I. LA NORMA
La sociedad actual se enfrenta a nuevos retos y desafíos propiciados por el vertiginoso avance de las nuevas tecnologías. Ello provoca la necesidad de una continua actualización de las normas, que permita dotar de seguridad la prestación de los servicios públicos por parte de las Administraciones Públicas; además de afianzar o articular mecanismos eficaces para la protección de los derechos y libertades constitucionales y para la resolución de nuevos conflictos.
A tal fin responde el Real Decreto-Ley 14/2019, de 31 de octubre, cuyo objetivo prioritario es adoptar una serie de medidas por razones de seguridad pública en tres ámbitos diferenciados: la Administración digital; la contratación del sector público; y las telecomunicaciones. Ello provoca la modificación de las distintas Leyes que regulan cada uno de estos ámbitos.
El por qué de un Real Decreto-Ley se justifica fundamentalmente por la incertidumbre política que asiste a nuestro País, que no debe frenar la adecuada prestación de los servicios públicos por parte de las Administraciones Públicas, de ahí la urgencia y la necesidad; preservando el resto de requisitos constitucionales apoyados en la doctrina del Tribunal Constitucional.
II. EL CONTEXTO
La seguridad pública se erige en el contexto general en el que se inserta esta norma y cuya regulación y ejecución debe ser prioritaria ante los desafíos que las nuevas tecnologías generan y la incertidumbre de un control efectivo. En este sentido, la Ley 36/2015, de Seguridad Nacional alude a estos riesgos que concreta en la ciberseguridad, la seguridad económica y financiera, la seguridad marítima, la seguridad del espacio aéreo y ultraterrestre, la seguridad energética, la seguridad sanitaria y la preservación del medio ambiente.
La revisión de la Estrategia Nacional de Seguridad de 2013 se adelanta dos años, de los cinco previstos para realizarla, debido precisamente a la urgencia en la asunción de los cambios, aprobándose la nueva Estrategia Nacional de Seguridad en 2017 (ENS) (Estrategia Nacional de Seguridad. Un proyecto compartido de todos y para todos, Presidencia del Gobierno, 2017, en web: www.dns.gob.es).
En ella se detalla y expone claramente las nuevas amenazas que concreta en los denominados conflictos híbridos, el uso de espacios comunes globales o las nuevas formas de terrorismo yihadista.
Respecto de los conflictos híbridos, los define como las acciones realizadas tanto por el Estado, como por los actores no estatales que combinan el uso de medios militares con ataques cibernéticos, elementos de presión o campañas de influencia por las redes sociales. Respecto del uso de espacios comunes globales se describe el ciberespacio, el espacio marítimo, el espacio aéreo y ultraterrestre, de fácil acceso y con una regulación insuficiente.
En este escenario se despliega la Administración electrónica, y los nuevos modos de relación entre las Administraciones Públicas y con los ciudadanos, a través de procedimientos electrónicos y automatizados, cuya implantación definitiva aún dista de ser una realidad. La aplicación y su desarrollo práctico muestra las deficiencias, en ocasiones no advertidas, en el proceso normativo, lo que provoca su necesaria modificación a los efectos de dotar de seguridad jurídica el dónde y el cómo deben articularse determinadas exigencias para la protección de los derechos contemplados expresamente en otras normas.
III. LAS MODIFICACIONES
A través de este Real Decreto-Ley se establecen modificaciones de Leyes ordinarias y de Leyes orgánicas, que no afectan al contenido esencial de la regulación, sino que obedecen a lo expresado en el párrafo anterior: dotar de seguridad jurídica y coherencia en la aplicación de la política de seguridad pública y de la política de protección de los datos personales en el funcionamiento de los servicios públicos, seguridad en las redes y sistemas de información. Modificaciones que llevan consigo un reforzamiento de las competencias del Estado en el control y coordinación en el uso de los sistema de identificación y de firma electrónica; o en los sistemas de redes y de información.
En síntesis:
1. Se modifica la Ley Orgánica 4/2015, de Protección de la Seguridad Ciudadana, en el sentido de indicar que únicamente el Documento Nacional de Identidad tiene el suficiente valor por sí solo para la acreditación de la identidad y los datos personales de su titular, cuando antes, se refería simplemente a que posee este valor. Y de igual modo se modifica la Ley 59/2003, de Firma Electrónica, respecto del Documento Nacional de Identidad electrónico.
2. En cuanto a las relaciones de las Administraciones Públicas con los ciudadanos, en la prestación de los servicios públicos, a través de sus contratistas, se han modificado las Leyes 39/2015, de Procedimiento Administrativo Común de las Administraciones Públicas (LPAC), 40/2015, de Régimen Jurídico del Sector Público (LRJSP), Ley 9/2017, de Contratos del Sector Público (LCSP), con el fin de aclarar y evitar interpretaciones en su aplicación que puedan llevar a la vulneración o inadecuada aplicación, de la normativa de protección de los datos personales.
En concreto:
- Los sistemas de identificación de los interesados en el procedimiento (art. 9.2 LPAC) y los sistemas de firma admitidos por las Administraciones Públicas (art. 10.2 LPAC), en los que se pretende que la elección de los sistemas que tengan un registro previo como usuario que permita garantizar su identidad sea autorizado previamente por la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, que solo podrá ser denegada por motivos de seguridad pública. Además, respecto de estos sistemas de firma electrónica se exige que los recursos técnicos para la recogida, almacenamiento, tratamiento y gestión se encuentren situados en territorio e la Unión Europea, o si se trata de categorías especiales de datos, en territorio español.
- Ubicación de los sistemas de información y comunicaciones para el registro de datos, modificación de la LRJSP a través de la incorporación de un nuevo artículo 46 bis, referido a la obligación de ubicación en territorio de la Unión Europea, de estos sistemas para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales y otros registros de población, datos fiscales, datos de salud y tratamiento de datos personales.
- La reforma afecta también a la contratación del sector público, especialmente en cuanto a las cláusulas de protección de datos que deben incorporarse a los contratos, y a la expresa mención del cumplimiento de la normativa aplicable en materia de protección de datos en preceptos que establecen la exigencia de incorporar el respeto a la legislación aplicable.
Así: en el contenido mínimo de los contratos (art. 35.1.d) LCSP); en el contenido de los pliegos de cláusulas administrativas particulares (art. 122.2LCSP) en los contratos cuya ejecución requiera el tratamiento de datos personales por cuenta del responsable del tratamiento, donde se precisa que conste en el Pliego, toda una serie de exigencias, tales como la finalidad para la que se ceden los datos, obligación de someterse a la normativa de protección de datos; determinar la ubicación de los servidores, etc; y se configura como causa de nulidad de derecho administrativo, la falta de mención el en pliego de tales exigencias (art. 39.2.h) LCSP); previéndose también como una prohibición para contratar cuando el contrato se hubiese resuelto por incumplimiento de las obligaciones esenciales de los pliegos (art. 71.2.d) LCSP).
Se modifican también otros preceptos, como el art. 116.1 LCSP, referido al contenido del expediente de contratación, exigiéndose al órgano de contratación que, cuando la ejecución del contrato requiera de la cesión de datos por parte de entidades del sector público, especifique cuál será la finalidad del tratamiento de los datos; o el artículo 202.1 (que conlleva la adecuación del art. 215.4 LCSP), referido a las condiciones especiales de ejecución del contrato de carácter, medioambiental, social, …, exigiendo al contratista como condición especial de ejecución, y obligación contractual esencial, la obligación de someterse a la normativa de protección de datos, nacional y de la Unión Europea.
3. Se aborda la modificación de algunos preceptos de la Ley 9/2014, General de Telecomunicaciones (LGTel), un mercado considerado un sector estratégico en el que los prestadores de los servicios son operadores privados, pero con la consideración de ser servicios económicos de interés general, con la calificación de algunos servicios públicos y la imposición de obligaciones de servicio público, amén de la garantía del servicio universal; títulos que amparan la intervención del Estado en la regulación y en la asunción de algunos servicios.
Las modificaciones afectan a los servicios públicos de telecomunicaciones (defensa nacional, la seguridad pública, la seguridad vial y la protección civil; art. 6.4 LGTel) ); a los requisitos para la explotación de las redes y la prestación de los servicios de telecomunicaciones electrónicas, con la exigencia a las Administraciones Públicas de comunicar al Ministerio de Economía y Empresa todo proyecto de instalación o explotación de redes de comunicación electrónica en régimen de autoprestación que haga uso del dominio público (art. 6.3 LGTel); alguna nueva redacción referida al régimen sancionador (arts. 76.15, 77.28, 81.1).
4. Finalmente, se pretende reforzar la coordinación en materia de seguridad de las redes y sistemas de información, con alguna modificación del Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, dotando al Centro Criptológico Nacional de la competencia de coordinación nacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática (CSIRT) en materia de seguridad de las redes y sistemas de información del sector público determinado por las Leyes 39/2015 y 40/2015.
Se establece la posibilidad de consulta y colaboración entre los CSIRT de las Administraciones Públicas y los órganos con competencias en materia de seguridad nacional, seguridad pública, seguridad ciudadana y protección de datos de carácter personal, para el ejercicio de sus funciones.
Es cierto que son muchas las incertidumbres y amenazas que se derivan del desarrollo tecnológico, y en el uso de las tecnologías para el funcionamiento de las Administraciones Públicas, los derechos son más vulnerables, apreciándose en las modificaciones de las diversas leyes afectadas una necesidad de concentración en la Administración del Estado de la coordinación, vigilancia, si acaso control, del uso de las redes y sistemas de información, en aras de la seguridad pública, y de la política de protección de los datos personales.