Esta semana se ha publicado el Real Decreto-Ley 14/2019 por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones (el “RDL”). Un real decreto-ley no lejos de polémica, no solo por los tiempos en los que se ha publicado (como el propio RDL indica “[l]os recientes y graves acontecimientos acaecidos en parte del territorio español han puesto de relieve la necesidad de modificar el marco legislativo vigente para hacer frente a la situación”), sino por su contenido.

El objeto del RDL es “incrementar el estándar de protección de la seguridad pública frente a las crecientes amenazas que plantea el uso de las nuevas tecnologías y a la luz siempre de los últimos sucesos en territorio español”. De esta manera, el Estado dispone de mayores medios para hacer frente a los nuevos retos que presentan las nuevas tecnologías (hiperconectividad, la privacidad y los derechos digitales, espionaje, sistemas de identificación basados en tecnologías de registro distribuido, actividades de desinformación, etc.).

¿Qué nos gustaría destacar y qué analizamos en esta píldora informativa?

  1. La intervención del Estado de redes y servicios de comunicaciones electrónicas;
  2. La ubicación de los sistemas de información y comunicaciones para el registro de determinados datos en la UE y limitaciones a su transferencia; y
  3. Las nuevas obligaciones de protección de datos en el marco de los contratos públicos.

A.- Intervención del Estado de redes y servicios de comunicaciones electrónicas

Esta medida en la Ley General de Telecomunicaciones va encaminada a que el Estado pueda ofrecer una respuesta rápida y efectiva en caso de que se produzcan incidentes graves en redes y servicios de comunicaciones electrónicas que puedan afectar a la seguridad nacional y orden público:

El Gobierno, con carácter excepcional y transitorio, podrá acordar la asunción por la Administración General del Estado de la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas en determinados supuestos excepcionales que puedan afectar al orden público, la seguridad pública y la seguridad nacional. (…)” (subrayado nuestro).

Se refuerzan las facultades del Ministerio de Economía y Empresa y se añaden supuestos (a los regulados hasta el momento) o se reformulan aquellos en los que podrá ordenar el cese de actividades presuntamente infractoras mediante resolución sin audiencia previa y de manera cautelar:

a) Cuando exista una amenaza inmediata y grave para el orden público, la seguridad pública o la seguridad nacional.
b) Cuando exista una amenaza inmediata y grave para la salud pública.
c) Cuando de la supuesta actividad infractora puedan producirse perjuicios graves al funcionamiento de los servicios de seguridad pública, protección civil y de emergencias.
[…]
d) Cuando cree graves problemas económicos u operativos a otros proveedores o usuarios de redes o servicios de comunicaciones electrónicas o demás usuarios del espectro radioeléctrico
”.

B.- Ubicación de los sistemas de información y comunicaciones para el registro de determinados datos en la UE y limitaciones a su transferencia

Esta medida va encaminada a que el Estado pueda ejecutar sus competencias de manera efectiva con respecto a determinados datos personales (indicados a continuación) responsabilidad de las Administraciones Públicas, así como para su protección. De esta manera, se introduce un artículo 46 bis en la Ley de Régimen Jurídico del Sector Público cuyo párrafo primero indica:

Los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, deberán ubicarse y prestarse dentro del territorio de la Unión Europea” (subrayado nuestro)

Además, estos datos no podrán transferirse a un tercer país (fuera de la UE) salvo cuando haya sido objeto de decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por España.

También se regula la transmisión de datos entre administraciones públicas.

Aplicación temporal: El sector público cuenta con 6 meses para adoptar las medidas indicadas en el 46 bis cuando gestione directamente o con medios propios estos sistemas. En caso de gestión por terceros, no se aplicará a expedientes de contratación iniciados con anterioridad a la publicación del RDL. Los contratos en vigor no podrán ser modificados ni prorrogados sin que se adapten a esta obligación.

C.- Nuevas obligaciones de protección de datos en el marco de los contratos públicos

Se modifica la Ley de Contratos del Sector Público para introducir medidas que garanticen la protección de datos en todas las fases de la contratación (expediente de contratación, licitación y ejecución del contrato). Entre otros, se incluyen:

  1. La obligación del futuro contratista de someterse en todo caso a la normativa nacional y de la Unión Europea en materia de protección de datos.
  2. La obligación del órgano de contratación de especificar en el expediente de contratación, en casos de cesión de datos, “cuál será la finalidad del tratamiento de los datos que vayan a ser cedidos”.
  3. La obligación de firmar un contrato de encargo del tratamiento, cuando resulte de aplicación, que además de los previsto en el artículo 28 RGPD incluya, entre otros, lo siguiente:
  • La adjudicataria de manifestar dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios.
  • La obligación del licitador de indicar si tiene previsto subcontratar servidores o los tratamientos, con los detalles de la subcontrata (e.g., solvencia profesional, condiciones, etc.).

Aplicación temporal: Los expedientes de contratación iniciados antes de la entrada en vigor del RDL se regirán por la normativa anterior. Los contratos en vigor no podrán ser modificados ni prorrogados sin que se adapten a estas obligaciones.

Normas afectadas

Se modifican las siguientes normas: