Actualització del Codi de bones pràctiques del Servei de Salut de les Illes Balears

El Codi de bones pràctiques (CBP) del Servei de Salut de les Illes Balears ha experimentat una evolució progressiva des de la seva primera aprovació, amb l’objectiu d’adaptar-se als canvis normatius, tecnològics i organitzatius, garantint sempre la protecció de la informació i, en especial, de les dades personals.

La primera versió del CBP va ser aprovada per mitjà de la Circular 1/2009 del director general del Servei de Salut. Aquesta versió inicial tenia com a finalitat principal establir un marc de referència per protegir la privacitat de la informació enfront d’accessos no autoritzats, usos indeguts, divulgacions no consentides, així com davant la pèrdua, alteració, destrucció o robatori de dades.

Posteriorment, en resposta als reptes emergents derivats de la gestió de recursos tecnològics, l’ús creixent de dispositius personals amb finalitats professionals (BYOD) i l’expansió dels serveis d’emmagatzematge al núvol, es va aprovar una actualització del CBP, conforme al Reial decret 3/2010, també per mitjà d’una Circular 1/2014 del director general. Aquesta versió va reforçar les mesures de seguretat adaptant-les als nous entorns digitals.

Després de l’aprovació de la política de seguretat del Servei de Salut per mitjà del Decret 2/2018, l’aplicació del Reglament general de protecció de dades el 25 de maig de 2018, l’entrada en vigor de la Llei orgànica 3/2018 de protecció de dades personals i garantia dels drets digitals i l’actualització de l’Esquema Nacional de Seguretat a través del Real Decret 311/2022, es va considerar necessària una nova revisió del CBP. Així, el 5 de maig de 2022, es va aprovar una actualització per mitjà de la Instrucció 4/2022, que va incorporar les novetats següents:

• Adaptació als requeriments del RGPD i la LOPDGDD.
• Reforç de les bones pràctiques en l’ús del correu electrònic i la navegació per internet, davant l’augment d’incidents de seguretat relacionats amb el robatori de credencials.
• Inclusió de mesures específiques per a escenaris com el teletreball, l’ús de dispositius personals i les solucions al núvol.

Finalment, davant el creixent impacte de la intel·ligència artificial (IA) en l’àmbit sanitari, el Servei de Salut ha decidit actualitzar novament el CBP per integrar principis ètics i operatius que assegurin l’ús responsable d’aquestes tecnologies.

La revisió de la nova versió va ser proposada per a la seva aprovació pel Comitè de Seguretat de la Informació Corporatiu, integrat pel secretari general del Servei de Salut (presidència), el subdirector de Tecnologia i Sistemes d’Informació (vocal), els responsables de la seguretat de la informació de cadascuna de les gerències (vocals), un representant dels serveis jurídics (vocal) i el responsable de la seguretat de la informació dels Serveis Corporatius (secretari). En conseqüència, l’11 d’abril de 2025, es va aprovar una nova versió del CBP per mitjà de la Instrucció 8/2025, les novetats principals de la qual són:

• Èmfasi en la intel·ligència artificial: s’estableixen directrius específiques per garantir un ús ètic, segur i transparent de la IA en l’entorn sanitari.
• Autenticació reforçada: es promou l’ús del doble factor de verificació en totes les plataformes disponibles, per tal d’enfortir la protecció enfront d’accessos no autoritzats.

Aquesta evolució reflecteix el compromís continu del Servei de Salut amb la seguretat de la informació, la protecció de les dades personals i l’adaptació als desafiaments tecnològics emergents.

Novetats del Codi de bones pràctiques del Servei de Salut

El Servei de Salut de les Illes Balears ha actualitzat el seu CBP, el qual és un document de compliment obligat per a tot el personal del Servei de Salut i de les empreses col·laboradores. Aquesta nova versió reforça els principis de seguretat, ètica i eficiència en l’ús dels sistemes d’informació i en el tractament de dades personals i incorpora, com a principal novetat, un conjunt de directrius específiques per a l’ús responsable de la intel·ligència artificial en l’entorn sanitari, en línia amb el nou Reglament europeu sobre IA (AI Act). Aquesta inclusió respon a l’impacte creixent d’aquestes tecnologies en la pràctica clínica, la gestió sanitària i la recerca.

Els principis que en regeixen l’aplicació són:

• Legalitat i privacitat: tot sistema d’IA ha de complir amb el RGPD, la LOPDGDD i la normativa específica sobre IA. És obligatori avaluar l’impacte en la privacitat abans d’implantar-lo.
• Autorització i supervisió: no es pot utilitzar cap sistema d’IA sense la validació expressa del Servei de Salut i dels comitès habilitats. S’exigeix una supervisió contínua per garantir el compliment d’estàndards ètics i de qualitat.
• Transparència i traçabilitat: els sistemes han d’operar de manera explicable, permetent conèixer com es prenen les decisions automatitzades. Els professionals i usuaris han de ser informats del seu ús.
• Prohibició d’ús no autoritzat: està terminantment prohibit introduir, compartir o processar dades clíniques o confidencials en sistemes d’IA no validats.
• Gestió de riscs: s’han d’implementar auditories, proves de robustesa i sistemes de monitoratge per detectar biaixos o usos indeguts.
• Aplicació en investigació: la IA es pot emprar en estudis d’investigació sanitària sempre que es respectin els requisits ètics i normatius establerts.

Principis fonamentals del CBP

El CBP estableix un marc d’actuació basat en els principis següents:

• Seguretat de la informació: es garanteix la confidencialitat, integritat, disponibilitat, autenticitat i traçabilitat de les dades i sistemes emprats en l’activitat sanitària.
• Ús professional dels recursos tecnològics: els equips, aplicacions i xarxes s’han de fer servir exclusivament per a fins institucionals, sota condicions que assegurin el seu funcionament correcte i protecció davant d’amenaces.
• Protecció de dades personals: es reforça el compliment del RGPD i la LOPDGDD, establint mesures tècniques i organitzatives per a un tractament lícit, transparent i segur de la informació personal.
• Confidencialitat i secret professional: tot el personal està obligat a mantenir la confidencialitat de la informació a la qual accedeix, fins i tot després de finalitzar la seva relació amb el Servei de Salut.
• Accés limitat i controlat: s’aplica el principi del mínim privilegi i la necessitat de conèixer, de manera que cada usuari accedeixi únicament a la informació imprescindible per a l’acompliment de les seves funcions.
• Autenticació reforçada: es promou l’ús del doble factor d’autenticació per prevenir accessos no autoritzats als sistemes corporatius.
• Teletreball segur: s’estableixen directrius específiques per garantir la seguretat de la informació en entorns de treball remot, incloent-hi l’ús de dispositius autoritzats, xarxes segures i mesures de xifrat.

Consulta del Codi de bones pràctiques i formació

Amb l’objectiu de reforçar la cultura de seguretat i compliment normatiu, es recorda a tot el personal del Servei de Salut i a les empreses col·laboradores que hi ha disponible la versió reduïda del CBP, la qual es pot consultar des del web del CBP. Aquest document resumeix de manera clara les directrius principals sobre l’ús adequat dels sistemes d’informació, la protecció de dades personals i l’aplicació responsable de la intel·ligència artificial en l’entorn sanitari.

El CBP és de compliment obligat i ha de ser conegut per tothom que accedeixi als sistemes d’informació del Servei de Salut.

A més, durant l’any es programen tres edicions del curs de formació específica sobre el Codi de bones pràctiques. La propera edició d’enguany es durà a terme del 15 de setembre al 6 d’octubre de 2025. Aquesta formació és recomanable per al personal amb accés a dades personals o a sistemes d’informació, i forma part de les accions d’actualització i sensibilització en matèria de seguretat de la informació.