El objetivo de esta política es garantizar que la información pública y los servicios digitales de la Diputación se gestionen con las debidas garantías de confidencialidad, integridad, disponibilidad y trazabilidad, conforme a la normativa vigente y a los estándares nacionales y europeos en materia de ciberseguridad y protección de datos.

Compromiso institucional

La Diputación considera la seguridad de la información un elemento esencial para la continuidad y calidad de los servicios públicos, la confianza de la ciudadanía y la transparencia en la gestión.

Este compromiso se traduce en la aplicación de medidas técnicas, organizativas y procedimentales destinadas a prevenir, detectar y responder ante incidentes que puedan afectar a los sistemas de información o a los datos que estos contienen.

Marco normativo

La Política de seguridad de la información se desarrolla conforme a lo establecido en el Esquema nacional de seguridad (Real decreto 311/2022), el Reglamento general de protección de datos (UE) 2016/679, la Ley orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales, y la Directiva (UE) 2022/2555 (NIS2).

Además, constituye la base legal y técnica para su aplicación la siguiente normativa:

• Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas.
• Ley 40/2015, de 1 de octubre, del régimen jurídico del sector público.
• Real decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.
• Real decreto 311/2022, de 3 de mayo, por el que se regula el Esquema nacional de seguridad.
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (Reglamento general de protección de datos).
• Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
• Reglamento de la Administración electrónica de la Diputación.
• Guías de seguridad del Centro Criptológico Nacional, que serán de aplicación para mejorar el cumplimiento de lo establecido en el Esquema nacional de seguridad.

Asimismo, la Diputación mantiene un compromiso de actualización continua para adaptar su marco de seguridad a las modificaciones normativas, tecnológicas y organizativas que se produzcan.

Organización y responsabilidades

La implantación de la política se articula a través del Comité de Seguridad de la Información, órgano responsable de coordinar, supervisar y promover las medidas necesarias en esta materia.

Este comité integra representantes de las áreas competentes y define los procedimientos internos para la gestión de riesgos, la respuesta ante incidentes y la revisión periódica de las medidas implantadas.

Todo el personal de la Diputación, así como las y los proveedores y entidades colaboradoras que accedan a sus sistemas o datos, está obligado a cumplir las normas de seguridad y actuar con responsabilidad en la protección de la información.

Formación y concienciación

La Diputación promueve la formación continua y la concienciación del personal en materia de seguridad de la información, en coordinación con el nodo CIBER.gal, del que forma parte.

Estas acciones contribuyen a fomentar una cultura de seguridad institucional y a mejorar la capacidad de prevención y respuesta frente a incidentes.

Revisión y mejora continua

La Política de seguridad de la información será revisada periódicamente por el Comité de seguridad de la información para garantizar su adecuación a la evolución tecnológica, normativa y organizativa, y sometida a auditorías regulares conforme a lo previsto en el Esquema nacional de seguridad.

El texto completo de la Política de seguridad de la información de la Diputación de Pontevedra, aprobada por el Pleno el 30 de septiembre de 2025 y publicada en el Boletín Oficial de la Provincia de Pontevedra el 7 de octubre de 2025, puede consultarse en el siguiente enlace: BOPPO 07/10/2025