1. Introducción: Gobernanza TIC en las Administraciones Públicas

1.1. ¿Por qué es Necesaria una Gobernanza TIC Formal?

Las TIC en una administración pública moderna NO pueden gestionarse de forma descentralizada, caótica o reactiva. Se requiere una gobernanza TIC formal por múltiples razones:

1. Inversión Pública Significativa

• La Junta de Andalucía invierte anualmente cientos de millones de euros en TIC (infraestructuras, sistemas, personal, licencias, servicios…).
• El SAS específicamente gasta ~150-180 M€/año solo en TIC.
• Esa inversión debe estar justificada, planificada, controlada y auditada.

2. Complejidad Organizativa

• La Junta tiene 12 consejerías, decenas de organismos autónomos (SAS, empresas públicas…), 8 provincias, 786 municipios relacionados…
• Miles de empleados públicos usan sistemas TIC diariamente.
• Sin coordinación central, cada consejería tendría sistemas incompatibles → caos informativo.

3. Obligaciones Legales

• ENI (Esquema Nacional de Interoperabilidad): Obligatorio cumplir estándares de interoperabilidad.
• ENS (Esquema Nacional de Seguridad): Obligatorio proteger sistemas de información.
• RGPD: Protección de datos personales.
• Ley 39/2015 (Procedimiento Administrativo Común): Administración electrónica obligatoria.
• Ley 40/2015 (Régimen Jurídico del Sector Público): Gobernanza de servicios comunes.

4. Eficiencia y Ahorro

• Economías de escala: Comprar una licencia Microsoft para toda la Junta es más barato que cada consejería comprando por separado.
• Reutilización: Un sistema desarrollado para Educación puede adaptarse para Salud.
• Evitar duplicidades: No desarrollar 3 veces el mismo sistema.

5. Seguridad y Resiliencia

• Ciberataques son una amenaza real (ransomware al SAS en 2020, ataque a Junta en 2023…).
• Se necesita coordinación centralizada: CERT autonómico, políticas de seguridad homogéneas, monitorización 24/7.

1.2. Modelo de Gobernanza TIC: Corporativo vs Sectorial

En la Junta de Andalucía, como en muchas administraciones grandes, conviven DOS modelos organizativos TIC:

Relación SGAD ↔ TIC Sectorial (como el SAS):

• SGAD marca directrices: Política informática, estándares, contratación centralizada (acuerdos marco), seguridad (ENS), interoperabilidad (ENI).
• TIC Sectorial (SAS) implementa: Desarrolla sistemas específicos (Diraya, PACS…), pero debe seguir las directrices SGAD.
• Coordinación: Comisiones mixtas, instrucciones técnicas, planes conjuntos.
• Tensión natural: SGAD busca homogeneidad y control; TIC Sectorial busca autonomía y agilidad para responder a necesidades específicas. Esta tensión es normal y gestionable, pero requiere equilibrio.

1.3. Estructura Administrativa de la Junta de Andalucía (Contexto General)

Para entender la gobernanza TIC, primero hay que conocer la estructura general de la Junta:

Nivel Político (Gobierno)

• Presidente de la Junta: Máxima autoridad.
• Consejo de Gobierno: Órgano colegiado formado por Presidente + Consejeros.
• Consejerías (actualmente 12): Salud y Consumo, Educación, Hacienda, Política Industrial y Energía, Justicia, etc.

Nivel Administrativo

• Secretarías Generales: Órganos directivos horizontales que dan soporte a todas las consejerías.
• Secretaría General de Administración Digital (SGAD): ¡Aquí está el TIC corporativo!
• Direcciones Generales: Órganos ejecutivos dentro de cada consejería.
• Organismos Autónomos: Entidades con personalidad jurídica propia (ej: SAS, Agencia Tributaria…).
• Empresas Públicas: SANDETEL (TIC), EGMASA, EXTENDA…

El SAS en la Estructura

• El Servicio Andaluz de Salud es un organismo autónomo de carácter administrativo adscrito a la Consejería de Salud y Consumo.
• Creado por Ley 2/1998, de 15 de junio, de Salud de Andalucía.
• Tiene autonomía de gestión (presupuesto propio, contratación propia, personal propio…).
• Pero está sometido a:
  • Normativa autonómica general (TIC, contratación, RRHH…).
  • Directrices de la Consejería de Salud.
  • Coordinación con SGAD en materia TIC.

1.4. Principios de la Gobernanza TIC Autonómica

La política TIC de la Junta de Andalucía se fundamenta en los siguientes principios (extraídos de normativa y planes estratégicos):

1. Ciudadanía en el Centro

• Los servicios digitales deben estar diseñados desde la perspectiva del usuario (ciudadano, empresa, profesional público).
• Facilidad de uso, accesibilidad universal, multicanal (web, app móvil, presencial…).

2. Administración Electrónica Total

• Objetivo: 100% de trámites disponibles online.
• Oficinas de registro electrónico, firma digital, notificaciones telemáticas, expediente electrónico…

3. Interoperabilidad

• Cumplimiento estricto ENI.
• Sistemas de diferentes consejerías deben comunicarse (ej: Diraya con Educación para salud escolar).
• Interoperabilidad con AGE y otras CCAA.

4. Seguridad y Protección de Datos

• Cumplimiento ENS (nivel ALTO para sistemas críticos como Diraya).
• Cumplimiento RGPD.
• CERT autonómico (Centro de Respuesta a Incidentes).
• Concienciación y formación en ciberseguridad.

5. Eficiencia y Sostenibilidad

• Racionalización del gasto TIC (evitar duplicidades).
• Reutilización de soluciones (software, código, arquitecturas…).
• Green IT: Eficiencia energética de CPD, equipos con certificación ambiental.

6. Innovación y Transformación Digital

• Impulso de tecnologías emergentes: IA, Big Data, IoT, Blockchain, 5G…
• Colaboración público-privada (proyectos piloto con empresas tecnológicas).
• Participación en proyectos europeos (fondos Next Generation EU).

7. Transparencia y Datos Abiertos

• Portales de datos abiertos (OpenData Andalucía).
• Publicación de código fuente de aplicaciones (cuando sea posible).
• Rendición de cuentas: publicar planes, presupuestos, resultados.

8. Talento y Capacitación

• Formación continua de empleados públicos en competencias digitales.
• Atracción y retención de talento TIC (bolsas de trabajo especializadas, mejora condiciones…).
• Colaboración con universidades (prácticas, investigación aplicada).

1.5. Desafíos de la Gobernanza TIC Autonómica

La gobernanza TIC en una administración del tamaño de la Junta NO es sencilla. Enfrenta desafíos importantes:

1. Complejidad Organizativa

• Coordinar TIC de 12 consejerías + organismos autónomos + empresas públicas es complicado.
• Cada consejería tiene su cultura organizativa, sus prioridades, sus ritmos…

2. Sistemas Legacy

• Muchos sistemas críticos tienen décadas de antigüedad (ej: partes de Diraya tienen >20 años).
• Migrar o modernizar sin interrumpir servicios es muy costoso y arriesgado.

3. Restricciones Presupuestarias

• El presupuesto TIC es significativo pero limitado.
• Hay que priorizar inversiones: ¿nuevo sistema o mantenimiento del existente?

4. Ritmo de Cambio Tecnológico

• La tecnología evoluciona rapidísimo (cloud, IA, 5G…).
• La administración pública tiene procesos lentos (contratación, aprobaciones, normativa…).
• Brecha entre velocidad tecnológica y burocracia administrativa.

5. Ciberseguridad

• Amenazas crecientes: Ransomware, APT (Advanced Persistent Threats), phishing…
• Atacantes cada vez más sofisticados (grupos organizados, estados hostiles…).
• Superficie de ataque amplia (miles de equipos, empleados, servicios online…).

6. Brecha Digital

• No toda la ciudadanía tiene competencias digitales (mayores, zonas rurales…).
• Hay que ofrecer canales presenciales alternativos, pero fomentar progresivamente lo digital.

7. Gestión del Cambio

• Empleados públicos pueden ser resistentes a cambios (nuevos sistemas, nuevos procesos…).
• Necesidad de formación, comunicación, acompañamiento.

2. Órganos TIC de la Junta de Andalucía: estructura, competencias y funcionamiento

2.1. Marco Orgánico: Consejería competente en TIC

• La competencia TIC en la Junta de Andalucía se ha ubicado tradicionalmente en la Consejería responsable de Administración Pública y/o Política Industrial y Energía (según reparto de competencias vigente a fecha de 2025).
• Actualmente, la Consejería de la Presidencia, Administración Pública e Interior asume el liderazgo en transformación digital y políticas informáticas.
• A través de la Secretaría General de Administración Digital (SGAD) y la Dirección General de Transformación Digital.

2.2. Secretaría General de Administración Digital (SGAD)

• Órgano central para la elaboración, coordinación y ejecución de la política informática y digital de la Junta.
• Responsable de:
  • Definir estándares, procedimientos y normativa TIC transversal.
  • Coordinar la contratación centralizada de TIC (acuerdos marco, homologación proveedores).
  • Gestionar infraestructuras TIC corporativas: CPDs, correo, redes, sistemas de autenticación, cloud corporativo, plataformas horizontales (firma, notificación, portales web, ERP, etc.).
  • Coordinar y formar a los equipos TIC de consejerías y organismos.
  • Supervisar el cumplimiento de seguridad y ENS en toda la Junta.
• Desde mediados de 2023, lidera directamente la estrategia de inteligencia artificial, ciberseguridad y análisis de datos masivos para toda la admón. autonómica.

2.3. Dirección General de Transformación Digital e Innovación

• Órgano ejecutivo dependiente de la SGAD.
• Responsable de poner en marcha y ejecutar los grandes planes y proyectos de transformación digital corporativos:
  • Implantación e interoperabilidad de la administración electrónica en la Junta y relaciones con AGE/CCAA.
  • Digitalización de procedimientos y expedientes administrativos.
  • Plataformas de innovación, datos abiertos, gobierno digital.
  • Modernización de infraestructuras y cloud computing transversal.
• Impulsa iniciativas como Open Data Andalucía, digitalización interna del registro, evolución de plataformas de tramitación y Portafirmas.

2.4. Comisión de Política TIC y Otros Órganos Colegiados

• La Comisión de Política TIC es un órgano colegiado consultivo, presidido por la SGAD, donde participan representantes TIC de todas las consejerías y organismos principales.
• Funciones:
  • Coordinar y validar los grandes proyectos TIC transversales y sectoriales (salud, educación, justicia, …).
  • Elaborar directrices y planes anuales de actuación.
  • Supervisar el cumplimiento de la política informática.
• Además existen subcomités y grupos de trabajo específicos TIC: ciberseguridad, interoperabilidad, contratación, innovación, etc.
• Comisión de Seguridad TIC: supervisa políticas ENS, incidentes, informes CERT autonómico, revisa respuesta ante ciberataques y coordina campañas de concienciación y formación digital.

2.5. Soporte Corporativo TIC: SANDETEL y servicios compartidos TIC

• SANDETEL (Sociedad Andaluza para el Desarrollo de las Telecomunicaciones) es la empresa pública TIC de la Junta de Andalucía (adscrita a SGAD).
• Funciones principales:
  • Proporcionar servicios TIC corporativos a toda la Junta y sus organismos.
  • Consultoría y soporte para despliegues masivos: virtualización, alojamiento servidores, implantación de escritorio virtual, soporte a usuarios, integración de sedes, helpdesk centralizado.
  • Gestión de proyectos clave (migración cloud, despliegues de redes NextGen, auditoría PCI-DSS, servicios de seguridad y monitorización).
  • Participación en licitaciones TIC centralizadas como «medio propio» (art. 32 LCSP).
• Gestión de infraestructuras críticas: datacenters centrales de la Junta (CPD Pabellón de Francia y CPD Américo Vespucio), red troncal Junta, backbone para sanidad y educación.
• Servicio de soporte integral a plataformas horizontales: correo, centralita telefónica corporativa, VPN, backup cloud, etc.

2.6. Otros órganos técnicos y consultivos relevantes

• Comités sectoriales TIC en grandes áreas (salud, educación, justicia…): asesoran y dan soporte a la especialización TIC en cada rama.
• Grupo de Expertos en Innovación Sanitaria Digital (especialmente relevante para proyectos IA, Big Data y futuro de Diraya).
• Oficina de Protección de Datos de la Junta: órgano horizontal para coordinación RGPD y gestión de delegados de protección de datos sectoriales.
• CERT Junta de Andalucía (Centro de Respuesta a Incidentes TIC): coordinación contingencias, plan de crisis y labor proactiva de ciberseguridad.

2.7. Organigrama TIC Corporativo 2025 (esquema de referencia)

• Presidencia Junta
  • Consejería de la Presidencia, Administración Pública e Interior
    • Secretaría General de Administración Digital (SGAD)
      • Dirección General de Transformación Digital e Innovación
      • SANDETEL (empresa pública TIC, medio propio)
      • Comisión de Política TIC
      • Comisión de Seguridad TIC
  • Secretarías técnicas/personales de Consejerías sectoriales (incluye TIC sectorial como Subdirección TI del SAS)

Visualización resumen:

• SGAD: cerebro normativo y coordinador, gran decisor TIC corporativo.
• Dirección General Digital: ejecutora de los planes estratégicos y proyectos clave.
• SANDETEL: músculo operativo para infra, soporte y proyectos.
• Comisiones y grupos: espacios para resolver casuística, innovar y coordinar sectorialmente.

3. Órganos TIC del Servicio Andaluz de Salud (SAS): Tu futuro entorno de trabajo

3.1. El SAS como Organismo Autónomo: Autonomía y Coordinación

Naturaleza Jurídica del SAS

• El Servicio Andaluz de Salud (SAS) es un organismo autónomo de carácter administrativo adscrito a la Consejería de Salud y Consumo.
• Creado por la Ley 2/1998, de 15 de junio, de Salud de Andalucía (art. 22-33).
• Tiene personalidad jurídica propia y autonomía de gestión para el cumplimiento de sus fines.

Autonomía TIC del SAS

• El SAS tiene presupuesto propio para TIC (~150-180 M€/año).
• Puede contratar servicios y sistemas TIC específicos para sus necesidades (Diraya, PACS, sistemas clínicos…).
• Gestiona su propia infraestructura TIC (servidores, redes hospitalarias, equipamiento microinformático…).
• PERO debe coordinarse con la SGAD en:
  • Cumplimiento de normativa TIC autonómica (Orden Política Informática, ENS, ENI).
  • Uso de acuerdos marco centralizados cuando existan.
  • Interoperabilidad con otros sistemas de la Junta.
  • Seguridad (coordinación con CERT autonómico).

Volumen TIC del SAS (contexto cuantitativo)

• ~35.000 profesionales sanitarios usuarios de sistemas TIC (médicos, enfermeras, administrativos, técnicos…).
• ~1.500 centros sanitarios: 35 hospitales, 1.500+ centros de salud, consultorios locales, servicios centrales…
• ~40.000 puestos de trabajo informáticos (PCs, portátiles, tablets clínicas…).
• Millones de ciudadanos usuarios de servicios digitales del SAS (ClicSalud+, cita previa online, receta electrónica…).
• Sistemas críticos 24/7: Diraya, PACS, laboratorio, urgencias, quirófanos, UCI…
• Volumen de datos masivo: Petabytes de imágenes DICOM, millones de historias clínicas, millones de transacciones HL7 diarias…

3.2. Estructura Orgánica TIC del SAS

Dirección General del SAS

• Máximo órgano ejecutivo del SAS.
• De ella dependen las grandes áreas funcionales: asistencia sanitaria, gestión económica, recursos humanos, sistemas de información…

Subdirección de Tecnologías de la Información (o denominación equivalente según estructura vigente)

• Órgano directivo responsable de toda la política TIC del SAS.
• Depende directamente de la Dirección General o de una Secretaría General Técnica del SAS.
• Funciones principales:
  • Planificación estratégica TIC: Elaborar y ejecutar planes plurianuales de sistemas de información, transformación digital, ciberseguridad.
  • Diraya y sistemas clínicos: Evolución, mantenimiento, nuevas funcionalidades, integración con otros sistemas.
  • PACS corporativo: Gestión del sistema de imágenes médicas de toda Andalucía.
  • Infraestructuras TIC: Servidores, almacenamiento, redes, CPD del SAS, cloud híbrido.
  • Seguridad TIC: Cumplimiento ENS, gestión de incidentes, auditorías, copias de seguridad, recuperación ante desastres.
  • Innovación digital: Apps móviles (ClicSalud+), telemonitorización, IA en salud, Big Data sanitario.
  • Soporte y Service Desk: Atención a usuarios (profesionales y ciudadanos), resolución de incidencias.
  • Contratación TIC: Elaboración de pliegos técnicos, coordinación con servicio de contratación, seguimiento de contratos.

Servicios dependientes de la Subdirección TI

Típicamente la Subdirección TI del SAS se estructura en varios servicios especializados:

3.3. Estructura TIC Territorial y de Área del SAS

Además de la estructura central (Subdirección TI), el SAS tiene equipos TIC descentralizados:

Servicios TIC Provinciales

• En cada una de las 8 provincias andaluzas existe un equipo TIC provincial del SAS.
• Funciones:
  • Soporte de proximidad a hospitales y centros de salud de la provincia.
  • Despliegue de proyectos decididos centralmente (nuevas versiones Diraya, equipamiento…).
  • Gestión de infraestructura local (redes hospitalarias, cableado, equipos…).
  • Coordinación con la Subdirección TI central.

Responsables TIC de Área (hospitales grandes)

• En hospitales de referencia (ej: H. Virgen del Rocío, H. Reina Sofía, H. Virgen de las Nieves…) hay responsables TIC de área.
• Gestionan:
  • TIC específicas del hospital (servidores locales, equipamiento microinformático, redes…).
  • Coordinación con servicios clínicos (radiología, laboratorio, farmacia…) para incidencias TIC.
  • Proyectos locales de digitalización (ej: tabletas clínicas en UCI).

Relación Central-Territorial

• Modelo matricial: Los equipos TIC territoriales dependen funcionalmente de la Subdirección TI central (reciben directrices, proyectos, normativa) pero orgánicamente pueden estar adscritos a direcciones provinciales del SAS.
• Comunicación constante vía:
  • Reuniones de coordinación (presenciales/videoconferencia).
  • Sistema de ticketing centralizado (ServiceNow o similar).
  • Plataforma colaborativa (Teams, SharePoint…).

3.4. Comités y Órganos Colegiados TIC del SAS

Comité de Dirección de Sistemas de Información (o denominación equivalente)

• Órgano colegiado presidido por el Subdirector TI.
• Miembros: Jefes de servicio TIC, representantes de grandes áreas asistenciales (hospitalaria, primaria, urgencias…), gestión económica, contratación.
• Funciones:
  • Aprobar planes anuales TIC.
  • Priorizar proyectos y asignar recursos.
  • Revisar indicadores de rendimiento (KPIs TIC).
  • Resolver conflictos entre áreas.

Comité de Seguridad TIC del SAS

• Especializado en ciberseguridad y ENS.
• Miembros: Responsable de seguridad TIC, DPO (Delegado Protección Datos), auditores internos, representantes de áreas críticas.
• Funciones:
  • Supervisar cumplimiento ENS (auditorías internas, planes de acción).
  • Revisar incidentes de seguridad y proponer mejoras.
  • Aprobar políticas de seguridad (contraseñas, accesos, cifrado…).
  • Coordinar con CERT autonómico y nacional (CCN-CERT).

Comités Técnicos de Proyecto

• Se crean ad-hoc para proyectos grandes (ej: migración Diraya a nueva arquitectura, implantación de IA en radiología…).
• Composición variable según proyecto: técnicos TIC, clínicos usuarios, proveedores, consultores externos…

Grupo de Trabajo Interoperabilidad Sanitaria

• Especializado en estándares (HL7, DICOM, IHE), integración con HC-SNS, proyectos de interoperabilidad europea (eHDSI).
• Participa en grupos nacionales (Ministerio de Sanidad) y en IHE España.

3.5. Relación SAS ↔ SGAD: Coordinación y Dependencias

Como se mencionó, el SAS tiene autonomía TIC pero debe coordinarse con la SGAD. Veamos cómo funciona en la práctica:

Áreas de Coordinación Obligatoria

• Normativa: El SAS debe cumplir las órdenes e instrucciones TIC de la SGAD (Política Informática, contratación, ENS, ENI…).
• Acuerdos Marco Centralizados: Si la SGAD tiene un acuerdo marco para equipamiento, licencias, servicios… el SAS debe usarlo (salvo justificación técnica de por qué no aplica).
• Interoperabilidad: Diraya debe comunicarse con sistemas de otras consejerías (ej: con Educación para salud escolar, con Servicios Sociales para atención sociosanitaria…). La SGAD coordina esa interoperabilidad.
• Seguridad: Coordinación con CERT autonómico ante incidentes graves. Auditorías ENS coordinadas por SGAD.
• Infraestructuras Comunes: El SAS usa infraestructura corporativa de la Junta (ej: red troncal autonómica, correo corporativo para personal no sanitario, firma electrónica @firma…).

Áreas de Autonomía del SAS

• Sistemas Clínicos Específicos: Diraya, PACS, laboratorio, farmacia… son potestad exclusiva del SAS. La SGAD NO interviene en su diseño funcional (aunque sí puede supervisar cumplimiento normativo).
• Contratación Especializada: El SAS puede licitar contratos TIC específicos (ej: desarrollo de módulo de telemonitorización para pacientes crónicos) sin pasar por acuerdos marco SGAD si no existen alternativas adecuadas.
• Infraestructura Sanitaria Propia: Redes de hospitales, servidores de áreas críticas (quirófanos, UCIs), equipamiento específico (impresoras de etiquetas clínicas, tablets de enfermería…) son gestionados por el SAS.

Mecanismos de Coordinación SAS-SGAD

• Representación del SAS en Comisión de Política TIC: El Subdirector TI del SAS (o su representante) participa en la Comisión de Política TIC autonómica.
• Reuniones bilaterales periódicas: SGAD y Subdirección TI SAS se reúnen regularmente (trimestral/semestral) para coordinar planes, resolver conflictos, compartir buenas prácticas.
• Instrucciones específicas para salud: La SGAD puede emitir instrucciones técnicas específicas para el ámbito sanitario (ej: sobre interoperabilidad con HC-SNS).
• Proyectos conjuntos: Ej: migración de servicios SAS a cloud corporativo gestionado por SANDETEL bajo supervisión SGAD.

3.6. Tu Posición como TFA-STI en la Estructura del SAS

¿Dónde estarás ubicado?

• Como Técnico/a de Función Administrativa – Opción Sistemas y Tecnología de la Información, te ubicarás en la Subdirección de Tecnologías de la Información del SAS (o servicios dependientes de ella).
• Posibles destinos:
  • Servicios Centrales (Sevilla): En la sede de la Subdirección TI, trabajando en proyectos estratégicos corporativos.
  • Servicios Provinciales: En equipos TIC de provincia (Málaga, Granada, Cádiz, Córdoba…), con desplazamientos a hospitales y centros de la zona.
  • Hospitales de Referencia: Adscrito al equipo TIC de un gran hospital (Virgen del Rocío, Reina Sofía…).

¿A quién reportarás?

• Dependerá del servicio específico donde te ubiquen:
  • Si estás en Sistemas de Información Clínicos → Jefe de Servicio de Sistemas Clínicos → Subdirector TI.
  • Si estás en Infraestructuras → Jefe de Servicio de Infraestructuras → Subdirector TI.
  • Si estás en un hospital → Responsable TIC del hospital → (matriz) Subdirector TI central.

¿Con quién colaborarás?

• Internamente SAS: Otros TFA-STI, técnicos superiores TIC, analistas, administradores de sistemas, personal de soporte…
• Usuarios finales: Médicos, enfermeras, administrativos sanitarios (resolución de incidencias, formación, recogida de requisitos…).
• Proveedores externos: Everis (Diraya), GE Healthcare (PACS), Microsoft, Indra, Atos… (seguimiento de contratos, coordinación de mantenimientos, validación de entregas).
• SGAD y SANDETEL: Coordinación en proyectos transversales, cumplimiento normativo, uso de servicios corporativos.
• Ministerio de Sanidad: En proyectos de HC-SNS, interoperabilidad nacional.

4. Marco Normativo TIC de la Junta de Andalucía y el SAS

4.1. Jerarquía Normativa TIC: Del Estado a la Autonomía

La normativa TIC que se aplica en el SAS tiene una estructura piramidal:

        NIVEL ESTATAL (Obligatorio para todas las AAPP)
                │
       ┌────────┴────────┐
       │                 │
    ENI (RD 4/2010)   ENS (RD 311/2022)
    Interoperabilidad  Seguridad
       │                 │
       └────────┬────────┘
                │
        NIVEL AUTONÓMICO (Junta de Andalucía)
                │
       ┌────────┴────────┐
       │                 │
  Decretos Org.      Órdenes Política Informática
  (estructura)       (normativa técnica)
       │                 │
       └────────┬────────┘
                │
    Instrucciones SGAD (detalle técnico)
                │
                │
        NIVEL SECTORIAL (SAS)
                │
    Instrucciones y procedimientos internos SAS
    (aplicación específica sectorial)

4.2. Normativa Estatal Aplicable (Resumen)

Aunque ya se estudió en otros temas, recordemos las normas estatales clave:

4.3. Normativa Autonómica de Organización TIC

Decreto de Estructura Orgánica de la Consejería competente en TIC

• Cada vez que hay cambio de gobierno o reestructuración, se publica un Decreto de Estructura que define:
  • Qué consejería asume las competencias TIC.
  • Estructura de la SGAD (direcciones generales, servicios…).
  • Competencias de cada órgano TIC.
• Ejemplo histórico: Decreto 342/2012 (estructura Consejería Hacienda y AAPP), sustituido por decretos posteriores según cambios de gobierno.
• Actualización 2024-2025: Verificar BOJA reciente para decreto vigente de estructura TIC.

Decreto de Estructura del SAS

• Define la organización interna del SAS, incluyendo la Subdirección de Tecnologías de la Información.
• Establece funciones, competencias, relaciones jerárquicas.
• Ejemplo: Decreto 136/2001 (Reglamento de Organización y Funcionamiento del SAS), actualizado posteriormente.

4.4. Orden de Política Informática de la Junta de Andalucía

Orden de 21 de febrero de 2012 (o actualizaciones posteriores)

• Es la norma técnica fundamental que regula la política informática de toda la Junta (incluido SAS).
• Establece principios, directrices y obligaciones en materia TIC.

Contenido principal de la Orden de Política Informática:

1. Principios Generales

• Interoperabilidad (cumplimiento ENI).
• Reutilización de soluciones y componentes.
• Seguridad (cumplimiento ENS).
• Neutralidad tecnológica y estándares abiertos.
• Accesibilidad universal (cumplimiento WCAG).
• Eficiencia y sostenibilidad (Green IT).

2. Homologación de Tecnologías

• La SGAD mantiene un catálogo de tecnologías homologadas (hardware, software, servicios cloud…).
• Los organismos (como el SAS) deben prioritariamente usar tecnologías homologadas.
• Si necesitan algo no homologado, deben justificación técnica aprobada por SGAD.

3. Gestión de Proyectos TIC

• Proyectos TIC >X €uros (umbral definido, ej: >500.000€) deben seguir metodología de gestión de proyectos aprobada (ej: PMI, PRINCE2 adaptado, metodologías ágiles certificadas…).
• Obligación de elaborar: Business Case, análisis coste-beneficio, plan de proyecto, seguimiento mediante indicadores KPI.

4. Contratación TIC

• Uso obligatorio de acuerdos marco centralizados de la SGAD cuando existan.
• Pliegos técnicos (PPT) de contratos TIC deben ser visados por SGAD antes de licitación (verificación cumplimiento normativa, estándares, homologación…).
• Obligación de incluir cláusulas de:
  • Cumplimiento ENS.
  • Cumplimiento ENI.
  • Entrega de código fuente (si desarrollo a medida).
  • Reversibilidad y portabilidad de datos.
  • SLAs medibles.

5. Seguridad TIC

• Todos los sistemas deben tener análisis de riesgos (según metodología MAGERIT o equivalente).
• Sistemas de categoría MEDIA o ALTA (como Diraya) deben someterse a auditorías ENS periódicas (cada 2 años).
• Obligación de notificar incidentes de seguridad a CERT autonómico.
• Políticas de copias de seguridad, cifrado, control de accesos, gestión de identidades.

6. Datos y Sistemas de Información

• Obligación de usar repositorio corporativo de datos maestros (ciudadanos, empresas, territorio…) gestionado por SGAD.
• Interoperabilidad entre sistemas mediante plataforma de intercambio de datos (ESB – Enterprise Service Bus corporativo).
• Datos Abiertos: Publicación de datasets en formato abierto (CSV, JSON, RDF…) en portal OpenData Andalucía.

4.5. Instrucciones de la SGAD (Normativa Técnica Detallada)

La SGAD emite Instrucciones (documentos técnicos vinculantes) que desarrollan aspectos específicos de la Orden de Política Informática:

Instrucción 1/2019 (o actualizaciones posteriores) – Procedimientos de Contratación TIC

• Cómo elaborar pliegos técnicos TIC.
• Criterios de adjudicación recomendados (peso técnico vs económico).
• Cláusulas obligatorias y recomendadas.
• Proceso de visado de pliegos por SGAD.

Instrucción sobre Seguridad TIC y ENS

• Procedimiento para categorizar sistemas (herramienta de categorización).
• Periodicidad de auditorías ENS según categoría.
• Gestión de incidentes: clasificación, notificación, escalado.
• Políticas de contraseñas, actualizaciones de seguridad, gestión de vulnerabilidades.

Instrucción sobre Interoperabilidad y Estándares

• Estándares obligatorios para intercambio de datos (XML, JSON, formatos de firma electrónica…).
• APIs REST: Especificaciones técnicas (versionado, autenticación OAuth 2.0, documentación Swagger/OpenAPI…).
• Integración con plataforma corporativa de interoperabilidad.

Instrucción sobre Cloud Computing

• Criterios para decidir cloud público vs privado vs híbrido.
• Proveedores cloud homologados (Azure, AWS, Google Cloud…).
• Requisitos de seguridad para datos en cloud (cifrado, residencia datos en UE, auditorías…).
• Proceso de migración a cloud (assessment, piloto, migración, optimización).

4.6. Normativa Específica del SAS

El SAS, como organismo autónomo, puede desarrollar normativa interna que concreta la aplicación de la normativa autonómica a su ámbito específico:

Instrucciones de la Dirección General del SAS sobre TIC

• Procedimientos internos de gestión de proyectos TIC en el SAS.
• Priorización de demandas TIC (criterios: criticidad clínica, volumen usuarios afectados, coste, plazo…).
• Coordinación entre TIC central SAS y TIC territorial/hospitales.

Manual de Seguridad TIC del SAS

• Política de seguridad específica para sistemas clínicos (Diraya, PACS, laboratorio…).
• Controles de acceso: Gestión de perfiles de usuario, altas/bajas, revisión periódica de permisos.
• Gestión de incidentes de seguridad en entorno sanitario (protocolo específico para ransomware, fuga de datos pacientes…).
• Copias de seguridad: Frecuencia (diaria en producción), retención (7 años para historias clínicas por ley), pruebas de recuperación (trimestral).

Procedimientos de Integración HL7/DICOM en el SAS

• Estándares obligatorios: HL7 v2.5 como mínimo (preferible v2.7 o FHIR R4 en nuevos desarrollos), DICOM 3.0, perfiles IHE (SWF, XDS…).
• Motor de integración corporativo: Mirth Connect (obligatorio usar instancia corporativa, no motores propios de cada proveedor).
• Certificación de interfaces: Proceso de validación antes de puesta en producción (test unitarios, integración, aceptación usuario, piloto…).

4.7. Compliance: Cumplimiento Normativo en el SAS

¿Cómo se asegura el cumplimiento normativo?

1. Auditorías

• Auditorías ENS: Cada 2 años para sistemas ALTO (Diraya, PACS…), realizadas por entidades certificadas (AENOR, Bureau Veritas…) o auditores internos acreditados.
• Auditorías RGPD: Realizadas por el DPO (Delegado de Protección de Datos) del SAS, revisan cumplimiento en tratamiento de datos de salud.
• Auditorías de contratación: Intervención General de la Junta + Cámara de Cuentas de Andalucía revisan expedientes de contratación TIC (verifican cumplimiento LCSP, justificación técnica, ausencia de favoritismos…).

2. Controles Internos

• Comité de Seguridad TIC del SAS: Revisa trimestralmente indicadores de seguridad (incidentes, vulnerabilidades pendientes, cumplimiento políticas…).
• Revisión de proyectos TIC: Comité de Dirección de Sistemas de Información revisa avance de proyectos, detecta desviaciones, propone acciones correctivas.
• Monitorización continua: SIEM (Security Information and Event Management) para detectar anomalías en tiempo real, alertas automáticas ante eventos críticos.

3. Formación y Concienciación

• Formación obligatoria anual en ciberseguridad para todo el personal TIC.
• Campañas de concienciación para usuarios finales (profesionales sanitarios): phishing, contraseñas seguras, protección datos pacientes…
• Certificaciones profesionales incentivadas: ENS (Curso CCN-CERT), CISSP, CISA, CISM, PMP, ITIL…

4. Consecuencias del Incumplimiento

• Proyectos TIC: Si un proyecto no cumple normativa (ej: desarrolla sistema sin análisis de riesgos ENS), puede ser bloqueado por SGAD hasta subsanar.
• Contratación: Un pliego que no incluya cláusulas obligatorias (ENS, ENI, reversibilidad…) puede ser rechazado en fiscalización previa por Intervención o recurrido por licitadores.
• Seguridad: Un incidente grave de seguridad por incumplimiento de políticas puede acarrear responsabilidad patrimonial (indemnizaciones a afectados) y responsabilidad disciplinaria para responsables TIC.
• RGPD: Incumplimientos graves pueden ser sancionados por AEPD con multas de hasta 20 M€ o 4% facturación anual (aunque raro en AAPP, sí hay apercibimientos y obligación de subsanar).

5. Planes Estratégicos TIC de la Junta de Andalucía: Visión y Proyectos de Transformación Digital

5.1. Marco Estratégico General: Visión Digital de Andalucía

Contexto: Andalucía Digital 2030

• La Junta de Andalucía ha desarrollado una visión digital integral alineada con la Agenda Digital Europea 2030 y el Plan España Digital 2025.
• Objetivo principal: Convertir Andalucía en una región líder en transformación digital, aprovechando las oportunidades de los fondos europeos Next Generation EU.
• Presupuesto estimado 2022-2027: ~2.000 millones de euros en inversión digital (incluye fondos propios + europeos + cofinanciación privada).

Pilares Estratégicos Transversales:

• Ciudadanía Digital: 100% servicios públicos digitalizados, competencias digitales para toda la población.
• Administración Digital: Transformación completa de procesos internos, IA aplicada a gestión pública.
• Tejido Productivo Digital: Digitalización empresarial, industria 4.0, startups tecnológicas.
• Territorio Inteligente: Smart Cities, 5G, IoT, infraestructuras digitales avanzadas.
• Sectores Estratégicos: Salud digital, educación digital, agrotech, turismo digital, logística inteligente.

5.2. Estrategia Digital de Andalucía 2025 (actualizada 2022-2025)

Documento Marco Estratégico

• Aprobada por Consejo de Gobierno en 2022, actualizada en 2024.
• Horizonte temporal: 2022-2027 (alineado con marco financiero europeo).
• Documento público accesible en portal de transparencia de la Junta.

Objetivos Cuantitativos Ambiciosos:

• 100% trámites administrativos digitalizados para 2025 (actualmente ~85%).
• 90% población andaluza con competencias digitales básicas para 2027 (actualmente ~65%).
• 80% empresas andaluzas digitalizadas (presencia online, comercio electrónico, herramientas digitales).
• 100% territorio andaluz con cobertura 5G para 2027.
• Reducir 50% tiempo de tramitación administrativa mediante automatización y IA.
• Incrementar 40% la ciberseguridad (indicadores: incidentes resueltos <24h, auditorías ENS 100% cumplidas).

Líneas de Actuación Prioritarias:

1. Administración 100% Digital

• Expediente electrónico único: Todos los procedimientos administrativos gestionados de forma completamente digital.
• Firma electrónica avanzada universal: Ciudadanos y empleados públicos, integración con DNI 4.0.
• Notificaciones telemáticas obligatorias: Reducir notificación en papel a casos excepcionales.
• Chatbots e IA conversacional: Atención ciudadana 24/7 para consultas frecuentes.
• RPA (Robotic Process Automation): Automatización de tareas repetitivas (nóminas, facturación, reporting…).

2. Infraestructuras Digitales de Última Generación

• Migración cloud corporativo: 80% sistemas en cloud para 2026 (híbrido público-privado).
• CPDs de nueva generación: Renovación con criterios Green IT, hiperconvergencia, automatización.
• Red 5G autonómica: Despliegue en colaboración público-privada, casos de uso en sanidad, educación, industria.
• Ciberseguridad reforzada: SOC (Security Operations Center) autonómico 24/7, threat intelligence, zero trust architecture.

3. Datos e Inteligencia Artificial

• Plataforma de Big Data Andalucía: Centralizar y analizar datos de todas las consejerías para toma de decisiones basada en evidencia.
• IA aplicada a gestión pública: Predicción de demanda sanitaria, optimización de recursos educativos, detección fraude fiscal…
• Open Data reforzado: Datasets en tiempo real, APIs públicas, fomento ecosistema desarrolladores.
• Gemelo digital de Andalucía: Modelización virtual del territorio para planificación urbana, gestión emergencias, sostenibilidad.

4. Competencias Digitales para Todos

• Plan de Capacitación Digital Empleados Públicos: 100% empleados públicos con competencias digitales intermedias para 2026.
• Certificaciones TIC incentivadas: Bonificaciones por obtener certificaciones Cloud (Azure, AWS), ciberseguridad (CISSP), IA (Google Cloud ML, IBM Watson)…
• Espacios de innovación: Labs de IA, blockchain, IoT en universidades públicas y centros tecnológicos.

5.3. Plan de Transformación Digital de la Administración Andaluza 2024-2027

Proyectos Emblemáticos Corporativos:

1. Proyecto «Andalucía 360» – Ventanilla Única Digital

• Objetivo: Portal único donde ciudadanos y empresas puedan realizar CUALQUIER trámite con la Junta (salud, educación, hacienda, empleo, justicia…).
• Presupuesto: ~25 M€ (2024-2026).
• Tecnología: Arquitectura de microservicios, APIs REST, single sign-on (SSO), inteligencia artificial para recomendación de trámites.
• Estado: En desarrollo, lanzamiento piloto previsto 2025.

2. Proyecto «Smart Andalucía» – IoT y Sensórica Territorial

• Objetivo: Red de sensores IoT en todo el territorio andaluz para monitorización ambiental, tráfico, seguridad, agricultura…
• Casos de uso: Calidad del aire en tiempo real, detección incendios forestales, optimización riego agrícola, control aforos en playas.
• Presupuesto: ~40 M€ (2023-2027).
• Colaboración: Con diputaciones, ayuntamientos, universidades, empresas tecnológicas.

3. Proyecto «IA Andalucía» – Inteligencia Artificial Aplicada

• Casos de uso prioritarios:
  • Sanidad: IA para diagnóstico por imagen (radiología, dermatología), predicción epidemiológica, optimización listas de espera.
  • Educación: Personalización del aprendizaje, detección precoz abandono escolar, optimización recursos.
  • Justicia: Análisis predictivo de carga de trabajo, automatización de documentos judiciales.
  • Medio Ambiente: Predicción calidad del aire, optimización gestión residuos, detección cambios uso del suelo.
• Presupuesto: ~60 M€ (2024-2029).
• Colaboración: Con universidades andaluzas (UGR, US, UMA, UCO…), centros de investigación (CSIC), empresas (IBM, Microsoft, Google).

4. «Plan Ciberseguridad Andalucía 2025»

• Objetivo: Convertir Andalucía en región de referencia en ciberseguridad pública.
• Medidas principales:
  • SOC Autonómico 24/7: Centro de operaciones de seguridad que monitoriza TODOS los sistemas de la Junta (incluido SAS).
  • Threat Intelligence: Análisis de amenazas específicas al sector público, compartición con otras CCAA y CCN-CERT.
  • Zero Trust Architecture: Migración gradual hacia modelo «nunca confíes, siempre verifica».
  • Formación masiva: Concienciación de 100% empleados públicos, certificación de responsables TIC.
• Presupuesto: ~30 M€ (2023-2027).

5.4. Proyectos Transversales de Especial Relevancia

1. Migración Cloud Corporativo

• Estrategia «Cloud First»: Nuevos sistemas se desarrollan cloud nativo, sistemas existentes migran gradualmente.
• Modelo híbrido: Cloud privado (on-premise) para datos muy sensibles + cloud público para aplicaciones no críticas.
• Proveedores homologados: Microsoft Azure (preferente), Amazon AWS, Google Cloud Platform.
• Cronograma: 2024-2027, empezando por sistemas no críticos, terminando por Diraya y sistemas de misión crítica.
• Beneficios esperados: Reducir 30% costes infraestructura, aumentar 99.9% disponibilidad, mejorar escalabilidad.

2. Programa de Interoperabilidad Avanzada

• API Gateway Corporativo: Todas las consejerías exponen sus servicios mediante APIs REST estandarizadas.
• ESB (Enterprise Service Bus) de nueva generación: Migración a plataforma cloud-native (ej: Azure Service Bus, Apache Kafka).
• Intercambio de datos tiempo real: Por ejemplo, datos de pacientes entre Diraya (Salud) y sistema de servicios sociales para atención sociosanitaria.
• Blockchain para trazabilidad: Casos de uso piloto en certificados académicos, registros sanitarios, contratación pública.

3. Programa de Competencias Digitales de Empleados Públicos

• Objetivo: 100% empleados públicos de la Junta con competencias digitales certificadas para 2027.
• Niveles:
  • Básico: Uso fluido herramientas office, correo, navegación segura (para administrativos, auxiliares…).
  • Intermedio: Gestión de datos, uso de aplicaciones específicas de su área (para técnicos, gestores…).
  • Avanzado: Análisis de datos, automatización, gestión de proyectos digitales (para técnicos superiores, jefes de servicio…).
• Metodología: Formación online (plataforma LMS corporativa), talleres presenciales, certificaciones externas incentivadas.
• Presupuesto: ~15 M€ (2024-2027).

5.5. Indicadores de Seguimiento y Evaluación

La Estrategia Digital Andalucía 2025 define KPIs (Key Performance Indicators) para medir progreso:

Seguimiento y Reporte:

• Dashboard ejecutivo: Cuadro de mando con KPIs actualizados mensualmente, accesible a Consejo de Gobierno.
• Informes trimestrales: SGAD elabora informe de progreso, enviado a Presidencia y publicado en portal transparencia.
• Evaluación anual independiente: Auditoría externa (universidad, consultora) evalúa avance y propone mejoras.
• Benchmark con otras CCAA: Comparación con Cataluña, Madrid, País Vasco… identificar buenas prácticas, áreas de mejora.

6. Planes Estratégicos TIC del SAS: Estrategia de Salud Digital y Proyectos Prioritarios

6.1. Estrategia de Salud Digital de Andalucía 2022-2027

Documento estratégico aprobado por el Consejo de Gobierno en diciembre de 2022, alineado con los fondos europeos Next Generation y la Agenda Digital 2030.

• Visión general: Transformar el modelo asistencial mediante el uso intensivo de las TIC, poniendo al paciente y al profesional en el centro del sistema.
• Presupuesto estimado: ~400 M€ (2022-2027), sumando inversiones en sistemas, infraestructuras, cambio cultural, formación y ciberseguridad.
• Objetivos principales:
  • Avanzar hacia la medicina personalizada, predictiva y participativa (4P) gracias a los datos y la tecnología.
  • Garantizar la seguridad, confidencialidad y disponibilidad de los datos clínicos del paciente.
  • Impulsar la accesibilidad (multicanal) y la equidad (lucha contra la brecha digital sanitaria).

6.2. Líneas estratégicas del SAS en TIC (Salud Digital 2022-2027)

• 1. Renovación Diraya (NextGen Diraya): evolución a arquitectura cloud, microservicios, API FHIR, interfaz móvil, IA para soporte clínico y analítica de datos de población.
• 2. PACS corporativo de nueva generación: PACS interoperable en cloud, IA en apoyo diagnóstico imagen, integración con visor universal HTML5, telemedicina radiológica.
• 3. Estrategia Ciberseguridad SAS: Plan Director alineado con la normativa estatal y autonómica (ENS ALTO), SOC sanitario conectado al SOC autonómico, auditoría continua, respuesta anti ransomware, formación 100% personal sanitario.
• 4. Big Data y Analítica avanzada: Plataforma de datos poblacionales anonimizados (investigación, predicción, optimización recursos, vigilancia epidemiológica inteligente).
• 5. Telemedicina y telemonitorización domiciliaria: Apps para control crónicos, integración dispositivos IoMT, videoconsulta regulada, circuito de receta electrónica en domicilio.
• 6. Participación ciudadana y acceso multicanal (ClicSalud+): Nuevas funcionalidades en el portal y app de paciente (resultados, imágenes, mensajería clínica segura, gestión trámites administrativos).
• 7. Laboratorio Digital y Bioinformática: Impulso a la interoperabilidad de sistemas LIS, integración secuenciación genómica, gestión digital de biobancos y laboratorios de referencia.
• 8. Modernización de infraestructuras hospitalarias: WiFi total en planta y consultas, dispositivos móviles para personal clínico, despliegue de tabletas en UCI/urgencias/quirófano, renovaciones hardware ciclo 3 años, política basada en virtualización y servicios cloud híbridos.

6.3. Proyectos Estratégicos Prioritarios 2024-2027

1. Diraya Evolución (Diraya 3.0)

• Desarrollo modular basado en microservicios y APIs FHIR RESTful.
• Interfaz web responsive y app móvil para profesionales y pacientes (evolución Mobile Diraya).
• Integración tighter con PACS-RIS, laboratorio, farmacia y apps sociosanitarias.
• Soporte nativo de estándares internacionales: HL7 FHIR, SNOMED CT, LOINC, DICOMweb.
• Piloto en 2025: nueva funcionalidad modular en servicios de urgencias y especialidades.

2. PACS y diagnóstico por imagen inteligente

• PACS cloud corporativo, almacenamiento multinivel y política avanzada de ciclo de vida imágenes.
• Visor DICOM universal 100% web, integración con Diraya, accesible en cualquier dispositivo autenticado.
• Implantación de IA para priorización automática de casos, “second opinion” algorítmica y control de calidad de imágenes.

3. SOC sanitario (Seguridad Operativa y Resiliencia)

• Centro Operativo de Seguridad propio del SAS, conectado en tiempo real con el SOC autonómico.
• SIEM unificado, threat intelligence sanitaria, simulacros ransomware, recuperación ante desastres TI (disaster recovery drills semestrales).
• Campañas de concienciación escalonada y simulación de ataques a todos los perfiles sanitarios.

4. Plataforma de Analítica de Salud Digital (Big Data SAS)

• Integración de datos de Diraya, PACS, historia clínica poblacional, sistemas de laboratorio y dispositivos IoT.
• Utilización avanzada para predicción brotes, optimización listas espera, evaluación impacto clínico-asistencial, investigación (cohorte digital transversal) y gestión macro de recursos.

5. Telemedicina avanzada y apps de paciente

• Ampliación videoconsulta estable, telemonitorización crónicos, receta electrónica domiciliaria, resultados en tiempo real (analíticas, pruebas diagnósticas, imágenes), mensajería clínica médico-paciente segura.

6. Laboratorio digital e interoperabilidad genómica (2026+)

• Automatización total de toma, procesamiento y resultados de muestras, integración bioinformática, conexión con el SNS para investigación y medicina personalizada.

6.4. Plan de Formación Digital y Gestión del Cambio

• Plan de capacitación digital obligatoria al 100% del personal sanitario (formación e-learning, presencial, simuladores, microaprendizaje).
• Sesiones prácticas para nuevas funcionalidades: integración en jornada laboral, tutores TIC de apoyo, atención a personal mayor, refuerzo especial en áreas rurales.
• Programa de embajadores digitales: profesionales clínicos líderes que acompañan digitalización en equipos asistenciales.

6.5. Plan Director de Ciberseguridad Sanitaria

• Plan trianual coordinado con el Plan Ciberseguridad Andalucía 2025, alineado con ENS ALTO y normativa SGAD.
• Incluye acciones como auditorías ENS, análisis forense incidentes, control de accesos avanzados (biometría en quirófano, doble factor despliegue progresivo…), y procedimientos para protección efectiva ante fugas de datos y ransomwares específicos de sector salud.
• Alerta temprana y anticipación de amenazas: integración con CCN-CERT y bases de datos internacionales de amenazas sanitarias.

6.6. Evaluación y Seguimiento

• Indicadores claros por programa: implantación nuevas funcionalidades Diraya, tiempo medio de respuesta a incidentes, número de teleconsultas y pacientes monitorizados, % reducción ataques exitosos, grado de automatización de laboratorio, satisfacción usuario profesional y paciente.
• Informes trimestrales al Comité de Dirección del SAS y publicación anual pública de avances.
• Premios y reconocimientos: “Mejor Proyecto Salud Digital España 2024” (proyecto de receta domiciliaria), finalista en Premio Fundación Signo Innovación en Gestión Sanitaria 2025 (Big Data SAS).

7. Casos Prácticos y Proyectos TIC Actuales del SAS y la Junta de Andalucía

7.1. Proyecto ClicSalud+ (Portal del Paciente del SAS)

Descripción

• Portal web y app móvil que permite a los ciudadanos acceder a sus datos de salud, gestionar citas, descargar informes clínicos, consultar recetas electrónicas y comunicarse con profesionales sanitarios.
• Lanzamiento inicial: 2018. Última actualización mayor: 2023 (versión 4.0).
• Usuarios registrados: >5 millones de andaluces (2024).
• Transacciones mensuales: ~10 millones (consultas HC, solicitudes cita, descargas informes…).

Tecnologías

• Frontend: React.js responsive (web), React Native (app iOS/Android).
• Backend: APIs RESTful en Java Spring Boot, conectadas a Diraya mediante HL7 v2.x y evolución a FHIR.
• Autenticación: Cl@ve (sistema nacional de identificación electrónica), certificado digital, SMS + contraseña.
• Seguridad: TLS 1.3, cifrado E2E para mensajería médico-paciente, auditoría completa de accesos (ATNA).

Impacto

• Reducción 30% llamadas telefónicas para citas (automatización).
• Mejora satisfacción ciudadana: 8.5/10 (encuestas 2024).
• Empoderamiento paciente: acceso información clínica mejora adherencia tratamientos.
• Reconocimiento: Premio Nacional Administración Digital 2023.

Desafíos y Lecciones Aprendidas

• Brecha digital: ~15% población andaluza (mayores, zonas rurales) tiene dificultades. Solución: puntos de ayuda presencial en centros de salud, vídeos tutoriales, línea telefónica asistida.
• Picos de demanda: Durante COVID-19, tráfico aumentó 500%. Solución: escalado automático en cloud (Azure Auto Scale), optimización consultas BD, CDN para contenido estático.
• Seguridad: Intentos de phishing suplantando ClicSalud+. Solución: Campañas educativas, dominios oficiales claros (.sspa.juntadeandalucia.es), alertas en app ante accesos sospechosos.

7.2. Migración del ERP Corporativo a Cloud (Proyecto GIRO)

Contexto

• La Junta tenía un ERP SAP on-premise legacy (>15 años) para gestión económico-financiera (contabilidad, nóminas, compras, presupuestos…).
• Problemas: Obsolescencia tecnológica, alto coste mantenimiento, escalabilidad limitada, integraciones manuales.

Proyecto «GIRO» (Gestión Integral de Recursos Organizativos)

• Alcance: Migración ERP SAP a cloud (SAP S/4HANA en Azure), para toda la Junta (incluido SAS).
• Duración: 2022-2025 (proyecto plurianual).
• Presupuesto: ~80 M€ (licencias SAP, infraestructura Azure, consultoría, formación, gestión cambio).
• Beneficios esperados:
  • Reducción 40% tiempo cierre contable (automatización, reporting en tiempo real).
  • Ahorro 25% costes infraestructura (cloud vs on-premise).
  • Analytics avanzado: dashboards ejecutivos, predicción presupuestaria, detección anomalías gasto.

Estado 2024

• Fase piloto completada en 3 consejerías (incluida Salud/SAS) en 2023.
• Despliegue progresivo resto de consejerías 2024-2025.
• Formación masiva: >5.000 empleados públicos capacitados en nuevo ERP.

Lecciones Aprendidas

• Gestión del cambio crítica: Resistencia inicial de usuarios acostumbrados al sistema antiguo. Solución: formación intensiva, soporte N1/N2/N3 reforzado, feedback continuo, ajustes adaptativos.
• Integración compleja: ERP debe integrarse con decenas de sistemas (nómina, RRHH, contratación, inventario…). Solución: ESB corporativo (Azure Service Bus), APIs REST estandarizadas, pruebas exhaustivas.

7.3. Respuesta a Ciberataque: Ransomware al SAS (2020)

El Incidente

• Fecha: Noviembre 2020 (durante pico segunda ola COVID-19).
• Ataque: Ransomware (variante Ryuk) infectó servidores de varios hospitales andaluces, cifrando ficheros y exigiendo rescate en Bitcoin.
• Impacto: Afectó ~10 hospitales, sistemas Diraya degradados (consulta HC limitada), PACS parcialmente inaccesible, cancelación cirugías programadas no urgentes durante 48h.

Respuesta del SAS y SGAD

• Activación inmediata Plan de Contingencia TIC: Aislamiento de sistemas afectados, desconexión preventiva de otros hospitales.
• Recuperación desde backups: Copias de seguridad offline (cintas LTO) no afectadas por ransomware. Restauración progresiva en 72h.
• Coordinación con CERT-AGE y CCN-CERT: Análisis forense, identificación vector ataque (email phishing a empleado administrativo).
• NO se pagó rescate (política institucional: nunca pagar a ciberdelincuentes).

Medidas Post-Incidente

• Auditoría de seguridad completa de TODOS los sistemas SAS (inversión extraordinaria 10 M€).
• Refuerzo formación: 100% personal sanitario y administrativo obligado a completar curso ciberseguridad.
• Implementación EDR (Endpoint Detection and Response) en todos los PCs y servidores.
• Segmentación de red hospitalaria (aislamiento quirófanos, UCIs, sistemas críticos).
• Backups inmutables (write-once): imposibles de cifrar por ransomware.
• Simulacros trimestrales de ciberataque.

Resultado

• No ha habido incidentes ransomware exitosos posteriores (2021-2024).
• Tiempo de respuesta ante amenazas reducido de ~12h a ~2h (SOC sanitario operativo 24/7).
• SAS reconocido como referencia en ciberseguridad sanitaria en España.

7.4. Proyecto «Andalucía 5G» – Smart Hospitals

Contexto

• La Junta, en colaboración con operadores (Telefónica, Vodafone, Orange), ha desplegado red 5G experimental en varios hospitales del SAS.

Casos de Uso 5G en Hospitales

• Telemedicina de alta calidad: Videoconsultas en 4K con especialistas remotos (ej: neurocirujano en H. Virgen del Rocío asesorando a hospital comarcal en cirugía urgente).
• Cirugía asistida remota: Piloto en H. Reina Sofía (Córdoba): cirujano senior guía en tiempo real a cirujano junior mediante realidad aumentada (AR) con latencia <10ms.
• Monitorización IoMT: Dispositivos IoT médicos (monitores, bombas infusión, ventiladores) conectados 5G, envían datos en tiempo real a cuadro de mando centralizado.
• Ambulancias conectadas: Transmisión en directo de ECG, vídeo paciente, constantes vitales desde ambulancia al hospital receptor (médicos preparan protocolo antes de llegada).

Inversión y Resultados

• Presupuesto: ~12 M€ (2023-2025), cofinanciado fondos europeos + Junta + operadores.
• Hospitales piloto: Virgen del Rocío (Sevilla), Reina Sofía (Córdoba), Virgen de las Nieves (Granada).
• Resultados preliminares (2024): Reducción 15% tiempos traslado crítico (mejor coordinación), aumento 20% teleconsultas especializadas.

7.5. Big Data Sanitario: Proyecto «SAVANA» (Análisis de Lenguaje Natural en HC)

Descripción

• Colaboración SAS + empresa tecnológica SAVANA para aplicar NLP (Natural Language Processing) a historias clínicas de Diraya.
• Objetivo: Extraer información clínica valiosa de texto libre (informes médicos, notas de evolución…) que actualmente no está estructurado ni es fácilmente analizable.

Casos de Uso

• Farmacovigilancia: Detectar efectos adversos de medicamentos mencionados en notas clínicas (ej: «paciente refiere mareos tras tomar fármaco X»).
• Investigación epidemiológica: Identificar cohortes de pacientes con características específicas para estudios clínicos (ej: diabéticos tipo 2 con insuficiencia renal).
• Mejora calidad asistencial: Detectar gaps en diagnóstico/tratamiento (ej: pacientes con hipertensión sin tratamiento adecuado).

Aspectos Técnicos y Éticos

• Datos anonimizados y seudonimizados (cumplimiento estricto RGPD).
• Análisis realizado en entorno seguro, sin extracción de datos identificativos fuera del SAS.
• Comité de Ética de Investigación del SAS revisa y aprueba cada proyecto de análisis.

Resultados (2023-2024)

• Análisis de >8 millones de historias clínicas.
• Identificación de 127 señales de farmacovigilancia no detectadas previamente (reportadas a AEMPS).
• 5 publicaciones científicas en revistas internacionales.

7.6. Interoperabilidad Autonómica: Integración Diraya con Servicios Sociales

Problema

• Pacientes vulnerables (mayores dependientes, discapacitados…) necesitan atención sociosanitaria: combinación de servicios sanitarios (SAS) y servicios sociales (Consejería de Inclusión Social).
• Históricamente, sistemas NO integrados: trabajadores sociales no veían info sanitaria, médicos no veían valoraciones sociales → duplicidades, gaps asistenciales, pérdida de información crítica.

Solución: Proyecto «SocioSalud» (2023-2025)

• Integración bidireccional Diraya (SAS) ↔ SICAS (Sistema de Información de Servicios Sociales).
• Tecnología: APIs FHIR (datos clínicos desde Diraya), APIs REST propias (datos sociales desde SICAS), ESB corporativo SGAD como intermediario.
• Información compartida (con consentimiento paciente): diagnósticos, tratamientos, dependencia funcional, valoración social, recursos asignados (ayuda domicilio, residencia…).

Impacto

• Mejora coordinación sociosanitaria: planes de atención integral (médico + trabajador social).
• Reducción 20% reingresos hospitalarios de pacientes vulnerables (mejor seguimiento domiciliario).
• Satisfacción profesionales: 85% valora positivamente la integración (encuesta 2024).

8. Cuestionario de Autoevaluación – 25 Preguntas Tipo Test

9. Mapa Conceptual y Referencias

                    GOBERNANZA TIC JUNTA & SAS
                              |
        ┌─────────────────────┼─────────────────────┐
        |                     |                     |
    ÓRGANOS            MARCO NORMATIVO      PLANES ESTRATÉGICOS
        |                     |                     |
  ┌─────┴─────┐         ┌────┴────┐          ┌─────┴─────┐
  |           |         |         |          |           |
Junta        SAS      Estatal  Autonómico  Junta       SAS
  |           |         |         |          |           |
SGAD    Subdirección  ENS/ENI  Orden PI  Estrategia  Salud Digital
  |          TI         |      2012/Instr  2025      2022-2027
  |           |         |         |          |           |
SANDETEL  Servicios   RD4/2010 Decretos  Projects:  Projects:
Transf.   (Clínicos, RD311/22  Org,      -Cloud     -Diraya3.0
Digital   Infraest.,  RGPD    Instruc.   -IA        -PACS-IA
         PACS,Seg)            SGAD      -5G        -SOC
                                        -BigData   -Telemedicina
    

10. Referencias Normativas y Bibliográficas