Boletín Oficial de la Junta de Andalucía - Histórico del BOJA Boletín número 51 de 14/03/2018

5. Anuncios5.2 Otros anuncios oficiales

Consejería de Economía y Conocimiento

Anuncio de 8 de marzo de 2018, del Instituto de Estadística y Cartografía de Andalucía, por el que se publica la resolución que se cita.

Atención: El texto que se muestra a continuación ha sido extraído de los mismos ficheros que se han utilizado para obtener el fichero PDF correspondiente del BOJA oficial y auténtico, habiéndose suprimido todas las imágenes, ciertas tablas y algunos textos de la versión oficial al existir dificultades de edición. Para consultar la versión oficial y auténtica de esta disposición puede descargarse el fichero PDF firmado de la disposición desde la sede electrónica del BOJA o utilizar el servicio de Verificación de autenticidad con CVE 00132070.

Esta disposición incluye elementos no textuales, que no se muestran en esta página. Para visualizarlos, consulte la versión en PDF.

RESOLUCIÓN DEL DIRECTOR DEL INSTITUTO DE ESTADÍSTICA Y CARTOGRAFÍA DE ANDALUCÍA, POR LA QUE SE ENCOMIENDA A LA SOCIEDAD ANDALUZA PARA EL DESARROLLO DE LAS TELECOMUNICACIONES, S.A. (SANDETEL), LA SIGUIENTE ACTUACIÓN DE EJECUCIÓN DE LOS SERVICIOS DE ASISTENCIA TÉCNICA: SOPORTE A LA ADECUACIÓN A LA NORMATIVA VIGENTE EN MATERIA DE SEGURIDAD DIGITAL DE LA INFORMACIÓN

Expediente [2018-000010].

Vistas las actuaciones seguidas en el expediente de encomienda de gestión de la asistencia técnica para los servicios de soporte a la adecuación del Instituto de Estadística y Cartografía de Andalucía a la normativa vigente en materia de seguridad digital de la información que más adelante se describen a la Sociedad Andaluza para el Desarrollo de las Telecomunicaciones, S.A. (en adelante SANDETEL), se adopta la presente Resolución en base a los siguientes antecedentes de hecho y fundamentos jurídicos:

ANTECEDENTES DE HECHO

Primero. En fecha 23 de octubre de 2015 se publica en el BOE número 264 el Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, en el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante ENS), norma que establece los principios básicos que rigen las decisiones en materia de seguridad y los requisitos mínimos requeridos para una protección adecuada de la información, con la finalidad de crear la confianza necesaria en el uso de la Administración Electrónica.

Segundo. En fecha 27 de abril de 2016 se dicta el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD). Dicho Reglamento UE introduce una serie de modificaciones sustanciales respecto del tratamiento de los datos de carácter personal que venían desarrollando las Administraciones Públicas en general y la Junta de Andalucía en particular.

Según el artículo 99 del Reglamento, el mismo entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea, y será aplicable a partir del 25 de mayo de 2018.

De acuerdo con lo previsto en el artículo 288 del Tratado de Funcionamiento de la UE, los reglamentos son directamente aplicables en todos los países miembros de la UE.

Tercero. En fecha 10 de noviembre de 2017, el Consejo de Ministros aprueba la remisión a las Cortes Generales del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, que adaptará la legislación española a las disposiciones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.

Cuarto. El Instituto de Estadística y Cartografía de Andalucía (en adelante el IECA) es el organismo responsable de coordinar el Sistema Estadístico y Cartográfico de Andalucía y garantizar la ordenación, racionalidad y eficacia de la producción cartográfica en nuestra Comunidad Autónoma para lo cual el empleo de las tecnologías de la información y las comunicaciones de forma segura deviene crucial.

Según el artículo 8 de la Ley 4/1989, de 12 de diciembre, de Estadística de la Comunidad Autónoma de Andalucía, la actividad estadística de la Comunidad Autónoma de Andalucía se ajustará en todo momento a los principios de respeto a la intimidad, secreto estadístico, obligatoriedad del suministro de información, rigor y corrección técnica, difusión de resultados y seguridad en el almacenamiento y transmisión de la información.

Las circunstancias señaladas en los antecedentes de hecho anteriores exigen una revisión completa de los sistemas de información aplicables y de los procedimientos de trabajo que se siguen en el Instituto con el objeto de realizar un diagnóstico completo de la situación actual en materia de seguridad digital de la información y la determinación de las medidas necesarias para su adaptación al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, y a la normativa sobre el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica recogida en el Real Decreto 951/2015, de 23 de octubre, por el que se modifica el Real Decreto 3/2010, de 8 de enero, para su posterior implantación.

Quinto. La presente encomienda de gestión tiene por objeto desarrollar una serie de actuaciones de soporte dirigidas a la adecuación del Instituto de Estadística y Cartografía de Andalucía a la normativa vigente en materia de seguridad digital de la información recogida en Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, y en el Real Decreto 3/2010, de 8 de enero, modificado por el Real Decreto 951/2015, de 23 de octubre.

No implica en ningún caso delegación o renuncia a la competencia del órgano encomendante y está limitada a las correspondientes actividades técnicas o de servicios, sin que implique en ningún caso el ejercicio de potestades, funciones o facultades que hubieran de llevarse a efecto con sujeción al derecho administrativo.

Sexto. La Sociedad Andaluza para el Desarrollo de las Comunicaciones, S.A., es una sociedad mercantil del sector público andaluz de las previstas en el artículo 75 de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía, creada mediante el Decreto 99/1997, de 19 de marzo, y adscrita a la Consejería de Empleo, Empresa y Comercio de la Junta de Andalucía, en virtud del artículo 2.5 del Decreto 210/2015, de 14 de julio, por el que se regula la estructura orgánica de la citada Consejería. Está participada exclusivamente por el sector público andaluz y tiene la consideración de entidad instrumental, medio propio y servicio técnico de la Administración de la Junta de Andalucía, según establece el artículo 1 de sus Estatutos.

En relación a las actuaciones que constituyen el objeto de esta encomienda, el apartado 1.b) del artículo 2 del Decreto 99/1997, de 19 de marzo, modificado por el Decreto 76/2014, de 11 de marzo, establece como competencia propia de esta sociedad mercantil el desarrollo de actividades instrumentales y/o técnicas de la política informática junto con las políticas estratégicas de aplicación de las tecnologías de la información y de las comunicaciones en la Administración Pública de la Junta de Andalucía y sus entes instrumentales, y determina el objeto social de SANDETEL, del siguiente modo: «[...] 1. El objeto social estará constituido por la realización de actividades de carácter instrumental y/o técnico para: […] d) La ejecución material de las actuaciones derivadas de las políticas de seguridad de los sistemas de información y telecomunicaciones de la Junta de Andalucía. e) El desarrollo de actividades instrumentales y/o técnicas de la política informática junto con las políticas estratégicas de aplicación de las tecnologías de la información y de las comunicaciones en la Administración Pública de la Junta de Andalucía, y sus entes instrumentales. […]. g) El desarrollo de estas actividades para cualquier otra administración pública y/o sus entes instrumentales en base a los principios de eficacia y eficiencia en la colaboración interadministrativa».

Por un lado, la complejidad de las tareas de soporte y consultoría especializada objeto de la encomienda que precisan de un grado de preparación técnica elevado, y por otro, la carencia de medios técnicos y humanos en el IECA para realizar dicha actividad, hacen necesario el encargo de la misma a una entidad con capacidad y solvencia técnica para ello, empleando para la ejecución de estas tareas la figura de la encomienda de gestión prevista en el artículo 106 de la Ley 9/2007, de 22 de octubre.

Asimismo, los equipos de trabajo que se han ido creando en SANDETEL son multidisciplinares, lo que permite dar una respuesta ágil a las actividades encomendadas. De esta forma, con la encomienda de estos servicios de asistencia técnica especializada se atiende a criterios de eficacia en la gestión, simplificación y agilidad de los procedimientos y racionalidad organizativa.

SANDETEL viene trabajando como instrumento de la Junta de Andalucía en todo lo relativo a la definición e implantación de su estrategia de Seguridad Digital desde sus inicios en 2007, estrategia que se materializa en distintos documentos que han guiado las políticas de Seguridad de la Información de la Junta de Andalucía en los últimos años: Programa Alcazaba (2007-2009); Plan Director de Seguridad de los Sistemas de Información y Telecomunicaciones de la Administración de la Junta de Andalucía (2010-2013); Estrategia de Seguridad y Confianza Digital (2014-2020), etc.

Por todo ello, SANDETEL se considera la entidad idónea para llevar a cabo las tareas objeto de esta encomienda bajo la supervisión de la persona designada para ejercer la Dirección de las actuaciones, habida cuenta de que entre sus objetivos se encuentra el de contribuir al desarrollo y fomento de las tecnologías de la información y las comunicaciones en la sociedad mediante la gestión, el desarrollo y la ejecución de los aspectos instrumentales y técnicos de los programas y actuaciones relativos al desarrollo de la Sociedad de la Información en Andalucía.

FUNDAMENTOS DE DERECHO

Primero. El Instituto de Estadística y Cartografía de Andalucía, creado mediante Ley 4/1989, de 12 de diciembre, se configura como una agencia administrativa de las previstas en el artículo 65 de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía, con personalidad jurídica pública diferenciada, plena capacidad jurídica y de obrar, patrimonio y tesorería propios, y autonomía de gestión para el cumplimiento de sus fines, adscrita a la Consejería de Economía y Conocimiento.

Segundo. De acuerdo con el artículo 106.1 de la Ley 9/2007, de 22 de octubre, las Consejerías, sus agencias y el resto de entidades que deban ser consideradas poderes adjudicadores, en el ámbito de sus competencias o de su objeto, podrán ordenar al resto de entidades instrumentales del sector público andaluz cuyo capital, aportación constitutiva o participación pertenezca íntegramente a entes de dicho sector y que realicen la parte esencial de su actividad para la Junta de Andalucía, la realización, en el marco de sus estatutos y en las materias que constituyan sus competencias o su objeto social o fundacional, de los trabajos y actuaciones que precisen, siempre que ejerzan sobre ellas un control análogo al que ejercen sobre sus propios servicios. El apartado 11 del citado artículo señala, por su parte, que las encomiendas de gestión de sociedades mercantiles y fundaciones del sector público andaluz no podrán implicar, en ningún caso, la atribución de potestades, funciones o facultades sujetas a derecho administrativo.

Tercero. El Director del Instituto de Estadística y Cartografía de Andalucía es competente para dictar la presente Resolución en virtud de lo dispuesto en el artículo 31 de la Ley 4/1989, de 12 de diciembre, de Estadística de la Comunidad Autónoma de Andalucía y el artículo 13 del Decreto 372/2009, de 17 de noviembre, por el que se regula la organización y funcionamiento del Sistema Estadístico de Andalucía.

Cuarto. Con arreglo a lo dispuesto en el artículo 24 del Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el Texto Refundido de la Ley de Contratos del Sector Público, los entes, organismos y entidades del sector público podrán ser considerados medios propios y servicios técnicos de aquellos poderes adjudicadores para los que realicen la parte esencial de su actividad cuando éstos ostenten sobre los mismos un control análogo al que pueden ejercer sobre sus propios servicios.

Quinto. Como quiera que el objeto de esta encomienda consiste en cubrir la necesidad del Instituto de Estadística y Cartografía de Andalucía de adaptar sus sistemas y procedimientos de trabajo a las nuevas exigencias de la normativa reguladora de la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de dichos datos y a la normativa sobre el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, regulados respectivamente en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y en el Real Decreto 951/2015, de 23 de octubre, por el que se modifica el Real Decreto 3/2010, de 8 de enero, lo que resulta imposible acometer con los medios humanos y materiales con que cuenta el IECA, se estima que la figura más adecuada para la ejecución del servicio es la encomienda a un medio propio de los regulados en los artículos 4.1 n) y 24.6 del TRLCSP y el artículo 106.1 de la Ley 9/2007, de 22 de octubre.

Sexto. De acuerdo con lo previsto en el artículo 11.2 de la Orden de 12 de julio de 2013, de la Consejería de Economía, Innovación, Ciencia y Empresa, por la que se desarrollan sus competencias respecto a la contratación y otros supuestos especiales de servicios, equipos y elementos técnicos de telecomunicaciones y seguridad TIC de la Administración de la Junta de Andalucía, en fecha 27 de febrero de 2018 la Dirección General de Telecomunicaciones y Sociedad de la Información ha emitido informe favorable a la documentación de la encomienda a que se refiere el apartado 3 de dicho artículo”.

Séptimo. Según lo establecido en el artículo 106.2 de la Ley 9/2007, de 22 de octubre, la encomienda se formalizará mediante resolución dictada por la persona competente de la entidad encomendante. A esta resolución le serán de aplicación todos los extremos establecidos en el citado artículo 106.

Vistos los preceptos citados y demás disposiciones concordantes y de general aplicación, a propuesta de la persona titular de la Subdirección responsable del Área de Infraestructuras de la Información, y en el uso de las atribuciones conferidas,

RESUELVO

Primero. Objeto.

Encomendar a la Sociedad Andaluza para el Desarrollo de las Telecomunicaciones, S.A., la realización de los trabajos necesarios para la ejecución del servicio de asistencia técnica «soporte a la adecuación a la normativa vigente en materia de seguridad digital de la información».

Segundo. Proyecto Técnico.

Aprobar el Proyecto Técnico que regirá la ejecución de los trabajos, que forma parte de la presente Resolución como Anexo a la misma.

Tercero. Determinación de las actividades.

La prestación de los servicios objeto de esta encomienda consistirá en la realización de los bloques o conjuntos de tareas que se relacionan a continuación, que se ejecutarán en los términos, con el detalle y con arreglo a la programación que figura en el Proyecto Técnico a que se refiere el apartado anterior:

– Bloque 1. Diagnóstico de seguridad.

+ Fase 1. Identificación de interlocutores, fuentes de información y establecimiento de la mecánica de trabajo en el proyecto.

+ Fase 2. Captura de datos.

+ Fase 3. Análisis preliminar.

– Bloque 2. Adecuación al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD).

– Bloque 3. Revisión del alcance y actualización del análisis de riesgo del Esquema Nacional de Seguridad (ENS).

– Bloque 4. Formación y concienciación.

– Bloque 5. Mantenimiento y actualización.

– Bloque 6. Auditoría y cierre del proyecto. Conforme al Proyecto Técnico, el IECA podrá proponer, si lo estima conveniente, la realización de una auditoria independiente sobre el grado de cumplimiento de los planes de adecuación al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, y al Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, que deberá realizarse en todo caso por personal debidamente acreditado para ello.

Cuarto. Plazo de ejecución.

Las actuaciones objeto de esta encomienda se realizarán en un plazo de dieciséis meses, que comenzará a contarse a partir del día de la notificación de la Resolución de encomienda a SANDETEL.

Quinto. Dirección de las actuaciones.

Nombrar como persona titular de la Dirección del proyecto a la persona titular del Servicio de Informática del Instituto de Estadística y Cartografía de Andalucía, atribuyéndole las funciones señaladas en el Proyecto Técnico anexado a la Resolución.

Sexto. Importe y partida presupuestaria.

Autorizar para la financiación de la encomienda un presupuesto máximo de cincuenta y cuatro mil noventa y un euros con ochenta céntimos (54.091,80 €), indicándose que la presente encomienda se encuentra no sujeta a IVA de conformidad con lo dispuesto en el artículo 7.8 c) de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.

Dicho importe se consignará con cargo a las anualidades y partida presupuestaria especificadas en la siguiente tabla:

Anualidad Partida presupuestaria Importe (€)
2018 0931010000-G/54F/22706/00 01 36.662,22 €
2019 0931010000-G/54F/22706/00 01 17.429,58 €
TOTAL PRESUPUESTO 54.091,80 €

Este gasto tiene carácter plurianual, de acuerdo con el artículo 40 del Texto Refundido de la Ley General de Hacienda Pública aprobado por el Decreto Legislativo 1/2010 de 2 de marzo.

De acuerdo con lo previsto en el artículo 106.6 de la Ley 9/2007, de 22 de octubre, los gastos generales y corporativos de SANDETEL serán imputados al coste de las actuaciones encomendadas y realizadas, hasta un máximo del 6% de dicho coste.

Séptimo. Régimen de pagos.

El pago del importe de los trabajos realizados se efectuará con la periodicidad que se recoge en el Proyecto Técnico, conforme a las actuaciones efectivamente realizadas, una vez expedida certificación de conformidad por la persona designada como titular de la Dirección del proyecto, a la que se acompañará la documentación en la que consten los trabajos realizados y que son objeto de certificación.

Octavo. Los medios humanos y materiales empleados para la ejecución de las actividades objeto de esta encomienda serán, en todo caso, dependientes y de la exclusiva responsabilidad de SANDETEL, quedando el Instituto a salvo de cualquier responsabilidad derivada de la ejecución de las mismas.

De acuerdo con lo previsto en el artículo 11 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en todo caso, la entidad encomendataria tendrá la condición de encargada del tratamiento de los datos de carácter personal a los que pudiera tener acceso en ejecución de la encomienda de gestión, siéndole de aplicación lo dispuesto en la normativa de protección de datos de carácter personal.

Al objeto de dar cumplimiento a lo establecido en el artículo 15.b) de la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía, la entidad encomendataria deberá comunicar al IECA, a través del Director del proyecto, las subcontrataciones que se realicen, con mención de las personas adjudicatarias, procedimiento seguido para la adjudicación e importe de la misma, en un plazo no superior a 15 días a contar desde el momento en que éstas se produzcan.

La encomienda objeto de la presente Resolución no implica, en ningún caso, la atribución a SANDETEL de potestades, funciones o facultades sujetas a Derecho Administrativo.

Noveno. Supervisión de los trabajos.

Para la supervisión de la evolución del proyecto se celebrarán reuniones de seguimiento con la periodicidad que se determine, a las que asistirá la persona titular de la Dirección del proyecto o persona a quien se designe en su sustitución, y a la titular de la Jefatura de proyecto de SANDETEL.

Durante la ejecución de los diversos trabajos objeto de encomienda, SANDETEL facilitará a las personas designadas por el Instituto la información y documentación que éstas soliciten para disponer de un pleno conocimiento de las circunstancias en que se desarrollan los mismos.

Asimismo, el medio propio SANDETEL deberá comunicar, no solo en el transcurso de estas reuniones sino también en el día a día, las eventuales incidencias que puedan plantearse, así como cualquier otra información requerida por el IECA.

La persona titular de la Dirección del proyecto podrá indicar la no conformidad con todo o parte de los trabajos realizados, en la medida que éstos no respondan a lo especificado en las reuniones de planificación o bien no se sigan los protocolos de actuación establecidos.

Décimo. Modificación.

Conforme a lo establecido en el artículo 106.9 de la Ley 9/2007, de 22 de octubre, cuando sea necesario introducir alguna modificación en la encomienda, deberá acordarse mediante Resolución, dictada sobre la base de la propuesta técnica de la persona titular de la Dirección del proyecto, y el expediente de modificación deberá contener los documentos que justifiquen, describan y valoren la modificación.

Asimismo, tal y como recoge el artículo 106.10 de la mencionada Ley, cuando por retraso en el comienzo de la ejecución de la encomienda sobre lo previsto al iniciarse el expediente, modificaciones en la misma o por cualesquiera otras razones de interés público debidamente justificadas se produjese desajuste entre las anualidades establecidas en la presente resolución y las necesidades reales en el orden económico que el normal desarrollo de los trabajos y actuaciones exija, el órgano encomendante procederá a reajustar las anualidades, siempre que lo permitan los créditos presupuestarios.

Undécimo. Titularidad de los trabajos.

Las actuaciones que se realicen en virtud de esta encomienda serán de la titularidad de la Junta de Andalucía, adscribiéndose al Instituto de Estadística y Cartografía de Andalucía como entidad ordenante de su realización.

Duodécimo. Incumplimiento.

El incumplimiento de cualquiera de las condiciones establecidas en la encomienda de ejecución objeto de la Resolución será causa suficiente para la denuncia y resolución. Asimismo, las cuestiones litigiosas que puedan surgir en su interpretación y cumplimiento serán de conocimiento y competencia del Orden Jurisdiccional de lo contencioso-administrativo.

Decimotercero. Inicio de los trabajos.

Conforme a lo dispuesto en el artículo 106.2.c) de la Ley 9/2007, de 22 de octubre, la notificación de la Resolución de encomienda a SANDETEL, con el anexo que la acompaña, supondrá la orden para iniciarla.

Para su eficacia, conforme a lo señalado en el artículo 11.3.a) de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público, la Resolución de la encomienda se publicará en el Boletín Oficial de la Junta de Andalucía.

Sevilla, 8 de marzo de 2018.- El Director, Jesús Sánchez Fernández.

ANEXO

PROYECTO TÉCNICO SOBRE ENCOMIENDA DE GESTIÓN A LA SOCIEDAD ANDALUZA PARA EL DESARROLLO DE LAS TELECOMUNICACIONES, S.A. (SANDETEL), PARA LA REALIZACIÓN DE LAS ACTUACIONES NECESARIAS PARA LA EJECUCIÓN DE LOS SERVICIOS DE ASISTENCIA TÉCNICA

EXPEDIENTE [2018-000010]

SOPORTE A LA ADECUACIÓN A LA NORMATIVA VIGENTE EN MATERIA DE SEGURIDAD DIGITAL DE LA INFORMACIÓN DEL INSTITUTO DE ESTADÍSTICA Y CARTOGRAFÍA DE ANDALUCÍA

1. INTRODUCCIÓN

La naturaleza y alcance de cualquier servicio de seguridad depende de la tipología, dimensión y complejidad de los sistemas de información sobre los que se presta y de su entorno global. Por ello, la caracterización del entorno tecnológico y organizativo de una entidad u organismo desde el punto de vista de la seguridad es crucial para una adecuada identificación y dimensionamiento de los servicios de seguridad, de forma que las necesidades de la organización queden satisfechas de la mejor forma posible. La realización de estas tareas requiere un nivel de dedicación y de conocimiento especializado con los que frecuentemente no es posible contar en el seno de las organizaciones, cuyo núcleo de negocio o actividad se encuentra muy alejado del ámbito de la seguridad y que, sin embargo, depende fuertemente de ella para un adecuado desempeño y continuidad de dicha actividad.

La Unión Europea dictó en 2016 el Reglamento General de Protección de Datos (UE) 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por el que se deroga la Directiva 95/46/CE. Dicho reglamento que establecía como fecha de aplicación efectiva el 25 de mayo de 2018, es de obligado cumplimiento en todos los estados miembros e introduce una serie de elementos que modifican de manera sustancial el tratamiento de los datos de carácter personal que venían desarrollando las Administraciones Públicas (en adelante AAPP) en general y la Junta de Andalucía en particular. Asimismo prevé la existencia de sanciones por incumplimiento a las AAPP, lo que quedará regulado en la Ley Orgánica que está pendiente de aprobación.

Por otro lado el RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad y su modificación mediante Real Decreto 951/2015, de 23 de octubre, indica que las AAPP están obligadas a cumplir con unos requisitos mínimos para una protección adecuada de la información, lo que requiere de las AAPP un trabajo de planificación y mejora continua de sus Planes de Seguridad en general, dando especial relevancia al análisis de riesgos como herramienta para la planificación, y estableciendo la necesidad de revisarlo de manera periódica cada vez que se produzcan cambios sustanciales.

Por todo esto, el abanico de soluciones o proyectos de seguridad que se pueden aplicar sobre una organización es muy amplio, estando cada uno de ellos orientado a corregir o mejorar determinados aspectos específicos, pudiendo ir desde cuestiones meramente organizativas a cuestiones de carácter técnico, pasando por otras más formales relacionadas con el cumplimiento normativo. Los beneficios específicos aportados por una u otra solución dependerán del entorno global de la organización y de su grado de madurez en términos de seguridad, de tal manera que no siempre una misma solución redundará en un grado de mejora relativa equivalente en organizaciones diferentes. El Instituto de Estadística y Cartografía de Andalucía es consciente de la necesidad de mejorar la gestión de la seguridad de su información, en general, y de adecuarse, en particular, a la normativa vigente en el ámbito de la seguridad de la información: Esquema Nacional de Seguridad, en adelante ENS, y Reglamento Europeo de Protección de Datos, en adelante RGPD, por lo que necesita encomendar a SANDETEL una propuesta de actuaciones en materia de seguridad de la información que permita iniciar un proceso de mejora en dicho ámbito. El siguiente documento describe la propuesta técnica para llevar a cabo los trabajos necesarios para su adecuación al nuevo RGPD así como al ENS.

Por todo esto, el abanico de soluciones o proyectos de seguridad que se pueden aplicar sobre una organización es muy amplio, estando cada uno de ellos orientado a corregir o mejorar determinados aspectos específicos, pudiendo ir desde cuestiones meramente organizativas a cuestiones de carácter técnico, pasando por otras más formales relacionadas con el cumplimiento normativo. Los beneficios específicos aportados por una u otra solución dependerán del entorno global de la organización y de su grado de madurez en términos de seguridad, de tal manera que no siempre una misma solución redundará en un grado de mejora relativa equivalente en organizaciones diferentes. El Instituto de Estadística y Cartografía de Andalucía es consciente de la necesidad de mejorar la gestión de la seguridad de su información, en general, y de adecuarse, en particular, a la normativa vigente en el ámbito de la seguridad de la información: Esquema Nacional de Seguridad, en adelante ENS, y Reglamento Europeo de Protección de Datos, en adelante RGPD, por lo que necesita encomendar a SANDETEL una propuesta de actuaciones en materia de seguridad de la información que permita iniciar un proceso de mejora en dicho ámbito. El siguiente documento describe la propuesta técnica para llevar a cabo los trabajos necesarios para su adecuación al nuevo RGPD así como al ENS.

El ámbito de esta propuesta es el de la seguridad de la información, incluyendo la protección de datos de carácter personal.

2. JUSTIFICACIÓN DE LA IDONEIDAD DE SANDETEL PARA LA EJECUCIÓN DE LOS TRABAJOS

Todas estas novedades normativas descritas anteriormente requieren la realización de un volumen de tareas técnicas considerable que proporcionen soporte a la adecuación a la normativa aplicable en cuanto a seguridad de la Información (ENS) y protección de datos personales (RGPD y LOPD cuando esta se publique), así como la formación específica al personal del IECA en función de su perfil. Dado que la Junta de Andalucía dispone de un medio propio especializado en actividades de esta naturaleza, no se justifica acudir a la contratación externa, por lo que se considera conveniente realizar una encomienda a SANDETEL.

En este sentido SANDETEL se constituye, en 1997, como sociedad mercantil del sector público andaluz para la realización de actividades de carácter instrumental y/o técnico para el fomento de las nuevas tecnologías, el desarrollo de la Sociedad de la Información y el Conocimiento. La misión de SANDETEL es contribuir a la modernización de la administración de la Junta de Andalucía a través del desarrollo de proyectos y la prestación de servicios TIC que sean fuente de calidad, eficacia y eficiencia en la prestación de los servicios públicos, así como impulsar el desarrollo de la Sociedad de la Información y el Conocimiento en Andalucía.

De este modo, SANDETEL viene trabajando como instrumento de la Junta de Andalucía en todo lo relativo a la definición e implantación de su estrategia de Seguridad Digital desde sus inicios en 2007, estrategia que se materializa en distintos documentos que han guiado las políticas de Seguridad de la Información de la Junta de Andalucía en los últimos años:

• Programa Alcazaba (2007-2009)

• Plan Director de Seguridad de los Sistemas de Información y Telecomunicaciones de la Administración de la Junta de Andalucía (2010-2013)

• Estrategia de Seguridad y Confianza Digital (2014-2020)

En el desarrollo de todos estos programas SANDETEL ha jugado un papel fundamental como órgano asesor, consultor, coordinador e incluso evaluador. Desde la constitución en 2010 del Centro de Respuesta a Incidentes de Seguridad de la Junta de Andalucía, Andalucía CERT, SANDETEL tiene encargada su gestión, y ejecuta sistemáticamente el Plan General de Auditorías aprobado anualmente por el Comité de Seguridad TIC de la Junta de Andalucía.

Además de estos trabajos, en el último periodo la Consejería de Empleo, Empresa y Comercio a través de la Dirección General de Telecomunicaciones y Sociedad de la Información ha encargado a SANDETEL el soporte en la ejecución la Estrategia de Seguridad y Confianza Digital (2014-2020) a través de distintas encomiendas de Gestión.

Para el desarrollo de todas estas actividades SANDETEL dispone de un equipo técnico muy cualificado, con un amplio conocimiento de las políticas de seguridad implantadas por todos los organismos de la Junta de Andalucía, y que ha colaborado con el IECA en la elaboración de un Análisis de Riesgos en el ámbito del Plan Director de Seguridad.

Por todo esto, y dada la particular dificultad (plazos e implicaciones técnicas) que entraña la adaptación al Nuevo Reglamento Europeo de Protección de Datos, normativa en proceso de transposición a la normativa nacional, y las obligaciones que emanan del Decreto 70/2017, de 6 de junio (que modifica el Decreto 1/2011, de 11 de enero) por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, y en cuya redacción el equipo de SANDETEL ha tenido un papel fundamental, el Instituto de Estadística y Cartografía de Andalucía considera que SANDETEL es la entidad idónea para llevar a cabo los trabajos correspondientes a su Adecuación al Reglamento Europeo de Protección de Datos para poder acometer los trabajos en tiempo y forma adecuados.

3. DESCRIPCIÓN DE LA PROPUESTA TÉCNICA

Los trabajos a desarrollar por SANDETEL consistirán en llevar a cabo un análisis de cumplimiento del ENS y la adecuación a la nueva normativa de protección de datos de carácter personal. Los trabajos a desarrollar por SANDETEL se estructurarán en 6 bloques que son los siguientes.

Bloque 1. Diagnóstico de Seguridad.

Fase 1: Identificación de interlocutores, fuentes de información y establecimiento de la mecánica de trabajo en el proyecto.

Esta fase comprenderá las siguientes actividades:

- Identificación de agentes participantes en el proyecto, tanto por parte de SANDETEL como del IECA (interlocutores de ambas partes a efectos de gestión del proyecto).

- Identificación de agentes colaboradores dentro del IECA (fuentes de información respecto a cuestiones o materias específicas).

- Mecanismos de intercambio de información y coordinación.

- Identificación de documentación relevante para las tareas de diagnóstico a realizar, pudiendo tener cabida documentación como la siguiente:

• Organigrama del organismo, con indicación de las funciones de cada área.

• Documento de seguridad LOPD y documentación asociada.

• Resultado de la última auditoría LOPD.

• En su caso, plan de adecuación ENS y documentación asociada.

• En su caso, inventario de sistemas relacionados con el ENS y la LOPD.

• En su caso, clausulado específico respecto a cuestiones de seguridad que pudiera existir en los contratos del personal.

• En su caso, planes de formación y concienciación en materia de seguridad de la información puestos en marcha por la organización.

• En su caso, relación y descripción de posibles proyectos TIC ya programados y a implementar a corto/medio plazo.

• Diseño de un calendario acordado de reuniones o entrevistas personales con algunos de los agentes colaboradores de IECA identificados. Se estima preliminarmente un número de entrevistas de entre 5 y 10. A priori, estos agentes podrían pertenecer a algunas de las siguientes áreas o departamentos del IECA:

• Informática (desarrollo, sistemas y microinformática)

• Recursos humanos

• Responsables de las principales áreas de negocio

• Otras relevantes a efectos de seguridad de la información

Fase 2. Captura de datos

Esta fase comprenderá la celebración de las reuniones previstas en la agenda definida en la fase anterior.

Entre las materias a tratar podrán encontrarse algunas como las siguientes:

- Aspectos organizativos de la seguridad, incluyendo personas específicamente dedicadas y sus perfiles de responsabilidad, comités, política de seguridad, normas y procedimientos propios de seguridad de la información, etc

- Identificación de activos de información.

- Aspectos operacionales de la seguridad, incluyendo procesos externalizados, control del acceso, gestión de la explotación de sistemas, monitorización, etc.

- Medidas de seguridad específicas, incluyendo protección de equipos, de soportes, cifrado, etc.

- Revisión de cuestiones específicas relacionadas con la protección de datos de carácter personal y el RGPD.

Fase 3. Análisis preliminar.

En esta fase, SANDETEL analizará la información recabada en la fase anterior desde distintas perspectivas, a los efectos de realizar un primer diagnóstico del estado de la seguridad del IECA, e identificará las necesidades más acuciantes en materia de seguridad de la información que se plasmará en un un primer plan general de mejora del estado de la seguridad.

Bloque 2. Adecuación al Reglamento General de Protección de Datos (RGPD).

En este bloque se trabajará, en colaboración con las distintas áreas de IECA, para elaborar los documentos, procedimientos y normativa interna que avancen en el cumplimiento del RGPD por parte de IECA.

El reglamento y la posible modificación de la Ley Orgánica de Protección de Datos española para adecuarse a éste, implica que la planificación de los trabajos no pueda realizarse de manera más concreta y que probablemente exija una revisión para adecuarse a los posibles cambios legales que ocurran.

En principio, se determina la necesidad de elaborar/actualizar los siguientes documentos:

- Registro de las actividades de tratamiento realizados en IECA.

- Identificación en IECA de los roles descritos en el RGPD (responsables del tratamiento, delegado de protección de datos, etc.)

- Evaluación de impacto de los tratamientos de datos.

- Análisis de riesgos formal siguiendo la metodología MAGERIT.

- Procedimientos internos para procesar las solicitudes de derechos que se reciban de la ciudadanía.

- Procedimientos de identificación, clasificación y notificación de las violaciones de seguridad relacionadas con datos de carácter personal.

- Cláusulas informativas para recabar los consentimiento de los ciudadanos

- Cláusulas legales a incluir en los contratos con terceros.

- Inventario de activos de información que gestionan datos de carácter personal.

El cumplimiento del RGPD implica la implantación de medidas técnicas que requerirán la configuración y mantenimiento de los sistemas ya existentes en IECA, así como el desarrollo e implantación de nuevos. Quedan fuera del alcance de este proyecto la realización de estos trabajos ya que requerirán proyectos concretos de desarrollo y/o adaptación de sistemas.

Bloque 3. Revisión del alcance y actualización del análisis de riesgos del Esquema Nacional de Seguridad (ENS).

En este bloque se trabajará, en colaboración con las distintas áreas del IECA, para elaborar los documentos, procedimientos y normativa interna que avancen en el cumplimiento legal del ENS de la organización:

- Actualización del análisis de riesgos ya realizado en el IECA, ampliando el alcance a todos los elementos de los sistemas de información que estén sustentados en medios electrónicos y gestionen competencias del IECA, según recomendaciones de la Guía de Seguridad CCN-STIC-830 – Ámbito de aplicación del Esquema Nacional de Seguridad.

Este análisis de riesgos ya existente se ampliará también para analizar los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen y revisar las medidas de seguridad en función de los resultados, en línea con lo establecido en el Reglamento (UE) 2016/679.

- Informe de evaluación previo que reflejará la situación actual respecto al grado de adecuación del IECA a las medidas exigidas por los Reales Decretos 3/2010 y 951/2015, definiendo un plan de adecuación para implantar las mejoras identificadas a partir del análisis de riesgos y plasmadas en el informe de evaluación.

- Informe de evaluación y actualización de los datos contenidos en la herramienta PILAR actualmente implantada en el IECA.

El cumplimiento del ENS implica la implantación de medidas técnicas que requerirán la configuración y mantenimiento de los sistemas ya existentes en el IECA así como el desarrollo e implantación de nuevos. Quedan fuera del alcance de esta fase la realización de los trabajos descritos en el ENS y no incluidos en el listado anterior ya que requerirán proyectos concretos de desarrollo y/o adaptación de sistemas.

Bloque 4. Formación y concienciación.

SANDETEL ofrecerá un servicio de formación orientado a aportar los conocimientos necesarios una vez concluidos los trabajos de adaptación al RGPD y de revisión del ENS. Se estima necesario dar formación y generar los contenidos de apoyo a la misma al menos a los siguientes perfiles: Comité de seguridad TIC y mandos intermedios del IECA, DPO/Responsables de Seguridad, Responsables de los sistemas de información y Responsables de los Servicios, y por último Personal usuario del IECA, a cada uno de ellos con unos contenidos y nivel de profundidad determinados. Asimismo también se recomienda la realización de una charla de sensibilización al inicio de los trabajos, para comprometer a dirección y mandos intermedios con el desarrollo de los trabajos de consultora.

El servicio de formación se configurará como sigue:

- Comité de seguridad y mandos intermedios de IECA: 1 sesión de 2 horas de sensibilización. Contenidos previstos, metodología de desarrollo del proyecto, RGPD y ENS.

- DPO, Responsables de seguridad, de sistemas de información y de Servicios, y personal técnico del IECA.- 2 jornadas. La propuesta inicial del contenido será la siguiente:

• Implantación del RGPD en IECA (Jornada de 4 horas).

• Mantenimiento y actualización del análisis de riesgos de adecuación al RGPD y de aplicación al ENS dirigida al personal técnico del IECA (jornada de 4 horas).

- Personal de IECA.- 1 sesión de 2 horas de formación generalizada en seguridad de la información impartida 2 veces para facilitar la presencia de todo el personal.

Bloque 5. Mantenimiento y actualización.

Una vez completados los bloques 1, 2 y 3 se ofrece a IECA un servicio de seguimiento y asesoramiento hasta la finalización del proyecto de las medidas que se tendrán que poner en marcha y ejecutar para la adecuación de sus sistemas de información al RGPD y al nuevo alcance del ENS que resulte si fuese el caso, de acuerdo a los resultados y procedimientos establecidos en los citados bloques.

A través de dicho servicio SANDETEL ofrecerá al IECA personal específico para realizar una labor de apoyo especializado permanente en materia de gestión de la seguridad de la información al Responsable de Seguridad. Este servicio permite al organismo contratante disponer de forma ágil de las funciones propias de una unidad de seguridad digital para impulsar el desarrollo y articulación efectiva/elaboración de todas las actuaciones que competan a esta unidad.

Podrán contemplarse revisiones de la política de seguridad o el documento de seguridad del organismo acorde con el cumplimiento normativo vigente (RGPD, LOPD o la trasposición de la misma que resulte, ENS, Ley de transparencia, …).

Asimismo a través de dicha Bolsa de horas se podrá ampliar el alcance de la formación prevista en el Bloque 4, bien extendiendo la propuesta formativa prevista bien desarrollando contenidos especializados de carácter técnico específicos para el personal TIC del IECA.

También podrán ser objeto de esta bolsa de horas el diseño de procedimientos más operativos o incluso la elaboración de guías o procesos generales de securización, recomendaciones de configuración de herramientas específicas de seguridad, inspecciones técnicas de seguridad, test de intrusión etc. que, siempre, a propuesta del IECA y de forma más operativa, faciliten a la organización el cumplimiento de las medidas del ENS.

Igualmente asesoramiento ante violaciones o brechas de seguridad.

Podrán ser incluidas tareas de asesoramiento ante una eventual inspección o requerimiento de información de las autoridades de control y protección de datos.

Opcionalmente también podrán realizarse revisión de seguimiento de los trabajos de adaptación al RGPD o de implantación y revisión del plan de actuaciones propuesto en el ENS.

Este servicio de mantenimiento se ofrecerá en modo bolsa de horas a petición de IECA, y se certificarán con periodicidad mensual, estableciéndose una bolsa máxima de 300 horas. Al inicio del proyecto se establecerá una metodología específica para la gestión de estas peticiones de mantenimiento y actualización.

Bloque 6. Auditoría y Cierre del proyecto.

De forma opcional y siempre después de la finalización de los bloques 1,2,3 y 4, y al menos 3 meses antes de la finalización de la encomienda, el IECA podrá proponer si así lo estima la realización de una auditoria independiente del grado de cumplimiento de los planes de adecuación al RGPD, que deberá realizarse en todo caso por personal debidamente acreditado para ello.

El esfuerzo estimado en horas para dichos trabajos de auditoria se valora en 160 horas base, que no se certificarán ni pagarán caso de no realizarse.

En cuanto al contenido y resultados de dicha auditoría, se elaborará un informe final que incluirá un anexo en forma de resumen ejecutivo, dirigido a la Dirección, con los principales resultados de la auditoría.

El informe final de auditoría contendrá la evaluación del grado de cumplimiento de las actuaciones identificadas en los planes de adecuación al ENS y RGPD. En cuanto a la revisión formal de RGPD el contenido del informe se pactará con el DPO durante el transcurso de los trabajos de adaptación, ya que el reglamento no establece ningún requisito al respecto de auditorías de cumplimiento. En cuanto al grado de cumplimiento del plan de adecuación al ENS dicho informe incluirá, como mínimo, los siguientes apartados:

- Revisión de la Declaración de Aplicabilidad existente en IECA.

- Existencia de un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la Dirección.

- Confirmación de que la política de seguridad responde a la misión y objetivos de seguridad del IECA.

- Confirmación de que la organización define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información, detallando procedimientos para la resolución de conflictos entre dichos responsables cuando pueda darse dicho supuesto, y verificando que se han designado personas para dichos roles a la luz del principio de «separación de funciones».

- Revisión de la normativa de seguridad interna de la IECA derivada de su política de seguridad.

- Confirmación de que se ha realizado un análisis de riesgos, incluyendo la identificación de escenarios de riesgo, el análisis de las consecuencias y su probabilidad, y la evaluación de su aceptabilidad o inaceptabilidad para la organización, con revisión y aprobación regular, según lo establecido en las medidas aplicables del Anexo II del RD 3/2010.

- Auditoría de la categoría asignada a cada uno de los sistemas, con detalle del nivel de seguridad asignado a cada una de las dimensiones recogidas en el ENS.

- Auditoría del cumplimiento de las medidas de seguridad descritas en el Anexo II del RD 3/2010, sobre Medidas de Seguridad, en función de las condiciones de aplicación en cada caso.

- Auditoría del proceso de mejora continua de la gestión de la seguridad.

- Descripción de las áreas organizativas, módulos o funciones del sistema de información cubiertas por la auditoría, incluyendo los requisitos de certificación y las ubicaciones que fueron auditadas, las pistas de auditoría seguidas y las metodologías de auditoría utilizadas.

- Justificación mediante evidencias objetivas y su correspondencia con los requisitos del ENS de los detalles de las conformidades y no conformidades identificadas en la auditoría.

- Dictamen del Equipo de Auditoría sobre si los sistemas de información del IECA pueden ser certificados o no, con información que soporte esa conclusión.

4. ORGANIZACIÓN DEL PROYECTO

El trabajo se organizará en forma de proyecto. Para su ejecución existirá una organización específica con objeto que en el desarrollo del proyecto cada función quede perfectamente identificada y tenga una persona asignada responsable de su cumplimiento.

Se establecen las siguientes figuras y órganos de dirección del proyecto:

- Dirección del proyecto.

- Jefatura del proyecto.

- Equipo de proyecto.

Las funciones y responsabilidades serán las siguientes:

- Dirección del proyecto.

La persona titular del Servicio de Informática ejercerá la superior dirección de los trabajos con las siguientes funciones y responsabilidades:

• Dirigir, supervisar y coordinar la realización y desarrollo de los trabajos.

• Velar por el nivel de calidad de los trabajos.

• Aprobar el programa de realización y las certificaciones de los trabajos.

• Coordinar las entrevistas entre personas usuarias y técnicas involucradas en el proyecto.

• Dirimir posibles puntos de falta de acuerdo entre el Jefe de proyecto y otros actores participantes en el proyecto.

• Asegurar el seguimiento de la planificación de los trabajos.

• Hacer cumplir las normas de funcionamiento y condiciones estipuladas en el presente proyecto técnico.

• Autorizar cualquier alteración de la metodología, tanto en los productos finales como en la realización de las fases, actividades y tareas previstas para su obtención.

• Aprobar los resultados parciales y finales producidos como consecuencia de la ejecución de los trabajos.

- Jefatura del proyecto.

Su designación la realizará la entidad a la que se encomienda la gestión del proyecto de entre las personas que constituyan el equipo de proyecto. Sus funciones y responsabilidades serán las siguientes:

• Organizar la ejecución de los trabajos, y poner en práctica la metodología aprobada,

• Supervisar los productos finales antes de su remisión a la Dirección del proyecto

• Presentar a la Dirección del proyecto para su aprobación los resultados parciales y entregables elaborados, en la forma y plazos indicados, hasta su aprobación y aceptación definitiva.

• Ostentar la dirección y representación de su equipo de trabajo en sus relaciones con el IECA.

• Proponer a la persona titular de la Dirección del proyecto las modificaciones que estime necesarias surgidas durante el desarrollo de los trabajos.

• Asegurar el nivel de calidad de los trabajos.

- Equipo de proyecto.

El equipo de proyecto será el responsable de realizar todos los procesos, actividades y tareas necesarias para la ejecución del presente proyecto, en los términos y condiciones previstas en este documento.

Estará constituido por el personal técnico necesario, en número, cualificación y nivel de dedicación, para atender a los objetivos y programación de actividades previstas en desarrollo del proyecto.

Para asegurar el adecuado y efectivo seguimiento y control de los trabajos se fijan las siguientes directrices:

- Seguimiento continuo y conjunto de la evolución de los trabajos por parte de la Dirección y la Jefatura del proyecto.

- Reuniones de seguimiento, con la periodicidad necesaria, de la Dirección y la Jefatura del proyecto, para revisar el grado de cumplimiento de los objetivos, actividades y tareas, de sus especificaciones funcionales y de la programación de las actividades realizadas.

5. PRESUPUESTO

Para la elaboración del presupuesto se ha realizado un estimación del coste de cada uno de los bloques del apartado 3 calculando el esfuerzo en horas de los mismos. Dado que en cada una de las fases intervendrán diferentes perfiles profesionales (Consultor Junior o Consultor Senior) que tienen un coste diferente, se ha calculado un precio base por hora que se ha compuesto ponderando el porcentaje estimado de horas de cada perfil por la tarifa correspondiente. Dicha tarifa en todos los casos es inferior al precio medio recogido en el estudio realizado por la Dirección General de Política Digital «Tendencias TIC en la Junta de Andalucía 2013-2014 - Estudio sobre tarifas por perfil profesional aplicadas en las contrataciones TIC de la Junta de Andalucía durante los años 2013 y 2014 - 12 de mayo de 2015», y que se utiliza en los procesos de licitación que el IECA realiza en materia TIC.

Horas Precio Hora Base Precio por Bloque
Bloque 1: Diagnóstico 400 37,8 15.120,00 €
Bloque 2: RGPD 220 37,8 8.316,00 €
Bloque 3: ENS 220 37,8 8.316,00 €
Bloque 4: Formación 50 37,8 1.890,00 €
Bloque 5: Mantenimiento 300 37,8 11.340,00€
Bloque 6: Auditoría 160 37,8 6.048,00 €
Subtotal: 51.030,00 €
Gastos generales (6%) 3.061,80 €
Precio total 54.091,80 €

La tarifa de la hora resultante asciende a 37,8 euros/hora, y esta compuesta por la ponderación de los siguientes conceptos.

- 75 % de las horas corresponden a la dedicación de un Consultor Junior con coste aproximado de cuyo coste es de 36,28 €.

- 25% de las horas corresponden a la dedicación de un Consultor Senior cuyo coste es de 42,35 €.

La fórmula aplicada para la obtención de las horas base es la siguiente:

Precio Hora Base= (0,75x36,28€/hora)+(0,25x42,35€/hora) = 37,8 €/hora.

El precio de las horas base no podrá incrementarse con el IVA al estar la presente encomienda no sujeta a dicho impuesto.

Al coste total de los trabajos habrá que añadir los costes generales y corporativos correspondientes a la empresa y que son del 6% €.

Dicho importe se consignará con cargo a las anualidades y aplicación presupuestaria especificadas en la siguiente tabla:

Anualidad Partida presupuestaria Importe (€)
2018 0931010000-G/54F/22706/0001 Estudios y Trabajos técnicos 36.662,22 €
2019 0931010000-G/54F/22706/0001 Estudios y Trabajos técnicos 17.429,58 €
TOTAL PRESUPUESTO 54.091,80 €

La anualidad 2018 ha sido estimada teniendo en cuenta un máximo de 25 horas a imputar en el año de 2018 en el bloque de mantenimiento, y el resto, hasta una máximo de 275 en el 2019.

6. PLANIFICACIÓN DE LOS TRABAJOS, CERTIFICACIONES Y ENTREGABLES

Los trabajos previstos en el apartado 3 de la propuesta técnica, tendrán una duración de 16 meses, y se ejecutarán de acuerdo al cronograma establecido y recogido en la tabla adjunta, facturándose contra certificaciones del director del proyecto, previa recepción de los entregables definidos para cada una de las tareas en las que se descompone el trabajo y que aparecen recogidos en la citada tabla adjunta.

Cada bloque se podrá facturar a partir de la recepción y aceptación por parte del director de los trabajos de todos y cada uno de los entregables que se recogen en dicho bloque:

Primer Pago: A la finalización de los trabajos del bloque 1, en el mes 5, previa certificación de la dirección del proyecto

Segundo Pago: A la finalización de los trabajos del bloque 2, en el mes 6, previa certificación de la dirección del proyecto

Tercer pago: A la finalización de los trabajos del bloque 3, en el mes 7, previa certificación de la dirección del proyecto. A dicho pago se añadirá el coste asociado a la horas base facturadas de trabajos finalizados y aceptados del bloque 5 de mantenimiento.

Cuarto Pago: Coste asociado a las horas base ejecutadas por trabajos finalizados y aceptados del bloque de mantenimiento en el mes 8, previa certificación de la dirección técnica del proyecto.

Quinto pago: A la finalización de los trabajos del bloque 4, en el mes 9, previa certificación de la dirección del proyecto. A dicho pago se añadirá el coste asociado a la horas base facturadas de trabajos finalizados y aceptados del bloque 5 de mantenimiento.

A partir del mes 10, se efectuarán pagos mensuales por las horas base de trabajos finalizados y aceptados del bloque 5 de mantenimiento si las hubiere, a excepción del mes siguiente a la finalización de los trabajos de auditoría que, de realizarse, serán facturados conjuntamente con las horas base de trabajos finalizados y aceptados del bloque 5 de mantenimiento, a la finalización de los mismos, previa certificación de la dirección del proyecto.

En cualquier caso, las horas base a facturar para el bloque 5 de mantenimiento nunca podrán superar las 300 horas máximas previstas.

Los trabajos se realizarán en los plazos previstos, salvo que el retraso fuese producido por motivos no imputables a SANDETEL y éste ofreciera cumplir sus compromisos dándole prórroga del tiempo que se la había señalado. Dicho plazo será por lo menos igual al tiempo perdido a no ser que SANDETEL pidiese otro menor.

Descargar PDF