Las administraciones públicas tienen seis meses para que los datos de población que gestionan estén alojados en servidores europeos
El BOE de hoy recoge el Decreto Ley aprobado el pasado viernes, en el penúltimo Consejo de Ministros del Gobierno en funciones antes de las elecciones, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Este título, que entra en vigor mañana, se traduce en la modificación por vía de urgencia -sin pasar por el Congreso- de seis leyes y un Decreto Ley.
El texto obliga a que los servidores que contengan ciertos datos personales recogidos por las administraciones públicas, así como sistemas de identificación y firma electrónica, estén alojados en servidores europeos -excepto en el caso de que haya acuerdos internacionales que lo permitan-, además de permitir el cierre sin audiencia previa de cualquier servicio de comunicaciones electrónicas -público o privado- en casos de amenazas graves para el orden público, entre otras medidas.
El objetivo de esta norma, según el propio presidente Pedro Sánchez, es evitar lo que se ha venido en llamar la República Digital Catalana. “Ni habrá independencia offline ni online”, anunció horas antes de su aprobación. Pero lo cierto es que, mas allá de la coyuntura actual, la norma afecta a todas las administraciones públicas.
De hecho, el preámbulo del Decreto Ley evita mencionar la situación en Cataluña. Justifica su aprobación por, entre otras razones, “los recientes y graves acontecimientos acaecidos en parte del territorio español”, pero sin aclarar a cuáles se refiere. Así, más allá de que se haya lanzado a la opinión pública como una respuesta a los movimientos del independentismo en el ámbito digital, afecta no solo a todas las administraciones públicas, sino también a todos los servicios de comunicaciones electrónicas, no solo los públicos.
Servidores europeos para datos personales públicos
La norma obliga a que estén alojados en servidores europeos -y, en casos de protección especial, solo en España- todas las bases de datos o recursos que gestionen información del censo, padrones, otros registros de población, datos fiscales, datos del Sistema Nacional de Salud o tratamiento de esos datos personales. Esto es, no obliga a que todos los servidores que usan estas entidades estén en Europa, solo aquellos que traten ese tipo de datos. Y tiene excepciones: se permite siempre que el Estado haya firmado acuerdos internacionales de cesión de datos, por ejemplo.
La misma obligación, destinada según el Gobierno a vetar el uso de “paraísos digitales”, aplica a los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de sistemas de identificación o firma electrónica que usen los ciudadanos para relacionarse con lo público: deben estar en servidores europeos. En este sentido, establece que el DNI es el único documento que permite acreditar a un ciudadano “a todos los efectos”, lo que veta el posible uso de otros sistemas de identificación, y que, aunque las comunidades autónomas pueden crear sistemas de firma electrónica propios y distintos a los del Estado, tal y como reconoció el Tribunal Constitucional, esos sistemas paralelos tienen que ser autorizados por el Gobierno. Y esas autorizaciones pueden ser denegadas por motivos de seguridad pública.
Además, veta el uso de tecnologías de registro distribuido, como el blockchain, para estos sistemas. Al menos, hasta que la Unión Europea regule hasta qué punto se pueden usar estas tecnologías en los procedimientos públicos.
En ambos casos, tanto en los datos personales recogidos en el ámbito de lo público como en los sistemas de identificación y firma, se prohíben de forma expresa las transferencias a terceros países u organizaciones internacionales (excepto, de nuevo, cuando un acuerdo internacional del Gobierno las contenga de forma explícita). Y da a todas las administraciones públicas seis meses para cumplir esta obligación. Es decir, todas las entidades públicas que tengan alojados en servidores fuera de la UE este tipo de datos o sistemas de identificación de ciudadanos españoles tienen seis meses para moverlos.
Cancelación de contratos y cierre del grifo
Para hacer que se cumplan estas medidas, el Decreto Ley establece dos vías: control de contratos públicos y cierre del grifo de transmisión de datos.
Los contratos públicos que supongan cesión de datos personales deberán contar en sus pliegos con información explícita sobre para qué se van a usar e incluir la obligación por parte de la empresa contratada de firmar que se somete a la legislación española y europea en protección de datos y de informar de la ubicación de los servidores que use. Que no se cumplan estosn requisito supondrá la cancelación del contrato y, además, la prohibición a la firma contratada de volver a firmar contratos con administraciones públicas.
Así, la responsabilidad no está solo en el lado de lo público, sino que las empresas deberán conocer y cumplir también estas condiciones si no quieren ser vetadas en un futuro. Por ejemplo: si una administración no incluye en los pliegos para qué se van a usar los datos, la empresa que reciba el contrato también será responsable, aunque no los haya redactado ella.
Estas obligaciones aplicarán a todos los contratos iniciados a partir de la entrada en vigor del Decreto-Ley y a las posibles prórrogas o modificaciones de los ya iniciados. Además, las administraciones públicas deberán informar al Gobierno, en tres meses, de todos los que ya estén vigentes.
La segunda medida pasa por obligar a las administraciones a informar de cualquier uso de este tipo de datos -como los del padrón, por ejemplo- distinto al establecido de forma original. Además, permite que el Estado suspenda su transmisión a otras administraciones de forma cautelar por motivos de seguridad nacional.
Cierre de sistemas de comunicaciones electrónicas sin audiencia previa por ‘amenaza del orden público’
Pero el Decreto Ley no establece obligaciones solo para administraciones públicas y sus contratistas, sino que va más allá. Una de las leyes que modifica es la de Telecomunicaciones. Y lo hace para permitir que el Gobierno intervenga o cierre cualquier servicio o red de comunicaciones digitales -como páginas web- en situaciones de amenaza del orden público.
Y aclara, para que nada quede fuera de ese control, que la facultad de intervenir servicios o redes podrá afectar a “cualquier infraestructura, recurso asociado o elemento o nivel de la red”.
Así, si antes ya se podía ordenar el cese de urgencia y sin audiencia previa de forma cautelar de cualquier tipo de comunicación digital -excepto las que tienen que ver con los medios periodísticos, que se regulan por otras normas- por razones de seguridad pública, protección civil, emergencias, defensa de la vida humana o interferencia con otras redes, ahora las razones son mucho más amplias. El Decreto Ley añade la “amenaza inmediata y grave para el orden público” y la “seguridad nacional”.
Esta nueva redacción, que abre la puerta al cierre de webs que puedan estar, según el Gobierno, poniendo en peligro el orden público, no se queda ahí. El Gobierno ha aprovechado este Decreto Ley para añadir otra justificación al cierre exprés de páginas web u otros servicios de comunicaciones digitales: “Cuando cree graves problemas económicos u operativos a otros proveedores o usuarios de redes o servicios de comunicaciones electrónicas o demás usuarios del espectro radioeléctrico”.
Esta noticia ha sido publicada en 'El BOE nuestro de cada día'. Lee el original.