Medidas urgentes por razones de seguridad en materia de administración digital, contratación del sector público, y telecomunicaciones
El Real Decreto-ley 14/2019, de 31 de octubre, publicado en el BOE de 5 de noviembre y con entrada en vigor al día siguiente, tiene como finalidad incrementar el estándar de protección de la seguridad pública frente a las crecientes amenazas que plantea el uso de las nuevas tecnologías.
Entre los principales desafíos que las nuevas tecnologías plantean se encuentran las actividades de desinformación, las interferencias en los procesos de participación política de la ciudadanía y el espionaje y en este punto juega un papel decisivo el proceso de transformación digital de la Administración, ya muy avanzado lo que hace necesario tomar medidas urgentes relativas a la documentación nacional de identidad; a la identificación electrónica ante las Administraciones Públicas; a los datos que obran en poder de las Administraciones Públicas; a la contratación pública y al sector de las telecomunicaciones.
El real decreto-ley respeta los límites constitucionalmente establecidos para el uso de este instrumento normativo, ya que modifica leyes preexistentes que refuerzan el cumplimiento de la normativa en materia de protección de datos. No obstante, no constituyen una regulación del régimen general del derecho a la protección de datos (contenido propio de ley orgánica). La facultad del Gobierno en funciones de aprobar reales decretos leyes es congruente en este caso, por lo demás, con la exigencia de que concurra el presupuesto habilitante de extraordinaria y urgente necesidad previsto en la Constitución Española y en este caso así ocurre frente a las crecientes amenazas que plantea el uso de las nuevas tecnologías, máxime ante la inminencia de las elecciones generales de 10 de noviembre.
Las modificaciones que introduce este Real Decreto Ley se pueden resumir en lo siguiente:
1. Medidas en materia de documentación nacional de identidad
Modificaciones en la Ley Orgánica 4/2015 de protección de seguridad ciudadana y la Ley 59/2003 de firma electrónica, dirigidas a configurar el DNI como el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular.
2. Medidas en materia de identificación electrónica ante la Administración, ubicación de determinadas bases de datos y datos cedidos a otras Administraciones
Establece varias medidas en materia de identificación electrónica ante las Administraciones Públicas, ubicación de determinadas bases de datos y datos cedidos a otras Administraciones Públicas para garantizar la seguridad pública, tanto en las relaciones entre las distintas Administraciones Públicas cuando traten datos personales, como entre ciudadanos y Administraciones Públicas.
Así, modifica la Ley 39/2015, de Procedimiento Administrativo Común y la Ley 40/2015 de Régimen Jurídico del Sector Público.
Respecto a la Ley 39/2015 (artículo 9 y 10 e introduce disposición adicional), responde a la necesidad de adaptar sus contenidos al Reglamento (UE) 910/2014 del Parlamento Europeo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.
Con esta modificación, se garantiza la seguridad pública en relación con el empleo de sistemas de identificación y firma electrónicas de los interesados cuando se realizan con clave concertada o mediante cualquier otro sistema que cuente con un registro previo como usuario. Para avalar la seguridad pública, competencia exclusiva del Estado, la modificación efectuada somete a un régimen de autorización previa por parte de la Administración General del Estado a los sistemas que sean distintos a aquellos del certificado y sello electrónico. Dicha autorización tendrá por objeto, exclusivamente, verificar si el sistema validado tecnológicamente por parte de la Administración u Organismo Público de que se trate puede o no producir afecciones o riesgos a la seguridad pública.
Por otro lado, establece la obligatoriedad de que, en relación con los sistemas previstos en la letra c) del apartado 2 de los artículos 9 y 10 (Ley 39/2015), los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas se encuentren situados en territorio de la Unión Europea, y en territorio español en caso de que se trate de categorías especiales de datos a los que se refiere el artículo 9 del Reglamento (UE) 2016/679, del Parlamento Europeo.
Salvo las excepciones que se introducen en la ley, estos datos no podrán ser objeto de transferencia a un tercer país u organización internacional y, en cualquier caso, se encontrarán disponibles para su acceso por parte de las autoridades judiciales y administrativas competentes.
Respecto a la disposición adicional incorporada, prevé que en las relaciones de los interesados con las Administraciones no serán admisibles, los sistemas de identificaciones basados en tecnologías de registro distribuido en tanto no sean regulados por la Unión Europea. La falta de un marco regulatorio ad hoc sobre estas nuevas tecnologías justifica que, con carácter urgente y en ejercicio de su competencia para dictar legislación básica, el Estado intervenga sobre la materia con carácter provisional hasta que se avance en el seno de la Unión Europea en el tratamiento de este tipo de tecnologías.
Por lo que respecta a la modificación que introduce en la Ley 40/2015 de Régimen del Sector Público, por una parte, el nuevo artículo 46 bis, obliga a que, por motivos de seguridad pública, los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, se ubiquen y presten dentro del territorio de la Unión Europea. Asimismo, establece que solo puedan ser cedidos a terceros países cuando estos cumplan con las garantías suficientes.
Por otra parte, la modificación del artículo 155 permite un mayor control de los datos cedidos entre Administraciones Públicas, al efecto de garantizar la adecuada utilización de los mismos y excepcionalmente se suspende la transmisión de datos por razones de seguridad nacional de forma cautelar por el tiempo indispensable.
La licitud del tratamiento de los datos personales para finalidades distintas de las finalidades iniciales viene determinada por la circunstancia de que se trate de finalidades compatibles y en caso de que el responsable del tratamiento (el cesionario) considere que es compatible, se introduce la obligación adicional de consultar a la administración cedente. La Administración General del Estado podrá oponerse motivadamente.
3. Medidas en materia de contratación pública
Introduce varias modificaciones en materia de contratación Pública (Ley 9/2017) dirigidas a reforzar el cumplimiento de la normativa sobre protección de datos personales y la protección de la seguridad pública en este ámbito, en todas las fases de la contratación (expediente de contratación, licitación y ejecución del contrato).
Así, modifica el artículo 35 para incluir como contenido mínimo de los contratos, la referencia expresa al sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos.
En segundo lugar y por lo que respecta al régimen de invalidez de los contratos, incluye como causa de nulidad de pleno derecho, la celebración de contratos por parte de poderes adjudicadores que omitan mencionar en los pliegos las obligaciones del futuro contratista en materia de protección de datos a los que se refiere el nuevo artículo 122.2.
En tercer lugar, incluye (art. 116.1) como circunstancia que impedirá a los empresarios contratar con las entidades comprendidas en el artículo 3 de dicha Ley, el haber dado lugar a la resolución firme de cualquier contrato celebrado con una de tales entidades por incumplimiento culpable de las obligaciones que los pliegos hubieren calificado como esenciales. Así mismo introduce un párrafo relativo al expediente de contratación de los contratos cuya ejecución requiera de la cesión de datos por parte de entidades del sector público al contratista. En virtud de esta modificación, se incluye la obligación del órgano de contratación de especificar en el expediente cuál será la finalidad de los datos que vayan a ser cedidos.
En cuarto lugar, da nueva redacción al artículo 122.2 relativo a los pliegos de cláusulas administrativas particulares para incluir la obligación de los pliegos de mencionar expresamente la obligación del futuro contratista de respetar la normativa vigente en materia de protección de datos. También añade un párrafo cuarto relativo a los contratos que exijan el tratamiento por el contratista de datos personales por parte del responsable del tratamiento, indicando que en estos casos será obligatorio hacer constar en el pliego tanto la finalidad de la cesión de datos como la obligación de la empresa adjudicataria de mantener al contratante al corriente de la ubicación de los correspondientes servidores. Los extremos mencionados deben hacerse constar en los pliegos como obligaciones esenciales a los efectos del régimen de resolución del contrato.
En quinto lugar da nueva redacción al artículo 202.1, regulador de las condiciones especiales de ejecución del contrato de carácter social, ético, medioambiental o de otro orden. Se impone la exigencia de que los pliegos incluyan, como condición especial de ejecución, la obligación del contratista de someterse a la normativa nacional y de la Unión Europea en materia de protección de datos. Esta obligación tiene el carácter esencial a los efectos del régimen de resolución del contrato.
Por último, redacta el artículo 215.4, relativo a la subcontratación, para incluir, entre las obligaciones del contratista principal, la de asumir la total responsabilidad de la ejecución del contrato frente a la Administración también por lo que respecta a la obligación de sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos.
4. Medidas para reforzar la seguridad en materia de telecomunicaciones
En materia de comunicaciones, modifica la Ley 9/2014 (General de Telecomunicaciones), con el objetivo de potenciar las facultades de que dispone el Gobierno, a través del Ministerio de Economía y Empresa, para afrontar situaciones que pueden afectar al mantenimiento del orden público, la seguridad pública o la seguridad nacional, lo que ofrecerá un mayor control y para mejorar sus posibilidades de actuación cuando la comisión de una presunta actuación infractora a través del uso de las redes y servicios de comunicaciones electrónicas pueda suponer una amenaza grave e inmediata para el orden público.
Se amplían los supuestos en los que el Ministerio de Economía y Empresa puede adoptar medidas cautelares en casos de razones de imperiosa urgencia sin audiencia previa del presunto infractor, que puede incluir el cese de la actividad o la prestación de servicios.
5. Medidas para reforzar la coordinación en materia de seguridad de las redes y sistemas de información
Por último, incorpora medidas para reforzar la coordinación en materia de seguridad de las redes y sistemas de información, reformando el Real Decreto-Ley 12/2018, de seguridad de las redes y sistemas de información, en virtud de la cual el Centro Criptológico Nacional (CCN) ejercerá la coordinación nacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática.