Agencia Estatal Boletín Oficial del Estado
La Secretaria de Estado de Función Pública y la Directora de la Agencia Española de Protección de Datos, Autoridad Administrativa Independiente, han suscrito un convenio para la prestación de la solución de Nube Híbrida NubeSARA, financiado en parte por la Unión Europea, en el marco del Plan de Recuperación, Transformación y Resiliencia – Fondo de Recuperación Next Generation EU.
Para general conocimiento, y en cumplimiento de lo establecido en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispongo la publicación en el «Boletín Oficial del Estado» del referido convenio como anejo a la presente resolución.
Madrid, 26 de diciembre de 2024.–El Subsecretario de la Presidencia, Justicia y Relaciones con las Cortes, Alberto Herrera Rodríguez.
4 de diciembre de 2024.
REUNIDOS
De una parte, doña Clara Mapelli Marchena, titular de la Secretaría de Estado de Función Pública, nombrada por Real Decreto 41/2024, de 9 de enero, en ejercicio de las competencias que le confiere el artículo 62.2 de la Ley 40/2015, de 2 de octubre, de Régimen Jurídico del Sector Público, y en virtud de las competencias que le atribuyen los artículos 8 y 9 del Real Decreto 210/2024, de 27 de febrero, por el que se establece la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función Pública, y conforme a lo dispuesto en el apartado tercero de la Orden TDF/469/2024, de 9 de mayo, sobre fijación de límites para la administración de determinados créditos para gastos y de delegación de competencias.
Y, de otra parte, doña Mar España Martí, Directora de la Agencia Española de Protección de Datos, Autoridad Administrativa Independiente (en adelante, AEPD), nombrada para este cargo por Real Decreto 715/2015, de 24 de julio, en virtud de las competencias establecidas en el artículo 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y en el artículo 13.1.b) del Estatuto de la Agencia Española de Protección de Datos, aprobado por Real Decreto 389/2021, de 1 de junio.
Ambas intervienen en uso de las facultades que de conformidad con la normativa vigente les confieren los cargos que desempeñan y se reconocen mutuamente capacidad para la firma del presente convenio y, a tal efecto,
EXPONEN
Que la Agenda España Digital 2026 incluye un eje estratégico específico sobre la Transformación Digital del Sector Público, entre cuyas medidas se encuentra la modernización de las infraestructuras digitales de la Administración General del Estado, desplegándose actuaciones que buscan establecer unas infraestructuras resilientes y flexibles que permitan adaptarse tanto a las necesidades del momento como a las capacidades disponibles. Asimismo, el Plan de Digitalización de las Administraciones Públicas 2021-2025 establece, entre las funciones encomendadas a la Secretaría General de Administración Digital (en adelante, SGAD), órgano dependiente de la Secretaría de Estado de Función Pública, la Medida 7 denominada «Servicio de infraestructuras cloud», consistente en un servicio común de infraestructuras tecnológicas gestionado de forma centralizada para su utilización de forma compartida.
En esta línea, entre las diez políticas palanca de reforma estructural para un crecimiento sostenible e inclusivo en las que se articula el Plan de Recuperación, Transformación y Resiliencia (España Puede) aprobado por el Consejo de Ministros el 27 de abril de 2021, se encuentra la cuarta palanca, «Una Administración para el siglo XXI», que se ejecuta a través del componente 11 (C11) denominado «Modernización de las Administraciones Públicas». Entre las reformas e inversiones en que se concreta el C11, la inversión 1 (I1) «Modernización de la Administración General del Estado» contempla actuaciones en Infraestructuras digitales y ciberseguridad, para dotarla de infraestructuras tecnológicas necesarias para su modernización, incluyendo el «Servicio de infraestructuras cloud» destinado al lanzamiento de una nube híbrida.
Que el artículo 3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece como uno de los principios generales de actuación de las Administraciones Públicas, el principio de cooperación, colaboración y coordinación de estas entre sí. A tal efecto, la propia ley regula en su capítulo VI del título preliminar el convenio como instrumento con efectos jurídicos para la formalización de acuerdos entre Administraciones para un fin común.
Que, de acuerdo con lo previsto en el artículo 8.1.a) del Real Decreto 210/2024, de 27 de febrero, por el que se establece la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función Pública, corresponde a la Secretaría de Estado de Función Pública el impulso, la programación y la supervisión de las actuaciones en ejecución de la política del Gobierno en materia de administración digital y del fomento de la administración electrónica, en especial en lo referente al proceso de transformación digital e innovación de la Administración a través de las tecnologías de la información y de las comunicaciones, y la adopción de soluciones digitales que permitan la prestación eficiente de los servicios públicos incluyendo los servicios públicos esenciales. Asimismo, de acuerdo con lo previsto en el tercer párrafo del artículo 9.1, corresponden a la SGAD, como órgano dependiente de la Secretaría de Estado de Función Pública, las competencias sobre los Esquemas Nacionales de Seguridad e Interoperabilidad, la racionalización de las tecnologías de la información y las comunicaciones en el ámbito de la Administración General del Estado y sus organismos públicos y entidades de derecho público vinculados o dependientes, la dirección del Centro de Operaciones de Ciberseguridad y la definición de los medios y servicios comunes digitales, incluidos los declarados compartidos transversales y, en su caso, su provisión, explotación y gestión para el conjunto de las administraciones públicas. Esto se concreta, entre otras funciones, en la gestión compartida, mediante coordinación o prestación directa, en un marco de corresponsabilidad, de los servicios comunes, declarados o no como compartidos, de sistemas de información y comunicación para la Administración General del Estado y sus organismos públicos y entidades de derecho público vinculados o dependientes, en los términos que se establezcan por resolución del titular de la SGAD, todo ello de acuerdo con lo previsto en el artículo 9.2.o), y en el diseño, provisión y explotación de las infraestructuras tecnológicas y de los servicios de seguridad necesarios para la prestación de servicios comunes, incluidos los declarados compartidos, que correspondan a la SGAD, de acuerdo con lo previsto en el artículo 9.2.x) del Real Decreto 210/2024, de 27 de febrero.
Que, de acuerdo con el artículo 44 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, la AEPD es una autoridad administrativa independiente de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones. Por tanto, está habilitada para la gestión de las herramientas tecnológicas asignadas.
Que de acuerdo con lo previsto en la disposición adicional primera del Real Decreto 1118/2024, de 5 de noviembre, por el que se aprueba el Estatuto de la Agencia Estatal de Administración Digital, la constitución efectiva de esta, organismo público presidido por la Secretaria de Estado de Función Pública, se producirá con la celebración de la sesión constitutiva de su Consejo Rector, momento desde el cual, de acuerdo con el apartado 2 de la disposición final primera de dicho real decreto, la Agencia quedará subrogada en la totalidad de los derechos y obligaciones de la SGAD con relación a sus competencias y funciones propias o ejercidas por delegación con el alcance previsto en la disposición adicional centésima décima séptima de la Ley 22/2021, de 28 de diciembre, en las que la sucederá, garantizando el mantenimiento y la conclusión de los contratos, convenios, encomiendas y relaciones jurídicas de toda índole de los que esta fuera parte.
Asimismo, la disposición adicional séptima de dicho real decreto, que regula la protección de datos personales, establece en su apartado 2 que, en el tratamiento de datos de carácter personal en las aplicaciones y servicios digitales diseñados, desarrollados o en mantenimiento por parte de la Agencia Estatal de Administración Digital y que hayan sido creados o implantados en el ámbito de sus competencias y puestos a disposición de los órganos de la Administración General del Estado y de las demás administraciones públicas, así como de los organismos y entidades de Derecho público vinculados o dependientes de las mismas, la Agencia tendrá la consideración de «Encargado del Tratamiento», correspondiendo a aquéllos la consideración de «Responsable del Tratamiento», en aplicación del Reglamento general de protección de datos. En la misma disposición adicional séptima, en su apartado 3 concreta las actuaciones que corresponden a la Agencia en su condición de encargado de dicho tratamiento y conforme dispone el artículo 28.3 del Reglamento general de protección de datos.
Que la Comisión de Estrategia TIC, en su reunión del 15 de septiembre de 2015, declaró de uso compartido el servicio de nube híbrida denominado NubeSARA, de acuerdo con lo previsto en los artículos 4 y 10 del Real Decreto 806/2014, de 19 de septiembre, sobre organización e instrumentos operativos de las Tecnologías de la Información y las comunicaciones en la AGE y sus Organismos Públicos, correspondiendo a la SGAD la provisión de dicho servicio, que proporciona recursos de computación y almacenamiento en la nube.
Asimismo, tras la entrada en vigor del Real Decreto 1125/2024, de 5 de noviembre, por el que se regulan la organización y los instrumentos operativos para la Administración Digital de la Administración del Estado, que ha derogado el Real Decreto 806/2014, de 19 de septiembre, y a tenor de su disposición adicional primera, pasan a tener la consideración y denominación de transversales, a todos los efectos, los medios y servicios comunes que antes de la entrada en vigor de este real decreto fueron declarados como compartidos de acuerdo con lo previsto en el artículo 10 del Real Decreto 806/2014, de 19 de septiembre.
Que el artículo 64.5 del Reglamento de actuación y funcionamiento del sector público por medios electrónicos, aprobado por Real Decreto 203/2021, de 30 de marzo, establece, de acuerdo con lo previsto en el artículo 157.3 de la Ley 40/2015, de 1 de octubre, que las Administraciones Públicas, con carácter previo a la adquisición, desarrollo o al mantenimiento a lo largo de todo el ciclo de vida de una aplicación, deberán consultar si existen soluciones disponibles para su reutilización, que puedan satisfacer total o parcialmente las necesidades que se pretenden cubrir.
Que el artículo 64.1 del Reglamento de actuación y funcionamiento del sector público por medios electrónicos, establece que, de acuerdo con lo previsto en el artículo 157 de la Ley 40/2015, de 1 de octubre, las Administraciones Públicas pondrán a disposición de cualquiera de ellas que lo solicite las aplicaciones, desarrolladas por su servicios o que hayan sido objeto de contratación y de cuyos derechos de propiedad intelectual sean titulares, salvo que la información a la que estén asociadas sean objeto de especial protección por estar previsto en una norma. Las Administraciones cedentes y cesionarias podrán acordar la repercusión del coste de adquisición o fabricación de las aplicaciones cedidas.
En este mismo sentido, el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, con el fin de minorar al máximo los costes derivados de la implantación y desarrollo de las soluciones tecnológicas y de garantizar en todo caso el derecho de los ciudadanos a acceder electrónicamente a los servicios públicos, impone a las Administraciones en su artículo 17 el deber de tener en cuenta las soluciones disponibles que puedan satisfacer total o parcialmente las necesidades de nuevos sistemas o servicios o la mejora y actualización de los ya implantados.
Que, de conformidad con la disposición adicional vigésima segunda de la Ley 47/2003, de 26 de noviembre, General Presupuestaria, la SGAD, órgano dependiente de la Secretaría de Estado de Función Pública, previa formalización de un convenio, podrá realizar actuaciones encaminadas a la prestación de servicios comunes a otros órganos de la Administración General del Estado, así como a sus entidades y organismos dependientes o vinculados con presupuesto limitativo. En este caso, el convenio deberá establecer la contraprestación económica que habrá de satisfacer el órgano destinatario del servicio.
Que la AEPD, conforme al artículo 3 de su estatuto, aprobado por Real Decreto 389/2021, de 1 de junio, se rige por lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, sus disposiciones de desarrollo y el citado Estatuto, y supletoriamente, en cuanto sea compatible con su plena independencia, se regirá por la Ley 40/2015, de 1 de octubre, en particular lo dispuesto para organismos autónomos. Específicamente, conforme al artículo 3.6 de dicho estatuto, la AEPD podrá participar en la gestión compartida de servicios comunes prevista en el artículo 95 de la Ley 40/2015, de 1 de octubre, entre los cuales se encuentran, en su apartado 2.b), los sistemas de información y comunicación. Ostenta por tanto un interés manifiesto en establecer un marco de colaboración con la SGAD para la utilización de los servicios compartidos mencionados y su implantación.
Que es posible la aplicación del Fondo de Recuperación Next Generation EU, como instrumento destinado a hacer efectiva la Medida 7 «Servicio de infraestructuras cloud» para el fortalecimiento de la solución de nube híbrida NubeSARA. Mediante el presente convenio, se facilita a la AEPD que pueda hacer uso del servicio NubeSARA.
Que es de interés general para las partes firmantes dar respuesta al objetivo común de incrementar la eficacia y la eficiencia de las Administraciones Públicas facilitando la aplicación de economías de escala y contribuyendo a la racionalización y simplificación de la actuación administrativa.
Por todo ello, ambas partes suscriben el presente convenio, que se regirá por las siguientes
CLÁUSULAS
1. Constituye el objeto del presente convenio el establecimiento de un marco de colaboración entre la SGAD, órgano dependiente de la Secretaría de Estado de Función Pública, y la AEPD para el desarrollo de actuaciones conjuntas que permitan el uso del servicio NubeSARA de acuerdo con los términos y condiciones generales expuestos a continuación y que conferirán a la AEPD la condición de Centro Usuario de NubeSARA.
2. En el anexo I se detallan las especificaciones y condiciones del servicio NubeSARA.
3. En el anexo II se detallan las especificaciones de los servicios complementarios de NubeSARA de seguridad y conexión a NubeSARA.
4. En el anexo III se detalla los procedimientos de Soporte a los servicios descritos en el primer y segundo anexo, así como los acuerdos de nivel de servicio aplicables.
5. En el anexo IV se detalla la contraprestación económica relativa a los servicios especificados en los anexos anteriores.
6. En el anexo V se recoge el contrato de encargo del tratamiento.
Con el fin de asegurar el adecuado funcionamiento del servicio, la SGAD se compromete a cumplir con las obligaciones que se exponen a continuación:
1.º Poner a disposición de la AEPD el servicio NubeSARA en su modalidad Infraestructura como Servicio (IaaS, por sus siglas en inglés) y actuar como administrador de la infraestructura de sistemas, comunicaciones y almacenamiento necesaria para proporcionar dicho servicio.
2.º Adscribir los medios humanos y técnicos necesarios para la adecuada adaptación e implantación del servicio para su utilización por parte de la AEPD.
3.º Cumplir con los acuerdos de nivel de servicio que sean de aplicación según el anexo III.
4.º Mantener los servicios de monitorización 24×7 y soporte 24×7 que garanticen en todo momento la continuidad del servicio NubeSARA.
5.º Notificar a los responsables del servicio en la AEPD cualquier intervención, actuación o problema que pudiera afectar al adecuado funcionamiento del servicio.
6.º Poner a disposición de la AEPD las licencias relativas a los sistemas operativos Windows y Red Hat que precise la infraestructura acordada según lo descrito en el anexo I.
7.º Atender las incidencias y peticiones realizadas por parte de la AEPD en relación con el funcionamiento del servicio, de acuerdo con lo señalado en los anexos I, II y III.
8.º Cumplir con las obligaciones como encargado del tratamiento de datos de acuerdo con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo UE de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. A tal fin se suscribe entre las partes del presente convenio el contrato de Encargo de Tratamiento que se adjunta como anexo V.
La AEPD, a través de la unidad designada, se compromete a cumplir las siguientes obligaciones:
1.º Utilizar el servicio NubeSARA a través de sus propios recursos humanos y materiales conforme a las especificaciones técnicas recogidas en los anexos I y II.
2.º Facilitar a la SGAD los datos necesarios de sus administradores y sistemas para la prestación del servicio, así como cualquier modificación o eliminación de estos en cumplimiento del principio de exactitud, minimización y limitación de conservación de los datos personales (artículo 5 del RGPD apartados c, d y e).
3.º Realizar siguiendo los canales que se establezcan siguiendo lo dispuesto en el anexo III las peticiones y notificaciones de problemas relacionados con el servicio, así como colaborar en la resolución en caso de ser necesario.
4.º Aportar cualquier otra licencia de software que se precise más allá de las necesarias para el funcionamiento de la infraestructura operada por NubeSARA y que no esté recogida en las condiciones descritas en los anexos I y II.
5.º Contribuir a la sostenibilidad funcional y técnica de los servicios transversales objeto de este convenio.
6.º Mantener las máquinas virtuales desplegadas en NubeSARA dentro de la matriz de compatibilidad de la plataforma.
7.º Cumplir con las obligaciones como responsable del tratamiento de datos de acuerdo con lo establecido en el Reglamento General de Protección de Datos y en la Ley Orgánica 3/2018, de 5 de diciembre.
1. Si una parte considera que la otra ha incumplido sus obligaciones establecidas en las cláusulas segunda y tercera, se lo comunicará concretando las obligaciones o compromisos que se consideren incumplidos y requiriéndola para que proceda a su cumplimiento en un plazo máximo de quince días desde su recepción.
2. Si trascurrido dicho plazo persistiera injustificadamente el incumplimiento, la parte requirente notificará a la otra la concurrencia de la causa de resolución y se entenderá resuelto el convenio, sin perjuicio de la liquidación de las obligaciones económicas y técnicas pendientes que se dirimirán en el mecanismo de seguimiento.
3. En caso de incumplimiento del presente convenio imputable a la AEPD, se aplicarán las medidas incluidas en la normativa nacional y europea relativa al destino del Fondo de Recuperación Next Generation EU.
El presente convenio comporta obligaciones económicas entre las partes para la contribución al mantenimiento anual de la sostenibilidad funcional y técnica de la infraestructura nube híbrida NubeSARA.
La SGAD contribuye a los objetivos del convenio aportando:
1.º) La infraestructura tecnológica que da soporte al servicio de NubeSARA.
La inversión necesaria para la actualización y mejora de la infraestructura de NubeSARA ha sido sufragada con recursos provenientes del Fondo de Recuperación Next Generation EU, derivado de las actuaciones para el cumplimiento de la Medida 7 «Servicio de infraestructuras cloud» del PRTR, tal como se muestra en el anexo I del presente convenio, garantizando así la disponibilidad de dicha infraestructura hasta finales del año 2025.
A partir del año 2026, la SGAD continuará aportando la infraestructura tecnológica, de la que se beneficiarán los usuarios, entre ellos la AEPD, que deberá ser actualizada y mejorada de forma continua para garantizar la renovación de la inversión, su correcta actualización y mejora tecnológica sin riesgo de obsolescencia.
2.º) Los recursos materiales y humanos necesarios para la operación del servicio que permiten a los órganos y organismos usuarios la utilización del servicio de NubeSARA.
1. La AEPD contribuirá anualmente, con una contraprestación económica que se determina en base al uso del servicio, al mantenimiento de:
a) La parte proporcional de la inversión necesaria para la renovación y ampliación de la infraestructura tecnológica.
b) Los recursos materiales y humanos necesarios para la operación del servicio.
El cálculo de la contribución económica se realizará conforme a los criterios establecidos en el anexo IV del presente convenio.
2. No obstante, hasta el fin del año 2025 la inversión en infraestructura de nube híbrida NubeSARA realizada por la SGAD está financiada con cargo al Fondo de Recuperación Next Generation EU, y en el cálculo de la contribución de la AEPD no se incluirá la parte correspondiente de dicha inversión.
3. A partir del año 2026, la contribución de la AEPD tendrá en cuenta tanto los recursos necesarios para la operación como la parte proporcional de la inversión necesaria para la renovación y ampliación de la infraestructura.
4. Al ser NubeSARA una infraestructura compartida y utilizada de forma simultánea por todos los órganos, organismos y entidades usuarios del servicio, la contribución de la AEPD en cualquiera de los conceptos estará siempre asociada a los recursos que la AEPD utilice del total disponible en NubeSARA, basándose en los costes unitarios recogidos en el anexo I.
5. El pago de la contraprestación económica se efectuará según lo establecido en la disposición adicional vigésima segunda de la Ley 47/2003, de 26 de noviembre, General Presupuestaria, debiendo el Centro Usuario satisfacer por cada anualidad de duración del convenio el importe correspondiente a la SGAD mediante la realización, dependiendo del régimen presupuestario aplicable, de la correspondiente transferencia de crédito con alta en la aplicación presupuestaria que le será indicada por la SGAD, o mediante el ingreso en Tesoro Público con el impreso modelo 069, o el que le sustituya en su momento, que le será remitido por la SGAD para que esta inicie, a posteriori, el correspondiente expediente de generación de crédito en las aplicaciones presupuestarias que determine.
6. La aportación de la AEPD a la SGAD se realizará en función del «uso efectivo» según el siguiente procedimiento:
a) La AEPD ingresará en concepto de «anticipo por las operaciones preparatorias», tal como prevé el artículo 21.3 de la Ley 47/2003, de 26 de noviembre, General Presupuestaria, el 10 % de la cantidad fijada como estimación de uso en el anexo IV para el periodo que comprende desde la entrada en vigor del presente convenio hasta el 31 de diciembre inmediato siguiente, en el plazo máximo de un mes desde la entrada en vigor del presente convenio.
b) Respecto del periodo correspondiente del primer ejercicio de vigencia del convenio (se entiende por tal primer ejercicio el período que va desde la entrada en vigor del presente convenio hasta el 31 de diciembre inmediato siguiente), la AEPD ingresará, previa acreditación del desarrollo de las actuaciones realizadas en dicho ejercicio, la cuota de mantenimiento correspondiente a dicho primer ejercicio en una sola vez en el primer trimestre del ejercicio siguiente, descontando la cuantía ingresada en concepto de «anticipo por las operaciones preparatorias» a que se ha hecho referencia en el apartado a) anterior.
c) Para los siguientes ejercicios de vigencia del convenio (ejercicio n+1) la contraprestación económica se realizará, previa acreditación del desarrollo de las actuaciones realizadas en el periodo correspondiente, ingresando la cuota anual de mantenimiento de una sola vez en el primer trimestre del ejercicio posterior (esto es, en el ejercicio n+2).
d) En el último ejercicio de vigencia del convenio, en caso de que el convenio finalice antes del 31 de marzo, la cuota anual de mantenimiento de dicho último ejercicio se acreditará e ingresará de forma acumulada con la cuota de mantenimiento correspondiente al ejercicio anterior. Si el convenio finalizase después del 31 marzo, la AEPD ingresará la cuota de mantenimiento correspondiente a dicho último ejercicio, previa acreditación de las actuaciones realizadas, en el primer trimestre del ejercicio siguiente a la finalización de la vigencia del convenio, como parte de la liquidación de los pagos del mismo, de conformidad con el artículo 52 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y sin incluir ningún otro pago adicional.
| Año de devengo | Presupuesto de imputación |
|---|---|
| Año 2024 (Anticipo por operaciones 10 %). | Año 2024. |
| Año 2024 (Cuota de mantenimiento). | Año 2025 (descontando el 10 %). |
| Año 2025. | Año 2026. |
| Año 2026. | Año 2027. |
| Año 2027 (Hasta el 31 de marzo). | Año 2027. |
| Año 2027 (Desde el 1 de abril). | Año 2028. |
7. En caso de no realizarse la contribución económica conforme a lo previsto en esta cláusula, la SGAD podrá suspender el servicio proporcionado.
1. Con relación a los costes de la infraestructura de nube híbrida NubeSARA, que se señalan en la cláusula sexta, financiados con cargo al Fondo de Recuperación Next Generation EU, las partes deben cumplir las obligaciones previstas en la normativa comunitaria y nacional relativas a la financiación del Mecanismo de Recuperación y Resiliencia de la Unión Europea (en adelante, MRR).
2. A tal efecto, dichas obligaciones mencionadas se concretan en las siguientes, y que las partes acuerdan:
a) Que serán responsables de la fiabilidad y del seguimiento de la ejecución de las actuaciones, de manera que pueda conocerse en todo momento el nivel de consecución de cada actuación a través del reporte en el mecanismo de seguimiento del convenio.
b) Que deberán establecer mecanismos que aseguren que las actuaciones a desarrollar por terceros contribuyen al logro de las actuaciones previstas y que dichos terceros aporten la información que, en su caso, fuera necesaria para determinar el valor de los indicadores de seguimiento del Plan de Recuperación, Transformación y Resiliencia (en adelante, PRTR).
c) Que cuando se haga referencia a las actuaciones objeto del presente convenio, se informe al público de la participación de la Unión Europea y financiación a través del MRR.
A estos efectos, se colocará un distintivo explicativo, permanente y visible en la documentación asociada y los productos financiados a través del MRR que incluya, de conformidad con el artículo 34.2 del Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo, de 12 de febrero de 2021, por el que se establece el MRR, y de las normas gráficas establecidas en el artículo 9 de la Orden HFP/1030/2021, de 29 de septiembre, por la que se configura el sistema de gestión del PRTR, lo siguiente:
1.º El emblema de la Unión Europea, de acuerdo con las normas gráficas y los colores normalizados establecidos en el anexo II del Reglamento de Ejecución 821/2014 de la Comisión, de 28 de julio de 2014.
2.º Junto con el emblema de la Unión, se incluirá el texto «Financiado por la Unión Europea – Next Generation EU».
3.º Logo oficial del PRTR, disponible en el enlace: https://planderecuperacion.gob.es/identidad-visual.
En todo caso, se seguirá lo establecido por el manual de marca del PRTR elaborado por el Gobierno de España.
d) Que las partes cumplan cuantas disposiciones comunitarias y nacionales les resulten aplicables como destinatarias de las actuaciones cofinanciables, así como a permitir y facilitar que se puedan realizar las auditorías y comprobaciones necesarias para verificar el cumplimiento de la normativa aplicable.
e) Que se conserve la documentación administrativa relacionada con las actuaciones objeto del presente convenio que, dada su naturaleza, le corresponda custodiar.
f) Que los gastos derivados del presente convenio cumplan con la normativa nacional y europea en lo referente a subvencionalidad del gasto.
g) Que se apliquen medidas antifraude eficaces y proporcionadas, en su ámbito de gestión, sobre el cumplimiento de la normativa en materia de subvenciones y, en su caso, contratación pública, así como evitar la doble financiación y la falsificación de documentos. Comunicar al Servicio Nacional de Coordinación Antifraude (SNCA) aquellos hechos que pudieran ser constitutivos de fraude o irregularidad.
h) Que las actuaciones que se ejecuten en virtud del convenio respetarán el principio de «no causar un perjuicio significativo al medio ambiente» (principio do no significant harm – DNSH) en cumplimiento con lo dispuesto en el Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo, de 12 de febrero de 2021, por el que se establece el Mecanismo de Recuperación y Resiliencia, y su normativa de desarrollo, en particular el Reglamento (UE) 2020/852, relativo al establecimiento de un marco para facilitar las inversiones sostenibles y la Guía Técnica de la Comisión Europea (2021/C 58/01) sobre la aplicación de este principio, así como con lo requerido en la Decisión de Ejecución del Consejo relativa a la aprobación de la evaluación del PRTR y su documento anexo.
i) Que se mantiene la contribución al objetivo climático y/o digital asignada a la submedida concreta en que se enmarca la actuación del PRTR, que ha sido calculada según los anexos VI y VII, respectivamente, del Reglamento del MRR.
1. Los efectos del presente convenio tendrán una duración de tres años a contar desde la eficacia del mismo conforme al apartado siguiente, que se podrán prorrogar, conforme a lo establecido en el artículo 49.h).2.º de la Ley 40/2015, de 1 de octubre.
2. De conformidad con lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, este convenio se perfeccionará con el consentimiento de las partes y resultará eficaz una vez inscrito en el Registro Estatal de Órganos e Instrumentos de Cooperación del Sector Público Estatal. Asimismo, con posterioridad a su registro, será publicado en el «Boletín Oficial del Estado».
3. En la posible adenda de prórroga se determinará de nuevo la contribución económica correspondiente al citado periodo, de acuerdo con las tarifas contenidas en el anexo I del convenio.
Este convenio puede ser modificado por acuerdo unánime de las partes, que se formalizará mediante adenda. El artículo 59 del Real Decreto-ley 36/2020, de 30 de diciembre, exceptúa de la autorización previa prevista en las letras b) y c) del apartado 2 del artículo 50 de la Ley 40/2015, de 1 de octubre, la tramitación de los convenios que celebre la Administración General del Estado, sus organismos públicos y entidades de derecho público, vinculados o dependientes, para la ejecución de los proyectos con cargo a fondos europeos previstos en el Plan de Recuperación, Transformación y Resiliencia.
1. El mecanismo recogido en el artículo 49.f) de la Ley 40/2015, de 1 de octubre, es el instrumento acordado por las partes para el seguimiento, vigilancia y control del convenio y de los compromisos adquiridos por los firmantes.
2. Dicho mecanismo estará compuesto por un responsable por cada una de las partes firmantes, designados por estas al inicio de la vigencia del convenio. Cada una de estas partes podrá modificar unilateralmente el responsable designado por ella. Estos responsables estarán en estrecho contacto, comunicándose o reuniéndose siempre que lo consideren conveniente para la buena coordinación de las acciones objeto del presente convenio y el óptimo desarrollo de las mismas.
3. En concreto, se encargarán de:
a) La resolución de las cuestiones relativas a la interpretación y cumplimiento de los compromisos derivados del presente convenio, así como proponer a las partes firmantes cualquier modificación del mismo.
b) Cuando sea necesario, la expedición de la certificación acreditativa del cumplimiento de los requisitos establecidos en el presente convenio para realizar los pagos, recogida en el acuerdo segundo, apartado 4.1.3.a) del Acuerdo de Consejo de Ministros de 15 de junio de 2021, por el que se modifica el de 30 de mayo de 2008, por el que se da aplicación a la previsión de los artículos 152 y 147 de la Ley General Presupuestaria, respecto al ejercicio de la función interventora en régimen de requisitos básicos, publicado en el BOE de 23 de junio de 2021.
c) La recepción de la comunicación del requerimiento por incumplimiento de las obligaciones y compromisos por parte de alguno de los firmantes prevista en el artículo 51.2.c) de la Ley 40/2015, de 1 de octubre.
d) La propuesta prevista en el artículo 52.3 de la Ley 40/2015, de 1 de octubre, sobre las actuaciones en curso de ejecución cuando concurra una causa de resolución del convenio.
4. Las reuniones de este mecanismo de seguimiento se podrán realizar por medios electrónicos.
1. Las partes firmantes se comprometen a solventar por acuerdo mutuo, en el seno del mecanismo de seguimiento, descrito en la cláusula décima, cuantas discrepancias resulten de la interpretación y cumplimiento de este convenio.
2. Las cuestiones litigiosas surgidas sobre la interpretación, modificación, resolución y efectos que pudieran derivarse de la aplicación del presente convenio que no pudieran solventarse mediante el mecanismo de seguimiento, se someterán ante el orden jurisdiccional contencioso-administrativo.
1. De conformidad con lo establecido en el artículo 51 de la Ley 40/2015, de 1 de octubre, los convenios se extinguen por el cumplimiento de las actuaciones que constituyen su objeto o por incurrir en causa de resolución. Son causas de resolución:
1.º) El transcurso del plazo de vigencia del convenio sin haberse acordado su prórroga.
2.º) El acuerdo unánime de las partes.
3.º) El incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes.
4.º) La decisión judicial declaratoria de la nulidad del convenio.
5.º) Cualquier otra causa distinta de las anteriores prevista en el convenio o en otras leyes.
2. Asimismo, las partes firmantes podrán resolver este convenio por mutuo acuerdo o por denuncia de cualquiera de ellas mediante preaviso comunicado de forma fehaciente a la otra parte con, al menos, tres meses de antelación a la fecha de resolución propuesta.
3. La resolución del convenio no implicará devolución de la contribución económica al sostenimiento del servicio, ni dará derecho a indemnización alguna.
4. En todo caso, salvo pacto expreso, las partes se comprometen a realizar las actuaciones necesarias dirigidas a la finalización de las acciones ya iniciadas. Para ello, en el momento de la resolución las partes acordarán un plazo improrrogable para la finalización de las actuaciones en curso, trascurrido el cual el convenio deberá liquidarse en los términos establecidos en el artículo 52.2 de la Ley 40/2015, de 1 de octubre.
1. El régimen de protección de datos de carácter personal en las actuaciones que se desarrollen en ejecución del presente convenio será el previsto en el Reglamento General de Protección de Datos, en la Ley Orgánica 3/2018, de 5 de diciembre, y demás normativa de aplicación en materia de protección de datos.
2. Para garantizar la protección de la información manejada y del servicio prestado, las partes aplicarán el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad y la Resolución de 7 de julio de 2021 de la SGAD, por la que se aprueba la Política de seguridad de los servicios prestados por la Secretaría General de Administración Digital. Las medidas de seguridad aplicables quedarán plasmadas en la correspondiente Declaración de Aplicabilidad que comprende la relación de medidas del anexo II del Esquema Nacional de Seguridad seleccionadas para el sistema en función de su categoría de seguridad y del resultado del análisis de riesgos.
3. Toda la información facilitada por las partes y toda la información generada como consecuencia de la ejecución del presente convenio, tendrá el tratamiento de confidencial, sin perjuicio de la información que sea de dominio público, no pudiendo ser divulgada o facilitada a terceros, ni utilizada para un fin distinto del previsto en este documento, sin el acuerdo unánime de las partes.
La obligación de confidencialidad para las partes, que estará supeditada a los postulados de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, se extenderá indefinidamente, aunque el convenio se hubiera extinguido. Todo ello sin perjuicio de la eventual autorización de las partes o en su caso, de que dicha información pasara a ser considerada como de dominio público.
4. Se podrán dictar cuantos actos jurídicos sean necesarios, de forma adicional al presente convenio, para dar cumplimiento a lo establecido en esta cláusula.
Este convenio tiene naturaleza administrativa, y se regirá por lo dispuesto en el capítulo VI del título preliminar de la Ley 40/2015, de 1 de octubre.
Las partes son conscientes de la posibilidad de que, en cumplimiento de la disposición adicional centésima décima séptima de la Ley 22/2021, de 28 de diciembre, de Presupuestos Generales del Estado para el año 2022, y el Real Decreto 1118/2024, de 5 de noviembre, por el que se aprueba el Estatuto de la Agencia Estatal de Administración Digital, durante la vigencia del convenio, puede producirse la constitución efectiva de la Agencia Estatal de Administración Digital, que asumirá la posición jurídica de la SGAD.
Y, en prueba de conformidad, las partes firman el presente convenio en la fecha de la última firma electrónica.–La Secretaria de Estado de Función Pública, Clara Mapelli Marchena.–La Directora de la Agencia Española de Protección de Datos, Autoridad Administrativa Independiente, Mar España Martí.
NubeSARA es un servicio que proporciona recursos de computación y almacenamiento en modo cloud para la Administración General del Estado, y sus Organismos Públicos, mediante la configuración de nodos de consolidación tanto en centros de procesos de datos de la Administración (nube privada) como de proveedores externos (nube pública).
De este modo, el proveedor del servicio NubeSARA es la Secretaría General de Administración Digital (en adelante, SGAD), actuando los distintos Organismos Públicos interesados como consumidores o clientes del servicio.
El enfoque tecnológico de computación en la nube se apoya en el modelo Infraestructura como Servicio (IaaS, de sus siglas en inglés). El proveedor del servicio gestiona las plataformas comunes de servidores, virtualización y almacenamiento y entrega recursos de infraestructura al cliente según sus necesidades. El cliente tiene el control sobre los sistemas operativos y se encarga de instalar y gestionar las aplicaciones deseadas.
A continuación, se presentan las características más destacables de NubeSARA:
– Provisión de máquinas virtuales con diferentes características configurables previa solicitud (Servicio Básico) o a través de un portal común de aprovisionamiento multiorganismo (Servicio Avanzado).
– Provisión de almacenamiento compartido en modo fichero con protocolos NFS y CIFS y en modo objeto con protocolo S3.
– Realización periódica de copias de seguridad de las máquinas virtuales y del almacenamiento en modo fichero.
– Monitorización y control del consumo de recursos, tanto de cómputo como de almacenamiento.
– Gestión de precios de los servicios consumidos, con reportes periódicos.
En la actualidad, el catálogo de NubeSARA está compuesto por los siguientes servicios:
| Nombre del servicio | Descripción |
|---|---|
| NubeSARA-Cómputo-x86. | Proporciona máquinas virtuales sobre procesadores x86 para su uso y administración por parte del cliente. |
| NubeSARA-Cómputo-SPARC. | Proporciona máquinas virtuales sobre procesadores SPARC y S.O. Solaris para su uso y administración por parte del cliente. |
| NubeSARA-Cómputo-POWER. | Proporciona máquinas virtuales sobre procesadores POWER y S.O. AIX para su uso y administración por parte del cliente. |
| NubeSARA-Ficheros. | Proporciona sistemas de ficheros a las máquinas del cliente vía NFS o CIFS. |
| NubeSARA-Objetos. | Proporciona a las aplicaciones del cliente almacenamiento de objetos mediante protocolo S3. |
| NubeSARA-Backup-Cómputo. | Permite la realización de copias de seguridad y restauraciones de los recursos de cómputo. |
| NubeSARA-Backup-Ficheros. | Permite la realización de copias de seguridad y restauraciones de los sistemas de ficheros. |
| Servicios complementarios. | Servicios adicionales para la conectividad del organismo usuario en caso de ser necesarios. |
El importe unitario de los componentes incluidos en el catálogo de servicios mencionados se muestra a continuación:
1. Importe unitario de los servicios de NubeSARA con inversión ligada al Fondo de Recuperación Next Generation EU.
| Servicios NubeSARA | Importe anual |
Importe relativo a gasto – Euros |
Importe relativo a inversión – Euros |
|
|---|---|---|---|---|
| NubeSARA- Cómputo-x86. | vCPU sin licencia. | 120 €/CPU | 20 | 100 |
| vCPU con licencia Red Hat. | 140 €/CPU | 23,33 | 116,67 | |
| vCPU con licencia Windows. | 200 €/CPU | 45,83 | 154,17 | |
| GPU. | 2084 €/GPU | 20 | 2064,03 | |
| RAM. | 30 €/GB | 5 | 25 | |
| Disco. | 1.500 €/TB | 250 | 1.250 | |
| NubeSARA- Cómputo-SPARC. | vCPU. | 280 €/CPU | 46,67 | 233,33 |
| RAM. | 80 €/GB | 13,33 | 66,67 | |
| Disco. | 1.500 €/TB | 250 | 1.250 | |
| NubeSARA- Cómputo-POWER. | vCPU. | 1500 €/CPU | 250 | 1.250 |
| RAM. | 120 €/GB | 20 | 100 | |
| Disco. | 1.500 €/TB | 250 | 1.250 | |
| NubeSARA-Ficheros. | NAS Premium. | 1.500 €/TB | 250 | 1.250 |
| NAS Alto Rendimiento. | 800 €/TB | 133,33 | 666,67 | |
| NubeSARA-Objetos. | 200 €/TB | 33,33 | 166,67 | |
| NubeSARA-Backup-Cómputo(1). | Backup mediante snapshot. | 200 €/TB | 33,33 | 166,67 |
| Backup mediante agente. | 500 €/TB | 166,67 | 333,33 | |
| NubeSARA-Backup-Ficheros(2). | TB protegido. | 400 €/TB | 66,67 | 333,33 |
|
(1) Pago por totalidad de datos protegidos a almacenar, calculado en base al tamaño de los datos principales y la política de backup aplicada. (2) Pago por totalidad de datos protegidos a almacenar, calculado en base al tamaño de los datos principales y la política de backup aplicada. |
||||
2. Importe unitario de los servicios complementarios de NubeSARA, sin participación de la inversión del Fondo de Recuperación Next Generation EU.
| Servicios NubeSARA |
Importe Alta 1.er año – Euros |
Importe anual – Euros |
|
|---|---|---|---|
| Gestión de Redes de Área Local. | Hasta 10 switches en 1-2 sedes. | 5.412,35 | |
| Servicios de balanceo. | Tenant dedicado en alta disponibilidad. | 1.600,00 | |
| IP Pública adicional. | IPs adicionales a la provisionada por defecto. | 0,00 | |
| Conexión a NubeSARA. | Equipos y alta de línea. | 23.470,86 | |
| Mantenimiento anual de línea. | 17.319,07 | ||
| Servicio Interconexión a Internet (xWDM). | Equipos y alta de líneas y servicio. | 123.797,52 | |
| Mantenimiento anual del servicio. | 53.026,60 | ||
| Servicio AntiDDoS. | Alta del servicio. | 21.043,16 | |
| Mantenimiento anual del servicio. | 11.098,59 | ||
| Servicio DNS. | Alta del servicio. | 2.314,90 | |
| Mantenimiento anual del servicio. | 921,05 | ||
| Otros Servicios de Seguridad de las comunicaciones. | Alta del servicio. | 0,00 | |
| Mantenimiento anual del servicio. | 173.181,50 | ||
| Centro de Gestión y Operación de red. | Alta del servicio. | 0,00 | |
| Mantenimiento anual del servicio. | 40.090,57 | ||
Las políticas de backup aplicadas a los distintos elementos de NubeSARA se encuentran normalizadas, siendo responsabilidad del organismo decidir qué política concreta aplica a cada uno de los elementos de los que dispone en NubeSARA, incluyendo la posibilidad de no realizar backup de alguno de ellos.
El coste total del servicio de backup se calcula basándose en el volumen de datos a respaldar y la política de backup elegida.
La definición funcional y técnica de los servicios del catálogo, así como las distintas modalidades, calidades y opciones de servicio, se pueden consultar en el Portal de Administración Electrónica accesible en la URL: https://administracionelectronica.gob.es.
Todos los servicios del catálogo están implementados con soluciones que disponen de mecanismos de redundancia, alta disponibilidad y tolerancia a fallos. También incluyen monitorización 24×7 de todos los elementos de la infraestructura.
Las condiciones relativas al soporte y gestión de este servicio, así como el acuerdo de nivel de servicio, se especifican en el anexo III de este convenio.
La utilización de la infraestructura de nube NubeSARA en su modalidad de nube privada requiere que las redes locales del organismo usuario se hallen conectadas al Contrato Unificado de Comunicaciones. Esta constituye la red corporativa multiservicio de altas prestaciones que interconecta a las Administraciones Públicas.
En el caso de organismos usuarios que no se encuentran actualmente conectados al Contrato Unificado de Comunicaciones, se recoge la posibilidad de darlos de alta como una Sede de la SGAD y repercutir, en los términos establecidos en el presente acuerdo, los costes derivados de dicha conexión.
El servicio de conexión a NubeSARA para organismos no adscritos al Contrato Unificado de Comunicaciones presenta las siguientes características:
– Doble conexión en fibra óptica de acceso a la red, configurada en modo activo/pasivo.
– Doble equipamiento al que se conectará de forma separada cada una de las líneas.
– Velocidad de ambos accesos de 100 GB con caudal asegurado > 10 GB.
– Diversificación física estándar en el trazado de los enlaces, pudiendo existir tramos comunes en los caminos hasta las centrales del proveedor.
Mediante este servicio de conexión, los usuarios ubicados en la sede de la AEPD obtendrán acceso a los siguientes recursos:
– Infraestructura propia de la AEPD desplegada en su tenant de NubeSARA.
Adicionalmente se realizará la configuración necesaria para que pueda establecerse comunicaciones relacionadas con FIUnet entre sistemas situados en la sede de la AEPD y sistemas accesibles por la red de servicios transeuropeos seguros de telemática entre administraciones (Red s-TESTA), a través de NubeSARA. Esta vía de comunicación no proveerá en ningún caso acceso directo de usuarios a la Red s-TESTA.
Para ello y como servicios complementarios de conexión y seguridad se ofrecen los siguientes servicios para organismos no adscritos al Contrato Unificado de Comunicaciones presenta las siguientes características:
– Servicios de Interconexión a Internet.
– Servicio DDoS.
– Servicios DNS.
– Otros servicios de seguridad de las comunicaciones como:
● Seguridad perimetral que permite la segregación en dos planos (servicio y gestión) y en varias redes (frontal, backend, servicios a usuarios y NAS). La Agencia contará con acceso en modo lectura a sus VDOM de los dispositivos de protección.
● Acceso VPN directo de los usuarios a NubeSARA.
● Servicios de navegación segura.
● Servicios de correo seguro.
● Servicios de prevención, detección y respuesta a incidentes de seguridad.
– Centro de Gestión y operación de red.
Las condiciones relativas al soporte y gestión de estos servicios, así como los acuerdos de nivel de servicio, se especifican en el anexo III de este acuerdo.
Por su parte, la AEPD proporcionará los siguientes servicios para mantener la seguridad de sus elementos alojados en NubeSARA y en las conexiones a la infraestructura:
– Antivirus para todos los servidores alojados en NubeSARA.
– Doble factor de autenticación para los accesos VPN.
– Capa de protección WAF para los servicios web publicados en Internet desde NubeSARA.
En lo relativo al soporte técnico, para el tratamiento de avisos de incidencias y peticiones procedentes de los organismos usuarios de los Servicios Comunes de la SGAD, existe un Centro de Servicios que actuará como primer nivel de soporte. Será el encargado de recibir las comunicaciones de incidencias de los organismos, de categorizarlas y registrarlas en la herramienta de ticketing, de resolverlas o escalarlas en caso de encontrarse fuera de su ámbito de actuación y de remitir a estos las respuestas a las incidencias, con la información especificada en el presente convenio. El horario del Centro de Servicios será 24×7.
El organismo usuario deberá disponer de su propio nivel 1 de atención a usuarios para la interlocución con el Centro de Servicios de la SGAD. En ningún caso se atenderán desde el Centro de Servicios incidencias o peticiones procedentes directamente de usuarios finales.
Se establecen los siguientes criterios de categorización de incidencias que permitirán ofrecer tiempos de respuesta y resolución adecuados:
– Incidencias leves: aquellas anomalías en el funcionamiento de los servicios proporcionados a un organismo cliente que no supongan una interrupción en la operatividad de ese organismo, pero que puedan afectar a funciones no básicas o a su rendimiento.
– Incidencias medias: aquellas anomalías que supongan una interrupción parcial significativa en la operatividad del organismo cliente.
– Incidencias graves: aquellas anomalías que supongan una interrupción completa en la operatividad del organismo cliente.
Se entiende por tiempo de respuesta el transcurrido desde que se recibe una incidencia o petición en el Centro de Servicios hasta que se responde al organismo cliente con una comunicación en la que al menos se incluirán los siguientes datos: número de seguimiento, fecha, hora y minuto de registro, descripción breve y categorización. El tiempo de respuesta será inferior a treinta minutos.
También se habilitará al organismo cliente para que pueda registrar sus avisos de incidencias y peticiones directamente en la herramienta de ticketing.
Como consecuencia del registro de una incidencia o petición se iniciarán las actuaciones necesarias para su resolución. Si la incidencia es atribuible a un mal funcionamiento de la infraestructura de los Servicios Comunes de la SGAD, el valor objetivo del tiempo de resolución será el siguiente en función de las distintas categorías:
– Incidencias leves: inferior a 72 horas.
– Incidencias medias: inferior a 24 horas.
– Incidencias graves: inferior a 12 horas.
Con el objetivo de colaborar en la sostenibilidad funcional y técnica de los servicios declarados transversales, la AEPD contribuirá con una contraprestación económica que se determina en base al uso de dichos servicios.
De los servicios del catálogo de la SGAD, la AEPD ha mostrado interés en utilizar algunos de ellos con la siguiente estimación inicial de uso de recursos en el primer año:
– NubeSARA-Cómputo-x86 Windows.
● 56 vCPUs, 168 GB de RAM y 3,20 TB de disco.
– NubeSARA-Cómputo-x86 Red Hat.
● 1.184 vCPUs, 1.776 GB de RAM y 33,82 TB de disco.
– NubeSARA-Ficheros.
● 10 TB en calidad NAS Premium.
● 4 TB en calidad NAS alto rendimiento.
– NubeSARA-Backup-Cómputo.
● 172,20 TB mediante snapshot.
– NubeSARA-Backup-Ficheros.
● 94 TB sobre ficheros de NAS Premium.
● 37,60 TB sobre ficheros de NAS alto rendimiento.
– NubeSARA-Servicios complementarios.
● 1 Conexión a NubeSARA.
● 1 Servicio Interconexión Internet xWDM.
● 1 Servicio de Seguridad AntiDDoS.
● 1 Servicios de Seguridad DNS.
● 1 Servicios de seguridad en las comunicaciones adicionales (protección, detección, respuesta a incidentes).
● 1 Servicio de centro de gestión y operación de red.
El importe unitario de los servicios comunes de la SGAD que utilizará la AEPD, incluyendo las modalidades, calidades y opciones deseadas se encuentra en las tablas correspondientes del anexo I.
Hasta el fin del año 2025, la contribución del organismo usuario se calculará en base a la parte correspondiente a gasto de los ítems asociados a inversión con participación del Fondo de Recuperación Next Generation EU y el importe completo de los ítems no asociados a inversión de dicho fondo. A partir del año 2026 la contribución del organismo usuario se calculará teniendo en cuenta tanto la inversión como el gasto de todos los ítems utilizados por el organismo.
En los años sucesivos el mecanismo de seguimiento podrá ajustar la contribución correspondiente a cada anualidad en función del uso real de los recursos.
1. En el tratamiento de datos de carácter personal que se lleve a cabo en las aplicaciones y servicios digitales diseñados, desarrollados o en mantenimiento por parte de la Secretaría General de Administración Digital para la gestión y/o administración del uso de la solución NubeSARA, así como la propia solución NubeSARA y que hayan sido creados o implantados en el ámbito competencial del Ministerio para la Transformación Digital y de la Función Pública, y puestos a disposición de la Agencia Española de Protección de Datos, en virtud de procedimientos de adhesión u otros instrumentos de la misma naturaleza previstos en la legislación vigente, el Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría General de Administración Digital, tendrá la consideración de «encargado del tratamiento», correspondiendo a aquéllos la consideración de «responsable del tratamiento», en aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
2. Sin perjuicio de cualesquiera otras medidas u obligaciones establecidas para el encargado del tratamiento en las cláusulas del presente convenio, que formarán parte integrante del presente acuerdo de encargo del tratamiento, la Secretaría General de Administración Digital en su condición de encargado del tratamiento y conforme dispone el artículo 28.3 del Reglamento (UE) 2016/679:
a) Tratará los datos personales según las instrucciones de los órganos y organismos a cuya disposición se pusieran las aplicaciones y servicios digitales.
b) Garantizará que las personas autorizadas a tratar los datos personales hayan contraído el correspondiente compromiso de confidencialidad, guarden secreto profesional sobre los mismos y no los comuniquen a terceros, salvo en aquellos casos en que deba hacerse en estricto cumplimiento de la ley.
c) Asistirá al órgano u organismo, a través de medidas técnicas y organizativas apropiadas y siempre que sea posible, para que pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III del Reglamento (UE) 2016/679.
d) A la finalización de la puesta a disposición de las aplicaciones y servicios digitales, facilitará la devolución de los datos al órgano u organismo, de acuerdo con las especificaciones técnicas que establezca el Ministerio para la Transformación Digital y de la Función Pública.
e) Pondrá a disposición del órgano u organismo toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Reglamento (UE) 2016/679, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del órgano u organismo o de otro auditor autorizado por aquél.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
