Acerca de operadores lógicos
Da 3 Medidas fiscales y administrativas de Galicia
D.A. 3ª. Actuación de la Agencia para la Modernización Tecnológica de Galicia como encargada del tratamiento de los datos personales
1. En los casos en que la Agencia para la Modernización Tecnológica de Galicia, para el ejercicio de las competencias y funciones que le son propias al amparo del artículo 9 de su estatuto, realice un tratamiento de datos personales por cuenta de las consejerías y entidades instrumentales del sector público autonómico, actuará como encargada del tratamiento conforme a lo establecido en el artículo 28 y concordantes del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). En estos casos, la Agencia para la Modernización Tecnológica de Galicia asumirá la condición y las competencias propias de un encargado del tratamiento, de conformidad con lo establecido en el artículo 33.5 de la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
2. Con arreglo al artículo 28.3 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y el artículo 33.5 de la Ley orgánica 3/2018, de 5 de diciembre, la Agencia para la Modernización Tecnológica de Galicia, en su condición de encargada del tratamiento de los datos personales que son responsabilidad de las consejerías y entidades instrumentales del sector público autonómico, actuará de conformidad con las siguientes condiciones:
a) Tratará los datos personales únicamente siguiendo las instrucciones documentadas del responsable del tratamiento.
b) Garantizará que las personas autorizadas para tratar datos personales se comprometieron a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria derivada de su condición de empleadas públicas.
c) Tomará las medidas de seguridad apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
d) Asistirá al responsable del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de las personas interesadas reconocidos por el Reglamento general de protección de datos.
e) Colaborará con el responsable del tratamiento en la notificación de las violaciones de seguridad a las autoridades competentes y, en su caso, a las personas interesadas.
f) Dará apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos y en la realización de las consultas previas a la autoridad de control cuando corresponda.
g) En la medida en que lo permita la legislación vigente, seguirá las instrucciones del responsable del tratamiento en lo relativo a la supresión o conservación de los datos personales. No obstante, podrá conservar una copia de los datos estrictamente necesarios, debidamente bloqueados, mientras se pudieran derivar responsabilidades de su relación con el responsable del tratamiento.
h) Pondrá a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como los resultados de las auditorías que afecten a los tratamientos del responsable e informará inmediatamente a este último si, en su opinión, una instrucción infringe el Reglamento general de protección de datos u otras disposiciones en la materia.
3. Los tipos de datos personales que serán tratados por la Agencia para la Modernización Tecnológica de Galicia en su condición de encargada del tratamiento, que podrán incluir en algunos casos datos de categorías especiales, así como las categorías de personas interesadas o afectadas por el tratamiento de los datos, serán los necesarios para el objeto de cada encargo, especificados, cuando sea el caso, en las instrucciones del responsable del tratamiento y reflejados en el correspondiente registro de las actividades de tratamiento.
4. La Agencia para la Modernización Tecnológica de Galicia podrá recurrir a otros encargados del tratamiento para la adecuada prestación del objeto de su encargo, dando cumplimiento a lo dispuesto en los apartados 2 y 4 del artículo 28 del Reglamento general de protección de datos.
A estos efectos, corresponderá a la Agencia para la Modernización Tecnológica de Galicia, como encargada inicial, formalizar la relación con los subencargados, que quedarán sometidos a las mismas obligaciones de protección de datos que las previstas para la Agencia para la Modernización Tecnológica de Galicia, en particular en lo referente a la aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con la normativa vigente en materia de protección de datos.