Orden PRE/59/2018, de 2 de noviembre, por la que se regulan las condiciones sobre seguridad de la información y protección de datos personales a incorporar en los Pliegos de Cláusulas Administrativas Particulares y de Prescripciones Técnicas en la contratación pública de la Administración de la Comunidad Autónoma de Cantabria.

• Sección: 1 - Disposiciones Generales
• Emisor: Consejería de Presidencia y Justicia
• Rango de Ley: Orden

En el vigente marco legal resulta una obligación ineludible implementar medidas legales,organizativas y técnicas para enfrentarse al desafío de nuevas formas de delincuencia, que garanticen un funcionamiento seguro de los servicios de las administraciones públicas como losderechos de los ciudadanos en sus relaciones con estas cuanto se utilicen medios electrónicosy, por otro lado, garantizar también la protección de sus datos personales.

A este respecto, debe recordarse que desde hace tiempo existe la obligación de cumplir lasprevisiones del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacionalde Seguridad en el ámbito de la Administración Electrónica, que fijó la gestión de la seguridadcomo un proceso integral, que afecta a toda la organización y que debe contemplarse en todoel ciclo de vida de los sistemas de información, como asimismo, las exigencias de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.

En cumplimiento de esas obligaciones legales esta Consejería aprobó la "Orden PRE/57/2016,de 14 de septiembre, por la que se regulan las condiciones sobre seguridad de la información y de los sistemas de información a incorporar en los pliegos de cláusulas administrativasparticulares y de prescripciones técnicas en la contratación pública de la Administración de laComunidad Autónoma de Cantabria", que afrontaba la necesidad de proteger los sistemas deinformación y la información tratada en los contratos celebrados por nuestra Administración,incluidos los datos personales, fijando los contenidos obligatorios que se debían incluir en lospliegos de contratación.

Ahora bien, con posterioridad se ha producido la entrada en vigor del Reglamento Generalde Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de27 de abril de 2016), que establece en su artículo 25 que la protección de datos personales secontemple desde el diseño y por defecto, especificando en su artículo 28 que el tratamiento dedatos personales por parte de los encargados debe regirse por un contrato u otro acto jurídicocon arreglo al derecho de la Unión Europea o sus Estados miembros.

Con la entrada en pleno vigor del Reglamento General de Protección de Datos y la experiencia acumulada en la aplicación de la citada Orden, se ha elaborado este nuevo texto legal,que permitirá a los órganos directivos de nuestra Administración cumplir con sus obligacionesen materia de seguridad de la información y la protección de datos personales, relativas a lacontratación y a su relación con entidades o personas del sector privado que vayan a ejercerde encargados del tratamiento de datos personales, a realizar operaciones con otros tipos deinformación, o que vayan a ofrecer servicios o suministrar elementos tecnológicos.

También se contempla el tratamiento de los datos personales que se recojan en los propioscontratos sobre las personas responsables, representantes o de contacto para su ejecución.Lo que supone que el ámbito de aplicación de la presente orden es global, al afectar a todoslos contratos que realizará la nuestra Administración, aunque el contenido a incorporar a lospliegos será proporcional a la envergadura de los datos personales que se tratarán, la importancia de la información que el adjudicatario manejará y, en su caso, las características de losservicios o suministros que formen parten del objeto del contrato.

Así, la presente Orden sustituye a la Orden PRE/57/2016, de 14 de septiembre, fijando loscontenidos obligatorios para el cumplimiento de los aspectos relativos a la contratación fijados

CVE-2018-9742

por el Esquema Nacional de Seguridad y el Reglamento General de Protección de Datos, estandoestrictamente alineada con el "Decreto 31/2015, de 14 de mayo, por el que se aprueba la Políticade Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria".

DISPONGO

CAPÍTULO I Disposiciones generales Artículos 1 a 3

Artículo 1 Objeto.

1. El objeto de la presente orden es definir los contenidos mínimos obligatorios relativos aseguridad de la información y protección de datos personales a incorporar en los Pliegos deCláusulas Administrativas Particulares y Pliegos de Prescripciones Técnicas en los contratos deservicios o suministros cuyo objeto incluya:

   1. El tratamiento de información, y en particular de datos personales, bajo responsabilidadde la Administración de la Comunidad Autónoma de Cantabria.

   2. El acceso a los sistemas de información de la Administración de la Comunidad Autónomade Cantabria.

   3. El suministro de soluciones informáticas y, en particular, de aplicaciones realizadas amedida.

   4. El suministro de componentes tecnológicos o de elementos de los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria.

2. También serán objeto de esta Orden aquellos otros contratos:

   1. En los que pueda producirse un acceso fortuito a información Administración de la Comunidad Autónoma de Cantabria.

   2. También para cualquier contrato que incluya a responsables, representantes o personasde contacto para su ejecución.

Artículo 2 Ámbito de aplicación.

De conformidad con las previsiones del Decreto 31/2015, de 14 de mayo, por el que seaprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria esta orden será de aplicación:

1. A la Administración de la Comunidad Autónoma de Cantabria, comprendiendo ésta, aestos efectos, a la Administración General y los organismos públicos y entidades de derechopúblico vinculadas o dependientes de la misma, cuando ejerzan funciones administrativas yutilicen sistemas de información gestionados por el órgano directivo con competencias enmateria informática, así como cuando contraten servicios tecnológicos en la nube. Quedan excluidos del ámbito de aplicación de la presente orden el Servicio Cántabro de Salud y el sectorpúblico empresarial y fundacional.

2. A las personas físicas, jurídicas y entes sin personalidad en sus relaciones con las entidades anteriores cuándo procedan al uso de sistemas de información gestionados por el órganodirectivo con competencias en materia informática, o cuando utilicen servicios tecnológicosofrecidos en formato nube.

Artículo 3 Delimitación del concepto de información a proteger y tipos de tratamiento de lainformación objeto de regulación en los pliegos.

1. La información a proteger a la que hacen referencias las cláusulas reguladas en lossiguientes artículos estará referida a cualquier dato, conocimiento o técnica recogida en so-

   portes tanto tecnológicos como no tecnológicos, que sea propiedad de la Administración de laComunidad Autónoma de Cantabria o que esté tratando, incluida la simple recogida y almacenamiento, para el cumplimiento de sus competencias y obligaciones legales. Esto incluyelos datos sobre personas físicas, que se denominarán datos personales o datos de carácterpersonal.

   No es necesario proteger y, por lo tanto, no será necesario incluir cláusulas en los pliegosde contratación correspondientes para ese fin, los datos, conocimientos o técnicas que vayan aser utilizados por el órgano de contratación o el adjudicatario procedentes de fuentes públicasde información: textos normativos, publicaciones científicas, técnicas o profesionales, información de medios de comunicación, información difundida públicamente por otras entidades oinformación de dominio público.

2. Por tratamiento de la información se entenderá cualquier operación o conjunto de operaciones realizadas sobre la información, incluyendo entre otras la recogida, el almacenamiento,la consulta, la modificación, la transferencia o la difusión.

   Se considerará tratamiento automatizado aquel tratamiento que emplee tecnología y en elque las operaciones sobre la información se realizan automáticamente, como sucede al emplear aplicaciones informáticas de gestión.

   Se considerará tratamiento no automatizado aquel en que las operaciones se realizan con laintervención directa de una persona, que ejecuta directamente o controla todos los detalles delproceso y toma todas las decisiones, ya sea empleando tecnología tradicional o herramientasinformáticas de manera meramente auxiliar.

   Se considerará tratamiento mixto a aquel tratamiento de la información que combine operaciones automáticas y operaciones no automáticas.

   Cuando en la presente orden no se hagan distinciones específicas sobre el tipo de tratamiento, se entenderá que lo estipulado aplicará a cualquier de los tres tipos de tratamiento.

CAPÍTULO II Artículos 4 a 10

Contenidos obligatorios en los Pliegos de Cláusulas Administrativas Particulares

Artículo 4 Contratos de prestación de servicios o suministros cuyo objeto no implique elacceso a información ni a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria.

En aquellos contratos de prestación de servicios en los que su objeto no incluye el tratamiento de información de la Administración de la Comunidad Autónomas ni su personal tieneque acceder a sus sistemas de información, se deberán incluir las siguientes cláusulas:

1. Copia literal del contenido de las cláusulas del apartado 1º del Anexo I de la presenteorden, sobre datos personales de los responsables, representantes o personas de contacto delas partes.

2. Copia literal del contenido de las cláusulas del apartado 2º del Anexo I, sobre accesofortuito a información.

En aquellos contratos de suministros no tecnológicos (que no se correspondan con el suministro de aplicaciones software, dispositivos hardware o componentes tecnológicos), habrá queincorporar también esas dos cláusulas.

Artículo 5 Contratos cuyo objeto...