Comentarios de urgencia al Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones

En el BOE de hoy (martes, 5 de noviembre de 2019) aparece publicado el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones, una norma que entra en vigor mañana y que fue aprobada por el pasado Consejo de Ministros de 31 de octubre, de la que destacamos los siguientes aspectos:

  • Objeto. El Real Decreto-ley tiene por objeto regular un marco normativo que comprende medidas urgentes relativas a la documentación nacional de identidad; a la identificación electrónica ante las Administraciones públicas; a los datos que obran en poder de las mismas; a la contratación pública; y al sector de las telecomunicaciones.
  • Razón de ser. El fundamento principal de la reforma es sin duda la preocupación por el hecho de que el desarrollo tecnológico implica una mayor exposición a nuevas amenazas, especialmente las asociadas al ciberespacio, tales como el robo de datos e información, el hackeo de dispositivos móviles y sistemas industriales, o los ciberataques contra infraestructuras lícitas (“Se hace notar que La hiperconectividad actual agudiza algunas de las vulnerabilidades de la seguridad pública y exige una mejor protección de redes y sistemas, así como de la privacidad y los derechos digitales del ciudadano”).  Todo ello en la línea ya expresada por la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, que describe los riesgos asociados a las nuevas tecnologías como uno de los principales desafíos de la sociedad actual, y por la propia Estrategia de Seguridad Nacional 2017, aprobada mediante Real Decreto 1008/2017, de 1 de diciembre, que identifica a las ciberamenazas y al espionaje como una de las amenazas que comprometen o socavan la Seguridad Nacional y, en coherencia con ello, identifica también la ciberseguridad como uno de sus ámbitos prioritarios de actuación. Y todo porque se admite, y de hecho así es, que la administración electrónica ya ha alcanzado cierto grado de implantación: “La administración electrónica agudiza la dependencia de las tecnologías de la información y extiende la posible superficie de ataque, incrementando el riesgo de utilización del ciberespacio para la realización de actividades ilícitas que impactan en la seguridad pública y en la propia privacidad de los ciudadanos”.

    Rombo normativo D
    Las famosas leyes de nuestro “rombo normativo” ya han sido modificadas unas cuantas veces…
  • Modificaciones legales. En consecuencia, la reforma afecta a varias leyes vigentes, incluyendo una pequeña modificación de las normas más importantes del Derecho Público actual, como Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público.
  • Refuerzo del DNI. Se establece que el documento nacional de identidad electrónico es el documento nacional de identidad que acredita electrónicamente la identidad personal de su titular, en los términos establecidos en el artículo 8 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y permite la firma electrónica de documentos. En consecuencia se modifica la propia Ley Orgánica, que ahora expresa que “Es el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular”, y la aún vigente Ley 59/2003, de 19 de diciembre, de firma electrónica. Este refuerzo del DNI electrónico, por lo demás, nos parece criticable en tanto que pueda cerrar la puerta al uso de otros certificados electrónicos de gran implantación, y sobre todo a los nuevos medios de identificación en auge, como la biometría (especialmente la huella dactilar), y otros como los basados en blockchain. Parece que el legislador no ha tenido demasiado en cuenta lo previsto en el eIDAS (Reglamento de identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior) en esta ocasión.
  • Otros sistemas de identificación y firma. No obstante lo anterior, se mantienen en la Ley 39/2015 (faltaría más) los siguientes sistemas de identificación y firma: a) Sistemas basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación”; b) Sistemas basados en certificados electrónicos cualificados de sello electrónico expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’. c) Sistemas de clave concertada y cualquier otro sistema, que las Administraciones consideren válido en los términos y condiciones que se establezca, siempre que cuenten con un registro previo como usuario que permita garantizar su identidad (previa autorización por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior).
  • Ubicación de los “servidores”. Se introduce un nuevo artículo en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público: “Artículo 46 bis. Ubicación de los sistemas de información y comunicaciones para el registro de datos. Los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, deberán ubicarse y prestarse dentro del territorio de la Unión Europea. Estos datos no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España”.
  • Mayores cautelas en las transmisiones de datos entre Administraciones Públicas. Se modifica el art. 155 de la citada Ley 40/2015, en unos términos que nos parecen correctos en el sentido de que había que actualizar las referencias a las normas posteriores a 2015 que afectan a la cuestión (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales), siempre que no se entienda como una limitación a la más que necesaria transferencia de datos para el ejercicio de las funciones públicas de cada Administración (y en este sentido, ojo con el inciso “En ningún caso podrá procederse a un tratamiento ulterior de los datos para fines incompatibles con el fin para el cual se recogieron inicialmente los datos personales”). Como siempre decimos, la Administración necesita nuestros datos para sus cometidos públicos, no para vendernos aspiradoras.
  • Modificación de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público. Se añaden una serie de cautelas relativas al tratamiento de datos por parte de futuros contratistas, precisamente en aplicación de las citadas normas (Reglamento 2016/679 del Parlamento Europeo y del Consejo, y Ley Orgánica 3/2018, de 5 de diciembre), y en este sentido, en aquellos contratos cuya ejecución requiera el tratamiento por el contratista de datos personales por cuenta del responsable del tratamiento, en el pliego se hará constar un catálogo adicional de extremos, como la finalidad para la cual se cederán dichos datos, o la obligación del futuro contratista de someterse en todo caso a la normativa nacional y de la Unión Europea en materia de protección de datos.
  • Medidas para reforzar la seguridad en materia de telecomunicaciones. Se modifica la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, incorporando (o acentuando) alguna medida de tipo intervencionista (ver nuevo artículo 4.6), o paternalista: “Las Administraciones Públicas deberán comunicar al Ministerio de Economía y Empresa todo proyecto de instalación o explotación de redes de comunicaciones electrónicas en régimen de autoprestación que haga uso del dominio público, tanto si dicha instalación o explotación vaya a realizarse de manera directa, a través de cualquier entidad o sociedad dependiente de ella o a través de cualquier entidad o sociedad a la que se le haya otorgado una concesión o habilitación al efecto. El régimen de autoprestación en la instalación o explotación de dicha red puede ser total o parcial, y por tanto dicha comunicación deberá efectuarse aun cuando la capacidad excedentaria de la citada red pueda utilizarse para su explotación por terceros o para la prestación de servicios de comunicaciones electrónicas disponibles al público. En el caso de que se utilice o esté previsto utilizar, directamente por la administración pública o por terceros, la capacidad excedentaria de estas redes de comunicaciones electrónicas en régimen de autoprestación, el Ministerio de Economía y Empresa verificará el cumplimiento de lo previsto en el artículo 9. A tal efecto, la administración pública deberá proporcionar al Ministerio de Economía y Empresa toda la información que le sea requerida a efecto de verificar dicho cumplimiento”.
  • Medidas para reforzar la coordinación en materia de seguridad de las redes y sistemas de información. Se modifica el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, exactamente en la misma línea, especialmente reforzando el papel del Centro Criptológico Nacional (CCN), como instancia coordinadora, a nivel nacional, de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática (CSIRT) en materia de seguridad de las redes y sistemas de información del sector público comprendido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
© Todos los derechos reservados. Nosoloaytos. Web oficial de Víctor Almonacid Lamelas 2019. Aviso legal.

Anexo. Otros análisis:

5 respuestas a “Comentarios de urgencia al Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones

  1. […] que se han hecho rapidísimas síntesis y comentarios brillantes de esta norma tanto generales : Blog de Victor Almonacid como especificas en blockchaineconomia expresadas por Moisés Menéndez y Nacho Alamillo. No puedo […]

  2. […] que se han hecho rapidísimas síntesis y comentarios brillantes de esta norma tanto generales : Blog de Victor Almonacid como especificas en blockchaineconomia expresadas por Moisés Menéndez y Nacho Alamillo no puedo […]

  3. Buen resumen. Sólo comentar que aunque el tema del uso / gestión /administración de los datos personales en cloud era difuso y eso daba lugar a muchas interpretaciones y preguntas, por lo que es positivo el intento de regularlo. También es recomendable adaptar los términos de la Ley de firma electrónica (59/2003) al eIDAS e incluso al reglamento europeo de firma en cuanto al término de “reconocido” y los “certificados de persona jurídica”, certificados de sello, etc. Aun queda por aclarar el uso del CSV llamado, malamente, firma cuando es un localizador de documento. Y más aún que lo que debes localizar en ese localizador es el mismo documento que quieres cotejar o verificar. Por ultimo comentar que el término “medios de identificación basados en blockchain” es incorrecto. El verbo basar no es aplicable para describirla. (hago notar que en el artículo que enlaza se usa “utilizar”)

    • Muchas gracias Montaña. Sin duda era recomendable adaptar los términos de la Ley 59/2003 al eIDAS, pero podríamos discrepar en dos cosas:

      1.- Que realmente se adapte al eIDAS (puede que así sea en cuanto a algunos aspectos técnicos, pero no en cuanto al espíritu del Reglamento europeo, que como tal, es liberalizador, y se enmarca dentro del avance hacia el Mercado Único Digital).

      2.- La fecha en la que supuestamente se adapta en relación a la forma de adaptación: tenemos una Ley de 2003 (ciertamente “anticuada”) y un Reglamento europeo de 23 de julio de 2014 (el eIDAS). De repente se aprueba en noviembre de 2019 un RDL, por razones de extraordinaria y urgente necesidad que por algún motivo se visualizan en este preciso instante, cinco años y pico más tarde, con un gobierno en funciones, y con unas Cortes pendientes de conformar, las cuales son precisamente las que tendrán que convalidarlo (o no). En mi modesta opinión, alguien se está equivocando con la estrategia. Son temas en los que no había querido entrar a fondo, pero el comentario prácticamente me obliga a pronunciarme, y en esas lides un servidor dice siempre lo que piensa.

      Por lo demás acepto el resto de matizaciones, y además con gusto. Es cierto que hay verbos más precisos que “basar”, ya que blockchain es una mera herramienta. La terminología es muy importante en estos temas, porque una explicación imprecisa suele dar lugar a un mal entendimiento. Muy de acuerdo, concretamente, en tu explicación del CSV (considerado por muchos una firma, y en efecto no lo es, es un identificador del documento).

      Un cordial saludo.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s