Nuevas obligaciones en materia de Administración Electrónica


Hoy ha salido publicado en BOE el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones, en el que otras cuestiones, se establecen nuevas obligaciones en materia de Administración Electrónica.

Los motivos de la aprobación y publicación de este Real Decreto-Ley son varios

  • Establecer un marco para garantizar el interés general y la seguridad pública para una adecuada prestación de los públicos.
  • Asegurar que la administración electrónica se emplee para lo que es, sin que se comprometan derechos y libertades.
  • Responder a los principales desafíos en materia de ciberseguridad, desde el punto de vista de la Segurdad Nacional.
  • Servir de protección para ” los derechos y libertades constitucionalmente reconocidos y garantizar la seguridad pública de todos los ciudadanos.”

La parte dispositiva del Real Decreto-Ley es la habitual en estos casos, modificando diferentes normas legales. Estos cambios normativos son los siguientes:

Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana

El DNI se considera como el único documento con la capacidad para acreditar la identidad y los datos personales de su titular, a todos los efectos.

Ley 59/2003, de 19 de diciembre, de firma electrónica

El DNI electrónico se considera como el único documento con la capacidad para acreditar la identidad electrónica y los datos personales de su titular, a todos los efectos., de acuerdo a lo previsto en la Ley Orgánica 4/2015.

Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas

  • Sistemas de identificación de los interesados en el procedimiento: Para la utilización de los sistemas de clave concertada en los procedimientos administrativos electrónicos, se requerirá una previa autorización de la Secretaría General de Administración Digital previo informe de la Secretaría de Estado de Seguridad. Dicha autorización se deberá emitir en 3 meses y la falta de resolución tiene efectos desestimatorios. Además estos sistemas deben estar situados en la Unión Europea y si se utilizan categorías especiales de datos personales en territorio español. En cualquier caso no se permite la utilización de sistemas de registro distribuido tipo blockchain, hasta que no haya una regulación legal específica
  • Sistemas de firma admitidos por las Administraciones Públicas: Para la utilización de otros sistemas de firma en los procedimientos administrativos electrónicos y que sean diferentes a los sistemas de firma electrónica cualificada y avanzada y a los sistemas de sello electrónico cualificado y avanzado de los prestadores de la ‘Lista de confianza de prestadores de servicios de certificación, se requerirá una previa autorización de la Secretaría General de Administración Digital previo informe de la Secretaría de Estado de Seguridad. Dicha autorización se deberá emitir en 3 meses y la falta de resolución tiene efectos desestimatorios. Además estos sistemas deben estar situados en la Unión Europea y si se utilizan categorías especiales de datos personales en territorio español. En cualquier caso no se permite la utilización de sistemas de registro distribuido tipo blockchain, hasta que no haya una regulación legal específica

Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público

  • Ubicación de los sistemas de información y comunicaciones para el registro de datos: Los sistemas de información utilizados por las Administraciones para ele censo electoral, padrones u otros registros poblacionales, datos fiscales o datos relacionados con el sistema nacional de salud deben ubicarse en la Unión Europea y no podrán realizarse transferencias internacionales de datos sin cumplir con los requerimientos para ello de la normativa de protección de datos.
  • Transmisiones de datos entre Administraciones Públicas: Las Administraciones Públicas deben facilitar acceso, al resto de Administraciones, a los datos de los interesados que obren en su poder, de acuerdo con la normativa de protección de datos. No obstante, no pueden utilizarse con fines incompatibles para los que se recogieron inicialmente (en ningún caso será incompatible, finalidades relacionadas con “archivo en interés público, fines de investigación científica e histórica o fines estadísticos” . Además, en estos caso, si una Administración quiere utilizar los datos con una finalidad que estime compatible habrá que tener en cuenta que:
    • La Administración que pretenda su uso deberá comunicarlo a la Administración cedente.
    • Ésta , en 10 días puede oponerse.
    • Si la cedente es la Administración General del Estado, puede oponerse por razones de seguridad nacional.
    • Hasta que la Administración cedente no comunique su decisión, la Administración que solicita los datos no podrá utilizarlos.

Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014

  • Contenido mínimo del contrato: Los contratos públicos deben hacer mención expresa a la normativa de protección de datos.
  • Causas de nulidad de derecho administrativo: Es una causa de nulidad la falta en los pliegos de cláusulas administrativas de:
    • Mención a la obligación del contratista de respetar la normativa de protección de datos.
    • Alguna de las siguientes cuestiones, cuando el contratista trate datos de carácter personal, por cuenta de la Administración:
      • Finalidad del acceso a los datos.
      • Obligación del contratista de cumplir con la normativa de protección de datos.
      • Obligación de que la entidad adjudicataria, antes de formalizar el contrato, declare donde se ubican sus servidores y donde prestará los servicios asociados y de comunicar cualquier cambio al respecto.
      • Obligación de que los licitadores indiquen en su oferta si tienen previsto subcontratar servidores o servicios, nombre o perfil empresarial y de las entidades que va a subcontratar para ello.
  • Causas de resolución del contrato: Se establece como causa de resolución del contrato por incumplimiento de la obligación principal, el no observar las obligaciones recogidas en los pliegos relativas a la protección de datos del apartado anterior.
  • Prohibiciones de contratar: Se establece como una causa de prohibición de contratar el hecho de que una entidad hubiese sido declarada culpable de incumplimiento de la obligación principal del contrato, relacionada con el incumplimiento de la normativa de protección de datos.
  • Expediente de contratación: iniciación y contenido: En el caso de que se prevean tratamientos de datos personales, en el expediente de contratación se deberá especificar cuál será la finalidad de dicho tratamiento por parte del adjudicatario.
  • Contenido de los pliegos de cláusulas administrativas particulares: El contenido de los Pliegos deberá contener esta información:
    • Obligación del contratista de respetar la normativa de protección de datos.
    • Cuando el contratista trate datos de carácter personal, por cuenta de la Administración:
      • Finalidad del acceso a los datos.
      • Obligación del contratista de cumplir con la normativa de protección de datos.
      • Obligación de que la entidad adjudicataria, antes de formalizar el contrato, declare donde se ubican sus servidores y donde prestará los servicios asociados y de comunicar cualquier cambio al respecto.
      • Obligación de que los licitadores indiquen en su oferta si tienen previsto subcontratar servidores o servicios, nombre o perfil empresarial y de las entidades que va a subcontratar para ello.
  • Condiciones especiales de ejecución del contrato de carácter social, ético, medioambiental o de otro orden: Cuando se prevea que las entidades adjudicatarias accedan a datos personales, es obligatorio incluir una condición especial de ejecución, que se refiera al cumplimiento de la normativa de protección de datos y advirtiendo que es una obligación de carácter esencial.
  • Subcontratación: Los subcontratistas deberán cumplir con la obligación de someterse a la normativa de protección de datos.

Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

  • Servicios de telecomunicaciones para la defensa nacional, la seguridad pública, la seguridad vial y la protección civil: Se prevé que la Administración General del Estado pueda intervenir redes y servicios de comunicaciones electrónicas que “puedan afectar al orden público, la seguridad pública y la seguridad nacional“, incluyendo “cualquier infraestructura, recurso asociado o elemento o nivel de la red o del servicio que resulte necesario para preservar o restablecer el orden público, la seguridad pública y la seguridad nacional “. Igualmente en caso de incumplimiento de las obligaciones de servicio público el Gobierno puede acordar la asunción temporal por parte de la Administración General del Estado de la gestión directa o la intervención de los servicios o explotación de redes.
  • Requisitos exigibles para la explotación de las redes y la prestación de los servicios de comunicaciones electrónicas: Se establece la obligación de que las Administraciones Públicas comunique al Ministerio de Economía y Empresa todo proyecto de instalación o explotación de redes de comunicaciones electrónicas en régimen de autoprestación, ya sea total o parcial.
  • Infracciones:
    • Se añade como infracción muy grave “el incumplimiento grave de las obligaciones en materia de acceso a redes o infraestructuras físicas susceptibles de alojar redes públicas de comunicaciones electrónicas, interconexión e interoperabilidad de los servicios”.
    • Se añade como infracción grave, “el incumplimiento de las obligaciones en materia de acceso a redes o infraestructuras físicas susceptibles de alojar redes públicas de comunicaciones electrónicas, interconexión e interoperabilidad de los servicios.”
  • Medidas previas al procedimiento sancionador: Se prevé que antes del inicio del procedimiento sancionador, el órgano competente del Ministerio de Economía y Empresa, mediante resolución sin audiencia previa, pueda acordar “el cese de la presunta actividad infractora cuando existan razones de imperiosa urgencia basada en alguno de los siguientes supuestos” :
    • Exista una amenaza inmediata y grave para el orden público, la seguridad pública o la seguridad nacional
    • Exista una amenaza inmediata y grave para la salud pública.
    • Se puedan producir perjuicios graves al funcionamiento de los servicios de seguridad pública, protección civil y de emergencias.
    • Interfiera gravemente a otros servicios o redes de comunicaciones electrónicas
    • Cree graves problemas económicos u operativos a otros proveedores o usuarios de redes o servicios de comunicaciones electrónicas o demás usuarios del espectro radioeléctrico.

Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información

Se establece que sea el Centro Criptológico Nacional el Coordinador nacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad en redes y sistemas del sector público.

Y hasta aquí las novedades de este Real Decreto-Ley. Obviamente, aunque se prevé que la entrada en vigor se produzca el día 6 de noviembre de 2019, existe un complejo Régimen Transitorio que ha desmenuzado mi compañero Gonzalo Álvarez en la entrada de su blog titulado Plazos aplicables al Real Decreto-Ley 14/2019

Por último, para mayor información al respecto, aconsejo echar un vistazo a las reflexiones que mi compañero Jesús Soler realiza sobre esta materia en su blog en la entrada Apuntes del Real Decreto-Ley 14/2019.

Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Colegio de la Abogacía de Bizkaia
http://www.gontzalgallo.com
Twitter: @gongaru
Linkedin: Gonzalo Gallo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.