- Objeto del RDL 14/2019 y entrada en vigor.
El Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones (en lo sucesivo, “RDL 14/2019”) tiene por objeto regular el marco normativo que comprende medidas urgentes relativas a: – La documentación nacional de identidad. – La identificación electrónica ante las Administraciones Públicas. – Los datos que obran en poder de las Administraciones Públicas. – La contratación pública y al sector de las telecomunicaciones. Fecha publicación BOE: 5 de noviembre de 2019. Entrada en vigor: 6 de noviembre de 2019. |
- Causas que motivan la promulgación del RDL 14/2019.
El gran avance y desarrollo tecnológico e informático unido a la imperiosa necesidad de aportar una mayor seguridad como consecuencia de los riesgos y peligros a los que se encuentran sometidos las personas en su relación con las Administraciones Públicas (AA.PP.) a través de medios electrónicos, ha sido el principal motivo por el que el Gobierno ha decidido acudir a la técnica legislativa de urgencia que constituye el Real Decreto-ley.
En aras de garantizar la seguridad, el RDL 14/2019 modifica la norma nacional en materia de telecomunicaciones y relación electrónica entre las personas con las AA.PP. como consecuencia de los acontecimientos que han tenido lugar recientemente en Cataluña.
En este contexto la normativa que se ha visto afectada por el RDL 14/2019 es la siguiente:
- Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
- Ley 59/2003, de 19 de diciembre, de firma electrónica.
- Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, “Ley 39/2015”).
- Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (en lo sucesivo, “Ley 40/2015”).
- Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (en adelante, “LCSP”).
- Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (en lo sucesivo, “Ley 9/2014”).
- Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información (en adelante, “RDL 12/2018”).
- Cambios introducidos por el RDL 14/2019.
- En materia de documentación nacional de identidad:
Se refuerza el papel único y excluyente del DNI como medio de identificación, siendo el DNI electrónico el único que acredita electrónicamente la identidad personal de su titular y permite la firma electrónica de documentos.
- En materia de identificación electrónica ante las Administraciones Públicas, ubicación de determinadas bases de datos y datos cedidos a otras Administraciones Públicas:
Se modifica la Ley 39/2015 sobre las posibilidades de identificación electrónica ante las AA.PP. para adaptarse a la STC n.º 55/2018 que sostiene que: “cada administración diseñe sus propios sistemas de identificación electrónica o admita los expedidos por otras entidades públicas o privadas y, con ello, que estos sean más o menos complejos según sus preferencias y la relevancia o características del trámite o servicio correspondiente”.
En este sentido, dentro de alto margen de discrecionalidad con en el que cuentan las Administraciones en materia de identificación electrónica, con la modificación se introduce la exigencia de que previamente se obtenga autorización de la Administración General del Estado (AGE), además de obligar a que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas de identificación y firma se encuentren situados en territorio de la Unión Europea.
Se establece un régimen transitorio por medio de la Disposición transitoria primera del RDL 14/2019 por la que se fija un plazo de tres meses desde la entrada en vigor de la norma para que las distintas AA.PP. remitan a la Comisión Sectorial de Administración Electrónica la información sobre todos los contratos vigentes que tengan por objeto los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de identificación y firma, así como de aquellos cuyos expedientes ya estén iniciados.
No obstante lo anterior, el RDL 14/2019 introduce una nueva disposición adicional (sexta) a la Ley 39/2015 por la que se prohíbe los sistemas de identificación y firma ante la Administración basados en tecnologías de registro distribuido, como sería por ejemplo una blockchain, en tanto que no sean objeto de regulación especifica por el Estado en el marco del Derecho de la Unión Europea.
Asimismo, se añade a la Ley 40/2015 un artículo 46 bis. por el que también se exige que la ubicación de los sistemas de información y comunicaciones para el registro de ciertos datos (censo electoral, padrones municipales, datos fiscales, etc.) estén en la Unión Europea y se regulan las transmisiones de datos personales entre AA.PP. cuyo objeto es permitir un mayor control de los datos cedidos al efecto de garantizar la adecuada utilización de los mismos.
- En materia de contratación pública:
El RDL 14/2019 modifica la LCSP en relación con la inclusión en los pliegos de las previsiones normativas sobre protección de datos. Pero, especialmente, en todos los aspectos relativos a los contratos que exijan el tratamiento por el contratista de datos personales por parte del responsable del tratamiento, indicando que en estos casos será obligatorio hacer constar en el pliego tanto la finalidad de la cesión de datos como la obligación de la empresa adjudicataria de mantener al contratante al corriente de la ubicación de los correspondientes servidores. Estas previsiones deben hacerse constar en los pliegos como obligaciones esenciales a los efectos del régimen de resolución del contrato, siendo en caso contrario motivo de nulidad del contrato.
En concreto, en aquellos contratos cuya ejecución requiera el tratamiento por el contratista de datos personales por cuenta del responsable del tratamiento, adicionalmente en el pliego se hará constar:
- La finalidad para la cual se cederán dichos datos.
- La obligación del futuro contratista de someterse en todo caso a la normativa nacional y de la Unión Europea en materia de protección de datos, sin perjuicio de lo establecido en el último párrafo del apartado 1 del artículo 202 de la LCSP.
- La obligación de la empresa adjudicataria de presentar antes de la formalización del contrato una declaración en la que ponga de manifiesto dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos.
- La obligación de comunicar cualquier cambio que se produzca, a lo largo de la vida del contrato, de la información facilitada en la declaración a que se refiere el apartado anterior (iii).
- La obligación de los licitadores de indicar en su oferta, si tienen previsto subcontratar los servidores o los servicios asociados a los mismos, el nombre o el perfil empresarial, definido por referencia a las condiciones de solvencia profesional o técnica, de los subcontratistas a los que se vaya a encomendar su realización.
Se exige igualmente al contratista que compruebe el cumplimiento por parte del subcontratista de tales obligaciones.
En consecuencia, será preciso que los nuevos pliegos que se publiquen tras la entrada en vigor del RDL 14/2019 (6 de noviembre de 2019) se adapten a estas previsiones, así como los contratos basados en un Acuerdo Marco y las modificaciones de contrato.
- En materia de telecomunicaciones:
Para reforzar la seguridad en materia de telecomunicaciones, se modifica la Ley 9/2014 y se refuerzan las competencias de la AGE sobre la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas en determinados supuestos excepcionales que puedan afectar al orden público, la seguridad pública y la seguridad nacional.
- En materia de seguridad de las redes y sistemas de información:
En orden a reforzar la coordinación en materia de seguridad de las redes y sistemas de información se modifica el RDL 12/2018 estableciendo que el Centro Criptológico Nacional (CCN) ejercerá la coordinación nacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática (CSIRT) en materia de seguridad de las redes y sistemas de información del sector público.
- Conclusiones.
Para concluir cabría apuntar que, siendo su objetivo principal reforzar el establecimiento de la Administración electrónica a la par que se garantiza la seguridad pública y seguridad nacional, la entrada en vigor del RDL 14/2019 exigirá -entre otras medidas- la comprobación por parte de todas las Administraciones Públicas que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas de identificación y firma, así como los servidores que contienen ciertas bases de datos se ubiquen en países de la Unión Europea.
La atribución en favor del DNI como documento de identificación único y excluyente junto con la centralización y atribuciones de control en materia de telecomunicaciones y de identificación electrónica ante las Administraciones Públicas, ubicación de determinadas bases de datos y datos cedidos a otras Administraciones Públicas que propugna el RDL 14/2019 será impugnada por la Generalitat de Cataluña, tal y como se ha anunciado en los medios de comunicación, por lo que habrá que estar atentos a si finalmente se impugna la meritada norma, así como el sentido de la resoluciones judiciales al respecto.
En cuanto a las medidas en materia de contratación pública conllevarán a que los poderes adjudicadores se vean obligados a adaptar los Pliegos de las licitaciones que se publiquen tras la entrada en vigor de la norma, los contratos basados en sus Acuerdos Marco vigente, así como las futuras modificaciones de contratos a las especificaciones introducidas por el RDL 14/2019 respecto al tratamiento de datos personales; incrementándose, asimismo, las obligaciones a las que se verán sometidos los contratistas en todos los aspectos relacionados con el tratamiento de los datos de carácter personal que requiera la ejecución del contrato.
Esperando que el contenido de la presente alerta lega sea de su interés, quedamos a su disposición para comentar o aclarar el contenido expuesto; para mayor información no dude en ponerse en contacto con nosotros.
Un cordial saludo.
SdP Estudio Legal
Plaza Nueva 8B, 3º Planta, C.P. 41001, Sevilla