Legislación
Descargar
 

Política de seguridad de la información del Servicio Canario de la Salud

 27/05/2026
 Compartir: 

Orden de 14 de mayo de 2026, por la que se aprueba la política de seguridad de la información del Servicio Canario de la Salud (BOC de 25 de mayo de 2026). Texto completo.

ORDEN DE 14 DE MAYO DE 2026, POR LA QUE SE APRUEBA LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL SERVICIO CANARIO DE LA SALUD.

PREÁMBULO

El Servicio Canario de la Salud cuenta con una Política de Seguridad de la Información (PSI) aprobada por Resolución de la Dirección del Servicio Canario de la Salud, el 5 de febrero de 2014 (BOC n.º 30, de 13.2.2014). A pesar de la adaptación constante, se ha dictado normativa que es necesario contemplar expresamente en la documentación de la PSI al más alto nivel.

Por una parte, la Ley 40/2015, de 1 de octubre , de Régimen Jurídico del Sector Público, en su artículo 3, establece que las Administraciones Públicas han de asegurar en sus relaciones a través de medios electrónicos la interoperabilidad y seguridad de los sistemas. También el artículo 13 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge el derecho de las personas en sus relaciones con las Administraciones Públicas a la protección de datos personales, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones.

Por otra parte, la normativa de protección de datos personales contenida en Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y garantía de los derechos digitales, cuya disposición adicional primera establece que en los tratamientos de datos personales realizados en el ámbito del sector público se deben aplicar las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad (ENS).

El Real Decreto 311/2022, de 3 de mayo , que regula el Esquema Nacional de Seguridad, establece, en el artículo 12, que la Política de Seguridad de la Información es el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta. Cada órgano o entidad con personalidad jurídica propia del sector público deberá contar con una Política de Seguridad formalmente aprobada por el órgano competente.

El Servicio Canario de la Salud, organismo autónomo creado por Ley 11/1994, de 26 de julio , de Ordenación Sanitaria de Canarias, se enfrenta a retos crecientes de transformación digital en la forma en que se gestionan los recursos tecnológicos y clínicos. En un entorno cada vez más digitalizado, el sistema sanitario se ha convertido en un objetivo prioritario para amenazas que comprometen la seguridad de la información, la continuidad operativa de los servicios y, en última instancia, la seguridad del paciente.

El objetivo de la seguridad de la información es asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos en el ejercicio de sus competencias. Actuar proactiva y preventivamente, realizar un monitoreo constante del rendimiento de los servicios, analizar vulnerabilidades reportadas y establecer una respuesta rápida y eficaz frente a ciberincidentes, garantizando de esta manera la continuidad operativa. Esto implica que el Servicio Canario de la Salud debe aplicar las medidas mínimas de seguridad exigidas por el ENS a todos los niveles desde el estratégico hasta los niveles tácticos y operativos, incluyendo la interacción directa con la cadena de suministro y los proveedores implicados.

La Directiva Europea sobre Seguridad de las Redes y los Sistemas Informáticos (NIS2) clasifica al sector salud como de alta criticidad, lo que impone una serie de obligaciones en materia de ciberseguridad. El uso de la Inteligencia Artificial y la implantación del Espacio Europeo de Datos de Salud supone un nuevo paradigma y desafíos en el uso y seguridad de los datos de los servicios de salud. La creciente dependencia de las tecnologías de la información, la sensibilidad de los datos clínicos y la complejidad de los sistemas implicados hacen imprescindible aplicar estrategias de ciberseguridad de ámbito nacional, en el Sistema Nacional de Salud y en el ámbito concreto del Servicio Canario de la Salud y así se recoge en el Plan de Salud de Canarias 2026-2031.

Para la elaboración de la PSI se han tomado como referentes las Guías de Seguridad emitidas por el Centro Criptológico Nacional, entre ellas la CCN-STIC-801 ENS. Responsabilidades y Funciones, la CCN-STIC-805, ENS. Política de Seguridad y la CCN-STIC-891, Perfil de Cumplimiento Específico para Salud.

En la tramitación de esta Orden se ha dado cumplimiento a los principios de buena regulación a los que se refiere el artículo 129.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y el artículo 66 de la Ley 4/2023, de 23 de marzo, de la Presidencia y del Gobierno de Canarias. Se han aplicado los principios de necesidad, eficacia y eficiencia, en tanto que da cumplimiento a la obligación que viene impuesta por la normativa referenciada en materia de seguridad de la información y protección de datos personales mediante un instrumento conjunto que resulta el más adecuado para su consecución, abarcando ambas materias dada la íntima conexión entre ellas en el ámbito de competencias del Servicio Canario de la Salud, con la consecuente racionalización den su aplicación.

En cumplimiento del principio de responsabilidad, se establecen y definen los distintos roles para hacer efectiva la seguridad de la información y la protección de los datos personales.

Cumple con el principio de proporcionalidad al no ser restrictiva de derechos y mantener un equilibrio entre los impactos previsibles de la norma y las medidas que se adoptan para conseguir establecer las condiciones de confianza necesarias en el uso de los medios electrónicos, mediante la aplicación de las medidas que garanticen la seguridad de los sistemas, las comunicaciones, los servicios electrónicos y el cumplimiento de las obligaciones establecidas en la normativa vigente en materia de protección de datos personales.

Respeta la seguridad jurídica, al ser coherente con el resto del ordenamiento jurídico autonómico, nacional y de la Unión Europea, generando un marco regulatorio que define el ámbito de aplicación, el marco organizativo y los instrumentos para desarrollar su contenido. Satisface el principio de accesibilidad mediante el uso de una redacción sencilla e inteligible, pero a su vez rigurosa. Y facilitando su conocimiento por parte de los destinatarios mediante su publicación en el Boletín Oficial de Canarias y sede electrónica, conforme al principio de transparencia.

Por otro lado, la norma respeta el principio de igualdad y el enfoque de género en relación con la utilización de un lenguaje no sexista, de conformidad con la Ley Orgánica 3/2007, de 22 de marzo , para la igualdad efectiva de mujeres y hombres, y con la Ley 1/2010, de 26 de febrero , Canaria de Igualdad entre Mujeres y Hombres.

En el procedimiento de elaboración de la presente Orden se ha prescindido de los trámites previstos en los apartados 1 y 2 del artículo 133 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, al amparo de lo dispuesto en el apartado 4 del mismo precepto, al tratarse de una norma de carácter organizativo.

En virtud de lo expuesto, visto el informe de la Dirección General de Transformación Digital de los Servicios Públicos, en el ejercicio de las competencias conferidas por el artículo 2.2 de la Orden de 31 de julio de 2013, de la Consejería de Presidencia, Justicia e Igualdad, que establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración electrónica de la Administración Pública de la Comunidad Autónoma de Canarias, y haciendo uso de las facultades conferidas en los artículos 58.1, letra b), y 76.3 de la Ley 4/2023, de 23 de marzo, de la Presidencia y del Gobierno de Canarias, en relación con lo dispuesto en el artículo 5 del Decreto 5/2016, de 15 de febrero, por el que se aprueba el Reglamento Orgánico de Sanidad,

DISPONGO:

Único.- Política de seguridad de la información.

Aprobar la política de seguridad de la información del Servicio Canario de la Salud (PSI) que se incorpora como anexo a la presente Orden.

Disposición adicional primera.- Definiciones.

Las expresiones y términos utilizados en esta Orden y en la PSI que se aprueba por la misma, han de entenderse con el significado indicado en el glosario de términos incluido en el Anexo IV del Real Decreto 311/2022, de 3 de mayo , por el que se aprueba el ENS así como en las definiciones del artículo 4 del Reglamento General de Protección de Datos.

Disposición adicional segunda.- Marco normativo.

La presente Orden se entenderá sin perjuicio de lo dispuesto en la normativa nacional o europea en materia de protección de datos personales y aquella que tenga por objeto establecer la política de seguridad en la utilización de medios electrónicos de las Administraciones Públicas o cualesquiera otras disposiciones legales que resulten de aplicación.

Disposición adicional tercera.- Facultad para actualizar la PSI.

Se faculta al titular de la Dirección del Servicio Canario de la Salud para actualizar y desarrollar los aspectos técnicos de la presente PSI, a propuesta del Comité de Coordinación de la Seguridad de la Información y Protección de Datos Personales.

Designación derogatoria única.- Derogación normativa.

Quedan derogadas las normas de igual o inferior rango en lo que contradigan o se opongan a la presente Orden y específicamente la Resolución de la Directora del Servicio Canario de la Salud , el 5 de febrero de 2014, por la que se aprueba la Política de Seguridad.

Disposición final única.- Entrada en vigor.

La presente Orden entrará en vigor a los 20 días de su publicación en el Boletín Oficial de Canarias.

Anexos

Omitidos.

Últimos estudios

Conexión al Diario

Publicaciones

Lo más leído:

  1. Tribunal Supremo: Reconoce el Supremo la condición de fijos a los trabajadores de las Administraciones públicas que encadenan contratos con abuso en la temporalidad siempre que hayan superado la prueba de acceso al empleo público, aunque no obtengan plaza
  2. Actualidad: El Gobierno aprueba el proyecto de ley que garantizará una supervisión humana y un uso confiable de la IA
  3. Tribunal Supremo: La AEPD sanciona a la Secretaría General de Instituciones Penitenciarias por requerir a un funcionario la aportación de datos personales relativos a su salud
  4. INAP: Convocatoria de actividades formativas
  5. Actualidad: Más de 152.000 opositores se han presentado a las 18.000 plazas de empleo público de la Administración del Estado
  6. INAP: Comisión Permanente de Selección: Cuestionarios y plantillas correctoras provisionales
  7. Estudios y Comentarios: Suspensión extrapenal y sustitución temporal de los parlamentarios
  8. Tribunal de Justicia de la Unión Europea: Sentencia del Tribunal de Justicia en el asunto C-747/22 | INPS (Asistencia social y acceso al empleo - Discriminación indirecta)
  9. Legislación: Subvenciones destinadas a entidades privadas para la realización de actuaciones de interés general para atender fines sociales con cargo a la asignación tributaria del 0,7% del Impuesto sobre la Renta de las Personas Físicas y del Impuesto sobre Sociedades
  10. INAP: El Instituto de las Mujeres, en colaboración con el INAP, ha presentado la "Guía de lenguaje inclusivo para la Administración", en el marco de la Semana de la Administración Abierta

Revistas:

 

Atención al usuario: publicacionesinap.es

© INAP-2026

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana