Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones

I

La sociedad actual requiere de adaptaciones en la esfera digital que exigen de una traducción en el plano normativo. El desarrollo y empleo de las nuevas tecnologías y redes de comunicaciones por parte de las Administraciones Públicas se está acelerando. Ello exige establecer sin demora un marco jurídico que garantice el interés general y, en particular, la seguridad pública, asegurando la adecuada prestación de los servicios públicos y, al mismo tiempo, que la administración digital se emplee para fines legítimos que no comprometan los derechos y libertades de los ciudadanos.

El carácter estratégico para la seguridad pública de las materias reguladas en este real decreto-ley se ve avalado por la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, que describe los riesgos asociados a las nuevas tecnologías como uno de los principales desafíos de la sociedad actual.

La Estrategia de Seguridad Nacional 2017, aprobada mediante Real Decreto 1008/2017, de 1 de diciembre, identifica las ciberamenazas y el espionaje como amenazas que comprometen o socavan la seguridad nacional y, en coherencia con ello, singulariza la ciberseguridad como uno de sus ámbitos prioritarios de actuación. El desarrollo tecnológico implica una mayor exposición a nuevas amenazas, especialmente las asociadas al ciberespacio, tales como el robo de datos e información, el hackeo de dispositivos móviles y sistemas industriales, o los ciberataques contra infraestructuras críticas. La hiperconectividad actual agudiza algunas de las vulnerabilidades de la seguridad pública y exige una mejor protección de redes y sistemas, así como de la privacidad y los derechos digitales del ciudadano.

Entre los principales desafíos que las nuevas tecnologías plantean desde el punto de vista de la seguridad pública se encuentran las actividades de desinformación, las interferencias en los procesos de participación política de la ciudadanía y el espionaje. Estas actividades se benefician de las posibilidades que ofrece la sofisticación informática para acceder a ingentes volúmenes de información y datos sensibles.

En este punto juega un papel decisivo el proceso de transformación digital de la Administración, ya muy avanzado. La administración electrónica agudiza la dependencia de las tecnologías de la información y extiende la posible superficie de ataque, incrementando el riesgo de utilización del ciberespacio para la realización de actividades ilícitas que impactan en la seguridad pública y en la propia privacidad de los ciudadanos.

Los recientes y graves acontecimientos acaecidos en parte del territorio español han puesto de relieve la necesidad de modificar el marco legislativo vigente para hacer frente a la situación. Tales hechos demandan una respuesta inmediata para evitar que se reproduzcan sucesos de esta índole estableciendo un marco preventivo a tal fin, cuyo objetivo último sea proteger los derechos y libertades constitucionalmente reconocidos y garantizar la seguridad pública de todos los ciudadanos.

El presente real decreto-ley tiene por objeto regular este marco normativo, que comprende medidas urgentes relativas a la documentación nacional de identidad; a la identificación electrónica ante las Administraciones Públicas; a los datos que obran en poder de las Administraciones Públicas; a la contratación pública y al sector de las telecomunicaciones.

II

El presente real decreto-ley consta de una parte expositiva y una parte dispositiva estructurada del modo siguiente: capítulo I (artículos 1 y 2), un capítulo II (artículos 3 y 4), un capítulo III (artículo 5), un capítulo IV (artículo 6), un capítulo V (artículo 7), una disposición adicional, tres disposiciones transitorias y tres disposiciones finales.

El capítulo I contempla dos medidas en materia de documentación nacional de identidad, dirigidas a configurar el Documento Nacional de Identidad, con carácter exclusivo y excluyente, como el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular. Con esta finalidad, el artículo 1 del presente real decreto-ley modifica el artículo 8.1 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana. En coherencia con ello, el artículo 2 del real decreto-ley modifica la regulación del Documento Nacional de Identidad electrónico recogida en el artículo 15.1 de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

El capítulo II del presente real decreto-ley, que contiene los artículos 3 y 4, establece varias medidas en materia de identificación electrónica ante las Administraciones Públicas, ubicación de determinadas bases de datos y datos cedidos a otras Administraciones Públicas. La finalidad de estas medidas es garantizar la seguridad pública, tanto en las relaciones entre las distintas Administraciones Públicas cuando traten datos personales, como entre ciudadanos y Administraciones Públicas cuando las últimas proceden a la recopilación, tratamiento y almacenamiento de datos personales en ejercicio de una función pública.

El artículo 3 del presente real decreto-ley modifica los artículos 9 y 10 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, a la vez que introduce una nueva disposición adicional sexta a la misma.

La modificación de la letra a) del apartado 2 de los artículos 9 y 10 responde a la necesidad de adaptar sus contenidos al Reglamento (UE) N.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, conocido como Reglamento eIDAS, que establece un marco legal común para las identificaciones y firmas electrónicas en la Unión Europea.

La modificación de la letra c) del apartado 2 de los artículos 9 y 10 tiene como finalidad garantizar la seguridad pública en relación con el empleo de sistemas de identificación y firma electrónicas de los interesados cuando se realizan con clave concertada o mediante cualquier otro sistema que cuente con un registro previo como usuario que permita garantizar su identidad y que las Administraciones Públicas consideren válido. Así, en palabras del propio Tribunal Constitucional expresadas en la Sentencia 55/2018, de 24 de mayo, se mantiene la posibilidad de que «cada administración diseñe sus propios sistemas de identificación electrónica o admita los expedidos por otras entidades públicas o privadas y, con ello, que estos sean más o menos complejos según sus preferencias y la relevancia o características del trámite o servicio correspondiente». Ahora bien, para garantizar la seguridad pública, competencia exclusiva del Estado conforme dispone el artículo 1.1 de la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad, la modificación efectuada somete a un régimen de autorización previa por parte de la Administración General del Estado a los sistemas que sean distintos a aquellos del certificado y sello electrónico. Dicha autorización tendrá por objeto, exclusivamente, verificar si el sistema validado tecnológicamente por parte de la Administración u Organismo Público de que se trate puede o no producir afecciones o riesgos a la seguridad pública, de modo que, si así fuera y solo en este caso, la Administración del Estado denegará dicha autorización con base en dichas consideraciones de seguridad pública.

En la misma línea, el nuevo apartado 3, que se añade tanto al artículo 9 como al artículo 10 de la Ley 39/2015, de 1 de octubre, establece la obligatoriedad de que, en relación con los sistemas previstos en la letra c) del apartado 2 de los artículos 9 y 10, los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas se encuentren situados en territorio de la Unión Europea, y en territorio español en caso de que se trate de categorías especiales de datos a los que se refiere el artículo 9 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Salvo las excepciones que se introducen en la ley, estos datos no podrán ser objeto de transferencia a un tercer país u organización internacional y, en cualquier caso, se encontrarán disponibles para su acceso por parte de las autoridades judiciales y administrativas competentes.

Por último, el artículo 3 del presente real decreto-ley incorpora una disposición adicional sexta a la Ley 39/2015, de 1 de octubre, que prevé que en las relaciones de los interesados con las Administraciones Públicas no serán admisibles en ningún caso y, por lo tanto, no podrán ser autorizados, los sistemas de identificaciones basados en tecnologías de registro distribuido y los sistemas de firma basados en los anteriores, en tanto que no sean objeto de regulación específica por el Estado en el marco del Derecho de la Unión Europea. Además, la nueva disposición adicional sexta establece que cualquier sistema de identificación basado en tecnología de registro distribuido que prevea la legislación estatal deberá contemplar que la Administración General del Estado actuará como autoridad intermedia que ejercerá las funciones que corresponda para garantizar la seguridad pública.

Las restricciones impuestas a los sistemas de identificaciones y firmas basados en tecnologías de registro distribuido en ningún caso suponen una prohibición general. Simplemente, se restringe puntualmente y de forma meramente provisional su uso como sistema de identificación y firma de los interesados cuando estos últimos se interrelacionan con la Administración y mientras no haya más datos o un marco regulatorio ad hoc de carácter estatal o europeo que haga frente a las debilidades que implica su uso para los datos y la seguridad pública. La falta de un marco regulatorio ad hoc sobre estas nuevas tecnologías justifica que, con carácter urgente y en ejercicio de su competencia para dictar legislación básica, el Estado intervenga sobre la materia con carácter provisional hasta que se avance en el seno de la Unión Europea en el tratamiento de este tipo de tecnologías.

El artículo 4 del presente real decreto-ley procede, por una parte, a la modificación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público introduciendo un nuevo artículo 46 bis, y dando una nueva redacción al artículo 155.

Por una parte, el artículo 46 bis obliga a que, por motivos de seguridad pública, los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, se ubiquen y presten dentro del territorio de la Unión Europea. Asimismo, establece que solo puedan ser cedidos a terceros países cuando estos cumplan con las garantías suficientes que les permitan haber sido objeto de una decisión de adecuación de la Comisión Europea, o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.

Por otra parte, la finalidad de la modificación del artículo 155 es permitir un mayor control de los datos cedidos entre Administraciones Públicas, al efecto de garantizar la adecuada utilización de los mismos. Se permite excepcionalmente que la Administración General del Estado pueda adoptar la medida de suspender la transmisión de datos por razones de seguridad nacional de forma cautelar por el tiempo estrictamente indispensable para su preservación.

La licitud del tratamiento de los datos personales para finalidades distintas de las finalidades iniciales viene determinada por la circunstancia de que se trate de finalidades compatibles. Tratándose de finalidades incompatibles, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, prohíbe su tratamiento. No obstante, el propio Reglamento declara ya unas finalidades que estima compatibles: tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. En este sentido, en caso de que el responsable del tratamiento (el cesionario), previo análisis de la compatibilidad de acuerdo con los criterios del artículo 6.4 del citado Reglamento, considere que es compatible, el precepto introduce la obligación adicional de consultar a la administración cedente. La Administración General del Estado podrá oponerse motivadamente y suspender por razones de seguridad nacional.

El capítulo III del presente real decreto-ley regula varias medidas en materia de contratación pública, todas ellas dirigidas a reforzar el cumplimiento de la normativa sobre protección de datos personales y la protección de la seguridad pública en este ámbito.

Los contratistas del sector público manejan en ocasiones, para la ejecución de los respectivos contratos, un ingente volumen de datos personales, cuyo uso inadecuado puede, a su vez, plantear riesgos para la seguridad pública. Por ello, resulta necesario asegurar normativamente su sometimiento a ciertas obligaciones específicas que garanticen tanto el cumplimiento de la normativa en materia de protección de datos personales como la protección de la seguridad pública.

El real decreto-ley modifica la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, con la finalidad de introducir medidas que garanticen en todas las fases de la contratación (expediente de contratación, licitación y ejecución del contrato) el respeto por parte de contratistas y subcontratistas de la legislación de la Unión Europea en materia de protección de datos.

Dichas modificaciones son coherentes con lo previsto en el artículo 6 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que, respecto de los tratamientos de datos necesarios para el cumplimiento de una obligación legal o de una misión realizada en interés público o en el ejercicio de poderes públicos, permite a los Estados miembros que mantengan o introduzcan disposiciones específicas para fijar los requisitos específicos del tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo.

Así, en primer lugar, el presente real decreto-ley modifica el artículo 35 de la Ley 9/2017, de 8 de noviembre, para incluir, como contenido mínimo de los contratos, la referencia expresa al sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos.

En segundo lugar, y por lo que respecta al régimen de invalidez de los contratos, se añade un subapartado al artículo 39.2 de la Ley 9/2017, de 8 de noviembre, para incluir, como causa de nulidad de pleno derecho, la celebración de contratos por parte de poderes adjudicadores que omitan mencionar en los pliegos las obligaciones del futuro contratista en materia de protección de datos a los que se refiere el nuevo artículo 122.2 de la Ley 9/2017, en la redacción dada a dicho precepto por el presente real decreto-ley. La aplicación en este caso de la consecuencia jurídica máxima que contempla nuestro ordenamiento jurídico, esto es, de la nulidad de pleno Derecho, se ha considerado adecuada una vez ponderada la oportunidad de su incorporación en la legislación de contratos del sector público (siguiéndose el dictamen n. 116/2015, del Consejo de Estado), dada la importancia que en determinados casos puede presentar para los intereses de la seguridad nacional conocer la ubicación de los servidores en los que se alojarán los datos que ceda la Administración con motivo de la ejecución de un contrato público, desde dónde se van a prestar los servicios asociados a los mismos y asegurar el sometimiento de la ejecución de ese contrato a la normativa nacional y de la Unión Europea en materia de protección de datos.

En tercer lugar, y en el contexto de la regulación de los requisitos para contratar con el sector público, se modifica el artículo 116.1 de la Ley 9/2017, de 8 de noviembre, para incluir, como circunstancia que impedirá a los empresarios contratar con las entidades comprendidas en el artículo 3 de dicha Ley, el haber dado lugar a la resolución firme de cualquier contrato celebrado con una de tales entidades por incumplimiento culpable de las obligaciones que los pliegos hubieren calificado como esenciales de acuerdo con lo previsto en el art. 211.1.f) de la propia Ley.

En cuarto lugar, se da una nueva redacción al artículo 116.1 de la Ley 9/2017, de 8 de noviembre, introduciendo un segundo párrafo relativo al expediente de contratación de los contratos cuya ejecución requiera de la cesión de datos por parte de entidades del sector público al contratista. En virtud de esta modificación, se incluye la obligación del órgano de contratación de especificar en el expediente cuál será la finalidad de los datos que vayan a ser cedidos.

En quinto lugar, se da una nueva redacción al artículo 122.2 de la Ley 9/2017, de 8 de noviembre, relativo a los pliegos de cláusulas administrativas particulares. En concreto, se añade un párrafo tercero a este apartado para incluir la obligación de los pliegos de mencionar expresamente la obligación del futuro contratista de respetar la normativa vigente en materia de protección de datos. Asimismo, se añade un párrafo cuarto relativo a los contratos que exijan el tratamiento por el contratista de datos personales por parte del responsable del tratamiento, indicando que en estos casos será obligatorio hacer constar en el pliego tanto la finalidad de la cesión de datos como la obligación de la empresa adjudicataria de mantener al contratante al corriente de la ubicación de los correspondientes servidores. También se añade un párrafo quinto para establecer que los extremos mencionados en el párrafo cuarto deben hacerse constar en los pliegos como obligaciones esenciales a los efectos del régimen de resolución del contrato.

En sexto lugar, el presente real decreto-ley da una nueva redacción al artículo 202.1 de la Ley 9/2017, de 8 de noviembre, regulador de las condiciones especiales de ejecución del contrato de carácter social, ético, medioambiental o de otro orden. En concreto, se introduce un párrafo tercero relativo a los pliegos correspondientes a contratos cuya ejecución implique la cesión de datos por las entidades del sector público al contratista. Mediante esta adición se impone la exigencia de que los pliegos incluyan, como condición especial de ejecución, la obligación del contratista de someterse a la normativa nacional y de la Unión Europea en materia de protección de datos. Asimismo, en los pliegos debe advertirse al contratista de que esta obligación tiene el carácter de obligación contractual esencial a los efectos del régimen de resolución del contrato.

En séptimo lugar, el artículo 5 siete del real decreto-ley da una nueva redacción al artículo 215.4 de la Ley 9/2017, relativo a la subcontratación, para incluir, entre las obligaciones del contratista principal, la de asumir la total responsabilidad de la ejecución del contrato frente a la Administración también por lo que respecta a la obligación de sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos.