El BOE de hoy recoge el Decreto Ley aprobado el pasado viernes, en el penúltimo Consejo de Ministros del Gobierno en funciones antes de las elecciones, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Este título, que entra en vigor mañana, se traduce en la modificación por vía de urgencia -sin pasar por el Congreso- de seis leyes y un Decreto Ley.

El texto obliga a que los servidores que contengan ciertos datos personales recogidos por las administraciones públicas, así como sistemas de identificación y firma electrónica, estén alojados en servidores europeos -excepto en el caso de que haya acuerdos internacionales que lo permitan-, además de permitir el cierre sin audiencia previa de cualquier servicio de comunicaciones electrónicas -público o privado- en casos de amenazas graves para el orden público, entre otras medidas.

El objetivo de esta norma, según el propio presidente Pedro Sánchez, es evitar lo que se ha venido en llamar la República Digital Catalana. “Ni habrá independencia offline ni online”, anunció horas antes de su aprobación. Pero lo cierto es que, mas allá de la coyuntura actual, la norma afecta a todas las administraciones públicas.

Se justifica por “los recientes y graves acontecimientos acaecidos en parte del territorio español”, pero sin nombrar de forma específica a qué se refiere.

De hecho, el preámbulo del Decreto Ley evita mencionar la situación en Cataluña. Justifica su aprobación por, entre otras razones, “los recientes y graves acontecimientos acaecidos en parte del territorio español”, pero sin aclarar a cuáles se refiere. Así, más allá de que se haya lanzado a la opinión pública como una respuesta a los movimientos del independentismo en el ámbito digital, afecta no solo a todas las administraciones públicas, sino también a todos los servicios de comunicaciones electrónicas, no solo los públicos.

Cierre de sistemas de comunicaciones electrónicas sin audiencia previa por ‘amenaza del orden público’

El Decreto Ley no establece obligaciones solo para administraciones públicas y sus contratistas, sino que va más allá. Una de las leyes que modifica es la de Telecomunicaciones. Y lo hace para permitir que el Gobierno intervenga o cierre cualquier servicio o red de comunicaciones digitales en situaciones de amenaza del orden público.

Y aclara, para que nada quede fuera de ese control, que la facultad de intervenir servicios o redes podrá afectar a “cualquier infraestructura, recurso asociado o elemento o nivel de la red”. Esto es, no estamos hablando del cierre de webs, sino de cualquier elemento de las comunicaciones digitales, también estructurales, como el corte de la conexión, por ejemplo.

Así, si antes ya se podía ordenar el cese de urgencia y sin audiencia previa de forma cautelar de cualquier tipo de comunicación digital -excepto las que tienen que ver con los medios periodísticos, que se regulan por otras normas- por razones de seguridad pública, protección civil, emergencias, defensa de la vida humana o interferencia con otras redes, ahora las razones son mucho más amplias. El Decreto Ley añade la “amenaza inmediata y grave para el orden público” y la “seguridad nacional”. Además, cambia las amenazas a “la vida humana” por “a la salud pública”.

El Gobierno aprovecha el Decreto Ley para abrir la puerta al cierre exprés de servicios de comunicaciones digitales que creen “graves problemas económicos” a otros proveedores.

Esta nueva redacción, que abre la puerta al cierre de webs que puedan estar, según el Gobierno, poniendo en peligro el orden público, no se queda ahí. El Gobierno ha aprovechado este Decreto Ley para añadir otra justificación al cierre exprés de páginas web u otros servicios de comunicaciones digitales: “Cuando cree graves problemas económicos u operativos a otros proveedores o usuarios de redes o servicios de comunicaciones electrónicas o demás usuarios del espectro radioeléctrico”.

Servidores europeos para datos personales públicos

La norma obliga a que estén alojados en servidores europeos -y, en casos de protección especial, solo en España- todas las bases de datos o recursos que gestionen información del censo, padrones, otros registros de población, datos fiscales, datos del Sistema Nacional de Salud o tratamiento de esos datos personales. Esto es, no obliga a que todos los servidores que usan estas entidades estén en Europa, solo aquellos que traten ese tipo de datos. Y tiene excepciones: se permite siempre que el Estado haya firmado acuerdos internacionales de cesión de datos, por ejemplo.

¿A qué datos afecta?

Deberán estar en servidores alojados en Europa o, en casos sensibles, en España, además de a aquellos de identificación y firma electrónica, los del censo, padrones, otros registros de población, datos fiscales y datos del Sistema Nacional de Salud.

La misma obligación, destinada según el Gobierno a vetar el uso de “paraísos digitales”, aplica a los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de sistemas de identificación o firma electrónica que usen los ciudadanos para relacionarse con lo público: deben estar en servidores europeos. En este sentido, establece que el DNI es el único documento que permite acreditar a un ciudadano “a todos los efectos”, lo que veta el posible uso de otros sistemas de identificación, y que, aunque las comunidades autónomas pueden crear sistemas de firma electrónica propios y distintos a los del Estado, tal y como reconoció el Tribunal Constitucional, esos sistemas paralelos tienen que ser autorizados por el Gobierno. Y esas autorizaciones pueden ser denegadas por motivos de seguridad pública.

Además, veta el uso de tecnologías de registro distribuido, como el blockchain, para estos sistemas. Al menos, hasta que la Unión Europea regule hasta qué punto se pueden usar estas tecnologías en los procedimientos públicos.

En ambos casos, tanto en los datos personales recogidos en el ámbito de lo público como en los sistemas de identificación y firma, se prohíben de forma expresa las transferencias a terceros países u organizaciones internacionales (excepto, de nuevo, cuando un acuerdo internacional del Gobierno las contenga de forma explícita). Y da a todas las administraciones públicas seis meses para cumplir esta obligación. Es decir, todas las entidades públicas que tengan alojados en servidores fuera de la UE este tipo de datos o sistemas de identificación de ciudadanos españoles tienen seis meses para moverlos.

Cancelación de contratos y cierre del grifo

Para hacer que se cumplan estas medidas, el Decreto Ley establece dos vías: control de contratos públicos y cierre del grifo de transmisión de datos.

Los contratos públicos que supongan cesión de datos personales deberán contar en sus pliegos con información explícita sobre para qué se van a usar e incluir la obligación por parte de la empresa contratada de firmar que se somete a la legislación española y europea en protección de datos y de informar de la ubicación de los servidores que use. Que no se cumplan estos requisitos supondrá la cancelación del contrato y, además, la prohibición a la firma contratada de volver a firmar contratos con administraciones públicas. Así, la responsabilidad no está solo en el lado de lo público, sino que las empresas deberán conocer y cumplir también estas condiciones si no quieren ser vetadas en un futuro.

Estas obligaciones aplicarán a todos los contratos iniciados a partir de la entrada en vigor del Decreto-Ley y a las posibles prórrogas o modificaciones de los ya iniciados. Además, las administraciones públicas deberán informar al Gobierno, en tres meses, de todos los que ya estén vigentes.

La segunda medida pasa por obligar a las administraciones a informar de cualquier uso de este tipo de datos -como los del padrón, por ejemplo- distinto al establecido de forma original. Además, permite que el Estado suspenda su transmisión a otras administraciones de forma cautelar por motivos de seguridad nacional.

Buenos días.

Déjanos decirte algo…

En esta información, y en todo lo que puedes leer en Civio.es, ponemos todo el conocimiento acumulado de años investigando lo público, lo que nos afecta a todos y todas. Desde la sociedad civil, 100% independientes y sin ánimo de lucro. Sin escatimar en tiempo ni esfuerzo. Solo porque alguien tiene que hacerlo.

Si podemos informar así, y que cualquiera pueda acceder sin coste, sin barreras y sin anunciantes es porque detrás de Civio hay personas comprometidas con el periodismo útil, vigilante y al servicio de la sociedad en que creemos, y que nos gustaría seguir haciendo. Pero, para eso, necesitamos más personas comprometidas que nos lean. Necesitamos socios y socias. Únete hoy a un proyecto del que sentir orgullo.

Podrás deducirte hasta un 80% de tu aportación y cancelar cuando quieras.

¿Aún no es el momento? Apúntate a nuestro boletín gratuito.