Ley 22/2018, de 6 de noviembre, de Inspección General de Servicios y del sistema de alertas para la prevención de malas prácticas en la Administración de la Generalitat y su sector público instrumental

Sea notorio y manifiesto a todos los ciudadanos y todas las ciudadanas que Les Corts han aprobado y yo, de acuerdo con lo establecido por la Constitución y el Estatuto de Autonomía, en nombre del rey, promulgo la siguiente Ley:

PREÁMBULO

I

Las malas prácticas, entendidas como aquellas actuaciones de la administración que puedan propiciar el incumplimiento de los principios de legalidad, objetividad, imparcialidad, eficacia y eficiencia, así como las posibles irregularidades administrativas, afectan no solo al prestigio y la legitimidad de cualquier organización, sino que también merman de manera sustancial la eficacia y eficiencia de sus actuaciones. Por eso, cada vez más instituciones, administraciones públicas y empresas desarrollan acciones, programas y estrategias con la finalidad de disponer de un marco instrumental sólido que permita la gestión del riesgo de esas prácticas y que mejore sus niveles de integridad. Y dentro de estas estrategias, tanto en el sector privado como sobre todo en el ámbito de las administraciones públicas, tienen un papel fundamental los órganos de control interno, puesto que, más que perseguir irregularidades, se trata de evitar que se produzcan mediante su detección y corrección temprana.

En la administración de la Generalitat y su sector público instrumental el máximo órgano de control interno es la Inspección General de Servicios, que se encarga de la vigilancia del estricto cumplimiento de la legalidad y de la observancia de los principios generales que deben respetar en su actuación las administraciones públicas. La Inspección General de Servicios, fundamentalmente, se rige por el Decreto 68/2014, de 9 de mayo, por el que se regula el ejercicio de la competencia y las funciones de inspección general de los servicios de la administración de la Generalitat. Sin embargo, para avanzar en el fortalecimiento de los mecanismos de control de la integridad en las actuaciones de la administración de la Generalitat, resulta conveniente reforzar por ley la estructura, potestades y funciones del servicio de inspección, respondiendo así a las sugerencias e indicaciones que desde diversos ámbitos profesionales se vienen realizando en los últimos años, entre ellos, el informe para la modificación de la Ley 10/2010, de 9 de julio, de la Generalitat, de ordenación y gestión de la función pública valenciana, elaborado por la Comisión creada por resolución de la Conselleria de Justicia, Administración Pública, Reformas Democráticas y Libertades Públicas de la Generalitat de 3 de marzo de 2016.

Entre las principales novedades de esta ley, cabe destacar las siguientes: se dota al personal inspector de la condición de autoridad pública; se incluye la obligación de todos los órganos administrativos y del personal de la administración de la Generalitat y de su sector público instrumental de colaborar con la inspección; se refuerzan sus atribuciones y se establecen mecanismos para garantizar la eficacia de sus investigaciones y favorecer el cumplimiento de sus recomendaciones. Se trata así de incidir en el cumplimiento de los valores éticos en el ámbito de la administración, impulsando las funciones de prevención e investigación de irregularidades del máximo órgano de control interno, la Inspección General de Servicios, a la que se le confiere al mismo tiempo autonomía funcional.

Por otra parte, en esta ley también se incluyen instrumentos avanzados para la gestión del riesgo de irregularidades y malas prácticas, desde un enfoque preventivo y transversal, basado en la colaboración entre órganos y el aprovechamiento de los datos y prácticas que genera la misma administración. La sofisticación cada vez mayor de los procesos de obtención, almacenamiento y análisis de datos representa una importante oportunidad para la prevención de irregularidades y malas prácticas. Teniendo en cuenta la protección de los derechos que las leyes garantizan, resulta factible aprovechar las posibilidades que ofrece el análisis de datos para enriquecer de forma significativa el proceso de evaluación del riesgo. Así, mediante la utilización e interconexión de los datos con los que cuenta la administración pública resulta posible detectar probables situaciones de riesgo, incluso antes de que se acaben produciendo irregularidades. Con esta nueva herramienta, la inspección de servicios puede asumir un rol similar al de compliance officer, o impulsor de cumplimiento normativo, cuya función será velar para que la actuación de la administración pública de la Generalitat, y su sector público dependiente, se ajuste a la legislación que le sea de aplicación, en función de los correspondientes reglamentos orgánicos y funcionales, siendo cada departamento, y en especial los entes del sector público instrumental, quienes ha de asumir las responsabilidades en su ámbito de actuación.

De acuerdo con esta voluntad de prevención, esta ley garantiza el correcto manejo de una herramienta de prospección de datos, el sistema de alertas rápidas, para identificar los procesos administrativos que pueden ser susceptibles de presentar riesgo de irregularidades o malas prácticas. Este sistema es un instrumento de clasificación e identificación del riesgo que va dirigido a reforzar la identificación, prevención y detección temprana de estas prácticas en los procesos administrativos de gestión. Dicha herramienta preventiva no puede convertirse en un instrumento de control policial, sino que, precisamente por su propio carácter, debe ser un mecanismo de identificación de aquellas prácticas que son susceptibles de debilitar los procedimientos de revisión, control, corrección y mejora que tienen las administraciones.

Este sistema de alertas, junto con la elaboración de un mapa de evaluación de riesgos, los planes individuales de autoevaluación y la publicación de un código de buenas prácticas para la prevención y detección de irregularidades, constituirán los instrumentos básicos de carácter preventivo que permitirán reducir los riesgos de irregularidades o malas prácticas administrativas.

Por otra parte, si bien es necesario reforzar los medios y herramientas de control interno, es evidente que para una mayor eficacia en la prevención de irregularidades, y en el desarrollo de una administración íntegra, es necesaria la coordinación entre todos los órganos e instituciones de control internos y externos. Por ello, además de establecerse órganos transversales para la planificación de gestión de riesgos en el ámbito de la administración de la Generalitat y de su sector público instrumental, en esta ley se establece la necesaria colaboración y coordinación con las instituciones y órganos de control, con especial énfasis en la inhibición de asuntos por razón de la materia en favor de dichas instituciones y órganos.

II

Algunos instrumentos jurídicos de carácter internacional ratificados por España, como la Convención de las Naciones Unidas contra la corrupción, aprobada en Nueva York el 31 de octubre de 2003, manifiestan la conveniencia de reforzar los mecanismos preventivos de control con los que cuentan las administraciones públicas. Igualmente, otras organizaciones e instituciones internacionales, como el Banco Mundial o la Organización para la Cooperación y el Desarrollo Económicos, han incidido mediante diferentes recomendaciones en la importancia del análisis de riesgos dentro de las estrategias de prevención del fraude tanto en el sector público como en el privado. En este mismo sentido, la Unión Europea dispone de documentos sobre gestión del riesgo e indicadores elaborados por la Comisión Europea a través de la Oficina Europea de Lucha contra el Fraude, que en el ámbito de los fondos europeos se han plasmado en el desarrollo de diferentes programas y herramientas automatizadas de identificación de riesgos y detección de irregularidades mediante el uso de la tecnología y las bases de datos.

Por otra parte, el Estatuto de autonomía de la Comunitat Valenciana, que recoge el derecho a una buena administración y a gozar de unos servicios públicos de calidad, da cobertura al Decreto 41/2016, de 15 de abril, por el que se establece el sistema para la mejora de la calidad de los servicios públicos y la evaluación de los planes y programas en la administración de la Generalitat y su sector público instrumental, que regula algunos elementos fundamentales de la buena administración como son la calidad de los servicios y la evaluación, a partir del objetivo de la mejora continua para la excelencia en la gestión pública. Sin embargo, es la Ley 2/2015, de 2 de abril, de transparencia, buen gobierno y participación ciudadana de la Comunitat Valenciana, la que ha supuesto el mayor avance hacia el desarrollo de un marco de integridad, que se desplegó en lo que respecta a esta materia, con el Decreto 56/2016, de 6 de mayo, por el que aprueba el Código de buen gobierno de la Generalitat.

En el ámbito de la Generalitat, diversas instituciones de control ya adoptan un enfoque de gestión de riesgos en el ámbito de sus funciones. Así, la Sindicatura de Comptes incluye en sus informes y documentos análisis de riesgos significativos derivados de la fiscalización que lleva a cabo. Por su parte, la Ley 11/2016, de 28 de noviembre, de la Agencia de Prevención y Lucha contra el Fraude y la Corrupción de la Comunitat Valenciana, establece como una de las funciones de este ente la realización de estudios y análisis de riesgos en determinados ámbitos de la actividad administrativa, así como la evaluación de la eficacia de los instrumentos de prevención existentes. Sin embargo, en estos casos se trata de instituciones externas a la administración y, aunque resulta beneficioso que se desarrollen mecanismos de control y garantía externos e independientes, ello no puede sustituir los mecanismos de autocontrol de los que debe dotarse la misma administración. Asimismo, el control interno basado en la gestión de riesgos permite poder avanzar la detección de conductas que pueden derivar en irregularidades y corregirlas antes de que lleguen a producirse posibles casos de fraude.

III

La puesta en marcha del sistema de alertas para la prevención de malas prácticas e irregularidades regulado por esta ley comporta el tratamiento de datos personales de personas físicas que resulten relevantes para el cumplimiento de sus fines, siempre respetando sus derechos, especialmente los fundamentales, y evitando que pueda producirse indefensión. Los datos a tratar se circunscriben a las personas que mantengan, o hayan mantenido, cualquier relación jurídica con la administración de la Generalitat, como consecuencia de la cual hayan participado en aquellos procedimientos administrativos que sean objeto o estén íntimamente relacionados con la actuación investigadora que se desarrolle.

Los datos pueden proceder de tres fuentes: bases de datos internas creadas y mantenidas por la administración de la Generalitat y su sector público instrumental con los datos que los interesados han proporcionado voluntariamente para la tramitación del procedimiento a través del cual se han relacionado con la administración; bases de datos de organismos o entidades externas con los que se establezca una colaboración, por ejemplo registros públicos; y, finalmente, datos de carácter personal que sus titulares hayan hecho manifiestamente públicos, particularmente en internet.

Con respecto al último grupo de datos, debe clarificarse que su tratamiento se limita exclusivamente a aquellos datos que resulten relevantes para el desarrollo de una investigación en la medida en que puedan permitir detectar signos externos de un nivel adquisitivo desproporcionado, relaciones entre los interesados o entre estos y el personal al servicio de la administración pública o su sector público instrumental, por ejemplo.

En todo caso debe destacarse que el funcionamiento del sistema incorpora dos garantías básicas. Por una parte, el sistema de alertas garantizará el control de acceso a la información, mediante mecanismos que permitan la identificación, autenticación y autorización de las personas usuarias, permitirá acceder a la información en función de los derechos asociados al perfil del mismo y mantendrá un registro de los accesos realizados con la finalidad de gestionar la trazabilidad de los datos. Por otra parte, se prevé que la información que genere el sistema lógico e informático de procesamiento de datos tendrá carácter reservado y únicamente podrá ser accesible para el personal adscrito a la Inspección General de Servicios. El incumplimiento de estas obligaciones se tipifica como infracciones administrativas y llevan asociadas medidas sancionadoras.

Tal como ha reconocido la jurisprudencia del Tribunal Constitucional, el derecho fundamental a la protección de datos de carácter personal del artículo 18.4 de la Constitución española puede limitarse y, en este sentido, resulta relevante el tratamiento de la cuestión en el marco del derecho europeo, en concreto en el Convenio 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de datos de las personas con respecto al tratamiento automatizado de datos de carácter personal, y en la Carta de los derechos fundamentales de la Unión Europea 2012/C 326/02.

La interpretación integrada de dichos textos realizada por el Tribunal Europeo de Derechos Humanos ha permitido concluir que el establecimiento de limitaciones al derecho a la protección de datos por parte de los Estados miembros será lícito si se cumplen estas tres premisas: el tratamiento debe realizarse conforme a la ley que lo prevea, debe servir a un fin legítimo y debe resultar necesario en una sociedad democrática para la consecución de dicho fin.

La presente ley desplegará sus efectos tras la entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Todas las excepciones a los derechos de los particulares cuyos datos puedan ser tratados por el sistema de alertas regulado en esta ley, se amparan en lo previsto en el citado reglamento, en consonancia con los principios inspiradores del convenio y de la carta expuestos.

La licitud del tratamiento de datos personales que se realizará mediante el sistema regulado en la presente ley se ampara en lo previsto en los apartados c y e del artículo 6 de dicho reglamento, habida cuenta que el tratamiento se realiza para el cumplimiento de una finalidad prevista por la propia ley y está destinado al cumplimiento de una misión realizada en interés público. El tratamiento de los datos resulta relevante en la medida en que el objetivo de la ley no podría cumplirse por otras vías.

El uso y cruce de las bases de datos con que cuenta la administración son imprescindibles para prevenir de manera eficaz y eficiente la comisión de delitos en su seno, ya que permiten articular un modelo de gestión y prevención que garantice la vigilancia y detección temprana de posibles indicios de delito, así como de irregularidades y malas prácticas que incrementan el riesgo de que se cometan actividades delictivas. De esta manera, las bases de datos de la administración incluyen una gran cantidad de referencias, principalmente provenientes de contratos del sector público y de subvenciones que, gestionadas y vinculadas entre ellas, pueden servir para detectar prácticas tales como el fraccionamiento reiterado de contratos suscritos con una misma empresa o para identificar los contratos que con mayor frecuencia llevan asociadas modificaciones, por ejemplo.

Esta importancia de la gestión de los datos de la administración para la prevención de delitos e irregularidades justifica la idoneidad, necesidad y proporcionalidad del tratamiento de datos de carácter personal que ampara esta ley. De esta manera, las limitaciones para el derecho de protección de datos personales que implican las medidas que incluye la ley son las necesarias e imprescindibles para alcanzar los objetivos que se pretenden, sin que sea posible hacerlo con medidas menos limitativas de otros derechos o bienes jurídicos. Asimismo, las medidas que se proponen en la ley se vinculan a la prevención de delitos mediante la detección en las primeras fases y la vigilancia de las áreas de riesgo y, al mismo tiempo, contribuyen a garantizar el derecho a una buena administración. Unos objetivos de interés general que, con las garantías de seguridad, protección y trazabilidad que prevé esta ley en el tratamiento por parte de los poderes públicos, justifican las limitaciones que implican para otros derechos y bienes jurídicos afectados.

Por otro lado, teniendo en cuenta que el ejercicio de malas prácticas e irregularidades muchas veces solo puede detectarse si se analizan los datos acumulados en un período de tiempo, resulta imprescindible para el cumplimiento de los fines del sistema que la ley, de acuerdo con las posibilidades que ofrece el reglamento europeo, regule dos aspectos fundamentales que tienen incidencia directa sobre esta capacidad de análisis: un plazo amplio de conservación de los datos, que se sitúa en ocho años, y la limitación de los derechos regulados en los artículos 12 a 22 del reglamento.

A lo largo de la parte dispositiva de la ley se tratan los diversos aspectos que exige el artículo 23.2 del Reglamento (UE) 2016/679, con el fin de establecer las limitaciones necesarias que permitan el normal funcionamiento del sistema.

IV

La Generalitat aprueba esta ley en el ejercicio de sus competencias y potestad de autoorganización, en los términos previstos en el artículo 49.1.1 del Estatuto de autonomía de la Comunitat Valenciana.

Este texto legal se compone de cuarenta y dos artículos estructurados en un título preliminar y tres títulos, que se completan con cuatro disposiciones adicionales, una disposición transitoria, una derogatoria y dos finales.

En el título preliminar se recogen el objeto y el ámbito subjetivo de aplicación de la ley.

En el título I, se regula la Inspección General de Servicios, que como máximo órgano de control interno de la administración de la Generalitat se encarga, entre otras, de la gestión del sistema de alertas y de la tramitación de las alertas que se generen. En su capítulo I se regulan sus competencias, los principios que rigen sus actuaciones y su estructura, así como las atribuciones y deberes de su personal, incluyendo la obligación de dar cuenta anualmente al Consell de la gestión realizada, mediante la remisión del informe anual de evaluación de su plan de actuación. En su capítulo II se hace referencia a la coordinación y colaboración con otras instituciones y órganos de control, entre cuyos mecanismos se contempla una comisión interdepartamental para la prevención de las irregularidades, y la inhibición de la inspección en favor de otros órganos de control en asuntos que por razón de la materia les pueda corresponder.