mancha y sus organismos públicos deberá colaborar en las actuaciones de implementación de la PPDPC-LM.
2. El personal indicado en el apartado 1 tendrá la obligación de conocer y cumplir lo previsto en la presente política, así como en las normas y resoluciones que la desarrollen.
En particular, tendrá las siguientes obligaciones:
a) Tratar los datos en los tratamientos de los que sean usuarios o usuarias siguiendo las instrucciones dadas por la persona responsable de cada uno de los tratamientos.
b) Acceder a los datos personales solo cuando tenga autorización, en virtud de las funciones o tareas asignadas, y guardar el deber de confidencialidad en los términos establecidos en el artículo 5.1.f) del Reglamento General de Protección de Datos y en el artículo 5 de la Ley Orgánica 3/2018, de 5 de diciembre.
c) Utilizar los datos únicamente para los fines para los cuales han sido recabados.
3. Las obligaciones establecidas en los apartados 1 y 2 resultarán también de aplicación al personal comprendido en el artículo 2.3.
Artículo 20. Concienciación y formación.
Se desarrollarán actividades formativas específicas orientadas a la concienciación y formación en materia de protección de datos para el personal empleado público que presta sus servicios en la Administración de la Junta de Comunidades de Castilla-La Mancha y sus organismos públicos, así como a la difusión de la PPDPC-LM y de su desarrollo normativo.
Los responsables de los tratamientos velarán porque todas las personas con acceso a datos personales sean informadas acerca de sus deberes y obligaciones, así como de los riesgos existentes en el tratamiento de dicha información.
Cada delegado de protección de datos supervisará dentro de su ámbito las acciones de concienciación y formación del personal que participa en las operaciones de tratamiento con datos personales, a fin de garantizar el cumplimiento de la PPDPC-LM.
Disposición adicional única. Aplicación de la PPDP al Sescam.
Al Servicio de Salud de Castilla la Mancha le es de aplicación la PPDPC-LM, si bien podrán aprobar una política propia para ajustarse a sus singularidades organizativas y de funcionamiento siempre cumpliendo con los establecido en este decreto.
Disposición transitoria única. Delegados de protección de datos actualmente designados.
Las personas designadas como delegados de protección de datos a la entrada en vigor de este decreto seguirán ejerciendo sus funciones.
Disposición derogatoria única. Derogación normativa.
1. Queda expresamente derogado el Decreto 104/2008, de 22 de julio , de protección de datos de carácter personal en la Junta de Comunidades de Castilla-La Mancha.
2. Quedan derogadas cuantas normas de igual o inferior rango contradigan o se opongan al contenido del presente Decreto.
Disposición final primera. Habilitación.
Se faculta a la persona titular de la consejería competente en materia de protección de datos para dictar cuantas disposiciones sean necesarias para el desarrollo de este decreto.
Disposición final segunda. Entrada en vigor.
El presente decreto entrará en vigor a los veinte días de su publicación en el Diario Oficial de Castilla-La Mancha.
