Real Decreto-ley de medidas urgentes por razones de seguridad pública

El día 31 de octubre el Gobierno aprobó una retahíla de medidas urgentes alegando razones de seguridad pública en relación con la administración digital, la contratación del sector público y de las telecomunicaciones.

Mi intención no es solo ofrecer al lector una breve síntesis de las principales novedades sino acercarlo a reflexionar sobre las consecuencias que trae consigo.

Sobre el documento nacional de identidad

Se prevé que el DNI sea el único documento válido para acreditar electrónicamente la identidad de una persona. Se trata de una medida que refuerza el valor del DNI electrónico pero que, a su vez, veta el uso de otros certificados electrónicos como por ejemplo, los basados en tecnología blockchain. Para justificar tal restricción, el propio texto normativo aduce a la falta de marco regulatorio ad hoc estatal o europeo para “hacer frente a las debilidades que implica su uso para los datos y la seguridad pública”.

Sobre los sistemas de identificación y firma electrónicos de las administraciones públicas

Esta es una medida controvertida puesto que obliga a que los recursos técnicos necesarios (data centers) que dan soporte a dichos sistemas se ubiquen en territorio europeo –o español, en caso de tratamiento de datos de categoría especial-. Para ello, se otorga a las administraciones públicas un plazo de seis meses para adaptarse y cumplir con dicha medida.

Dicha medida tendrá un gran impacto económico, especialmente para la administración local con menos recursos ya que, habida cuenta la naturaleza de los datos que tratan, en el peor de los casos deberán migrar los sistemas de información a proveedores con soluciones menos competitivas. Tanto es así que no se podrá priorizar las garantías de servicio, seguridad, escalabilidad ni flexibilidad, sino que se deberá limitar a un ámbito geográfico renunciando a posibles proveedores de prestaciones, funcionalidades y tecnologías innovadoras.

Al mismo tiempo, esta medida conllevará más carga burocrática puesto que deberán comunicar todos los contratos vigentes así como los expedientes de contratación ya iniciados que tengan por objeto la prestación de estos servicios para la gestión de sistemas de identidad i firma electrónica. Tampoco habrá que olvidar que todo este procedimiento se deberá ejecutar garantizando el cumplimento de la normativa de protección de datos.

Sobre las transmisiones de datos entre administraciones públicas así como las medidas en relación con la contratación pública

A pesar de que el texto indica que dichas medidas que establecen en aras de reforzar el cumplimiento de la normativa sobre protección de datos, las previsiones que establece no suponen ninguna novedad puesto que: 1) la transmisión de datos entre administraciones es plausible en base al interés público siempre que se actúe en el marco de sus competencias y en el ejercicio de sus poderes públicos; 2) la prohibición de tratar datos con finalidades posteriores e incompatibles con la inicial no supone otra cosa que cumplir con los principios de licitud, lealtad, transparencia y limitación del tratamiento de datos en relación con la finalidad, todos ellos ya previstos en el RGPD.

De igual modo, las medidas en relación con el contenido mínimo de los pliegos de cláusulas administrativas y de los contratos públicos no suponen tampoco ninguna novedad puesto que en la práctica vienen a reproducir lo que la normativa vigente en materia de protección de datos ya contempla y exige. A saber: en los supuestos en los que el objeto del contrato suponga el acceso a datos personales de la administración pública licitadora, el contratista opera como encargado del tratamiento y ambas partes tienen la obligación de regularizar su situación mediante un contrato de acceso a datos por cuenta de terceros. Es más, la obligación que se impone ahora a la administración de exigir a los contratistas que se sometan a la normativa de protección de datos es ineficiente cuando, en virtud de dicha normativa, la administración tiene el deber de ser diligente en la selección de proveedores y elegir solamente aquellos que den garantías de cumplimiento de dicha normativa mediante elementos que así lo acrediten.

En definitiva, no tiene ningún sentido aprobar una norma para exigir que se cumpla con otra norma.

Sobre la seguridad en materia de telecomunicaciones

Probablemente ésta sea la medida más cuestionable ya que, a través de la aprobación de un texto normativo por la vía de urgencia se refuerzan las potestades del Ministerio de Economía y Empresa y, en particular la potestad sancionadora.

De este modo, se prevé que el Gobierno pueda intervenir las redes y servicios de comunicaciones electrónicas en casos de afectación al orden público, la seguridad pública y la seguridad nacional bien de oficio o a instancia de la administración afectada o la competente en materia de seguridad.

Por otro lado, y antes de iniciar cualquier procedimiento sancionador, se prevé la posibilidad que el Gobierno adopte medidas cautelares sin previa audiencia tendentes a cesar la presuntas actividades infractoras en determinados supuestos como, por ejemplo, ante la existencia de un amenaza inmediata y grave para el orden público, seguridad pública o nacional; cuando la actividad pueda causar perjuicios graves al funcionamiento de servicios de seguridad pública, protección civil y de emergencias; cuando se interfiera gravemente en otros servicios o redes de comunicación electrónica; o cuando se creen graves problemas económicos u operativos a otros proveedores o usuarios de redes o servicios de comunicaciones electrónicas.

Con todo ello, se puede considera que el Real Decreto-ley choca frontalmente con el principio de neutralidad en la Red a la par que desvirtúa la esencia del blockchain que se caracteriza, entre otras, por ser una tecnología descentralizada y sin ninguna autoridad que la gobierne ni ejerza un control total sobre la misma.

Cristina Ribas

Abogada especialista en protección de datos

Directora de Ribas Casademont advocats®