Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00Ley 7/2023, de 23 de febrero, de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnologías cloud).
Vigente desde 14/03/2023 | BOA 49/2023 de 13 de Marzo de 2023
El Gobierno de Aragón aprueba esta ley con la finalidad de facilitar y acelerar el establecimiento de las tecnologías cloud en la administración pública autonómica, así como en el sector privado y las entidades locales aragonesas que decidan adherirse, para lo cual se recogen una serie de medidas entre las que podemos destacar las siguientes:
- implantación del certificado de homologación de cloud pública expedido por la entidad Aragonesa de Servicios Telemáticos, que soliciten las entidades interesadas prestadoras de servicios de tecnologías cloud, para que las personas usuarias de los servicios de cloud, tanto del sector público como del sector privado, dispongan de una lista fiable de estas entidades.
- asesoramiento y apoyo autonómico a las entidades locales y privadas, y posibilidad de adhesión al plan de formación del Instituto Aragonés de Administración Pública mediante la celebración de convenios.
- previsión de aprobación por el Gobierno de Aragón de un Plan de adaptación de las infraestructuras informáticas y de directrices sobre la implantación y desarrollo de las aplicaciones para el cloud.
- elaboración de pliegos de prescripciones técnicas generales para su utilización en las licitaciones, guías, recomendaciones, cláusulas tipo, o documentos similares utilizados en los contratos públicos para los servicios de tecnologías cloud.
Vigencia desde: 14-03-2023
Corresponde a la Comunidad Autónoma de Aragón, de acuerdo con el artículo 71.41.ª de su Estatuto de Autonomía la competencia exclusiva en materia de investigación, desarrollo e innovación tecnológica, que comprende, en todo caso, el fomento y desarrollo de las tecnologías para la sociedad de la información. También es titular la Comunidad Autónoma, de conformidad con el artículo 71.1.ª, 5.ª, 7.ª y 32.ª, de competencias exclusivas sobre funcionamiento de sus instituciones de autogobierno, en materia de régimen local, sobre el procedimiento administrativo derivado de las especialidades de la organización propia y sobre planificación de la actividad económica y fomento del desarrollo económico de la Comunidad Autónoma.
Asimismo, de conformidad con el artículo 75.5.ª y 12.ª del Estatuto de Autonomía, la Comunidad Autónoma tiene la competencia compartida de desarrollo legislativo y ejecución de la legislación básica del Estado, en materia de protección de datos de carácter personal y de régimen jurídico de contratación de la Administración pública de la Comunidad Autónoma.
También el Estatuto de Autonomía recoge dentro de los principios rectores de las políticas públicas, en su artículo 28.1 y 2, que los poderes públicos aragoneses fomentarán el desarrollo y la innovación tecnológica y técnica de calidad, y promoverán las condiciones para garantizar en el territorio de Aragón el acceso sin discriminaciones a las tecnologías de la información y la comunicación.
Los antedichos títulos competenciales son sustento suficiente para aprobar esta ley, cuyo núcleo consiste en instaurar medidas que favorezcan el establecimiento en Aragón del contexto preciso para favorecer la implantación y desarrollo de las tecnologías en la nube (en adelante tecnologías cloud ), lo que conllevará la determinación y aplicación de una Política cloud propia del sector público autonómico, conteniendo esta norma medidas que fomentan las tecnologías cloud sin fijar limitaciones en la actuación de los operadores y de las Administraciones públicas.
Por otro lado, la Ley 5/2021, de 29 de junio, de Organización y Régimen Jurídico del Sector Público Autonómico de Aragón, ha incorporado novedades especialmente relevantes en el ámbito del funcionamiento electrónico del sector público y acoge en su articulado los principios de origen tecnológico que han de pasar a formar parte de la lógica administrativa, como la neutralidad tecnológica o la interoperabilidad de los sistemas de información. Estos principios son de gran importancia a la hora de prestar servicios digitales de administración electrónica de acuerdo a los estándares esperados por los usuarios.
El conocimiento tecnológico y la innovación son una palanca fundamental para el crecimiento económico, siendo una de las apuestas de la Comunidad Autónoma de Aragón el impulso de las nuevas tecnologías relacionadas con la computación o informática en la nube, las tecnologías cloud, por su potencial transformador.
Las tecnologías cloud suponen uno de los mayores avances tecnológicos, sociales y económicos de los últimos años, como elemento habilitador y democratizador del acceso a la innovación y a las tecnologías de la información más avanzadas. La denominada “tecnología en la nube” ha supuesto una verdadera revolución dentro del concepto de la informática tradicional. No se trata de una “innovación incremental”, sino de una palanca transformadora en sí misma, que ha democratizado el acceso a tecnología puntera y al uso eficiente y creativo de los recursos que ofrece Internet. Una tecnología que resulta especialmente interesante para quienes no pueden disponer de un servicio tecnológico propio o en picos puntuales de uso.
Las tecnologías cloud permiten ofrecer servicios de computación a través de Internet, siendo su característica más destacada la facilidad de acceso a nuevas tecnologías que pueden ser rápidamente utilizadas en soluciones personalizadas. La computación en la nube se está convirtiendo en el estilo de diseño dominante para nuevas aplicaciones y la adecuación de una gran cantidad de aplicaciones ya existentes, facilitando y flexibilizando los despliegues, tanto de las infraestructuras como de las herramientas y los componentes para el desarrollo ágil de aplicaciones y servicios. El uso de la computación en la nube elimina las dependencias del hardware, además de facilitar, flexibilizar y agilizar todas las operaciones relacionadas con la infraestructura, permitiendo una homogeneización de los diseños y las soluciones, el pago por uso y la escalabilidad, así como potenciando la resiliencia de las soluciones desplegadas en este tipo de tecnología.
Las potencialidades que ofrece el cloud son enormes, por lo que desde el poder público se considera necesario orientar una estrategia al respecto, marcando una serie de pautas para generar un marco que favorezca su implantación y desarrollo, creando una Política cloud propia del Gobierno de Aragón que permitirá su implantación en el sector público autonómico, así como configurando el contexto necesario para potenciar la adopción de las tecnologías cloud tanto en las entidades locales aragonesas, si así lo consideran, como en el sector privado, para lo que se aprobarán los instrumentos que procedan, comenzando por esta ley.
Así pues, la apuesta por el impulso de las nuevas tecnologías relacionadas con el cloud ha de hacer posible aprovechar en los procesos de digitalización este modelo de servicio de las tecnologías informáticas que permite el acceso ubicuo, conveniente y bajo demanda de un conjunto compartido de recursos informáticos de alta calidad e innovación, configurables, que pueden ser rápidamente aprovisionados y liberados con un mínimo esfuerzo de gestión o interacción del prestador del servicio, garantizando la interoperabilidad.
Además, esta ley aspira a convertir a Aragón en una Comunidad Autónoma de tecnologías digitales verdes, creando un ecosistema de negocio digital alrededor de las tecnologías en la nube sostenible y de bajo impacto medioambiental, así como permitiendo al sector público mejorar su eficiencia energética, operar de manera más sostenible y reducir su propia huella de carbono.
Sin embargo, no ha de olvidarse que las tecnologías cloud pueden plantear algunas dudas sobre su ejercicio. En particular, se esgrimen tres inconvenientes principales: la necesidad de garantizar un alto nivel de seguridad y de privacidad; los problemas que se derivan cuando, por incidencias inesperadas, no se dispone de acceso a Internet, en cuyo caso no hay opción de acudir al cloud, y, finalmente, la posible incompatibilidad de algunas infraestructuras del usuario con las del prestador del servicio. Estas objeciones no pueden considerarse determinantes para cuestionar el uso de esta tecnología, en cuanto sus efectos pueden minimizarse teniendo en cuenta, en primer lugar, que el hecho de que la computación en la nube sea una red distribuida también facilita que los usuarios se recuperen rápidamente de eventuales incidencias de seguridad; en segundo lugar, cada vez más proveedores de servicios en cloud ofrecen las máximas garantías de conexión, y en tercer lugar, respecto a la compatibilidad de sistemas, siempre cabe acudir a utilizar una cloud híbrida, que permite solventar la mayoría de inconvenientes de compatibilidad. Por tanto, los inconvenientes que pudiera plantear el trabajar en esta tecnología no son determinantes para descartar su uso, siendo en su mayoría manejables y predecibles, por lo que teniendo en cuenta los grandes beneficios para los operadores que supone el trabajar con las tecnologías cloud, aquellos no hacen discutible una decidida apuesta por este sistema. En cualquier caso, la regulación que se contiene en esta ley tiene en cuenta los riesgos o inconvenientes indicados para minimizar la posibilidad de que se presenten.
La ley también incluye medidas para evitar mercados cautivos de una solución tecnológica o proveedor concreto y contempla el reto de la soberanía digital.
En este contexto, la presente ley y la estrategia del Gobierno de Aragón para el desarrollo de la Comunidad Autónoma persiguen impulsar este tipo de soluciones y, al mismo tiempo, propiciar la aparición de iniciativas empresariales por parte del sector privado que puedan favorecer y permitir el acceso a esta tecnología desde nuestro territorio, con las ventajas que la implantación de este tipo de proyectos supondrá, tanto para el desarrollo del tejido empresarial, como para la mejora de las oportunidades formativas y laborales. El desarrollo de ambas palancas favorecerá la promoción de un ecosistema empresarial innovador que permita la coexistencia de propuestas variadas y heterogéneas de soluciones cloud.
Además, esta ley responde a la ejecución de las medidas incluidas en la propia Estrategia Aragonesa para la Recuperación Social y Económica suscrita en junio de 2020. La Estrategia recoge un conjunto de medidas con las mejores soluciones a la crisis sanitaria y socioeconómica que se está sufriendo en Aragón como consecuencia de la COVID-19, incluyendo dos directamente relacionadas con las tecnologías y servicios cloud dentro de las propuestas de recuperación en economía productiva, en el epígrafe 3.4, correspondiente a Innovación y Digitalización: impulsar las tecnologías en la nube con especial énfasis en su aplicación a la industria para el desarrollo de nuevos productos con aplicación en diferentes ámbitos, como el sanitario, educativo o informático; e impulsar el desarrollo de la industria relacionada con los servicios cloud y su aplicación en los ámbitos educativo, cultural, de investigación, empresarial, sanitario, industrial, entre otros.
Es por todo ello que desde el Gobierno de Aragón se considera necesario impulsar medidas que favorezcan el desarrollo de las tecnologías cloud.
Para conseguir el objetivo de alcanzar una máxima implantación y desarrollo de las tecnologías cloud en Aragón, algunas de las medidas que esta ley contiene no solo se aplicarán a la Administración de la Comunidad Autónoma de Aragón y al sector público institucional, sino que también pueden ser de utilidad para las entidades locales aragonesas si así lo consideran, para lo que dispondrán del apoyo y asesoramiento de la Administración de la Comunidad Autónoma de Aragón, y otras medidas se ponen a disposición del sector privado con el fin de que empresas y operadores se sientan atraídos por el uso de las tecnologías cloud y consideren que lo hacen en un entorno dotado de un máximo nivel de seguridad y fiabilidad.
La presente ley se aplicará a la totalidad del sector público autonómico, sin perjuicio de que en determinados ámbitos de la misma se establezcan reglas específicas respecto al ámbito de aplicación y a la necesidad de adoptar instrumentos voluntarios para que sea aplicable a determinados sujetos.
Una de las medidas a adoptar es la aprobación por acuerdo del Gobierno de Aragón de la Política cloud a aplicar en el sector público autonómico en los términos definidos en el articulado de esta ley. Dicha política constituirá el instrumento que, con carácter genérico, definirá los modos y tiempos para la puesta en marcha de las tecnologías cloud, determinando el tipo de estrategia cloud a aplicar, su implantación en los diversos ámbitos de la Administración y las fases para su realización, los órganos responsables para su aplicación, seguimiento y evaluación, previendo las modificaciones organizativas que han de aplicarse para ello, así como las medidas de difusión.
La importancia de la existencia de una Política cloud es innegable. Por ello, deberá partirse de un buen diagnóstico de los medios actualmente existentes en la organización, el volumen de datos que maneja y su uso en el tiempo, su accesibilidad y distribución, para disponer de la información precisa para definir bien el modelo a aplicar, la adecuada gestión y optimización de los recursos disponibles, y las unidades que han de ocuparse de ello, resultando esencial definir bien las responsabilidades y evitar un exceso de centros de decisión.
Así mismo, una parte importante del acuerdo sobre la Política cloud será establecer los mecanismos necesarios para que los instrumentos a emplear sean conocidos por el personal, disponiendo de un inventario de servicios cloud del sector público autonómico y difundiendo su existencia y modo de empleo, garantizando que este se realice de forma homogénea.
Por otra parte, debe destacarse que en una organización para desarrollar su política cloud es importante la homogeneización tecnológica de sus infraestructuras, usando en toda la organización componentes comunes debidamente actualizados. Respecto al desarrollo de las aplicaciones informáticas, es esencial su portabilidad, independizándolas de la infraestructura y permitiendo, por tanto, una enorme agilidad en el despliegue de los servicios, optimizando también el valor de los servicios entregados a la ciudadanía en términos de calidad. Conforme a ello y con el fin de garantizar que la planificación, soluciones y modelos que se apliquen sean homogéneos, se prevé la aprobación por el Gobierno de Aragón de un Plan de adaptación de las infraestructuras informáticas y de Directrices sobre la implantación y desarrollo de las aplicaciones para el cloud, así como de una Directriz sobre Política del dato que tendrá como objetivos, entre otros, la identificación de los datos susceptibles de ser compartidos y su nivel de accesibilidad.
Estos instrumentos de planificación se regulan en el capítulo II, que tiene por objeto las medidas de planificación e impulso de la aplicación y desarrollo de las tecnologías cloud, y los mismos se ponen a disposición del resto de las Administraciones públicas aragonesas.
Una de las medidas fundamentales que recoge esta ley es la implantación del certificado de homologación de cloud pública -SCCA (Solución Cloud Certificada de Aragón). Este certificado se expedirá mediante resolución de Aragonesa de Servicios Telemáticos a solicitud de las entidades interesadas que presten servicios de tecnologías cloud y previa la tramitación del necesario procedimiento. Los proveedores de servicios de cloud que obtengan el certificado serán inscritos en el Registro electrónico de proveedores de Solución Cloud Certificada de Aragón, que será de acceso público, y emplearán en sus instrumentos de comunicación y documentación la marca asociada a la Solución Cloud Certificada de Aragón titularidad de la Comunidad Autónoma de Aragón.
Uno de los objetivos de este sistema de certificación es contar con una lista de prestadores de servicios de cloud respecto a los que haya quedado previamente acreditado que cumplen con los máximos niveles de seguridad de la información almacenada y en tránsito, que disponen de un alto sistema de análisis y gestión de los riesgos, que tienen las infraestructuras idóneas que aseguren minimizar el eventual impacto de incidentes de seguridad o que puedan comprometer la continuidad en la prestación del servicio, que cumplen con las disposiciones aplicables en materia de protección de datos y que cuentan con los mecanismos y dispositivos que permitan un máximo nivel de portabilidad e interoperabilidad de los datos y de los sistemas.
En este sentido, y con la vocación de impulsar un sólido tejido productivo, se articula también un certificado para empresas que ofrecen y desarrollan soluciones en el entorno cloud o servicios de integración de tecnología cloud.
Las relacionadas exigencias técnicas para la obtención del certificado no se crean ex novo por esta ley, sino que son un conjunto de características que ya están previstas en el ordenamiento jurídico.
De este modo las personas potencialmente usuarias de los servicios de cloud, tanto del sector público como del sector privado, podrán disponer de una lista de máxima confianza de entidades que tengan por objeto la prestación de servicios de cloud.
En definitiva, la citada certificación, la marca asociada a la identificación de la misma y su inscripción en el Registro electrónico de proveedores de Solución Cloud Certificada de Aragón, aspectos todos ellos regulados en el capítulo III, va a ser un instrumento que hará posible que incluso el sector privado y otras administraciones puedan identificar, sin mayor esfuerzo, a aquellas entidades que la administración autonómica ha comprobado, a petición de las mismas, que cumplen con los máximos estándares para prestar esos servicios, sin perjuicio de que cada sujeto pueda escoger libremente entre que los servicios de cloud se los presten las entidades que hayan obtenido este certificado o bien acudir a otras.
La ley también recoge en su capítulo IV diversas referencias respecto a la contratación del sector público autonómico con las que se pretende alcanzar una homogeneidad en las características de los bienes y servicios a emplear respecto a las tecnologías cloud, una racionalización y simplificación en su contratación, así como en la búsqueda y desarrollo de soluciones innovadoras. De este modo, se recogen previsiones con las que se pretende favorecer que se acuda a mecanismos ya previstos en la legislación de contratos del sector público, con el objetivo de utilizar sistemas de racionalización de la contratación que permitan optimizar recursos y extender las nuevas tecnologías por el territorio.
También se prevé en esta ley la posibilidad de adhesión a los sistemas de contratación que se definan para los servicios de tecnologías cloud por parte de las sociedades y fundaciones y los restantes entes, organismos y entidades del sector público autonómico, así como por parte de las entidades locales aragonesas y sus organismos autónomos y entes dependientes de ellas, u otras administraciones locales aragonesas, mediante la formalización de los correspondientes convenios con el Gobierno de Aragón.
Otro de los instrumentos que se prevé poner a disposición del sector privado y del resto de Administraciones públicas es facilitar la definición técnica de soluciones para el impulso de las políticas de utilización de las tecnologías cloud dentro de sus organizaciones, mediante la elaboración de pliegos de prescripciones técnicas generales para su utilización en las licitaciones, guías, recomendaciones, cláusulas tipo, o documentos similares que puedan ser empleados por las personas usuarias y tenerlos como referencia a la hora de determinar el contenido de los contratos que suscriban en la materia.
En el capítulo V se incorporan medidas de diversa índole para el impulso y fomento de la aplicación y el desarrollo de las tecnologías para la computación en la nube en Aragón, incluyendo medidas dirigidas al sector privado, sobre la capacitación profesional, respecto a la formación reglada y a la mejora de confianza digital. Así mismo, se contempla la actualización del Observatorio Aragonés de la Sociedad de la Información para su participación en el análisis y fomento de la implantación de esta tecnología en la sociedad aragonesa.
Por último, el capítulo VI se dedica a la gobernanza del cloud, previendo que la entidad pública Aragonesa de Servicios Telemáticos sea la que establezca el marco de la gobernanza idónea para la aplicación y desarrollo de las tecnologías cloud, puesto que, de acuerdo con la Ley 7/2001, de 31 de mayo, de creación de la entidad pública Aragonesa de Servicios Telemáticos, dicha entidad tiene entre sus objetivos la coordinación de la actuación de la Administración de la Comunidad Autónoma con la de otras Administraciones públicas y entidades públicas o privadas, en materia de servicios y sistemas para la información y las telecomunicaciones, en el ámbito de funciones de la entidad y la promoción e impulso de la oferta y demanda de servicios y sistemas de información y de telecomunicaciones en el ámbito de Aragón, así como la contribución a la ejecución de las infraestructuras y la prestación de los servicios que se consideren necesarios para impulsar el desarrollo económico y social del territorio. En definitiva, los objetivos y las funciones establecidas en la Ley 7/2001, de 31 de mayo, justifican que esa entidad debe ser un sujeto protagonista en la ejecución de la presente ley, como así se recoge a lo largo de todo su articulado.
En ese mismo capítulo destaca la puesta en marcha de una política de etiquetado que refleje las características de cada activo desplegado en el cloud. Pieza esencial del sistema de gobernanza es la creación de la Comisión para las tecnologías cloud como órgano de coordinación, seguimiento, evaluación, impulso y comunicación de las acciones referentes a las tecnologías cloud. En esta Comisión se prevé la representación equilibrada de mujeres y hombres, conforme a lo establecido en el artículo 16 de la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres, y en el artículo 24 de la Ley 7/2018, de 28 de junio, de igualdad de oportunidades entre mujeres y hombres en Aragón.
El ejercicio de la iniciativa legislativa debe efectuarse garantizando el principio de calidad normativa al que apela el artículo 2.i) de la Ley 8/2015, de 25 de marzo, de Transparencia de la Actividad Pública y Participación Ciudadana de Aragón, que supone ejercer dicha iniciativa legislativa de acuerdo con los principios de necesidad, proporcionalidad, seguridad jurídica, transparencia, simplicidad, efectividad y accesibilidad, que vienen a ser prácticamente los mismos principios que los previstos en la legislación estatal y, ahora, en el artículo 43 de la Ley 2/2009, de 11 de mayo, del Presidente y del Gobierno de Aragón, aplicables también a las normas con rango de ley: necesidad; eficacia; proporcionalidad; seguridad jurídica, que incluye la claridad de la norma; transparencia y eficiencia.
En primer lugar, se ha atendido al principio de necesidad promoviendo el desarrollo de las tecnologías más avanzadas para la mejora de los servicios que la Administración presta a la ciudadanía, ayudando y favoreciendo el desarrollo tecnológico con seguridad y con garantías.
En segundo lugar, queda garantizado el principio de eficacia, puesto que la norma persigue configurar un marco jurídico de obligado cumplimiento con garantías para la Administración y que proteja los derechos de la ciudadanía. En tercer lugar, el principio de proporcionalidad también queda garantizado, ya que con esta norma se pretende establecer una regulación mínima imprescindible que garantice las condiciones de prestaciones de los servicios de tecnologías cloud sin inferir en la iniciativa privada.
Para garantizar el principio de seguridad jurídica, en cuarto lugar, esta norma es clara cuando trata de definir y detallar el régimen jurídico para la prestación de los servicios de tecnología cloud, y se ha elaborado de manera coherente con el resto del ordenamiento jurídico, nacional y de la Unión Europea, siendo especialmente cuidadosa con el respeto y adaptación a la legislación básica estatal.
Con respecto al principio de transparencia, se ha efectuado consulta pública previa a la elaboración de la norma permitiendo la participación de asociaciones, según lo previsto en la Ley 2/2009, de 11 de mayo, y los documentos que se han ido generando durante el proceso de elaboración del anteproyecto de ley se han publicado en el Portal de Transparencia del Gobierno de Aragón, cumpliendo con lo exigido en la Ley 8/2015, de 25 de marzo, haciendo así también efectivo el principio de accesibilidad. Asimismo, el anteproyecto fue objeto de un proceso de deliberación participativa conforme a lo previsto en la Ley 8/2015, de 25 de marzo, lo que ha permitido transmitir su contenido a la sociedad, y especialmente a los operadores que pudieran verse afectados por esta ley, haciendo posible un enriquecimiento de los aspectos que recoge.
En el procedimiento de elaboración de esta norma se ha efectuado consulta pública y se ha dado cumplimiento a los trámites previstos en el ordenamiento jurídico y, en especial, en la Ley 2/2009, de 11 de mayo. Entre otros, han emitido informe la Dirección General de Desarrollo Estatutario y Programas Europeos de la Vicepresidencia del Gobierno de Aragón; la Dirección General de Contratación del Departamento de Hacienda y Administración Pública; la Secretaria General Técnica del Departamento de Ciencia, Universidad y Sociedad del Conocimiento; la Dirección General de Presupuestos, Financiación y Tesorería; la Inspección General de los Servicios y, por último, la Dirección General de los Servicios Jurídicos.
Esta ley tiene por objeto establecer las medidas necesarias para el impulso, la implantación y el desarrollo de las tecnologías en la nube (tecnologías cloud) en Aragón, así como promover desde Aragón un ecosistema empresarial innovador en estas tecnologías y sentar las bases para avanzar en soberanía digital.
La presente ley tiene como fines:
a) El impulso del uso de las nuevas tecnologías cloud en el territorio aragonés.
b) La generación y actualización del talento y las nuevas habilidades dentro del sector de las tecnologías de la información y las telecomunicaciones de Aragón.
c) La orientación de la estrategia interna para generar un marco de actuación común para el aprovechamiento de estas nuevas soluciones.
d) El impulso del conocimiento tecnológico y la innovación.
e) La generación de un marco de confianza hacia las tecnologías cloud entre clientes y prestadores del servicio.
f) La generación de un ecosistema empresarial innovador alrededor de las tecnologías cloud.
g) La generación de un soporte de confianza para el uso de aplicaciones desarrolladas en Aragón.
h) Sentar las bases para avanzar hacia la soberanía digital.
i) La consolidación de un ecosistema de tecnologías cloud que pueda colaborar e integrarse con otras iniciativas similares en el ámbito estatal y de la Unión Europea.
A los efectos de esta ley se entiende por:
a) API, interfaz de programación de aplicación por sus siglas en inglés (Application Programming Interface): es un conjunto de definiciones y protocolos que se utiliza para desarrollar e integrar el software de las aplicaciones, permitiendo la comunicación entre dos aplicaciones de software a través de un conjunto de reglas.
b) Cloud o nube pública: infraestructura propiedad de un proveedor de servicios de tecnologías en la nube, que la administra y ofrece a través de Internet.
c) Cloud o nube privada: recursos informáticos que utiliza exclusivamente un ente privado o público y que pueden estar ubicados físicamente en su propio centro de datos u hospedados por un proveedor de servicios externo.
d) Cloud o nube híbrida: modelo que combina infraestructura local (o cloud privada) con cloud pública.
e) Entorno de pruebas seguro, sandbox: es un entorno de pruebas controlado, diseñado para experimentar de forma segura con tecnologías innovadoras o disruptivas, como son las tecnologías cloud.
f) Etiquetado o tagging: cada recurso utilizado en las tecnologías cloud puede ser asociado a una etiqueta en la que se indica cualquier propiedad o característica del recurso etiquetado.
g) Infraestructura como código (IaC): se refiere a la práctica para configurar la infraestructura de computación mediante códigos informáticos o lenguajes de programación específicos, en lugar de configurar las infraestructuras informáticas de forma manual e individualizada.
h) Fog computing o computación en la niebla: se refiere a una arquitectura informática descentralizada donde los datos, las comunicaciones, el almacenamiento y las aplicaciones se distribuyen entre la fuente de datos y la nube.
i) Modelo cloud: se refiere al tipo de tecnología cloud que se puede adoptar en un momento dado, pudiendo ser el modelo cloud privada, modelo cloud pública o modelo cloud híbrida.
j) Política cloud: se refiere al documento que marca la estrategia a seguir por una organización para la adopción de las tecnologías en la nube y que abarca distintos ámbitos con el objetivo de asegurar la confidencialidad, la integridad, la disponibilidad de los servicios y los datos que usan las tecnologías en la nube.
k) Política del dato: se refiere a los procesos relacionados con la información, ejecutados según unos modelos previamente establecidos.
l) Servicio de integración de tecnologías cloud: servicio profesional ofrecido por una consultoría o empresa integradora de apoyo para la implantación de servicios en infraestructuras de un proveedor de tecnologías cloud.
m) Servicios de tecnologías cloud o servicios cloud: servicios en los que se ofertan infraestructuras en la nube pública por parte de un proveedor de tecnologías cloud.
n) Soberanía de software: se refiere a la capacidad de ejecutar las cargas de trabajo sin depender del software de un proveedor.
ñ) Soberanía digital: se refiere a la capacidad de tener el control sobre el propio destino digital.
o) Soluciones cloud: se refiere a la solución tecnológica que se construye de manera preferente o de manera única con elementos disponibles en las distintas tecnologías en la nube.
p) Tecnologías cloud, tecnologías en la nube o cloud computing: es un modelo para permitir el acceso adecuado y bajo demanda a un conjunto de recursos de cómputo configurables tales como redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente provistos y puestos a disposición del demandante con un mínimo esfuerzo de gestión y de interacción con el proveedor del servicio.
q) Zona de aterrizaje, landing zone: es un mecanismo de gobierno de un entorno de nube pública que permite, mediante entornos multicuenta y segregación de funciones, extrapolar a la nube un entorno con una serie de características concretas para el uso común, como sistemas de redes, identidad, gobernanza, barreras y perímetros de seguridad utilizados en los entornos tradicionales, añadiendo una capa adicional de seguridad.
1. La ley se aplica, en la forma y términos previstos en la misma, al sector público autonómico, determinado en la Ley 5/2021, de 29 de junio, de Organización y Régimen Jurídico del Sector Público Autonómico de Aragón.
2. A las entidades que integran la Administración local aragonesa se les aplicará esta ley cuando voluntariamente se adhieran a las diversas medidas previstas en la misma conforme a lo dispuesto en el capítulo II.
3. Igualmente, será de aplicación a las personas físicas y jurídicas en los términos establecidos en la presente ley.
1. El Gobierno de Aragón aprobará la Política cloud del sector público autonómico previa propuesta de Aragonesa de Servicios Telemáticos. Esta política constituirá el marco de uso de las tecnologías cloud, definiendo la estrategia en la citada materia y la evolución de los servicios que se presten conforme a lo dispuesto en los siguientes artículos de esta sección.
2. El acuerdo del Gobierno de Aragón que apruebe la Política cloud se publicará en el “Boletín Oficial de Aragón”.
1. La Política cloud se aplicará a todo el sector público autonómico, excepto a las universidades públicas integradas en el Sistema Universitario de Aragón.
2. Las universidades públicas integradas en el Sistema Universitario de Aragón y las entidades que integran la Administración local aragonesa podrán adherirse a la Política cloud de acuerdo con lo previsto en el artículo 18.
1. Los principios que deben regir la Política cloud son los siguientes:
a) Avanzar hacia la soberanía digital, manteniendo el control sobre la codificación y el acceso a los datos.
b) Avanzar hacia la soberanía operativa, dando visibilidad a la Administración pública sobre las operaciones que se desarrollen en la nube.
c) Avanzar hacia la soberanía del software.
d) Mantener la neutralidad tecnológica de la Administración pública.
e) Garantizar la capacitación y la alfabetización digital de la sociedad.
2. Los objetivos de la Política cloud son los siguientes:
a) Construir un ecosistema de aplicaciones y servicios reutilizables.
b) Fomentar la resiliencia en los servicios públicos digitales.
c) Potenciar la ciberseguridad.
d) Garantizar la adecuada protección de los datos de carácter personal.
e) Homogeneizar los diseños y las soluciones.
f) Definir un marco del uso de los datos.
g) Evitar las soluciones cautivas de un único proveedor.
h) Impulsar el uso de soluciones de código abierto y estándares interoperables.
3. En el marco de los servicios cloud, la Política cloud se basará preferentemente en un modelo de cloud o nube híbrida conforme a un esquema denominado “primero en nube”, donde se deban evaluar, ante una necesidad, en primer lugar, soluciones tipo cloud frente a otras soluciones tecnológicas tradicionales, optando por la más adecuada para la prestación de los servicios.
La Política cloud tendrá, al menos, los siguientes contenidos:
a) La determinación del tipo o tipos de tecnologías cloud a aplicar en el sector público autonómico.
b) Usos de las tecnologías cloud a aplicar y criterios a tener en cuenta para su determinación.
c) La tipología de servicios o soluciones que puedan ser más adecuados para el uso indicado y las condiciones para realizarlo.
d) Su implantación en los diversos ámbitos del sector público autonómico y las fases para su realización.
e) Los órganos y organismos responsables de su aplicación, seguimiento y evaluación, previendo las modificaciones organizativas que han de llevarse a cabo para ello y la dotación de perfiles de alta cualificación tecnológica para su desarrollo.
f) Las medidas de difusión de las decisiones adoptadas y de la definición de las medidas necesarias a aplicar para su efectividad.
g) La definición del inventario de servicios cloud del sector público autonómico y la previsión de las medidas de difusión para que se conozca su existencia y modo de empleo, garantizando que este se realice de forma homogénea.
h) Los mecanismos de evaluación de su implantación.
i) Las medidas para mejorar la alfabetización digital.
j) Cualesquiera otras decisiones que sean precisas para la mejor aplicación y desarrollo de las tecnologías cloud en el sector público autonómico.
1. El tipo de uso de las tecnologías cloud se decidirá en cada caso en función de la naturaleza de los datos y el adecuado y óptimo uso de los recursos para la resolución de las necesidades tecnológicas.
2. Las decisiones se adoptarán de conformidad con la normativa en materia de seguridad de la información y de protección de datos de carácter personal o con cualquier otra que resulte de aplicación.
3. No se permitirá la transferencia de datos a países fuera del Espacio Económico Europeo, salvo en aquellos supuestos previstos en la normativa en materia de protección de datos personales.
1. La Política cloud fijará la tipología de servicios para los que el uso de las tecnologías cloud está indicado y las condiciones para su utilización, las cuales podrán variar dependiendo de la evolución tecnológica, salvaguardando en todo momento las máximas garantías de seguridad y continuidad de los servicios y de los sistemas de información del sector público autonómico.
2. Con el fin de garantizar la homogeneidad y facilidad en el uso y gestión de dichas tecnologías, se elaborarán las correspondientes guías de uso, interoperabilidad y gobernanza.
La definición del modelo cloud corresponderá a la entidad Aragonesa de Servicios Telemáticos, que, a estos efectos, será la competente para llevar a cabo las siguientes funciones:
a) Realizar los procesos necesarios para la calificación de soluciones y servicios en la nube para el sector público autonómico y otorgar la calificación Solución Cloud Certificada de Aragón (SCCA) regulada en el capítulo III.
b) Proporcionar al sector público autonómico un punto de conexión con los diferentes proveedores cloud para facilitar el desarrollo de servicios y soluciones.
c) Establecer acuerdos de nivel de servicio estandarizados de aplicación a los distintos proveedores cloud, que garanticen la calidad, la seguridad, la confidencialidad, la resiliencia y la sostenibilidad.
1. La entidad Aragonesa de Servicios Telemáticos realizará labores de difusión y asesoramiento del modelo tecnológico definido y establecerá mecanismos de uso del mismo que respondan a las necesidades detectadas en todo el sector público autonómico.
2. La citada entidad colaborará, en el ámbito de las competencias de cada uno de ellos, con el Instituto Aragonés de Administración Pública y con las demás entidades responsables de la formación en el resto del sector público autonómico, con las que programará acciones formativas, priorizando las competencias digitales de los empleados públicos y del resto del personal del sector público que les capaciten para impulsar y gestionar las tecnologías cloud en el sector público autonómico. El Instituto Aragonés de Administración Pública podrá extender el plan de formación al sector público local mediante la formalización de los convenios correspondientes. Tendrá especial interés la formación en protección de datos para el personal del sector público autonómico que trabaje o utilice datos sensibles en el ámbito de las tecnologías en la nube.
3. La entidad Aragonesa de Servicios Telemáticos implantará equipos de operaciones para la selección de herramientas de monitoreo y automatización que garantice la migración de aplicaciones a la nube de forma segura y eficiente, así como una adecuada organización y modernización de las mismas para la aceleración de la innovación en el sector público autonómico.
4. Se estudiará y trabajará para disponer de infraestructuras públicas cloud, pudiendo transformar centros de datos propios de la Administración de la Comunidad Autónoma de Aragón en cloud privada de gestión propia y propiciar la creación de una nube de comunidad para el sector público.
5. Se actualizará la plantilla con personal de alto nivel tecnológico que propicie la implantación adecuada y ajustada a la realidad y necesidades del sector público. Para ello se procederá a la adecuación de los perfiles profesionales al servicio de la Administración de la Comunidad Autónoma de Aragón que deben impulsar y gestionar las tecnologías cloud.
Las soluciones que se desplieguen en los diferentes proveedores de tecnologías cloud deberán cumplir los siguientes requisitos:
a) Automatización. Las soluciones deberán ofrecerse en la modalidad de infraestructura como código y tendrán la automatización como paradigma de diseño.
b) Ciberseguridad. Todos los servicios a desplegar en las infraestructuras cloud deberán cumplir con la legislación en materia de seguridad, en particular con el Esquema Nacional de Seguridad, la Política de Seguridad de la Información del Gobierno de Aragón y las directrices técnicas que marque en este sentido Aragonesa de Servicios Telemáticos. En este sentido, Aragonesa de Servicios Telemáticos elaborará una guía de implantación segura de soluciones, para facilitar el cumplimiento y reducir los riesgos asociados al uso de esta tecnología. Las soluciones deberán seguir el paradigma de la seguridad desde el diseño y estar basadas en análisis de riesgos.
c) Datos abiertos. Las soluciones desplegadas deberán facilitar los flujos y accesos que sean necesarios para permitir que los datos que el sector público autonómico determine, conforme a la normativa aplicable en esta materia, se utilicen como fuente de datos abiertos.
d) Escalabilidad. Las soluciones deberán ser escalables para que los recursos se adapten al uso de las mismas, pudiendo crecer o decrecer de forma automática.
e) Perdurabilidad de la información. Las soluciones deberán asegurar la pervivencia y accesibilidad de la información a lo largo del tiempo. Todos los servicios a desplegar en las infraestructuras cloud deberán implementar los medios técnicos adecuados para la preservación a largo plazo de la información digital, contemplando estrategias de migración de formatos en el caso de que estos vayan quedando obsoletos. El derecho al olvido o la desindexación de contenidos se podrá ejercer de conformidad con la normativa de protección de datos y garantía de los derechos digitales.
f) Portabilidad. Las soluciones a desarrollar deberán ser portables. Para ello, deberán contar con una estrategia de migración entre proveedores para, si fuera necesario, evitar ser cautivos de un determinado proveedor (“vendor locking”) y valorando especialmente las soluciones de código abierto y estándares interoperables.
g) Propiedad. Los códigos, algoritmos y las automatizaciones que se desarrollen en el marco de los servicios cloud, salvo que se disponga otra cosa en los pliegos o en el documento contractual, serán siempre propiedad del ente del sector público autonómico o de cualquier otra entidad pública adherida que los desarrollen, y se pondrán a disposición pública bajo la Licencia Pública de la Unión Europea (EUPL) o compatible, salvaguardando la ciberseguridad y la protección de datos. En todo caso, y aun cuando se excluya la cesión de los derechos de propiedad intelectual, el órgano de contratación podrá siempre autorizar el uso del correspondiente producto a los entes, organismos y entidades pertenecientes al sector público.
h) Protección de datos. Todos los servicios a desplegar en las infraestructuras cloud deberán cumplir con la normativa en materia de protección de datos personales, con la política de protección de datos del Gobierno de Aragón, así como con las directrices que, en el contexto de dichas disposiciones e instrumentos, establezca Aragonesa de Servicios Telemáticos.
i) Sostenibilidad. En aras de cumplir con los Objetivos de Desarrollo Sostenible 8, 9, 12 y 13 establecidos por la Organización de las Naciones Unidas, los servicios a desplegar, así como las infraestructuras donde se alojen, deberán ser sostenibles minimizando los recursos consumidos, y para ello se establecerán objetivos concretos en el uso de fuentes de energía renovables y en la reducción de la huella de carbono.
La entidad Aragonesa de Servicios Telemáticos promoverá la creación de estructuras de red fog computing en zonas con menor accesibilidad de ancho de banda, con congestión máxima o con velocidades más bajas en las redes móviles, que permita la creación de una red con menor latencia y menos carga de datos hacia la nube, consiguiendo mayor eficiencia en la transmisión de datos en zonas con menor accesibilidad.
1. El Plan para la adaptación de las infraestructuras informáticas será elaborado por Aragonesa de Servicios Telemáticos, con los objetivos de la eficiencia en el uso de los recursos, la homogeneización en la tecnología e infraestructuras, la agilidad y la innovación, para una mejor aplicación de la tecnología cloud determinando las líneas estratégicas y requerimientos a cumplir.
Este Plan, que será aprobado por acuerdo del Gobierno de Aragón, deberá recoger y adaptarse a las necesidades de los diferentes servicios públicos y al carácter de sus datos, así como posibilitar una gestión adecuada de la información.
2. El Plan será de obligado cumplimiento para todos los departamentos y organismos públicos de la Administración de la Comunidad Autónoma de Aragón conforme a lo que en él se determine para cada uno de ellos.
3. El resto de los entes del sector público autonómico, incluidas las universidades públicas integradas en el Sistema Universitario de Aragón, podrán adherirse al Plan de adaptación de las infraestructuras informáticas, de conformidad con lo previsto en el artículo 18.
4. Las entidades que integran la Administración local aragonesa también podrán adherirse al Plan de adaptación de las infraestructuras informáticas de acuerdo con lo indicado en el artículo 18.
5. La vigencia del Plan será la establecida en el mismo, siendo como máximo de cinco años.
1. El Plan de adaptación de las infraestructuras informáticas establecerá para cada servicio a desplegar un ciclo de vida para adaptar los requerimientos técnicos del mismo a las adaptaciones de infraestructuras, las dotaciones económicas necesarias, los servicios involucrados y las dependencias con el fin de optimizar los recursos públicos.
2. Para una transición ordenada hacia modelos de servicio basados en las tecnologías cloud, el Plan definirá un ecosistema de servicios y aplicaciones reutilizables basados en estándares interoperables, con el fin de facilitar la transición de los actuales servicios a otros creados con la potencialidad, la homogeneización, la productividad, la colaboración, la seguridad y la resiliencia necesarias.
3. En el caso de que se plantee la migración de servicios a una cloud o Nube pública en los que existan datos de carácter especial conforme a la normativa en materia de protección de datos personales, estos procesos serán objeto de especial atención y requerirán la realización de un análisis de riesgos y una evaluación de impacto por parte del órgano responsable de los datos, que garantice la portabilidad, la transparencia y la auditabilidad en el proceso de migración.
Con la finalidad de garantizar la homogenización, la escalabilidad, la seguridad y la reutilización y aprovechamiento eficiente de los recursos, Aragonesa de Servicios Telemáticos elaborará y aprobará las directrices técnicas para el desarrollo de aplicaciones de tecnologías cloud, que serán de obligado cumplimiento para los departamentos y organismos públicos de la Administración de la Comunidad Autónoma y para los entes del sector público autonómico que se hubieran adherido al Plan de adaptación de las infraestructuras informáticas.
Las adhesiones previstas en este capítulo por parte de los entes del sector público autonómico institucional, incluidas las universidades públicas integradas en el Sistema Universitario de Aragón, y las entidades que integran la Administración local aragonesa se formalizarán mediante el modelo de adhesión aprobado por acuerdo del Gobierno de Aragón.
La Solución Cloud Certificada de Aragón (SCCA) es la calificación obtenida por los proveedores de tecnologías cloud o los proveedores de soluciones de tecnologías cloud mediante resolución administrativa, que acredita, previa su constatación, que cumplen los requisitos establecidos en el artículo 22, produciendo la resolución los efectos determinados en el artículo 26.
La finalidad de la Solución Cloud Certificada de Aragón es asegurar y visibilizar la calidad, la confiabilidad, la seguridad y la adecuación de los proveedores de tecnologías cloud o los proveedores de soluciones de tecnologías cloud a las necesidades técnicas, normativas, de ciberseguridad y de acceso, para incentivar la adopción de este tipo de tecnologías, facilitando tanto a las Administraciones públicas como a otras entidades públicas o de derecho privado una garantía sobre los proveedores de tecnologías cloud o los proveedores de soluciones de tecnologías cloud que ofrezcan sus servicios en Aragón.
La expresión “Solución Cloud Certificada de Aragón” y los signos que se asocien a ella al configurarse como marca serán propiedad exclusiva de la Administración de la Comunidad Autónoma de Aragón, una vez inscritos como marca en el Registro de Marcas por la Oficina Española de Patentes y Marcas, conforme a lo establecido en la Ley 17/2001, de 7 de diciembre, de Marcas.
1. Para obtener la calificación como Solución Cloud Certificada de Aragón, los proveedores de servicios de tecnologías cloud deberán acreditar el cumplimiento de los siguientes requisitos:
a) Requisitos administrativos:
1.º Hallarse al corriente en el cumplimiento de sus obligaciones en materia tributaria y de Seguridad Social, así como no tener deuda alguna con la Comunidad Autónoma de Aragón. En caso de deudas con la Comunidad Autónoma de Aragón, se otorgará un plazo de tiempo suficiente para el pago de las cuantías pendientes de abonar.
2.º Cumplir la normativa laboral con sus trabajadores.
3.º Tener implantado un plan de igualdad entre mujeres y hombres, en aquellos supuestos en que la empresa esté obligada a ello por imperativo legal o convencional, así como el registro retributivo o la auditoría retributiva cuando corresponda.
4.º Estar comprometido con los Objetivos de Desarrollo Sostenible fijados por la Organización de las Naciones Unidas en la Agenda 2030 sobre el Desarrollo Sostenible y, en particular, en medidas para combatir el cambio climático.
b) Requisitos técnicos:
1.º Estar en posesión de una certificación vigente en el Esquema Nacional de Seguridad en su categoría Alta.
2.º Estar en posesión de todas las certificaciones de cumplimiento de requisitos vigentes en materia de seguridad de la información, seguridad para los servicios cloud, la protección de identificación personal en nubes públicas, y las que se determinen en cada momento.
3.º Cumplir con la normativa en materia de protección de datos personales, así como con los mecanismos de confianza de la Unión Europea.
4.º Disponer de los medios que garanticen la no utilización, manipulación o tratamiento mediante minería de datos o algoritmos de los datos alojados en la cloud, ni por parte del proveedor ni por parte de terceros.
5.º Asegurar en todo momento la localización de los servidores en los que se encuentran los datos de carácter personal, así como el compromiso de comunicar cualquier cambio al respecto, garantizando el ejercicio de los derechos de protección de datos.
6.º Disponer de al menos tres zonas de disponibilidad diferenciadas para prestar los servicios cloud.
7.º Disponer, para los servicios que así se consideren, de presencia en el territorio de la Unión Europea.
8.º Disponer, para los servicios que así se consideren, de presencia en el territorio del
Estado español.
9.º Disponer, para los servicios que así se consideren, de presencia en el territorio de la Comunidad Autónoma de Aragón, para garantizar una latencia mínima de interconexión.
10.º Garantizar el nivel de accesibilidad de las personas usuarias sobre el control de sus datos.
11.º Garantizar el nivel de interoperabilidad entre sus diferentes servicios a nivel de API.
12.º Disponer de un plan de prevención y gestión de riesgos de seguridad.
2. Para obtener la calificación como Solución Cloud Certificada de Aragón, los proveedores de soluciones de tecnologías cloud deberán acreditar el cumplimiento de los siguientes requisitos:
a) Requisitos administrativos:
1.º Hallarse al corriente en el cumplimiento de sus obligaciones en materia tributaria y de Seguridad Social, así como no tener deuda alguna con la Comunidad Autónoma de Aragón. En caso de deudas con la Comunidad Autónoma de Aragón, se otorgará un plazo de tiempo suficiente para el pago de las cuantías pendientes de abonar.
2.º Cumplir la normativa laboral con sus trabajadores.
3.º Tener implantado un plan de igualdad entre mujeres y hombres, en aquellos supuestos en que la empresa esté obligada a ello por imperativo legal o convencional, así como el registro retributivo o la auditoría retributiva cuando corresponda.
4.º Estar comprometido con los Objetivos de Desarrollo Sostenible fijados por la Organización de las Naciones Unidas en la Agenda 2030 sobre el Desarrollo Sostenible y, en particular, en medidas para combatir el cambio climático.
b) Requisitos técnicos:
1.º Cumplir con el Esquema Nacional de Seguridad de acuerdo con la normativa aplicable.
2.º Estar en posesión de todas las certificaciones de cumplimiento de requisitos vigentes en materia de seguridad de la información, seguridad para los servicios cloud, la protección de identificación personal en nubes públicas, y las que se determinen en cada momento.
3.º Cumplir con la normativa en materia de protección de datos personales, así como con los mecanismos de confianza de la Unión Europea.
4.º Disponer de los medios que garanticen la no utilización, manipulación o tratamiento mediante minería de datos o algoritmos de los datos alojados en la cloud, ni por parte del proveedor ni por parte de terceros.
5.º Disponer de al menos dos zonas de disponibilidad diferenciadas para prestar los servicios cloud.
6.º Disponer, para los servicios que así se consideren, de presencia en el territorio de la Unión Europea.
7.º Disponer, para los servicios que así se consideren por normativa legal, de presencia en el territorio del Estado español.
8.º Garantizar el nivel de accesibilidad de las personas usuarias sobre el control de sus datos.
9.º Disponer de un plan de prevención y gestión de riesgos de seguridad.
10.º Disponer, para los servicios que así se consideren, de interoperabilidad a nivel de API.
3. Mediante Orden de la persona titular del departamento competente en materia de nuevas tecnologías, podrán concretarse o definirse estos requisitos técnicos mínimos establecidos en los apartados 1 b) y 2 b), así como establecer otros requisitos y la forma de acreditar su concurrencia.
1. El procedimiento para el otorgamiento de la calificación como Solución Cloud Certificada de Aragón se iniciará a solicitud del proveedor, previa convocatoria efectuada mediante
Orden de la persona titular del departamento competente en materia de nuevas tecnologías.
Dicha convocatoria se publicará en el “Boletín Oficial de Aragón” y en la sede electrónica del Gobierno de Aragón.
A la solicitud se adjuntará la documentación preceptiva que indique la convocatoria.
2. La instrucción del procedimiento corresponderá a la entidad Aragonesa de Servicios Telemáticos y se tramitará electrónicamente en todas sus fases, estando obligadas las personas interesadas a relacionarse electrónicamente con la Administración.
3. La valoración técnica para el otorgamiento de la calificación se efectuará mediante la emisión de un informe del otorgamiento en sentido positivo o negativo mediante acuerdo, por mayoría simple, de los miembros de una comisión técnica de evaluación determinada en la correspondiente convocatoria y que estará compuesta por la persona que ejerza la presidencia y, al menos, por tres vocalías, así como por la persona que ejerza la secretaría.
1. La competencia para resolver corresponderá a la persona titular de la Dirección Gerencia de Aragonesa de Servicios Telemáticos.
2. A la vista de la propuesta elevada por la comisión técnica de evaluación, la persona titular de la Dirección Gerencia de Aragonesa de Servicios Telemáticos dictará una resolución motivada sobre cada una de las solicitudes de calificación de Solución Cloud Certificada de Aragón.
3. Las resoluciones que otorguen la calificación de Solución Cloud Certificada de Aragón, además de identificar al proveedor de tecnologías cloud, determinarán los servicios para los que se concede, el periodo de validez conforme a lo establecido en el artículo siguiente y las obligaciones más significativas que para el operador implica la calificación.
4. El plazo máximo para notificar la resolución expresa será de tres meses a contar desde la fecha en que la solicitud haya tenido entrada en el registro electrónico del Gobierno de Aragón. Transcurrido dicho plazo máximo sin haberse notificado resolución expresa, la persona interesada podrá entender desestimada su solicitud por silencio administrativo e interponer los recursos que procedan.
5. Se creará un apartado en el Portal del Gobierno de Aragón en el que se dará publicidad sobre las empresas proveedoras de servicios de tecnologías cloud que han obtenido la calificación de Solución Cloud Certificada de Aragón, así como el plazo de validez de su calificación.
1. La calificación de Solución Cloud Certificada de Aragón tendrá una validez de dos años contados desde el día siguiente al de la notificación de la resolución de calificación.
2. La calificación podrá ser renovada por sucesivos periodos de dos años. Las entidades titulares de la calificación de Solución Cloud Certificada de Aragón deberán solicitar su renovación al menos con tres meses de antelación a la fecha de finalización de su validez.
3. Para las sucesivas renovaciones, las entidades deberán aportar la documentación adicional que en ese momento sea de obligada presentación.
4. La resolución sobre la solicitud de renovación se adoptará conforme a las reglas previstas en el artículo anterior.
1. La obtención de la calificación de Solución Cloud Certificada de Aragón permitirá que el proveedor pueda identificarse en sus documentos, instrumentos de comunicación y publicidad como titular de tal calificación e indicar que es una calificación otorgada por la Administración de la Comunidad Autónoma de Aragón, lo que deberá hacer recogiendo fielmente la representación gráfica de la marca prevista en el artículo 21 una vez inscrita esta en el Registro de Marcas.
2. La obtención de la calificación de Solución Cloud Certificada de Aragón podrá recogerse como criterio de valoración en las bases reguladoras de subvenciones y ayudas que el sector público autonómico pueda aprobar en materia de sociedad de la información y nuevas tecnologías. Asimismo, podrá recogerse como criterio de valoración o preferencia en las disposiciones que pongan en marcha otras medidas de fomento cuando esté relacionado con su objeto. También podrá incluirse como criterio de valoración, cuando esté vinculado con el objeto del contrato, y criterio de solvencia en los procedimientos de contratación pública.
Los proveedores que hayan obtenido la calificación de Solución Cloud Certificada de Aragón estarán sujetos a las siguientes obligaciones:
a) Mantener durante el tiempo de validez de la calificación las condiciones que les hayan permitido obtenerla.
b) Comunicar a Aragonesa de Servicios Telemáticos cualquier circunstancia que pueda suponer una modificación de los requisitos que justificaron su calificación, así como las variaciones que se produzcan en los datos inscritos en el Registro electrónico de proveedores de la Solución Cloud Certificada de Aragón que se determinan en el artículo 29. Estas comunicaciones deberán efectuarse en un plazo máximo de diez días.
c) Utilizar la denominación “Solución Cloud Certificada de Aragón” y los signos que se asocien a ella con total exactitud, cuando el proveedor decida asociarla a su nombre o servicios.
d) En el caso de prestación de servicios en la nube al sector público autonómico, el proveedor deberá identificar y notificar a Aragonesa de Servicios Telemáticos aquellas brechas de seguridad de la información que afecten a los datos alojados o que constituyan un riesgo para los derechos y libertades de las personas.
e) En el caso de prestación de servicios en la nube al sector público autonómico, el proveedor deberá identificar y notificar a Aragonesa de Servicios Telemáticos aquellos incidentes que supongan una disfunción sobre los servicios prestados.
f) En el caso de prestación de servicios en la nube al sector público autonómico, el proveedor deberá identificar y notificar a Aragonesa de Servicios Telemáticos la discontinuidad de productos o servicios con, al menos, seis meses de antelación para poder hacer los cambios oportunos en los servicios.
g) Cumplir con las obligaciones y responsabilidades que como encargado del tratamiento de datos establezca el ordenamiento jurídico.
h) Cualesquiera otras que pudieran fijarse en la convocatoria, en las disposiciones vigentes y en la resolución de calificación como Solución Cloud Certificada de Aragón.
1. Aragonesa de Servicios Telemáticos podrá realizar, en cualquier momento, los controles y auditorías que considere precisos para constatar que los proveedores que hayan obtenido la calificación cumplen los requisitos exigidos para su obtención y que están realizando un correcto uso de esa calificación.
2. Los proveedores prestarán la colaboración precisa a Aragonesa de Servicios Telemáticos cuando esta realice las labores de seguimiento y control necesarias para hacer efectivo lo previsto en el apartado anterior; en particular, facilitarán cuanta información y documentación les sea requerida.
3. Cuando Aragonesa de Servicios Telemáticos, como consecuencia de sus funciones de control, detecte algún tipo de incumplimiento por parte del proveedor, le requerirá para que subsane las deficiencias en un plazo acorde con la naturaleza de las condiciones que deba subsanar, que será como máximo de tres meses.
4. Cuando Aragonesa de Servicios Telemáticos detecte que el proveedor no cumple ya los requisitos para ser titular de la citada calificación o aprecie graves incumplimientos en el uso de esta calificación, la persona titular de la Dirección Gerencia de Aragonesa de Servicios Telemáticos podrá suspender la eficacia de la calificación hasta que se adopte una decisión definitiva sobre la revocación o mantenimiento de la calificación.
5. En el supuesto de que las deficiencias no fueran subsanables o en el caso de que siéndolo no fueran corregidas en el plazo otorgado, la persona titular de la Dirección Gerencia de Aragonesa de Servicios Telemáticos dictará resolución procediendo a revocar la calificación.
6. La suspensión o la revocación de la calificación se efectuará conforme al correspondiente procedimiento administrativo, en el que se concederá trámite de audiencia a las personas interesadas por un plazo máximo de quince días para que puedan aportar cuantas alegaciones, documentos o informaciones estimen convenientes.
7. Los actos de suspensión o revocación previstos en este artículo no tendrán la consideración de sanción, pero dejarán sin efecto los beneficios derivados de la obtención de la calificación como Solución Cloud Certificada de Aragón.
1. Se crea el Registro electrónico de proveedores de la Solución Cloud Certificada de
Aragón en el que se inscribirán los proveedores que hayan obtenido tal calificación y los datos relativos a la misma.
2. El Registro se gestionará por la entidad Aragonesa de Servicios Telemáticos.
3. Serán inscritas de oficio las resoluciones de calificación, modificación, suspensión, revocación o cualquier otro acto que afecte al contenido de las calificaciones, así como las modificaciones de otros datos de los proveedores que sean comunicadas.
4. Los datos que constarán en el Registro respecto a cada proveedor de servicios que haya obtenido la calificación serán los siguientes:
a) Denominación social.
b) NIF.
c) Domicilio social.
d) Datos o vías de contacto.
e) Servicios de tecnologías cloud que presta.
f) Disponibilidad de oficinas en la Unión Europea, en España o en Aragón, según corresponda, así como los datos de la ubicación y contacto.
g) Fecha de fin de validez de la calificación como Solución Cloud Certificada de Aragón.
5. Los datos del Registro serán públicos, pudiendo acceder a ellos cualquier persona física o jurídica.
Los datos se publicarán como dato abierto a través de la plataforma de datos abiertos del Gobierno de Aragón “Aragón Open Data”, informándose de la existencia y contenido del Registro a través del Portal del Gobierno de Aragón y de la web de Aragonesa de Servicios Telemáticos.
1. Aragonesa de Servicios Telemáticos, en el marco de las funciones que le corresponden conforme al artículo 4 de la Ley 7/2001, de 31 de mayo, de creación de la entidad pública Aragonesa de Servicios Telemáticos, será la competente para el diseño y contratación de los servicios de tecnologías cloud de la Administración de la Comunidad Autónoma de Aragón y sus organismos públicos vinculados o dependientes de acuerdo con la Política cloud aprobada por el Gobierno de Aragón, y será la encargada de elaborar unos modelos de pliegos de contratación de los servicios en la nube mediante el pago por uso, de manera que se facilite el proceso de contratación.
Para llevar a cabo la contratación y ejecución ordenada y coherente de tecnologías cloud, se utilizarán preferentemente las técnicas de racionalización de la contratación que se establezcan en la legislación en materia de contratación pública, con objeto de garantizar la máxima portabilidad e interoperabilidad, así como para favorecer la búsqueda y desarrollo de soluciones innovadoras en los mismos, de acuerdo con la Política cloud aprobada por el Gobierno de Aragón. Aragonesa de Servicios Telemáticos podrá también elaborar guías, recomendaciones o documentos similares que faciliten su aplicación y gestión del conocimiento.
2. El resto de las entidades del sector público autonómico no incluidas en el apartado anterior, así como las entidades locales aragonesas y sus organismos autónomos y entes dependientes de ellas, podrán adherirse al sistema de contratación de servicios de tecnologías cloud que se elija mediante la formalización del correspondiente convenio.
1. Cuando las soluciones disponibles en el mercado no satisfagan las necesidades del sector público autonómico en materia de tecnologías cloud, se incentivarán los procesos de búsqueda, creación y contratación de soluciones innovadoras, dentro de lo establecido en la legislación en materia de contratación pública.
2. Para la contratación de soluciones innovadoras se optará por modelos de compra conjunta para una correcta escala de gestión, con el fin de simplificar la tramitación y obtener mayores eficiencias administrativas y de prestación.
El Gobierno de Aragón impulsará y fomentará la aplicación y el desarrollo de las tecnologías cloud mediante las siguientes medidas:
a) El desarrollo de programas de asesoramiento al sector privado sobre el uso de las tecnologías cloud.
b) El establecimiento de líneas de subvenciones dirigidas al fomento del uso de las tecnologías en la nube por parte de las empresas, especialmente micro, pequeñas y medianas empresas, personas autónomas, personas emprendedoras y profesionales ubicados en Aragón.
c) El diseño de programas para la difusión y promoción del uso de las tecnologías cloud dirigidos a todo tipo de organizaciones, desde pymes y oenegés hasta grandes corporaciones.
d) El desarrollo de un ecosistema empresarial innovador centrado en las tecnologías cloud.
e) La colaboración con los prestadores de servicios cloud, colegios profesionales, asociaciones, clústeres y empresas del sector de la información y la comunicación en el diseño y aplicación de programas formativos de capacitación profesional o formación reglada.
f) La promoción de fondos de capital riesgo para el desarrollo de proyectos de empresas emergentes (startups) relacionados con tecnologías en la nube.
g) La colaboración con la Universidad de Zaragoza para el impulso de líneas de investigación en materia de tecnologías cloud, para el desarrollo de formación reglada a lo largo de toda la vida dirigida a profesionales y a público en general.
1. Se desarrollarán líneas de capacitación profesional en tecnologías cloud dirigidas a diversos niveles profesionales, dentro de los programas anuales de formación ofrecidos por el Instituto Tecnológico de Aragón, por el Instituto Aragonés de Empleo y por otras entidades del Gobierno de Aragón destinadas al fomento empresarial y a la innovación tecnológica.
2. Los colegios profesionales, asociaciones, clústeres y empresas del sector de las tecnologías de la información y la comunicación podrán colaborar con las Administraciones públicas en la formación en tecnologías cloud tanto del personal del sector público como del privado. A tal efecto, se desarrollarán líneas de capacitación profesional en tecnologías cloud dirigidas a profesionales que deban utilizarlas en su respectivo campo con el fin de fomentar su uso, mejorar su aplicación y posibilitar la innovación en los diferentes ámbitos de la vida.
Con el fin de fomentar la formación en tecnologías cloud en la enseñanza en todos sus niveles, incluidos la formación profesional y la enseñanza superior, los órganos competentes en el ejercicio de las competencias autonómicas analizarán, respecto del currículo, el diseño de especializaciones, la adaptación curricular y la actualización de los planes de estudios en los títulos relativos a los ámbitos de las tecnologías de la información y las comunicaciones, la inclusión de enseñanzas dirigidas a dicha formación y a la de otras nuevas tendencias tecnológicas. Asimismo, en los planes de estudios mencionados, se incluirá la formación dual en tecnologías en la nube con el fin de garantizar la empleabilidad en el sector tecnológico.
1. Con el fin de fomentar la transparencia y el acceso a los datos, el Gobierno de Aragón dictará las normas, directrices e instrucciones internas que sean necesarias para poner a disposición de la ciudadanía, con medios seguros, el acceso a través de tecnologías cloud a los datos que obren en su poder garantizando su accesibilidad.
2. El Gobierno de Aragón, con el fin de garantizar la seguridad y la soberanía de la ciudadanía sobre la información y los datos críticos de los que el sector público autonómico dispone, elaborará y aprobará un documento en el que se recogerán las medidas que va a llevar a cabo para garantizar la máxima protección de los datos que se alojen en la cloud pública, especialmente de los datos de carácter personal, y los compromisos de protección y tutela que adquiere sobre ellos.
3. Para el fomento de la confianza digital y el cumplimiento de los objetivos recogidos en este artículo, se llevarán a cabo programas de sensibilización, concienciación, asistencia y divulgación que permitan acercar la tecnología en la nube a toda la ciudadanía.
Sin perjuicio del cumplimiento de los principios de publicidad y transparencia en la contratación de los servicios objeto de esta ley, todos los documentos técnicos, guías y modelos de cláusulas y pliegos tipo deberán ser publicados en el Portal del Gobierno de Aragón y en la web de Aragonesa de Servicios Telemáticos.
Se facilitará la participación de los colectivos interesados en el impulso, valoración y desarrollo de la presente ley a través del Observatorio Aragonés de la Sociedad de la Información.
1. La entidad Aragonesa de Servicios Telemáticos establecerá el marco de la gobernanza idónea para la aplicación y desarrollo de las tecnologías cloud del sector público autonómico, al que podrán adherirse el resto de las Administraciones públicas de Aragón.
2. La ubicación en la nube pública se realizará siempre generando ubicaciones propias (landing zones), como entorno seguro donde desarrollar los servicios al sector público autonómico, en las cuales se establecerán los parámetros de gobernanza necesarios.
3. Aragonesa de Servicios Telemáticos promoverá la creación de entornos de pruebas seguros (sandbox) para tecnologías cloud que potencien la innovación, la colaboración entre proveedores y usuarios y la compartición de experiencias innovadoras, generando comunidad.
Los objetivos de la gobernanza de las tecnologías cloud serán:
a) La gestión centralizada del entorno multicuenta.
b) Facilitar la supervisión de las políticas de seguridad y de protección de datos y su cumplimiento.
c) La federación de sistemas de gestión de identidades, favoreciendo los estándares abiertos y neutrales.
d) La correcta asignación de roles y permisos.
e) La centralización de registros de actividad de los sistemas (logs) para la gestión de cambios y auditorías.
f) La gestión adecuada del coste e imputación del pago por uso.
1. Aragonesa de Servicios Telemáticos establecerá en el marco de la Política cloud una política de etiquetado (tagging) en donde se reflejen las características de cada activo desplegado en las tecnologías cloud, que permita una identificación total y clara de cada componente y asegure una traslación adecuada a cada órgano o entidad de la propiedad y el coste de los servicios.
2. La política básica de etiquetado podrá ampliarse por cada entidad, según sus necesidades.
1. Se crea la Comisión para las tecnologías cloud como órgano colegiado adscrito al departamento competente en materia de nuevas tecnologías cuyo fin es la coordinación, seguimiento, evaluación, impulso y comunicación de las acciones referentes a las tecnologías en la nube en el sector público autonómico.
2. La Comisión ejercerá las siguientes funciones, que podrán ser ampliadas mediante
Orden de la persona titular del departamento competente en materia de nuevas tecnologías, dentro su ámbito competencial sobre las tecnologías cloud y su aplicación en el ámbito de la Administración pública:
a) Realizar propuestas relativas a la Política cloud y el Plan de adaptación de infraestructuras informáticas, para el análisis y consideración por Aragonesa de Servicios Telemáticos.
b) Realizar propuestas sobre los requisitos técnicos del modelo de cloud seleccionado y el marco de gobernanza dentro del sector público autonómico, para el análisis y consideración por Aragonesa de Servicios Telemáticos.
c) Detectar las carencias técnicas y formativas para proponer actuaciones en el ámbito formativo.
d) Realizar el seguimiento y evaluar la aplicación del marco de gobernanza de las tecnologías cloud.
e) Proponer criterios comunes y metodologías a utilizar en el contexto de las tecnologías cloud.
f) Realizar el seguimiento y evaluar la aplicación de los criterios técnicos sobre protección de datos en el contexto de las tecnologías cloud.
g) Realizar propuestas para la mejora de la coordinación en materia de tecnologías cloud del sector público autonómico.
h) Impulsar líneas de actuación orientadas a fomentar la colaboración con otras comunidades autónomas para el impulso de la adopción de tecnologías cloud.
i) Aquellas otras funciones que le sean atribuidas por el ordenamiento jurídico.
3. La Comisión para las tecnologías cloud está compuesta por:
a) La presidencia: la persona titular de la Dirección Gerencia de Aragonesa de Servicios Telemáticos.
b) La vicepresidencia: la persona titular de la dirección general competente en nuevas tecnologías y en su aplicación en el ámbito de la Administración pública.
c) Las vocalías, que corresponderán a las siguientes personas:
1.º Una persona designada por la secretaría general técnica de cada departamento de la Administración de la Comunidad Autónoma de Aragón, entre las personas responsables de las tecnologías de la información y la comunicación.
2.º Una persona designada por la dirección de cada organismo autónomo de la Administración de la Comunidad Autónoma de Aragón, entre las personas responsables de las tecnologías de la información y la comunicación.
3.º Una persona designada por la dirección de la Corporación de Empresas Públicas de Aragón en representación de las sociedades mercantiles autonómicas, especialista en tecnologías de la información y de la comunicación.
4.º Una persona designada por la Universidad de Zaragoza en representación de las universidades públicas integradas en el Sistema Universitario de Aragón, especialista en tecnologías de la información y de la comunicación.
5.º Una persona designada por la Federación Aragonesa de Municipios, Comarcas y
Provincias, en representación de la Administración local.
d) La persona que ejerza de secretario o secretaria, que será designada por la Dirección
Gerencia de Aragonesa de Servicios Telemáticos de entre su personal.
e) La persona titular de la unidad responsable de seguridad de la información (CISO) del Gobierno de Aragón, así como la persona responsable de seguridad de Aragonesa de Servicios Telemáticos participarán, con voz, pero sin voto, en las reuniones de la Comisión.
f) La persona titular de la unidad de protección de datos del Gobierno de Aragón, la persona titular de la Unidad responsable de la formación de la función pública, así como la persona que ejerza como delegado o delegada de protección de datos de Aragonesa de Servicios Telemáticos participarán con voz, pero sin voto, en las sesiones de la Comisión.
4. En las sesiones de la Comisión participarán asesores externos, siempre que se estime conveniente por parte de la presidencia de la misma.
5. La Comisión se reunirá con carácter ordinario, al menos, una vez al año. La presidencia de la Comisión podrá convocar sesiones de carácter extraordinario.
6. La Comisión podrá establecer sus propias normas de funcionamiento y, en su defecto, se regirá por lo dispuesto en la normativa aplicable a los órganos colegiados de la Administración de la Comunidad Autónoma de Aragón.
7. La Comisión podrá crear grupos de trabajo para desarrollar temas concretos que trasladar como propuesta.
La Política cloud del sector público autonómico prevista en el artículo 5 deberá aprobarse por el Gobierno de Aragón dentro del plazo de seis meses desde la entrada en vigor de esta ley.
El Plan de adaptación de las infraestructuras informáticas para las tecnologías cloud previsto en el artículo 15, deberá aprobarse por el Gobierno de Aragón dentro del plazo de seis meses desde la adopción del acuerdo de aprobación de la Política cloud del sector público autonómico.
En el plazo máximo de seis meses desde la entrada en vigor de esta ley, se procederá a la constitución de la Comisión para las tecnologías cloud.
El modelo de adhesión previsto en el artículo 18 deberá aprobarse por el Gobierno de Aragón dentro del plazo de seis meses desde la adopción del acuerdo de aprobación de la Política cloud del sector público autonómico.
En el plazo de un año desde la entrada en vigor de esta ley, se publicará la Orden de la persona titular del departamento competente en materia de nuevas tecnologías concretando los requisitos técnicos mínimos para obtener la calificación como Solución Cloud Certificada de Aragón, así como la forma de acreditación de su concurrencia, de conformidad con lo dispuesto en el artículo 22.
En el plazo de un año desde la entrada en vigor de esta ley, se procederá a la actualización organizativa y funcional del Observatorio Aragonés de la Sociedad de la Información, transformándolo en el órgano participativo necesario para garantizar lo dispuesto en el artículo 37.
El Gobierno de Aragón elaborará en el plazo de un año una Directriz específica sobre política del dato de la comunidad, definiendo al menos los datos que necesitan ser compartidos y su nivel de accesibilidad.
1. A los efectos previstos en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, los datos personales recabados como consecuencia de la inscripción de datos personales en el Registro electrónico de proveedores de la Solución Cloud Certificada de Aragón previsto en esta ley serán incorporados a las actividades de tratamiento que les corresponda.
2. Se podrá consultar la información detallada sobre dichas actividades de tratamiento en el Registro de actividades de tratamiento de datos de carácter personal del Gobierno de Aragón.
Se habilita a la persona titular del departamento competente en materia de nuevas tecnologías para regular mediante Orden el procedimiento para el otorgamiento de la Solución Cloud Certificada de Aragón previsto en el capítulo III, la concreción y establecimiento de los requisitos técnicos mínimos para obtener la citada Solución conforme a lo previsto en el artículo 22, así como el Registro electrónico de proveedores de la Solución Cloud Certificada de Aragón.
Se habilita al Gobierno de Aragón para dictar cuantas disposiciones sean necesarias para el desarrollo y aplicación de lo dispuesto en esta ley.
Esta ley entrará en vigor el día siguiente al de su publicación en el “Boletín Oficial de Aragón”.
Por tanto, ordeno a todos los ciudadanos a los que sea de aplicación esta Ley, que la cumplan, y a los tribunales y autoridades a los que corresponda, que la hagan cumplir.
Zaragoza, 23 de febrero de 2023.
El Presidente de Aragón, JAVIER LAMBÁN MONTAÑÉS