El dia 5 de novembre es va publicar en el Butlletí Oficial de l’Estat el Reial decret llei 14/2019, de 31 d'octubre, pel qual s'adopten mesures urgents per raons de seguretat pública en matèria d'Administració digital, contractació del sector públic i telecomunicacions. La disposició final tercera de la norma fixa l’entrada en vigor l’endemà de la publicació en el BOE, per tant el 6 de novembre. Així mateix, la Diputació Permanent del Congrés dels Diputats, òrgan que vetlla pels poders de la Cambra fora dels períodes ordinaris de sessions o quan està dissolta, el dia 27 de novembre va convalidar amb 50 vots a favor, 10 en contra i 8 abstencions el Reial decret llei 14/2019, de 31 d'octubre.
Aquest Reial decret llei modifica diverses normes de rang legal (una llei orgànica, un reial decret llei i cinc lleis ordinàries). Pel que ens interessa, destaquem les modificacions de la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques i de la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic. Les altres disposicions de rang legal modificades són la Llei orgànica 4/2015, de 30 de març, de protecció de la seguretat ciutadana; la Llei 59/2003, de 19 de desembre, de signatura electrònica; la Llei 9/2014, de 9 de maig, general de telecomunicacions; el Reial decret llei 12/2018, de 7 de setembre, de seguretat de les xarxes i sistemes d'informació, i la Llei 9/2017, de 8 de novembre, de contractes de sector públic, per la qual es transposen a l'ordenament jurídic espanyol les directives del Parlament Europeu i de Consell 2014/23/UE i 2014/24/UE, de 26 de febrer de 2014.
La norma es dicta a l’empara de diversos títols competencials exclusius de l’Estat, que trobem invocats en la disposició final primera del Reial decret llei. Pel que ens interessa, les modificacions de la Llei 39/2015 i la Llei 40/2015 es fan a l’empara de l'article 149.1.18.a de la Constitució espanyola (CE), que atribueix a l'Estat la competència exclusiva per dictar les bases de règim jurídic de les administracions públiques i sobre el procediment administratiu comú, i a l'empara de l'article 149.1.29.a de la CE, que atribueix a l'Estat competència exclusiva en matèria de seguretat pública. Així mateix, en la referida disposició final s’invoquen altres títols competencials com habilitadors de les altres modificacions legals que efectua el Reial decret llei, com ara les competències exclusives atribuïdes a l'Estat en matèria de règim general de telecomunicacions, o en matèria de legislació bàsica sobre contractes i concessions administratives. No correspon en aquest apunt l’estudi o les consideracions sobre l’encaix d’aquesta pluralitat d’invocacions de títols constitucionals amb el que disposa l’Estatut d’Autonomia de Catalunya o amb el règim de competències establert en la mateixa CE.
Modificacions en la Llei 39/2015
Les modificacions en la Llei 39/2015, d’1 d’octubre, se centren en els sistemes d’identificació electrònica dels interessats i de signatura electrònica admesos per les administracions, regulats en els articles 9.2 i 10.2. L’article 3 del Reial decret llei recull aquestes modificacions:
a) Es modifica la lletra a de l'apartat 2 dels articles 9 (sistemes d'identificació dels interessats en el procediment) i 10 (sistemes de signatura admesos per les administracions públiques), i té com a finalitat, segons l’exposició de motius de la norma, adaptar-ne els continguts al Reglament (UE) núm. 910/2014, del Parlament Europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i als serveis de confiança per a les transaccions electròniques en el mercat interior, pel qual es deroga la Directiva 1999/93/CE, que estableix un marc legal comú per a les identificacions i les signatures electròniques a la Unió Europea.
La nova redacció de l’article 9.2.a recull com a sistema d’identificació electrònica dels interessats basat en certificats electrònics de signatura únicament els que siguin qualificats i expedits per prestadors inclosos en la llista de confiança de prestadors de serveis de certificació. Al seu torn, la nova redacció de l’article 10.2.a dins dels diferents sistemes que es consideren vàlids a l'efecte de signatura quan els interessats optin per relacionar-se amb les administracions públiques a través de mitjans electrònics, s’estableix que els sistemes de signatura electrònica han de ser sistemes “de signatura electrònica qualificada i avançada basats en certificats electrònics qualificats de signatura electrònica expedits per prestadors inclosos en la llista de confiança de prestadors de serveis de certificació".
b) Es modifiquen també les lletres c de l’apartat 2 dels articles 9 i 10 de la Llei 39/2015, d’1 d’octubre, en relació amb els sistemes de clau concertada i qualsevol altre sistema d'identificació electrònica (art. 9.2.c), i amb els sistemes que les administracions públiques considerin vàlids de signatura electrònica (art. 10.2.c). Segons l’exposició de motius del Reial decret llei, aquestes modificacions tenen com a finalitat “garantir la seguretat pública en relació amb l'ús de sistemes d'identificació i signatura electròniques dels interessats quan es realitzen amb clau concertada o mitjançant qualsevol altre sistema que compti amb un registre previ com a usuari que en permeti garantir la identitat i que les administracions públiques considerin vàlid”. Segons l'exposició de motius i amb referència a la Sentència 55/2018, de 24 de maig, del Tribunal Constitucional, es manté el reconeixement que "cada administració dissenyi els seus propis sistemes d'identificació electrònica o admeti els expedits per altres entitats públiques o privades i, amb això, que aquests siguin més o menys complexos segons les seves preferències i la rellevància o les característiques del tràmit o servei corresponent".
Tanmateix, la modificació més rellevant, i no menor, d’aquests punts c dels apartats 2 dels articles 9 i 10 de la Llei 39/2015, és el sotmetiment a un règim d'autorització prèvia per part de l'Administració general de l'Estat als sistemes que siguin diferents als del certificat i el segell electrònic. L'autorització, recull l’exposició de motius, té per objecte, exclusivament, verificar si el sistema validat tecnològicament per part de l'Administració o l'organisme públic de què es tracti pot o no produir afeccions o riscos a la seguretat pública, de manera que, si així fos i només en aquest cas, l'Administració de l'Estat ha de denegar l'autorització sobre la base d'aquestes consideracions de seguretat pública. Aquesta modificació, segons l’exposició de motius, resta justificada per garantir “la seguretat pública, competència exclusiva de l'Estat conforme disposa l'article 1.1 de la Llei orgànica 2/1986, de 13 de març, de forces i cossos de seguretat”.
c) La tercera modificació dels articles 9 i 10 consisteix en la incorporació d’un nou apartat 3 en tots dos articles (per tant, es renumeren els apartats corresponents d’ambdós preceptes). Aquest nou apartat disposa que és obligatori que, en relació amb els sistemes que estableix la lletra c de l'apartat 2 dels articles 9 i 10, els recursos tècnics necessaris per a la recollida, l'emmagatzematge, el tractament i la gestió d'aquests sistemes estiguin situats en territori de la Unió Europea, i en territori espanyol en cas que es tracti de categories especials de dades a què es refereix l'article 9 del Reglament (UE) 2016/679, del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades, pel qual es deroga la Directiva 95/46/CE. Així mateix, llevat de les excepcions que s'introdueixen en la llei, aquestes dades no poden ser objecte de transferència a un tercer país o organització internacional i, en qualsevol cas, cal que estiguin disponibles perquè les autoritats judicials i administratives competents hi puguin accedir.
d) El punt tres de l’article 3 del Reial decret llei afegeix una nova disposició addicional sisena a la Llei 39/2015, d'1 d'octubre. Aquesta disposició addicional disposa que “en les relacions dels interessats amb els subjectes sotmesos a l'àmbit d'aplicació d'aquesta Llei, no són admissibles en cap cas i, per tant, no poden ser autoritzats, els sistemes d'identificació basats en tecnologies de registre distribuït i els sistemes de signatura basats en els anteriors, mentre no siguin objecte de regulació específica per l'Estat en el marc del dret de la Unió Europea”. Així mateix, l’apartat segon de la nova disposició addicional estableix que “En tot cas, qualsevol sistema d'identificació basat en tecnologia de registre distribuït que disposi la legislació estatal a què fa referència l'apartat anterior ha de disposar així mateix que l'Administració general de l'Estat actuï com a autoritat intermèdia que ha d'exercir les funcions que correspongui per garantir la seguretat pública". “Aquestes restriccions”, segons disposa l’exposició de motius del Reial decret llei, “imposades als sistemes d'identificacions i firmes basats en tecnologies de registre distribuït en cap cas suposen una prohibició general”. El legislador aclareix que “Simplement, se'n restringeix puntualment i de forma merament provisional l'ús com a sistema d'identificació i signatura dels interessats quan aquests últims s'interrelacionen amb l'Administració i mentre no hi hagi més dades o un marc regulador ad hoc de caràcter estatal o europeu que faci front a les debilitats que n'implica l'ús per a les dades i la seguretat pública. La manca d'un marc regulador ad hoc sobre aquestes noves tecnologies justifica que, amb caràcter urgent i en exercici de la seva competència per dictar legislació bàsica, l'Estat intervingui sobre la matèria amb caràcter provisional fins que s'avanci en el si de la Unió Europea en el tractament d'aquest tipus de tecnologies”. Seria desitjable, doncs, que al més aviat possible, i amb vista al principi de seguretat jurídica, garantit de forma explícita i expressa en l’article 9.3 de la CE, s’ompli aquest buit normatiu i l’actual provisionalitat reguladora no esdevingui un definitiu buidatge competencial.
e) Finalment, la disposició transitòria primera del Reial decret regula un extens règim transitori de les modificacions introduïdes en l'article 3 -és a dir, les dels articles 9 i 10 de la Llei 39/2015. D’aquest règim transitori cal destacar en primer lloc que les entitats del sector públic que vulguin habilitar sistemes d'identificació o signatura conforme a les lletres c dels articles 9.2 i 10.2 de la Llei 39/2015, d'1 d'octubre, a partir del 6 de novembre de 2019, han de sol·licitar l'autorització que estableixen aquests preceptes. Els sistemes que ja estiguin validats i plenament operatius, abans de l'entrada en vigor d'aquestes modificacions, “en els procediments administratius de què es tracti, no requereixen sotmetre's a aquesta autorització”. En segon lloc, la disposició transitòria estableix que les entitats del sector públic han d'adoptar “les mesures necessàries per complir l'obligació que disposen els articles 9.3 i 10.3 de la Llei 39/2015, d'1 d'octubre, en el termini màxim de sis mesos a partir de l'entrada en vigor d'aquest Reial decret llei quan gestionin directament o a través de mitjans propis els recursos tècnics necessaris per a la recollida, l'emmagatzematge, el tractament i la gestió dels sistemes d'identificació i signatura”. A continuació la disposició transitòria recull diverses qüestions relatives als supòsits en què la gestió dels recursos esmentats es fes a través del que disposa la Llei 9/2017, de 8 de novembre, de contractes del sector públic o pels seus mitjans propis. Concretament, es disposa que l'obligació d'adaptar-se al que estableixen els articles 9 i 10 de la Llei 39/2015 no s'han d'aplicar als expedients de contractació iniciats abans de l'entrada en vigor del Reial decret llei, els quals s'han de regir per la normativa anterior. Al seu torn, els contractes adjudicats, “tot i que mantenen la plena validesa i eficàcia, no poden ser objecte de modificació que vulneri el que estableixen els esmentats preceptes”. Tampoc no poden ser objecte de pròrroga llevat que prèviament siguin objecte de modificació per adaptar-se “a les disposicions que s'hi contenen, sempre que això sigui possible d'acord amb la Llei 9/2017, de 8 de novembre”. La disposició transitòria recull el criteri interpretatiu en relació amb el que cal entendre per "expedient iniciat" en els termes següents: “A l'efecte del que disposa aquesta disposició transitòria s’entén que els expedients de contractació han estat iniciats si s'ha publicat la corresponent convocatòria de procediment d'adjudicació del contracte. En el cas de procediments negociats sense publicitat, per determinar el moment d'iniciació s'ha de tenir en compte la data d'aprovació dels plecs.” Un darrer aspecte a destacar d’aquest règim transitori és que “En el termini de tres mesos des de l'entrada en vigor d'aquest Reial decret llei, les diferents administracions públiques han de remetre a la Comissió Sectorial d'Administració Electrònica la informació sobre tots els contractes vigents que tinguin per objecte els recursos tècnics necessaris per a la recollida, l'emmagatzematge, el tractament i la gestió dels sistemes d'identificació i signatura, així com dels expedients ja iniciats d'acord amb l'apartat anterior”.
Modificacions en la Llei 40/2015
Les modificacions en la Llei 40/2015, d’1 d’octubre, se centren en el règim de transmissions de dades entre administracions públiques i el seu tractament, i en el sistema d’ubicació dels sistemes d'informació i comunicacions per al registre de dades. S’afegeix un article 46 bis a la Llei 40/2015, i se'n modifica l’article 155. L’article 4 del Reial decret llei recull aquestes modificacions:
a) D'una banda, l'article 46 bis estableix que, “per motius de seguretat pública” -diu l’exposició de motius i no el precepte-, “els sistemes d'informació i comunicacions per a la recollida, l'emmagatzematge, el processament i la gestió del cens electoral, els padrons municipals d'habitants i altres registres de població, dades fiscals relacionades amb tributs propis o cedits i dades dels usuaris de sistema nacional de salut, així com els corresponents tractaments de dades personals, s'han d'ubicar i prestar dins del territori de la Unió Europea”. En el segon punt del nou article 46 bis s’afegeix que “Les dades a què es refereix l'apartat anterior no poden ser objecte de transferència a un tercer país o organització internacional, amb excepció dels que hagin estat objecte d'una decisió d'adequació de la Comissió Europea o quan així ho exigeixi el compliment de les obligacions internacionals assumides pel Regne d'Espanya”.
b) La modificació que s'efectua en l’article 155 de la Llei 40/2015 és prou transcendent. Segons l’exposició de motius “la finalitat de la modificació de l'article 155 és permetre un major control de les dades cedides entre administracions públiques, a l'efecte de garantir l'adequada utilització d'aquestes dades”. Un element a destacar és que segons l’exposició de motius s’incorpora en aquest precepte que “es permet excepcionalment que l'Administració general de l'Estat pugui adoptar la mesura de suspendre la transmissió de dades per raons de seguretat nacional de forma cautelar pel temps estrictament indispensable per preservar-les”. Pel que fa al tractament de les dades personals, els apartats 2 i 3 de l’article 155 regulen aquest aspecte des de l’òptica de la compatibilitat o la incompatibilitat de les finalitats del tractament, tenint en compte el marc del dret de la Unió Europea en aquesta matèria. Cal destacar la possibilitat que si el responsable del tractament (el cessionari), prèvia anàlisi de la compatibilitat d'acord amb els criteris del dret positiu de la UE, consideri que és compatible, el precepte introdueix l'obligació addicional de consultar l'Administració cedent. Així mateix, recull aquest nou redactat del precepte que “quan l'Administració cedent sigui l'Administració general de l'Estat pot, en aquest supòsit, excepcionalment i de forma motivada, suspendre la transmissió de dades per raons de seguretat nacional de forma cautelar pel temps estrictament indispensable per preservar-les. Mentre l'Administració pública cedent no comuniqui la seva decisió a la cessionària, aquesta no podrà emprar les dades per a la nova finalitat pretesa”.
c) Finalment, el Reial decret conté una disposició transitòria segona, que regula el règim transitori de les modificacions introduïdes en l’article 4 -és a dir, les dels articles 155 i el nou article 46 bis la Llei 40/2015. D’aquest règim transitori cal destacar, en primer lloc, que totes les entitats del sector públic han d’adoptar les mesures necessàries per complir l'obligació que disposa l'article 46 bis de la Llei 40/2015, d'1 d'octubre, en el termini màxim de sis mesos a partir de l'entrada en vigor del Reial decret llei, és a dir, des del 6 de novembre del 2019, quan aquestes entitats “gestionin directament o través de mitjans propis els sistemes d'informació i comunicacions a què es refereix l'article 46 bis. En segon lloc, quan la gestió dels sistemes la duguin a terme, mitjançant la licitació de contractes del sector públic, directament els subjectes als quals és aplicable la Llei 9/2017, de 8 de novembre, o els seus mitjans propis, “l'obligació d'adaptar-se al que disposa l'article 46 bis de la Llei 40/2015, d'1 d'octubre, no s'ha d'aplicar als expedients de contractació iniciats abans de l'entrada en vigor d'aquest Reial decret llei, que s'han de regir per la normativa anterior”. Al seu torn, la disposició transitòria estableix que els contractes adjudicats, “tot i que mantenen la plena validesa i eficàcia, no poden ser objecte de modificació que vulneri el que estableixen els esmentats preceptes. Tampoc no poden ser objecte de pròrroga llevat que prèviament siguin objecte de modificació per adaptar-se a les disposicions que s'hi contenen”. La disposició transitòria recull el criteri interpretatiu en relació amb el que cal entendre per "expedient iniciat" en els termes següents: “A l'efecte del que disposa aquesta disposició transitòria, s’entén que els expedients de contractació han estat iniciats si s'ha publicat la corresponent convocatòria de procediment d'adjudicació del contracte. En el cas de procediments negociats sense publicitat, per determinar el moment d'iniciació s'ha de tenir en compte la data d'aprovació dels plecs”.
El paper del Centre Criptològic Nacional (CCN)
Finalment, i en relació amb les afectacions que aquest Reial decret legislatiu ha tingut en la Llei 39/2015 i la llei 40/2015, cal fer referencia, breument, al que disposa l’article 7 de la norma que estem comentant. L’article 7 modifica el Reial decret llei 12/2018, de 7 de setembre, de seguretat de les xarxes i dels sistemes d’informació. Concretament, s’afegeix un tercer paràgraf a l’article 11, segons el qual s’atribueix al CCN la competència de “la coordinació nacional de la resposta tècnica dels equips de resposta a incidents de seguretat informàtica (CSIRT, sigla en anglès de 'Computer Security Incident Response Team') en matèria de seguretat de les xarxes i sistemes d'informació del sector públic comprès en la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques, i en la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic”. Aquest precepte, a més, recull que els CSIRT han de consultar “quan sigui procedent, amb els òrgans amb competències en matèria de seguretat nacional, seguretat pública, seguretat ciutadana i protecció de dades de caràcter personal”. Així mateix el CSIRT “ha de col·laborar amb aquests en l'exercici de les funcions respectives”. A més, el CCN exerceix “la funció d'enllaç per garantir la cooperació transfronterera dels CSIRT de les administracions públiques amb els CSIRT internacionals, en la resposta als incidents i a la gestió de riscos de seguretat que els corresponguin”.
Per tancar aquest apunt, cal fer referència al contingut de la disposició final segona del Reial decret llei, el qual habilita el “Govern i les persones titulars dels departaments ministerials, en l'àmbit de les seves competències, a dictar totes les disposicions que siguin necessàries per desenvolupar i executar el que disposa aquest Reial decret llei”. Caldrà estar molt atents a aquest desplegament.
