Boletines de la Oficina de Seguridad

Servicio de Salud de las Islas Baleares

  2. Inicio
  3. Profesionales
  4. Salud digital: herramientas para los profesionales
  5. Seguridad de la información
  6. Boletines de la Oficina de Seguridad
  7. Boletín núm. 132: Código de buenas prácticas en tecnologías de la información y de la comunicación
Boletines de la Oficina de Seguridad

Boletín núm. 132: Código de buenas prácticas en tecnologías de la información y de la comunicación

Actualización del Código de buenas prácticas del Servicio de Salud de las Islas Baleares

 

El Código de buenas prácticas (CBP) del Servicio de Salud de las Islas Baleares ha experimentado una evolución progresiva desde su primera aprobación, con el objetivo de adaptarse a los cambios normativos, tecnológicos y organizativos, garantizando siempre la protección de la información y, en especial, de los datos personales.

 

La primera versión del CBP fue aprobada por medio de la Circular 1/2009 del director general del Servicio de Salud. Esta versión inicial tenía como finalidad principal establecer un marco de referencia para proteger la privacidad de la información frente a accesos no autorizados, usos indebidos, divulgaciones no consentidas, así como frente a la pérdida, alteración, destrucción o robo de datos.

 

Posteriormente, en respuesta a los retos emergentes derivados de la gestión de recursos tecnológicos, el uso creciente de dispositivos personales con fines profesionales (BYOD) y la expansión de los servicios de almacenamiento en la nube, se aprobó una actualización del CBP, conforme al Real decreto 3/2010, también por medio de la Circular 1/2014 del director general. Esta versión reforzó las medidas de seguridad adaptándolas a los nuevos entornos digitales.

 

Después de la aprobación de la política de seguridad del Servicio de Salud por medio del Decreto 2/2018, la aplicación del Reglamento general de protección de datos el 25 de mayo de 2018, la entrada en vigor de la Ley orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales y la actualización del Esquema Nacional de Seguridad a través del Real decreto 311/2022, se consideró necesaria una nueva revisión del CBP. Así, el 5 de mayo de 2022, se aprobó una actualización por medio de la Instrucción 4/2022, que incorporó las novedades siguientes:

 

  • Adaptación a los requerimientos del RGPD y la LOPDGDD.
  • Refuerzo de las buenas prácticas en el uso del correo electrónico y la navegación por internet, ante el aumento de incidentes de seguridad relacionados con el robo de credenciales.
  • Inclusión de medidas específicas para escenarios como el teletrabajo, el uso de dispositivos personales y las soluciones en la nube.

 

Finalmente, ante el creciente impacto de la inteligencia artificial (IA) en el ámbito sanitario, el Servicio de Salud ha decidido actualizar nuevamente el CBP para integrar principios éticos y operativos que aseguren un uso responsable de estas tecnologías.
La revisión de la nueva versión fue propuesta para su aprobación por el Comité de Seguridad de la Información Corporativo, integrado por el secretario general del Servicio de Salud (presidencia), el subdirector de Tecnología y Sistemas de Información (vocal), los responsables de la seguridad de la información de cada una de las gerencias (vocales), un representante de los servicios jurídicos (vocal) y el responsable de la seguridad de la información de los Servicios Corporativos (secretario). En consecuencia, el 11 de abril de 2025, se aprobó una nueva versión del CBP por medio de la Instrucción 8/2025, cuyas novedades principales son:

 

  • Énfasis en la inteligencia artificial: se establecen directrices específicas para garantizar un uso ético, seguro y transparente de la IA en el entorno sanitario.
  • Autenticación reforzada: se promueve el uso del doble factor de verificación en todas las plataformas disponibles, con el fin de fortalecer la protección frente a accesos no autorizados.

 

Esta evolución refleja el compromiso continuo del Servicio de Salud con la seguridad de la información, la protección de los datos personales y la adaptación a los desafíos tecnológicos emergentes.

 

Novedades del Código de buenas prácticas del Servicio de Salud

 

El Servicio de Salud de las Islas Baleares ha actualizado su CBP, el cual es un documento de cumplimiento obligado para todo el personal del Servicio de Salud y de las empresas colaboradoras. Esta nueva versión refuerza los principios de seguridad, ética y eficiencia en el uso de los sistemas de información y en el tratamiento de datos personales e incorpora, como principal novedad, un conjunto de directrices específicas para el uso responsable de la inteligencia artificial en el entorno sanitario, en línea con el nuevo Reglamento europeo sobre IA (AI Act). Esta inclusión responde al impacto creciente de estas tecnologías en la práctica clínica, la gestión sanitaria y la investigación.

 

Los principios que rigen su aplicación son:

 

  • Legalidad y privacidad: todo sistema de IA debe cumplir con el RGPD, la LOPDGDD y la normativa específica sobre IA. Es obligatorio evaluar el impacto en la privacidad antes de implantarlo.
  • Autorización y supervisión: no se puede utilizar ningún sistema de IA sin la validación expresa del Servicio de Salud y de los comités habilitados. Se exige una supervisión continua para garantizar el cumplimiento de estándares éticos y de calidad.
  • Transparencia y trazabilidad: los sistemas deben operar de forma explicable, permitiendo conocer cómo se toman las decisiones automatizadas. Los profesionales y usuarios deben ser informados de su uso.
  • Prohibición de uso no autorizado: está terminantemente prohibido introducir, compartir o procesar datos clínicos o confidenciales en sistemas de IA no validados.
  • Gestión de riesgos: se deben implementar auditorías, pruebas de robustez y sistemas de monitorización para detectar sesgos o usos indebidos.
  • Aplicación en investigación: la IA puede utilizarse en estudios de investigación sanitaria siempre que se respeten los requisitos éticos y normativos establecidos.

Principios fundamentales del CBP

 

El CBP establece un marco de actuación basado en los principios siguientes:

 

  • Seguridad de la información: se garantiza la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos y sistemas utilizados en la actividad sanitaria.
  • Uso profesional de los recursos tecnológicos: los equipos, aplicaciones y redes deben usarse exclusivamente para fines institucionales, bajo condiciones que aseguren su funcionamiento correcto y protección frente a amenazas.
  • Protección de datos personales: se refuerza el cumplimiento del RGPD y la LOPDGDD, estableciendo medidas técnicas y organizativas para un tratamiento lícito, transparente y seguro de la información personal.
  • Confidencialidad y secreto profesional: todo el personal está obligado a mantener la confidencialidad de la información a la que accede, incluso después de finalizar su relación con el Servicio de Salud.
  • Acceso limitado y controlado: se aplica el principio del mínimo privilegio y la necesidad de conocer, de modo que cada usuario acceda únicamente a la información imprescindible para el desempeño de sus funciones.
  • Autenticación reforzada: se promueve el uso del doble factor de autenticación para prevenir accesos no autorizados a los sistemas corporativos.
  • Teletrabajo seguro: se establecen directrices específicas para garantizar la seguridad de la información en entornos de trabajo remoto, incluyendo el uso de dispositivos autorizados, redes seguras y medidas de cifrado.

 

Consulta del Código de buenas prácticas y formación

 

Con el objetivo de reforzar la cultura de seguridad y cumplimiento normativo, se recuerda a todo el personal del Servicio de Salud y a las empresas colaboradoras que está disponible la versión reducida del CBP, la cual se puede consultar desde el web del CBP. Este documento resume de manera clara las directrices principales sobre el uso adecuado de los sistemas de información, la protección de datos personales y la aplicación responsable de la inteligencia artificial (IA) en el entorno sanitario.

 

El CBP es de cumplimiento obligado y debe ser conocido por todas las personas que acceden a los sistemas de información del Servicio de Salud.

 

Además, durante el año se programan tres ediciones del curso de formación específica sobre el Código de buenas prácticas. La próxima edición de este año se llevará a cabo del 15 de septiembre al 6 de octubre de 2025. Esta formación es recomendable para el personal con acceso a datos personales o a sistemas de información, y forma parte de las acciones de actualización y sensibilización en materia de seguridad de la información.