Editor ciudadano de Anteproyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (Tecnologías Cloud)

 

EXPOSICIÓN DE MOTIVOS

I

Conforme al Estatuto de Autonomía de Aragón corresponde a la Comunidad Autónoma, de acuerdo con el artículo 71. 41ª la competencia exclusiva en materia de investigación, desarrollo e innovación tecnológica, que comprende, en todo caso, el fomento y desarrollo de las tecnologías para la sociedad de la información. También es titular la Comunidad Autónoma de competencias exclusivas sobre funcionamiento de sus instituciones de autogobierno, sobre el procedimiento administrativo derivado de las especialidades de la organización propia y sobre planificación de la actividad económica y fomento del desarrollo económico de la Comunidad Autónoma conforme a los números 1ª, 5ª, 7ª y 32ª del citado artículo 71.

Asimismo, en el ámbito de las competencias compartidas relacionadas en el artículo 75 del Estatuto de Autonomía, en las que la Comunidad Autónoma tiene la competencia compartida de desarrollo legislativo y ejecución de la legislación básica del Estado, se le atribuye en la número 5ª la competencia en materia de protección de datos de carácter personal y en la número 12ª el régimen jurídico de contratación de la Administración Pública de la Comunidad Autónoma.

También el Estatuto de Autonomía recoge dentro de los principios rectores de las políticas públicas en su artículo 28, apartados 1 y 2, que los poderes públicos aragoneses fomentarán el desarrollo y la innovación tecnológica y técnica de calidad, y promoverán las condiciones para garantizar en el territorio de Aragón el acceso sin discriminaciones a las tecnologías de la información y la comunicación.

Los antedichos títulos competenciales son sustento suficiente para aprobar esta ley, cuyo núcleo consiste en instaurar medidas que favorezcan el establecimiento en Aragón del contexto preciso para favorecer la implantación y desarrollo de las tecnologías en la nube (en adelante tecnologías Cloud ) lo que conllevará la determinación y aplicación de una Política Cloud propia del sector público autonómico conteniendo esta norma medidas que fomentan las tecnologías Cloud sin fijar limitaciones en la actuación de los operadores y de las administraciones públicas. 

II

El conocimiento tecnológico y la innovación son una palanca fundamental para el crecimiento económico, siendo una de las apuestas de esta Comunidad Autónoma el impulso de las nuevas tecnologías relacionadas con la computación o informática en la nube, las tecnologías Cloud, por su potencial transformador.

Las tecnologías Cloud suponen uno de los mayores avances tecnológicos y social-económicos de los últimos años, como elemento habilitador y democratizador del acceso a la innovación y a las tecnologías de la información más avanzadas. La denominada tecnología en la nube ha supuesto una verdadera revolución dentro del concepto de la informática tradicional. No se trata de una “innovación incremental”, sino de una palanca transformadora en sí misma, que ha democratizado el acceso a tecnología puntera y al uso eficiente y creativo de los recursos que ofrece Internet.

Las tecnologías Cloud permiten ofrecer servicios de computación a través de Internet, siendo su característica más destacada la facilidad de acceso a nuevas tecnologías que pueden ser rápidamente utilizadas en soluciones personalizadas. La computación en la nube se está convirtiendo en el estilo de diseño dominante para nuevas aplicaciones y la adecuación de una gran cantidad de aplicaciones ya existentes, facilitando y flexibilizando los despliegues, tanto de las infraestructuras como de las herramientas y los componentes para el desarrollo ágil de aplicaciones y servicios. El uso de la computación en la nube, elimina las dependencias del hardware, además de facilitar, flexibilizar y agilizar todas las operaciones relacionadas con la infraestructura, permitiendo una homogeneización de los diseños y soluciones, y permitiendo el pago por uso y la escalabilidad, así como potenciando la resiliencia de las soluciones desplegadas en este tipo de tecnología.

Las potencialidades que ofrece el Cloud son enormes, por lo que desde el poder público se considera necesario orientar una estrategia al respecto, marcando una serie de pautas para generar un marco que favorezca su implantación y desarrollo, creando una Política Cloud propia del Gobierno de Aragón que permitirá su implantación en el sector público autonómico, así como configurando el contexto necesario para potenciar la adopción de las tecnologías Cloud tanto en las entidades locales aragonesas si así lo consideran, como en el sector privado, para lo que se aprobarán los instrumentos que procedan, comenzando por esta ley.

Así pues, la apuesta por el impulso de las nuevas tecnologías relacionadas con el Cloud ha de hacer posible aprovechar en los procesos de digitalización este modelo de servicio de las tecnologías informáticas que permite el acceso ubicuo, conveniente y bajo demanda de un conjunto compartido de recursos informáticos de alta calidad e innovación, configurables, que pueden ser rápidamente aprovisionados y liberados con un mínimo esfuerzo de gestión o interacción del prestador del servicio. 

Además, esta ley, aspira a convertir a Aragón en una Comunidad Autónoma de tecnologías digitales verdes, creando un ecosistema de negocio digital alrededor de las tecnologías en la nube sostenible y de bajo impacto medioambiental, así como permitiendo al sector público mejorar su eficiencia energética, operar de manera más sostenible y reducir su propia huella de carbono.

Sin embargo, no ha de olvidarse que las tecnologías Cloud pueden plantear algunas dudas sobre su ejercicio, en particular se esgrimen tres inconvenientes principales: la necesidad de garantizar un alto nivel de seguridad y de privacidad, los problemas que se derivan cuando por incidencias inesperadas no se dispone de acceso a Internet en cuyo caso no hay opción de acudir al Cloud y finalmente la posible incompatibilidad de algunas infraestructuras del usuario con las del prestador del servicio. Estas objeciones no pueden considerase determinantes para cuestionar el uso de esta tecnología, en cuanto sus efectos pueden minimizarse teniendo en cuenta que, en primer lugar, el hecho de que la computación en la nube sea una red distribuida también facilita que los usuarios se recuperen rápidamente de eventuales incidencias de seguridad; en segundo lugar, cada vez más proveedores de servicios en Cloud ofrecen las máximas garantías de conexión; y en tercer lugar, respecto a la compatibilidad de sistemas, siempre cabe acudir a utilizar una Cloud híbrida, que permite solventar la mayoría de inconvenientes de compatibilidad. Por tanto, los inconvenientes que pudiera plantear el trabajar en esta tecnología no son determinantes para descartar su uso, siendo en su mayoría manejables y predecibles, por lo que teniendo en cuenta los grandes beneficios para los operadores que supone el trabajar con las tecnologías Cloudaquellos no hacen discutible una decidida apuesta por este sistema. En cualquier caso, la regulación que se contiene en esta ley tiene en cuenta los riesgos o inconvenientes indicados para minimizar la posibilidad de que se presenten.

En este contexto, y en línea con la estrategia del Gobierno de Aragón para el desarrollo de la Comunidad Autónoma, aparecen iniciativas empresariales por parte del sector privado que van a favorecer y permitir el acceso a esta tecnología desde nuestro territorio, con las ventajas que la implantación de este tipo de proyectos supondrá, tanto para el desarrollo del tejido empresarial, como para la mejora de las oportunidades formativas y laborales.

Además, esta ley responde a la ejecución de las medidas incluidas en la propia Estrategia Aragonesa para la Recuperación Social y Económica suscrita en junio de 2020. La Estrategia recoge un conjunto de medidas con las mejores soluciones a la crisis sanitaria y socioeconómica que se está sufriendo en Aragón como consecuencia de la COVID-19, incluyendo dos directamente relacionadas con las tecnologías y servicios Cloud dentro de las propuestas de recuperación en economía productiva, en el epígrafe 3.4 correspondiente a Innovación y Digitalización: impulsar las tecnologías en la nube con especial énfasis en su aplicación a la industria para el desarrollo de nuevos productos con aplicación en diferentes ámbitos como el sanitario, educativo o informática; e impulsar el desarrollo de la industria relacionada con los servicios Cloud y su aplicación en los ámbitos educativo, cultural, de investigación, empresarial, sanitario, industrial, entre otros. 

Es por todo ello que desde el Gobierno de Aragón se considera necesario impulsar medidas que favorezcan el desarrollo de las tecnologías Cloud.

III

Para conseguir el objetivo de alcanzar una máxima implantación y desarrollo de las tecnologías Cloud en Aragón, algunas de las medidas que esta ley contiene no solo se aplicarán a la Administración de la Comunidad Autónoma de Aragóny alsector público institucional, si no que pueden ser de utilidad paralas entidades locales aragonesas si así lo consideran, para lo que dispondrán del apoyo y asesoramiento de la Administración de la Comunidad Autónoma de Aragón, y otras se ponen a disposición del sector privado con el fin de que empresas y operadores se sientan atraídos al empleo de las tecnologías Cloud y consideren que lo hacen en un entorno dotado de un máximo nivel de seguridad y fiabilidad. 

La nueva ley se aplicará a la totalidad del sector público autonómico, sin perjuicio de que en determinados ámbitos de la misma se establecen reglas específicas respecto al ámbito de aplicación y a lanecesidad de adoptar instrumentos voluntarios para que sea aplicable a determinados sujetos.

Una de las medidas a adoptar es la aprobación por acuerdo del Gobierno de Aragón de la Política Clouda aplicar en el sector público autonómico en los términos definidos en el articulado. La Política Cloud constituirá el instrumento que, con carácter genérico definirá los modos y tiempos para la puesta en marcha de las tecnologías Cloud, determinando el tipo de estrategia Cloud a aplicar, su implantación en los diversos ámbitos de la Administración y las fases para su realización, los órganos responsables para su aplicación, seguimiento y evaluación, previendo las modificaciones organizativas que han de aplicarse para ello, así como las medidas de difusión. La importancia de la existencia de una Política Cloud es innegable para ello deberá partirse de un buen diagnóstico de los medios actualmente existentes en la organización, su accesibilidad y distribución, para disponer de la información precisa para definir bien el modelo a aplicar y las unidades que han de ocuparse de ello, resultando esencial definir bien las responsabilidades y evitar un exceso de centros de decisión. Así mismo, una parte importante del Acuerdo sobre la Política Cloudserá establecer los mecanismos necesarios para que los instrumentos a emplear sean conocidos por el personal de la organización, disponiendo de un inventario de servicios existentes de Cloud y difundiendo su existencia y modo de empleo, garantizando que este se realice de forma homogénea.

Por otra parte, debe destacarse que en una organización para desarrollar su política Cloud es importante la homogeneización tecnológica de sus infraestructuras, usando en toda la organización componentes comunes debidamente actualizados. Respecto al desarrollo de las aplicaciones informáticas es esencial su portabilidad, independizándolas de la infraestructura y permitiendo, por tanto, una enorme agilidad en el despliegue de los servicios, optimizando también el valor de los servicios entregados a la ciudadanía en términos de calidad. Conforme a ello y con el fin de garantizar que la planificación, soluciones y modelos que se apliquen sean homogéneos, se prevé la aprobación por el Gobierno de Aragón de un Plan de Adaptación de las Infraestructuras Informáticas y de Directrices sobre la Implantación y Desarrollo de las Aplicaciones para el Cloud.

Estos instrumentos de planificación se regulan en el Capítulo II que tiene por objeto las medidas de planificación e impulso de la aplicación y desarrollo de las tecnologías Cloud y los mismos se ponen a disposición del resto de las administraciones públicas aragonesas.

IV

Una de las medidas fundamentales que recoge esta ley es la implantación del certificado de homologación de Cloud pública – SCCA (Solución Cloud Certificada de Aragón). Este certificado se expedirá mediante resolución de Aragonesa de Servicios Telemáticos a solicitud de las entidades interesadas que presten servicios de tecnologías Cloud y previa la tramitación del necesario procedimiento. Los proveedores de servicios de Cloud que obtengan el certificado serán inscritosen el Registro Electrónico de Proveedores de Solución Cloud Certificada de Aragón, que será de acceso público y emplearán en sus instrumentos de comunicación y documentación la marca asociada a la Solución Cloud Certificada de Aragón titularidad de la Comunidad Autónoma de Aragón.

Uno de los objetivos de este sistema de certificación es contar con una lista de prestadores de servicios de Cloud respecto a los que haya quedado previamente acreditado que cumplen con los máximos niveles de seguridad de la información almacenada y en tránsito, que disponen de un alto sistema de análisis y gestión de los riesgos, que tienen las infraestructuras idóneas que aseguren minimizar el eventual impacto de incidentes de seguridad o que puedan comprometer la continuidad en la prestación del servicio, que cumplen con las disposiciones aplicables en materia de protección de datos y que cuentan con los mecanismos y dispositivos que permitan un máximo nivel de portabilidad e interoperabilidad de los datos y de los sistemas.

Las relacionadas exigencias técnicas para la obtención del certificado no se crean ex novo por esta ley,sino que son un conjunto de características que ya están previstas en el ordenamiento jurídico.

De este modo las personas potencialmente usuarias de los servicios de Cloud, tanto del sector público como del sector privado, podrán disponer de una lista de máxima confianza de entidades que tengan por objeto la prestación de servicios de Cloud.

En definitiva, la citada certificación,la marca asociada a la identificación de la misma y su inscripción en el Registro Electrónico de Proveedores de Solución Cloud Certificada de Aragón, aspectos todos ellos regulados en el capítulo III,va a ser un instrumento que hará posible que incluso el sector privado y otras administraciones puedan identificar, sin mayor esfuerzo, a aquellas entidades que la administración autonómica ha comprobado, a petición de las mismas, que cumplen con los máximos estándares para prestar esos servicios, sin perjuicio de que cada sujeto pueda escoger libremente entre que los servicios de Cloud se los presten las entidades que hayan obtenido este certificado o bien acudir a otras.

V

La ley también recoge en su capítulo IV diversas referencias respecto a la contratación del sector público autonómico con las que se pretende alcanzar una homogeneidad en las características de los bienes y servicios a emplear respecto a las tecnologías Cloud,una racionalización y simplificación en su contratación, así como en la búsqueda y desarrollo de soluciones innovadoras. De este modo se recogen previsiones con las que se pretende favorecer que se acuda a mecanismos ya previstos en la legislación de contratos del sector público con el objetivo de utilizar sistemas de racionalización de la contratación que permitan optimizar recursos y extender las nuevas tecnologías por el territorio. 

También se prevé en esta ley la posibilidad de adhesión a los sistemas de contratación que se definan para los servicios de tecnologías Cloud por parte de las sociedades y fundaciones y los restantes entes, organismos y entidades del sector público autonómico,así como por parte de las entidades locales aragonesas y sus organismos autónomos y entes dependientes de ellas, u otras Administraciones locales aragonesas, mediante la formalización de los correspondientes convenios con el Gobierno de Aragón.

Otro de los instrumentos que se prevé poner a disposición del sector privado y del resto de administraciones públicas es facilitar la definición técnica de soluciones para el impulso de las políticas de utilización de las tecnologías Cloud dentro de sus organizaciones, mediante la elaboración de pliegos de prescripciones técnicas generales para su utilización en las licitaciones, guías, recomendaciones, clausulas tipo, o documentos similares que puedan ser empleados por las personas usuarias y tenerlos como referencia a la hora de determinar el contenido de los contratos que suscriban en la materia.

VI

En el capítulo V se incorporan medidas de diversa índole para el impulso y fomento de la aplicación y el desarrollo de las tecnologías para la computación en la nube en Aragón, incluyendo medidas dirigidas al sector privado, sobre la capacitación profesional, respecto a la formación reglada y a la mejora de confianza digital.

VII

Por último, el capítulo VI se dedica a la gobernanza del Cloud previendo que laEntidad PúblicaAragonesa de Servicios Telemáticos sea la que establezca el marco de la gobernanza idónea para la aplicación y desarrollo de las tecnologías Cloud puesto que de acuerdo con la Ley 7/2001, de 31 de mayo, dicha entidad tiene entre sus objetivos, la coordinación de la actuación de la Administración de la Comunidad Autónoma con la de otras Administraciones públicas y entidades públicas o privadas, en materia de servicios y sistemas para la información y las telecomunicaciones, en el ámbito de funciones de la entidad y la promoción e impulso de la oferta y demanda de servicios y sistemas de información y de telecomunicaciones en el ámbito de Aragón, así como la contribución a la ejecución de las infraestructuras y la prestación de los servicios que se consideren necesarios para impulsar el desarrollo económico y social del territorio. En definitiva, los objetivos y las funciones establecidas en la citada ley justifican que esa entidad debe ser un sujeto protagonista en la ejecución de esta ley como así se recoge a lo largo de todo su articulado. 

En ese mismo capítulo destaca la puesta en marcha de una política de etiquetado que refleje las características de cada activo desplegado en el Cloud. Pieza esencial del sistema de gobernanza es la creación de laComisión Interdepartamental para el Cloud como órgano de coordinación, impulso y de comunicación de las acciones referentes a las tecnologías Cloud. En esta Comisión se prevé la representación equilibrada de mujeres y hombres, conforme a lo establecido en el artículo 16 de la Ley Orgánica 3/2007, de 22 de marzo, y en el art. 24 de la Ley 7/2018, de 28 de junio.

VIII

El ejercicio de la iniciativa legislativa debe efectuarse garantizando el principio de calidad normativa al que apela el artículo 2.i) de la Ley 8/2015, de 25 de marzo, de Transparencia de la Actividad Pública y Participación Ciudadana de Aragón, que supone ejercer dicha iniciativa normativa de acuerdo con los principios de necesidad, proporcionalidad, seguridad jurídica, transparencia, simplicidad, efectividad y accesibilidad y que vienen a ser prácticamente los mismos principios que los previstos en la legislación estatal y ahora en el artículo 43 de la Ley 2/2009, de 11 de mayo, aplicables también a las normas con rango de ley: necesidad, eficacia, proporcionalidad, seguridad jurídica, que incluye la claridad de la norma, transparencia y eficiencia.

En primer lugar, el de necesidad promoviendo el desarrollo de las tecnologías más avanzadas para la mejora de los servicios que la Administración presta a la ciudadanía, ayudando y favoreciendo el desarrollo tecnológico con seguridad y con garantías. En segundo lugar, el de eficacia, la norma persigue configurar un marco jurídico de obligado cumplimiento con garantías para la administración y que proteja los derechos de la ciudadanía, el principio de proporcionalidad queda garantizado ya que con esta norma se pretende establecer una regulación mínima imprescindible que garantice las condiciones de prestaciones de los servicios de tecnologías Cloud sin inferir en la iniciativa privada.

Para garantizar el principio de seguridad jurídica, en cuarto lugar, esta norma es clara trata de definir y detallar el régimen jurídico para la prestación de los servicios de tecnología Cloud y se ha elaborado de manera coherente con el resto del ordenamiento jurídico, nacional y de la Unión Europea, siendo especialmente cuidadosa con el respeto y adaptación a la legislación básica estatal.

Con respecto al principio de transparencia, en cuarto lugar, se ha efectuado consulta pública previa a la elaboración de la norma permitiendo la participación de asociaciones, según lo previsto en la Ley 2/2009, de 11 de mayo, del Presidente y del Gobierno de Aragón y los documentos que se han ido generando durante el proceso de elaboración del anteproyecto de ley se han publicado en el Portal de Transparencia de Aragón, cumpliendo con lo exigido en la Ley 8/2015, de 25 de marzo, haciendo así también efectivo el principio de accesibilidad. Asimismo, el anteproyecto fue objeto de un proceso de deliberación participativa conforme a lo previsto en la Ley 8/2015, de 25 de marzo, lo que ha permitido transmitir su contenido a la sociedad, y especialmente a los operadores que pudieran verse afectados por esta ley, haciendo posible un enriquecimiento de los aspectos que recoge.

IX

En el procedimiento de elaboración de esta norma se ha efectuado consulta pública y se ha dado cumplimiento a los trámites previstos en el ordenamiento jurídico y, en especial, en la Ley 2/2009, de 11 de mayo, del Presidente y del Gobierno de Aragón. Entre otros, se ha emitido informe de la Dirección General de Desarrollo Estatutario y Programas Europeos de la Vicepresidencia del Gobierno de Aragón, de la Dirección General de Contratación del Departamento de Hacienda y Administración Pública y de la Secretaria General Técnica del Departamento de Ciencia, Universidad y Sociedad del Conocimiento,

CAPÍTULO I Disposiciones generales

Artículo 1. Objeto.

Esta ley tiene por objeto establecer las medidas necesarias para el impulso, la implantación y el desarrollo de las tecnologías en la nube (tecnologías Cloud) en Aragón, lo que en particular comprenderá la determinación de una Política Cloud del sector público autonómico.

Artículo 2. Finalidad.

Con la aprobación y aplicación de esta ley, en relación con las tecnologías Cloud, se pretenden alcanzar las siguientes finalidades:

a) El impulso del uso de las nuevas tecnologías Cloud en el territorio aragonés.

b) La generación y actualización del talento y las nuevas habilidades dentro del sector de las tecnologías de la información y las telecomunicaciones de Aragón.

c) La orientación de la estrategia interna para generar un marco de actuación común para el aprovechamiento de estas nuevas soluciones.

d) El impulso del conocimiento tecnológico y la innovación.

e) La generación de un marco de confianza hacia las tecnologías Cloud entre clientes y prestadores del servicio.

Artículo 3. Ámbito subjetivo de aplicación. 

1. Esta ley será de aplicación al sector público autonómico, no obstante, las entidades que integran el sector público institucional de la Comunidad Autónoma de Aragón quedarán sujetas a la mismaconforme a las especificaciones que, en su caso, se refieran a ellas. 

2. A las entidades que integran la Administración local aragonesa se les aplicará esta ley cuando voluntariamente se adhieran a las diversas medidas previstas en la misma conforme a lo dispuesto en el capítulo II. 

Artículo 4. Definiciones.

A los efectos de esta ley se entiende por:

a) Tecnologías Cloud o tecnologías en la nube o Cloud Computing. Es un modelo para permitir el acceso adecuado y bajo demanda a un conjunto de recursos de cómputo configurables como podrían ser redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente provistos y puestos a disposición del demandante con un mínimo esfuerzo de gestión y de interacción con el proveedor del servicio.

b) Cloud o nube pública. Infraestructura propiedad de un proveedor de servicios de tecnologías en la nube, que la administra y ofrece a través de Internet.

c) Cloud o nube privada. Recursos informáticos que utiliza exclusivamente un ente privado o público y que pueden estar ubicados físicamente en su propio centro de datos u hospedados por un proveedor de servicios externo.

d) Cloud o nube híbrida. Modelo que combina infraestructura local (o Cloud privada) con Cloud pública.

e) Servicios de tecnologías Cloud. Servicios en los que se ofertan infraestructuras en la nube pública por parte de un proveedor de tecnologías Cloud.

f) Servicio de integración de tecnologías Cloud.  Servicio profesional ofrecido por una consultoría o empresa integradora de apoyo para la implantación de servicios en infraestructuras de un proveedor de tecnologías Cloud. 

g) API. Interfaz de programación de aplicaciones por sus siglas en inglés (Application Programming Interfaces), es un conjunto de definiciones y protocolos que se utiliza para desarrollar e integrar el software de las aplicaciones, permitiendo la comunicación entre dos aplicaciones de software a través de un conjunto de reglas.

h) Infraestructura como código (IaC) se refiere a la práctica para configurar la infraestructura de computación mediante códigos informáticos o lenguajes de programación específicos, en lugar de configurar las infraestructuras informáticas de forma manual e individualizada.

i) Etiquetado o tagging. Cada recurso utilizado en las tecnologías Cloud puede ser asociado a una etiqueta en la que se indica cualquier propiedad o característica del recurso etiquetado. 

j) Zona de aterrizaje o landing zone es una solución proporcionada por los proveedores de tecnologías Cloud, que permite a los demandantes de grandes capacidades de estos servicios configurar un entorno con una serie de características concretas para el uso común, como sistemas de redes, identidad, gobernanza y seguridad, basado en las prácticas recomendadas por cada uno de los proveedores.

k) Sector público autonómico. Constituyen el sector público autonómico a los efectos de esta ley, la Administración y el sector público institucional de la Comunidad Autónoma de Aragón, estando el último integrado por los siguientes entes:

1º. Los organismos públicos vinculados o dependientes de la Administración de la Comunidad Autónoma de Aragón, los cuales se clasifican en:

- Organismos autónomos. 

-  Entidades de derecho público. 

2º. Las sociedades mercantiles autonómicas. 

3º. Los consorcios autonómicos. 

4º. Las fundaciones del sector público.

5º. Las universidades públicas integradas en el Sistema Universitario de Aragón.

CAPÍTULO II Medidas de planificación e impulso de la aplicación y desarrollo de las tecnologías Cloud 

SECCIÓN 1ª. POLÍTICA CLOUDDEL SECTOR PÚBLICO AUTONÓMICO

Artículo 5. La Política Cloud del sector público autonómico.

1. El Gobierno de Aragón aprobará mediante acuerdo la Política Cloud del sector público autonómico que constituirá el marco de uso de las tecnologías Cloud definiendo la estrategia en la citada materia y la evolución de los servicios que se presten conforme a lo dispuesto en los siguientes artículos de esta sección.

2. El acuerdo del Gobierno de Aragón que apruebe la Política Cloud se publicará en el Boletín Oficial de Aragón.

Artículo 6. Ámbito de aplicación de la Política Clouddelsector público autonómico.

1. La Política Cloud será de aplicación al sector público autonómico según la definición incluida en el artículo 4.k).

2.

La Universidad de Zaragoza y las entidades que integran la Administración local aragonesa podrán adherirse a la citada política de acuerdo con lo indicado en el artículo 17.  Artículo 7. Objetivos de la Política Cloud del sector público autonómico. 1. Los objetivos de la Política Cloud son los siguientes: Construir un ecosistema de aplicaciones y servicios reutilizables. Fomentar la resiliencia en los servicios públicos digitales.

2. Potenciar la ciberseguridad.
3. Garantizar la adecuada protección de los datos de carácter personal.
4. Homogeneizar los diseños y soluciones.
5. Definir un marco del uso de los datos.
6. Evitar las soluciones cautivas de un único proveedor.

2. En el marco de los servicios Cloud, la citada Política se basará en un modelo de Cloud o nube híbrida conformea un esquema denominado “primero en nube”, donde se deban evaluar, ante una necesidad, en primer lugar, soluciones tipo Cloud frente a otras soluciones tecnológicas tradicionales, optando por la más adecuada para la prestación de los servicios.

Artículo 8. Contenido de la Política Cloud del sector público autonómico.

La Política Cloud tendrá, al menos, los siguientes contenidos:

a) La determinación del tipo o tipos de tecnologías Cloud a aplicar en el sector público autonómico.

b) Usos de las tecnologías Cloud a aplicar y criterios para tener en cuenta para su determinación.

c) La tipología de servicios o soluciones que puedan ser más adecuados para el uso indicado y las condiciones para realizarlo.

d) Su implantación en los diversos ámbitos del sector público autonómicoy las fases para su realización.

e) Los órganos y organismos responsables para su aplicación, seguimiento y evaluación, previendo las modificaciones organizativas que han de llevarse a cabo para ello.

f) Las medidas de difusión de las decisiones adoptadas y de la definición de las medidas necesarias a aplicar para su efectividad.

g) La definición del inventario de servicios Cloud del sector público autonómicoy la previsión de las medidas de difusión para que se conozca su existencia y modo de empleo, garantizando que éste se realice de forma homogénea.

h) Cualesquiera otras decisiones que sean precisas para la mejor aplicación y desarrollo de las tecnologías Cloud en el sector público autonómico.

Artículo 9. Usos de las tecnologías Cloud en el sector público autonómico. 

1.El tipo de uso de las tecnologías Cloud se decidirá en cada caso en función de la naturaleza de los datos y el adecuado y optimo uso de los recursos para la resolución de las necesidades tecnológicas.

2. Las decisiones se adoptarán conforme a lo que fije la normativa vigente en materia de seguridad de la información y de protección de datos de carácter personal, o cualquier otra que resulte de aplicación.

3. No se permitirá la transferencia de datos a países fuera del Espacio Económico Europeo, salvo aquellos supuestos previstos en la normativa vigente en materia de protección de datos personales.

4. Para las diferentes tecnologías se fijarán unos usos predominantes en los diferentes tipos de Cloud, los cuales podrán variar dependiendo de la evolución tecnológica. 

Artículo 10. Condiciones de uso de las tecnologías Cloud.

1. La Política Cloud fijará la tipología de servicios para los que el uso de las tecnologías Cloud está indicado y las condiciones para su utilización, salvaguardando en todo momento las máximas garantías de seguridad y continuidad de los servicios y de los sistemas de información del sector público autonómico.

2. Con el fin de garantizar la homogeneidad y facilidad en el uso y gestión de dichas tecnologías, se elaborarán las correspondientes guías de uso, interoperabilidad y gobernanza.

Artículo 11. Definición del modelo Cloud en el sector público autonómico.

La definición del modelo Cloud corresponderá a la entidad Aragonesa de Servicios Telemáticos. A estos efectos será la competente para llevar a cabo las siguientes funciones:

a) Realizar los procesos necesarios para la calificación de soluciones y servicios en la nube para el sector público autonómico. Aragonesa de Servicios Telemáticos será la competente para otorgar la calificación Solución Cloud Certificada de Aragón (SCCA) regulada en el capítulo III.

b) Proporcionar al sector público autonómico un punto de conexión con los diferentes proveedores Cloud para facilitar el desarrollo de servicios y soluciones. 

c) Establecer acuerdos de nivel de servicio estandarizados de aplicación a los distintos proveedores Cloud, que garanticen la calidad, seguridad, confidencialidad, resiliencia y sostenibilidad. 

Artículo 12. Medidas de apoyo al uso de infraestructuras y servicios de las tecnologías Cloud.

1.La entidadAragonesa de Servicios Telemáticosrealizará labores de difusión, entre los departamentos, organismos públicos de la Administración pública de la Comunidad Autónoma de Aragón y resto de sector público autonómico, del modelo tecnológico definido y establecerá mecanismos de uso del mismo que respondan a las necesidades detectadas.

2. La citada entidad colaborará con el Instituto Aragonés de Administración Pública para la realización de acciones formativas que garanticen la existencia de recursos humanos debidamente formados y capacitados para abordar el nuevo modelo de trabajo relacionado con el Clouden la administración.

Artículo 13. Requisitos de las soluciones Cloud.

Las soluciones que se desplieguen en los diferentes proveedoresde tecnologías Cloud deberán cumplir los siguientes requisitos:

a) Portabilidad. Las soluciones a desarrollar deberán ser portables entre los diferentes proveedores, para evitar ser cautivos de un determinado proveedor (“vendor locking”).

b) Automatización. Las soluciones deberán ofrecerse en la modalidad de infraestructura como código y tendrán la automatización como paradigma de diseño.

c) Propiedad. Los códigos, algoritmos y las automatizaciones que se desarrollen en el marco de los servicios Cloud serán siempre propiedad del Gobierno de Aragóny se pondrán a disposición pública bajo la Licencia Pública de la Unión Europea ( EUPL) o compatible, salvaguardando la ciberseguridad y la protección de datos.

d)Datos Abiertos.Las soluciones desplegadas deberán facilitar los flujos y accesos que sean necesarios para permitir que los datos que el sector público autonómico determine conforme a la normativa aplicable en esta materia, se utilicen como fuente de datos abiertos.

e) Ciberseguridad.Todos los servicios a desplegar en las infraestructuras Cloud deberán cumplir con la legislación vigente en materia de seguridad, en particular con el Esquema Nacional de Seguridad, la Política de Seguridad de la Información de Gobierno de Aragón y las directrices técnicas que marque en este sentido Aragonesa de Servicios Telemáticos. Las soluciones deberán seguir el paradigma de la seguridad desde el diseño. 

f)Protección de datos. Todos los servicios a desplegar en las infraestructuras Cloud, deberán cumplir con la normativa vigente en materia de protección de datos personales, con la Política de Protección de Datos de Gobierno de Aragón, así como con las directrices que,en el contexto de dichas disposiciones e instrumentos, establezca Aragonesa de Servicios Telemáticos.

g) Sostenibilidad.En aras de cumplir con los Objetivos de Desarrollo Sostenible 8, 9, 12 y 13establecidos por la Organización de las Naciones Unidas, los servicios a desplegar, así como las infraestructuras donde se alojen, deberán ser sostenibles minimizando los recursos consumidos, y para ello se establecerán objetivos concretos en el uso de fuentes de energía renovables y en la reducción de la huella de carbono.

SECCIÓN 2ª. PLAN DE ADAPTACIÓN DE INFRAESTRUCTURAS INFORMÁTICAS Y DIRECTRICES TÉCNICAS SOBRE LA IMPLANTACIÓN Y DESARROLLO DE LAS APLICACIONES CON TECNOLOGÍAS CLOUD

Artículo 14. Plan de Adaptación de las Infraestructuras Informáticas.

1. Con los objetivos de la eficiencia en el uso de los recursos, la homogeneización en la tecnología e infraestructuras, la agilidad y la innovación, la entidad Aragonesa de Servicios Telemáticos elaborará el Plan para la Adaptación de las Infraestructuras Informáticas para una mejor aplicación de la tecnología Cloud determinando las líneas estratégicas y requerimientos a cumplir. Este Plan será aprobado por acuerdo del Gobierno de Aragón, previo informe de la Comisión Interdepartamental para las tecnologías Cloud prevista en el artículo 39. 

2. El Plan será de obligado cumplimiento para todos los departamentos y organismos públicos de la Administración de la Comunidad Autónoma de Aragón conforme a lo que en él se determine para cada tipo de órgano o entidad.

3. El resto de los sujetos del sector público autonómico podránadherirse al Plan de Adaptación de las Infraestructuras Informáticas, en cuyo caso también les serán de obligatorio cumplimiento las Directrices Técnicas previstas en el artículo 16.

4. La Universidad de Zaragoza y las entidades que integran la Administración local aragonesa también podrá adherirse al Plan de Adaptación de las Infraestructuras Informáticas de acuerdo con lo indicado en el artículo 17. 

5.La vigencia del Plan será la establecida en el mismo.

Artículo 15. Contenido del Plan de Adaptación de las Infraestructuras Informáticas.

1. El Plan establecerá para cada servicio a desplegar un ciclo de vida para adaptar los requerimientos técnicos del mismo a las adaptaciones de infraestructuras, servicios involucrados y dependencias con el fin de optimizar los recursos públicos.

2. Para una transición ordenada hacía modelos de servicio basados en las tecnologías Cloud, el citado Plan, definirá un ecosistema de servicios y aplicaciones reutilizables con el fin de facilitar la transición de los actuales servicios a otros creados con la potencialidad, homogeneización, productividad, colaboración, seguridad y resiliencia necesarias.

3. En el caso de que se plantee la migración de servicios a una Cloud o Nube pública en los que existan datos de carácter especial conforme a la normativa vigente en materia de protección de datos personales, estos procesos serán objeto de especial atención y requerirán la realización de un análisis de riesgos y una evaluación de impacto por parte del órgano responsable de los datos, que garantice la portabilidad y la transparencia y la auditabilidad en el proceso de migración. 

Artículo 16. Directrices Técnicas sobre la implantación y desarrollo de las aplicaciones para las tecnologías Cloud.

Con la finalidad de garantizar la homogenización, la escalabilidad, la seguridad y la reutilización y el aprovechamiento eficiente de los recursos, Aragonesa de Servicios Telemáticos elaborará y aprobará las directrices técnicas para el desarrollo de aplicaciones de tecnologías Cloud que serán de obligado cumplimiento para los departamentos y organismos públicos de la Administración de la Comunidad Autónoma.

SECCION 3ª. RÉGIMEN DE ADHESIÓN

Artículo 17. Formalización de las adhesiones.

Las adhesiones previstas en este capítulo por parte de los sujetos del sector público autonómico institucional y las entidades que integran la Administración local aragonesa se formalizarán mediante el modelo de adhesión aprobado por acuerdo del Gobierno de Aragón.

CAPÍTULO III Solución Cloud Certificada de Aragón

Artículo 18. Concepto.

La Solución Cloud Certificada de Aragón (SCCA) es la calificación obtenida por los proveedores de tecnologías Cloud mediante resolución administrativa, que acredita, previa su constatación, que cumplen los requisitos establecidos en el artículo 21, produciendo la resolución los efectos determinados en el artículo 25.

Artículo 19.Finalidad.

La finalidad de la Solución Cloud Certificada de Aragón es asegurar y visibilizar la calidad, confiabilidad, seguridad y adecuación de los proveedores de tecnologías Cloud a las necesidades técnicas, normativas, de ciberseguridad y de acceso, en aras de incentivar la adopción de este tipo de tecnologías, facilitando tanto a las Administraciones Públicas como a otras entidades públicas o de derecho privado una garantía sobre los proveedores de tecnologías Cloud que ofrezcan sus servicios en Aragón.

Artículo 20. Denominación y marca.

La expresión "Solución Cloud Certificada de Aragón" y los signos que se asocien a ella al configurarse como marca serán propiedad exclusiva del Gobierno de Aragón una vez inscritos como marca en el Registro de Marcas por la Oficina Española de Patentes y Marcas, conforme a lo establecido en la Ley 17/2001, de 7 de diciembre, de Marcas.

Artículo 21. Requisitos.

1. Para obtener la calificación como Solución Cloud Certificada de Aragón los proveedores de servicios de tecnologías Cloud deberán acreditar el cumplimiento de los siguientes requisitos:

a) Requisitos administrativos:

1º. Hallarse al corriente en el cumplimiento de sus obligaciones en materia tributaria y de Seguridad Social, así como no tener deuda alguna con la Comunidad Autónoma de Aragón.

2º. Cumplir la normativa laboral con sus trabajadores. 

3º. Tener implantado un plan de igualdad entre mujeres y hombres, en aquellos supuestos en que la empresa esté obligada a ello por imperativo legal o convencional. 

4º. Estar comprometido con los Objetivos de Desarrollo Sostenible fijados por Organización de las Naciones Unidas en la Agenda 2030 sobre el Desarrollo Sostenible.

b) Requisitos técnicos: 

1º. Estar en posesión de una certificación vigente en el Esquema Nacional de Seguridad en su categoría Alta.

2º. Estar en posesión de todas las certificaciones vigentes, en la norma ISO 27001 (Sistemas de gestión de la seguridad de la Información), ISO 27017 (Controles de Seguridad para Servicios Cloud) e ISO 27018 (Código de práctica para la protección de identificación personal (PII) en nubes públicas que actúan como procesadores PII). 

3º. Cumplir con la normativa vigente en materia de protección de datos personales.

4º. Disponer de los medios que garanticen la no utilización, manipulación o tratamiento mediante algoritmos de los datos alojados en la Cloud, ni por parte del proveedor ni por parte de terceros.

5º. Asegurar en todo momento la localización de los servidores en los que se encuentran los datos de carácter personal, así como el compromiso de comunicar cualquier cambio al respecto, garantizando el ejercicio de los derechos de protección de datos.

6º. Disponer de al menos tres zonas de disponibilidad diferenciadas para prestar los servicios Cloud.

7º. Disponer, para los servicios que así se consideren, de presencia en el territorio de la Unión Europea.

8º. Disponer, para los servicios que así se consideren, de presencia en el territorio del Estado español.

9º. Disponer, para los servicios que así se consideren, de presencia en el territorio de la Comunidad Autónoma de Aragón, para garantizar una latencia mínima de interconexión.

10º. Garantizar el nivel de accesibilidad delas personas usuariassobre el control de sus datos.

11º. Garantizar el nivel de interoperabilidad entre sus diferentes servicios a nivel de API.

12º. Disponer de un plan de prevención y gestión de riesgos de seguridad.

2. Mediante Orden de la persona titular del departamento competente en materia de nuevas tecnologías podrán concretarse los requisitos técnicos mínimos establecidos en el apartado 1, así como establecer otros requisitos y la forma de acreditar su concurrencia.

Artículo 22. Procedimiento.

1. El procedimiento para el otorgamiento de la calificación como Solución Cloud Certificada de Aragón se iniciará a solicitud del proveedor, previa convocatoria efectuada mediante orden de la persona titular del departamento competente en materia de nuevas tecnologías. Dicha convocatoria se publicará en el Boletín Oficial de Aragón y en la sede electrónica del Gobierno de Aragón. 

A la solicitud se adjuntará la documentación preceptiva que indique la convocatoria.

2. La instrucción del procedimiento corresponderá a la entidad Aragonesa de Servicios Telemáticos y se tramitará electrónicamente en todas sus fases, estando obligadas las personas interesadas a relacionarse electrónicamente con la Administración.

3. La valoración técnica para el otorgamiento de la calificación se efectuará por una comisión técnica de evaluación determinada en la correspondiente convocatoria y que estará compuesta por la persona que ejerza la presidencia y, al menos, por cuatro vocalías, así como por la persona que ejerza la secretaría.

Artículo 23. Resolución.

1. La competencia para resolver corresponderáa la persona titular de la Dirección Gerencia de Aragonesa de Servicios Telemáticos.

2. A la vista de la propuesta elevada por la comisión técnica de evaluación la persona titular de la Dirección Gerencia de Aragonesa de Servicios Telemáticos dictará una resolución motivada, sobre cada una de las solicitudes de calificación de Solución Cloud Certificada de Aragón. 

3. Las resoluciones que otorguen la calificación de Solución Cloud Certificada de Aragón, además de identificar al proveedor de tecnologías Cloud determinarán, los servicios para los que se concede, el periodo de validez y las obligaciones más significativas que para el operador implica la calificación.

4. El plazo máximo para notificar la resolución expresa será de tres meses a contar desde la fecha en que la solicitud haya tenido entrada en el registro electrónico del Gobierno de Aragón. Transcurrido dicho plazo máximo sin haberse notificado resolución expresa la persona interesada podrá entender desestimada su solicitud por silencio administrativo y poder interponer los recursos que procedan. 

5. Se creará un apartado en el Portal del Gobierno de Aragón en el que se dará publicidad sobre las empresas proveedoras de servicios de tecnologías Cloud que han obtenido la calificación de Solución Cloud Certificada de Aragón, así como el plazo de validez de su calificación. 

Artículo 24. Validez.

1. La calificación de Solución Cloud Certificada de Aragón tendrá una validez de dos años contados desde el día siguiente al de la notificación de la resolución de calificación.

2. La calificación podrá ser renovada por sucesivos periodos de dos años. Las entidades titulares de la calificación de Solución Cloud Certificada de Aragón deberán solicitar su renovación al menos con tres meses de antelación a la fecha de finalización de su validez.

3. Para las sucesivas renovaciones las entidades deberán aportar la documentación adicional que en ese momento sea de obligada presentación.

Artículo 25. Efectos.

1. La obtención de la calificación de Solución Cloud Certificada de Aragón permitirá que el proveedor pueda identificarse en sus documentos, instrumentos de comunicación y publicidad como titular de tal calificación e indicar que es una calificación otorgada por el Gobierno de Aragón, lo que deberá hacer recogiendo fielmente la representación gráfica de la marca prevista en el artículo 20 una vez inscrita ésta en el Registro de Marcas.

2. La obtención de la calificación de la Solución Cloud Certificada de Aragón podrá recogerse como criterio de valoración en las bases reguladoras de subvenciones que el sector público autonómico pueda aprobar en materia de sociedad de la información y nuevas tecnologías. Asimismo, podrá recogerse como criterio de valoración o preferencia en las disposiciones que pongan en marcha otras medidas de fomento. También podrá incluirse como criterio de valoración y criterio de solvencia en los procedimientos de contratación pública.

Artículo 26. Obligaciones.

Los proveedores que hayan obtenido la calificación de la Solución Cloud Certificada de Aragón estarán sujetos a las siguientes obligaciones:

a) Mantener durante el tiempo de validez de la calificación, las condiciones que les hayan permitido obtenerla. 

b) Comunicar a Aragonesa de Servicios Telemáticos cualquier circunstancia que pueda suponer una modificación de los requisitos que justificaron su calificación, así como las variaciones que se produzcan en los datos inscritos en el Registro Electrónico de Proveedores de la Solución Cloud Certificada de Aragón que se determinan en el artículo 28. Estas comunicaciones deberán efectuarse en un plazo máximo de diez días. 

c) Utilizar la denominación "Solución Cloud Certificada de Aragón" y los signos que se asocien a ella al configurarse como marca con total exactitud y asociada al nombre del proveedor. 

d) Identificar y notificar a Aragonesa de Servicios Telemáticos aquellas brechas de seguridad de la información que afecten a los datos alojados o que constituyan un riesgo para los derechos y libertades de las personas.

e) Identificar y notificar a Aragonesa de Servicios Telemáticos aquellos incidentes que supongan una disfunción sobre los servicios prestados.

f) Notificar a Aragonesa de Servicios Telemáticos la discontinuidad de productos o servicios con, al menos, seis meses de antelación para poder hacer los cambios oportunos en los servicios. 

g) Cumplir con las obligaciones y responsabilidades que como encargado del tratamiento de datos establezca el ordenamiento jurídico. 

h) Cualesquiera otras que pudieran fijarse en la convocatoria, en las disposiciones vigentes y en la resolución de calificación como Solución Cloud Certificada de Aragón.

Artículo 27. Seguimiento y control.

1. Aragonesa de Servicios Telemáticos podrá realizar en cualquier momento los controles yauditorías que considere precisos para constatar que los proveedores que hayan obtenido la calificación siguen cumpliendo los requisitos exigidos para su obtención y que están realizando un correcto uso de esa calificación.

2. Los proveedores prestarán la colaboración precisa a Aragonesa de Servicios Telemáticos cuando esta realice las labores de seguimiento y control necesarias para hacer efectivo lo previsto en el apartado anterior, en particular facilitarán cuanta información y documentación les sea requerida.

3. Cuando como consecuencia de sus funciones de control Aragonesa de Servicios Telemáticos detecte algún tipo de incumplimiento por parte del proveedor, le requerirá para que subsane las deficiencias en un plazo acorde con la naturaleza de las condiciones que deba subsanar. 

4. Cuando Aragonesa de Servicios Telemáticos detecte que el proveedor no cumple ya los requisitos para ser titular de la citada calificación o aprecie graves incumplimientos en el uso de esta calificación, la persona titular de la Dirección Gerencia de Aragonesa de Servicios Telemáticos podrá suspender la eficacia de la calificación hasta que se adopte una decisión definitiva sobre la revocación o mantenimiento de la calificación.

5. En el supuesto de que las deficiencias no fueran subsanables o en el caso que siéndolo no fueran corregidas en el plazo otorgado, la persona titular de la Dirección Gerencia de Aragonesa de Servicios Telemáticos dictará resolución procediendo a revocar la calificación.

6. La suspensión o la revocación de la calificación se efectuará conforme al correspondiente procedimiento administrativo, en el que se concederá trámite de audiencia a las personas interesadas por un plazo máximo de quince días para que puedan aportar cuantas alegaciones, documentos o informaciones estimen convenientes. 

7. Los actos de suspensión o revocación previstos en este artículo no tendrán la consideración de sanción.

Artículo 28. Registro Electrónico de Proveedores de la Solución Cloud Certificada de Aragón.

1. Se crea el Registro Electrónico de Proveedores de la Solución Cloud Certificada de Aragón en el que se inscribirán los proveedores que hayan obtenido tal calificacióny los datos relativos a la misma.

2. El Registro se gestionará por la entidad Aragonesa de Servicios Telemáticos. 

3. Serán inscritas de oficio las resoluciones de calificación, modificación, suspensión, revocación o cualquier otro acto que afecte al contenido de las calificaciones, así como las modificaciones de otros datos de los proveedores que sean comunicadas. 

4. Los datos que constarán en el Registro respecto a cada proveedor de servicios que haya obtenido la calificación serán los siguientes: 

a) Denominación social.

b) NIF.

c) Domicilio social.

d) Datos o vías de contacto.

e) Servicios de tecnologías Cloud que presta.

f) Disponibilidad de oficinas en la Unión Europea, en España o en Aragón, según corresponda, así como los datos de la ubicación y contacto.

g) Fecha de fin de validez de la calificación como Solución Cloud Certificada de Aragón.

5. Los datos del Registro serán públicos, pudiendo acceder a ellos cualquier persona física o jurídica.

Los datos se publicarán como dato abierto a través de la plataforma de datos abiertos del Gobierno de Aragón “Aragón Open Data”, informándose de la existencia y contenido del Registro a través del Portal del Gobierno de Aragón y de la web de Aragonesa de Servicios Telemáticos.

CAPÍTULO IV Medidas en materia de contratación pública

Artículo 29. Finalidad.

1. Aragonesa de Servicios Telemáticos en el marco de las funciones que le corresponden conforme al artículo 4 de la Ley 7/2001, de 31 de mayo, de creación de la Entidad Pública Aragonesa de Servicios Telemáticos, será la competente para el diseño y contratación de los servicios de Tecnologías Cloud de la Administraciónde la Comunidad Autónoma de Aragón y sus organismos públicos vinculados o dependientes de acuerdo con la Política Cloud aprobada por el Gobierno de Aragón.

Para llevar a cabo la contratación y ejecución ordenada y coherente en los servicios de Tecnologías Cloud, se utilizarán preferentemente las técnicas de racionalización de la contratación que se establezcan en la legislación en materia de contratación pública, para garantizar la máxima portabilidad e interoperabilidad, así como favorecer la búsqueda y desarrollo de soluciones innovadoras en los mismos, de acuerdo con la Política Cloud aprobada por el Gobierno de Aragón. También, Aragonesa de Servicios Telemáticos podrá elaborar guías, recomendaciones o documentos similares que faciliten su aplicación y gestión del conocimiento.

2. Las sociedades, fundaciones y las restantes entidades del sector público institucional no incluidas en el apartado 1, así como las Entidades locales aragonesas y sus Organismos Autónomos y entes dependientes de ellas, podrán adherirse al sistema de contratación de servicios de Tecnologías Cloud que se elija, mediante la formalización del correspondiente convenio.

Artículo 30. Compra pública de innovación de tecnologías Cloud.

Cuando las soluciones disponibles en el mercado no satisfagan las necesidades del sector público autonómico en materia de Tecnologías Cloud se incentivarán los procesos de búsqueda, creación y contratación de soluciones innovadoras, dentro de lo establecido en la legislación vigente en materia de contratación pública.

CAPÍTULO V Otras medidas de impulso y fomento parala aplicación y el desarrollo de las tecnologías Cloud en Aragón

Artículo 31. Medidas de impulso y fomento dirigidas al sector privado.

El Gobierno de Aragón impulsará y fomentará la aplicación y el desarrollo de las tecnologías Cloud mediante las siguientes medidas:

a) El desarrollo de programas de asesoramiento al sector privado sobre el uso de las tecnologías Cloud. 

b) El establecimiento de líneas de subvenciones dirigidas al fomento del uso de las tecnologías Cloud por parte de las empresas, personas emprendedoras y profesionales ubicados en Aragón. 

c) El diseño de programas para la difusión y promoción del uso de las tecnologías Cloud.

Artículo 32. Medidas de impulso relacionadas con la capacitación profesional.

S e desarrollarán líneas de capacitación profesional en tecnologías C loud dirigidas a diversos niveles profesionales, dentro de los programas anuales de formación ofrecidos por el Instituto Tecnológico de Aragón (ITAINNOVA), y por el Instituto Aragonés de Empleo (INAEM).

Artículo 33. Medidas de impulso relacionadas con la formación reglada.

Con el fin de fomentar la formación en tecnologías Cloud en la enseñanza en todos sus niveles, incluidos la formación profesional y la enseñanza superior, los órganos competentes, en el ejercicio de las competencias autonómicas, analizarán, respecto del currículo, el diseño de especializaciones, la adaptación curricular y la actualización de los planes de estudios en los títulos relativos a los ámbitos de las tecnologías de la información y las comunicaciones, la inclusión de enseñanzas dirigidas a dicha formación y a la de otras nuevas tendencias tecnológicas. 

Artículo 34. Medidas relacionadas con el fomento de la confianza digital.

1. Con el fin de fomentar la transparencia y el acceso a los datos, el Gobierno de Aragón dictará las normas, directrices e instrucciones internas que sean necesarias para poner a disposición de la ciudadanía, con medios seguros, el acceso a través de tecnologías Cloud a los datos que obren en su poder.

2. El Gobierno de Aragón en aras a garantizar la seguridad y la soberanía de la ciudadanía sobre la información y los datos críticos de los que el sector público autonómico dispone, elaborará y aprobará un documento en el que se recogerán las medidas que va a llevar a cabo para garantizar la máxima protección de los datos que se alojen en la Cloud pública, especialmente de los datos de carácter personal, y los compromisos de protección y tutela que adquiere sobre ellos.

Artículo 35. Medidas relacionadas con la transparencia y publicidad.

Sin perjuicio del cumplimiento de los principios de publicidad y transparencia en la contratación de los servicios objeto de esta ley, todos los documentos técnicos, guías y modelos de cláusulas y pliegos tipo deberán ser publicados en el Portal del Gobierno de Aragón y en la web de Aragonesa de Servicios Telemáticos.

CAPÍTULO VI Gobernanza de las tecnologías Cloud

Artículo 36. Marco de la gobernanza de las tecnologías Cloud.

1.La entidad Aragonesa de Servicios Telemáticos establecerá el marco de la gobernanza idónea para la aplicación y desarrollo de las tecnologías Cloud del sector público autonómico al que podrán adherirse el resto de las Administraciones públicas de Aragón.

2. Se establecerá un entorno seguro que permita a los grupos de trabajo la realización de las tareas de forma independiente y se generarán ubicaciones determinadas (landing zones) en los diferentes proveedores Cloud, donde se provean los servicios al sector público autonómico, en las cuales se establecerán los parámetros de gobernanza necesarios.

Artículo 37. Objetivos de la gobernanza de las tecnologías Cloud.

Los objetivos de la gobernanza de las tecnologías Cloud serán:

a) La gestión centralizada del entorno multicuenta.

b) Facilitar la supervisión de las políticas de seguridad y protección de datos y su cumplimiento.

c) La federación de sistemas de gestión de identidades.

d) La correcta asignación de roles y permisos.

e) La centralización de registros de actividad de los sistemas (logs) para la gestión de cambios y auditorías.

f) La gestión adecuada del coste e imputación del pago por uso.

Artículo 38. Etiquetado.

1. Aragonesa de Servicios Telemáticos establecerá en el marco de la Política Cloud una política de etiquetado tagging en donde se reflejen las características de cada activo desplegado en las tecnologías Cloud, que permita una identificación total y clara de cada componente y asegure una traslación adecuada a cada órgano o entidad de la propiedad y el coste de los servicios.

2. Aragonesa de Servicios Telemáticosestablecerá una política base de etiquetado que podrá ampliarse por cada entidad, según sus necesidades. 

Artículo39. Comisión Interdepartamental para las Tecnologías Cloud.

1. Se crea la Comisión Interdepartamental paralas Tecnologías Cloudcomo órgano colegiado adscrito al departamento competente en materia de nuevas tecnologías cuyo fin es la coordinación, impulso y comunicación de las acciones referentes a las tecnologías en la nube en el sector público autonómico. 

2. La Comisión Interdepartamental ejercerá las siguientes funciones, que podrán ser ampliadas mediante orden de la persona titular del departamento competente en materia de nuevas tecnologías, dentro su ámbito competencial sobre las tecnologías Cloud:

a) Elaborar propuestas para la configuración y mantenimiento de la Política Cloud por parte de AST y los planes de adaptación de infraestructuras informáticas.

b) Elaborar propuestas para la determinación de los requisitos técnicos del modelo de Cloud o nube híbrida y el marco de gobernanza dentro del sector público autonómico.

c) Detectar las carencias técnicas y formativas para establecer planes de actuación.

d) Supervisar y asegurar la coherencia de la normativa y gobernanza de las tecnologías Cloud.

e) Proponer criterios comunes y metodologías a utilizar en el contexto de las tecnologías Cloud.

f) Supervisar y coordinar la implantación de aquellos criterios de buen uso y obligaciones legales sobre protección de datos. 

g) Coordinar la acción del sector público autonómico en materia de tecnologías Cloud. 

h) Informar el Plan para la Adaptación de las Infraestructuras Informáticas.

i) Aquellas otras funciones que le sean atribuidas por el ordenamiento jurídico. 

3. La Comisión Interdepartamental para las tecnologías Cloud está compuesta por:

a) La presidencia: La persona titular de la Dirección Gerencia de Aragonesa de Servicios Telemáticos.

b) Las vocalías, que corresponderán a las siguientes personas:

1º. Una persona designada por la Secretaría General Técnica de cada departamento de la Administración de la Comunidad Autónoma de Aragón, entre las personas responsables de las tecnologías de la información y la comunicación. 

2º Una persona designada por la dirección de cada organismo autónomo de la Administración de la Comunidad Autónoma de Aragón, entre las personas responsables de las tecnologías de la información y la comunicación.

3º Una persona designada por la dirección de la Corporación de Empresas Públicas de Aragón en representación de las sociedades mercantiles autonómicas.

4º Una persona designada por la Universidad de Zaragoza en representación de las universidades públicas integradas en el Sistema Universitario de Aragón.

c) La persona que ejerza de secretario o secretaria que será designada por la Dirección Gerencia de Aragonesa de Servicios Telemáticos de entre su personal.

d) La persona titular de la Unidad Responsable de Seguridad de la Información (CISO) del Gobierno de Aragón, así como la persona responsable de seguridad de Aragonesa de Servicios Telemáticos participarán, con voz, pero sin voto, en las reuniones de la Comisión. 

e) La persona titular de la Unidad de Protección de Datos del Gobierno de Aragón, así como la persona que ejerza como Delegado o Delegada de Protección de Datos de Aragonesa de Servicios Telemáticos participarán con voz, pero sin voto, en las sesiones de la Comisión.

4. En las sesiones de la Comisión participarán asesores externos, siempre que se estime conveniente por parte de la presidencia de la misma.

5. La Comisión se reunirá con carácter ordinario, al menos, una vez al año. La presidencia de la Comisión podrá convocar sesiones de carácter extraordinario.

6. La Comisión podrá establecer sus propias normas de funcionamiento y, en su defecto, se regirá por lo dispuesto en la normativa aplicable a los órganos colegiados de la Administración de la Comunidad Autónoma de Aragón. 

Disposición adicional primera. Política Cloud del sector público autonómico.

La Política Cloud del sector público autonómico previsto en el artículo 5, deberá aprobarse por el Gobierno de Aragón dentro del plazo de tres meses desde la entrada en vigor de esta ley.

Disposición adicional segunda. Plan de Adaptación de las Infraestructuras Informáticas.

El Plan de Adaptación de las Infraestructuras Informáticas para las tecnologías Cloud previsto en el artículo 14, deberá aprobarse por el Gobierno de Aragón dentro del plazo de seis meses desde la adopción del acuerdo de aprobación de la Política Cloud del sector público autonómico.

Disposición adicional tercera. Constitución de la Comisión Interdepartamental para las Tecnologías Cloud. 

En el plazo máximo de tres meses desde la entrada en vigor de esta ley, se procederá a la constitución de la Comisión Interdepartamental para las Tecnologías Cloud.

Disposición adicional cuarta. Protección de datos.

1. A los efectos previstos en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, los datos personales recabados como consecuencia de la inscripción de datos personales en el Registro Electrónico de Proveedores de la Solución Cloud Certificada de Aragón previsto en esta ley serán incorporados a las actividades de tratamiento que les corresponda. 

2. Se podrá consultar la información detallada sobre dichas actividades de tratamiento en el Registro de Actividades de Tratamiento de datos de carácter personal del Gobierno de Aragón. 

Disposición final primera. Habilitaciones específicas a la persona titular del departamento competente en materia de nuevas tecnologías. 

Se habilita a la persona titular del departamento competente en materia de nuevas tecnologías para regular mediante orden el procedimiento para el otorgamiento de la Solución Cloud Certificada de Aragón previsto en el Capítulo III, la concreción y establecimiento de los requisitos técnicos mínimos para obtener la citada Solución conforme a lo previsto en el artículo 21 así comoel Registro Electrónico de Proveedores de la Solución Cloud Certificada de Aragón.

Disposición final segunda. Habilitación al Gobierno de Aragón.

Se habilita al Gobierno de Aragón para dictar cuantas disposiciones sean necesarias para el desarrollo y aplicación de lo dispuesto en esta ley.

Disposición final tercera. Entrada en vigor.

Esta ley entrará el vigor el día siguiente al de su publicación en el Boletín Oficial de Aragón.