El nuevo Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones introduce novedades relevantes en materia de protección de datos, ‘blockchain’ o ciberseguridad, entre otras.
Resumimos, a continuación, algunas de las medidas que cabe destacar del Real Decreto-ley aprobado por el Gobierno en el Consejo de Ministros del pasado jueves, 31 de octubre, publicado en el BOE del 5 de noviembre y que entra en vigor este 6 de noviembre de 2019.
1. Ubicación de los datos personales y los sistemas de identificación digital: Cuando los ciudadanos se relacionen con la Administración por medios electrónicos, los equipos técnicos utilizados para la recogida, almacenamiento, tratamiento y gestión de los datos personales deben estar alojados dentro de la UE. Cuando, además, se traten categorías especiales de datos del artículo 9 del Reglamento General de Protección de Datos (RGPD), que se refiere a datos sensibles, estos deberán estar ubicados dentro de España. Todo ello, salvo en los casos de que exista decisión de adecuación de la Comisión Europea a efectos de transferencias internacionales de datos.
Este punto puede chocar con el RGPD, que establece otras posibles fórmulas de transferencias internacionales, si bien la fundamentación de esta limitación parece vincularse a la seguridad nacional.
2. ‘Blockchain’: En la relación entre administrados y Administraciones Públicas españolas, se prohíbe la utilización de sistemas de identificación basados en registros distribuidos (blockchain), en tanto no se regule este tipo de tecnologías. En todo caso, se establece que en la legislación estatal que se dicte al efecto la Administración General del Estado deberá actuar como autoridad intermedia para garantizar la seguridad pública. Como curiosidad, esta es la primera referencia legislativa de rango superior en el ordenamiento jurídico español referida a blockchain y DLTs (Distributed Ledger Technologies), y se hace, precisamente, para restringir su adopcion “de momento” a estos fines.
3. Protección de datos: Se establece la posibilidad de cesión de datos entre todas las Administraciones Públicas, prohibiéndose la utilización de esos datos por parte del cesionario para fines ulteriores diferentes de aquellos que justificaron la cesión. La ponderación del uso de los datos para esos fines ulteriores se deja a la decisión de la Administración General del Estado, cuando esta sea la entidad cedente.
No se dice nada de la obligación de información al interesado sobre las cesiones que exige el RGPD, por lo que tal obligación de información deberá cumplirse.
4. Contratación pública: Se establecen obligaciones en cuanto al contenido de los contratos, tales como la mención expresa en ellos a la obligación de someterse a la normativa europea y española en materia de protección de datos. También se establece que, cuando la contratación implique la cesión de datos por la administración pública a la entidad contratista, deberá explicitarse la finalidad de esa cesión. Se regula también el contenido de los pliegos en la contratación administrativa, haciéndose expresa mención, entre otros elementos que deben incluirse, a la propiedad intelectual y a la protección de datos personales.
La regulación de la “cesión de datos” deberá ser entendida, en la mayoría de los casos, como el “tratamiento de datos por parte del contratista por cuenta de la administración contratante” (figura conocida como encargado del tratamiento). A estos efectos, se establecen ciertas cuestiones que deberán constar obligatoriamente en el acuerdo de encargado del tratamiento, adicionales a las ya previstas en el artículo 28 del RGPD.
5. Telecomunicaciones: La modificación de la Ley General de Telecomunicaciones (LGTel) que permite al Gobierno la intervención de servicios de comunicaciones electrónicas es una modificación menor. Ya se incluía en la LGTel la posibilidad de que la Administración pudiera asumir la gestión de los servicios de comunicaciones electrónicas y la explotación de redes por motivos de seguridad nacional, y también se recogía la posibilidad de intervenir esos servicios y redes previo informe de la CNMC. La modificación únicamente suprime la necesidad de este informe preceptivo para la intervención (la asunción de la gestión no lo necesitaba) cuando se justifique por motivos de seguridad nacional.
Se obliga también a las Administraciones Públicas a que instalen o exploten redes de comunicaciones electrónicas en la modalidad de autoprestación a comunicar al Ministerio de Economía y Empresa cualquier proyecto de este tipo.
En cuanto a la facultad de la Administración de ordenar el cese de la actividad infractora con carácter previo a un procedimiento sancionador y sin audiencia previa, esta posibilidad ya existía en el texto de la LGTel, si bien se añade un nuevo supuesto, que es la existencia de una amenaza inmediata y grave para el orden público, la seguridad pública o la seguridad nacional. El resto de supuestos se mantienen o se modifican levemente en su redacción.
6. Administración de ciberseguridad: Se modifica el Real Decreto Legislativo 12/2018 que transponía en España la Directiva NIS (seguridad de las redes y sistemas de información), para llenar un espacio que no había sido regulado inicialmente, y es la atribución de la coordinación técnica en los ciberincidentes que afecten a Administraciones Públicas al CCN (Centro Criptológico Nacional, organismo del CNI).
Alejandro Padín, socio del Departamento Mercantil de Garrigues.
