Este martes se ha publicado en el Boletín Oficial del Estado (BOE) el decreto ley 14/2019 por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. A la vista de la repercusión que ha tenido el amplio margen de maniobra que concede al Gobierno, lo desgranamos en este artículo para estar atentos a todas las implicaciones.*
El decreto modifica hasta seis leyes distintas para adjudicar al Ejecutivo ciertas capacidades que limitan la transferencia de datos entre administraciones públicas, así como las operaciones realizadas por servicios y redes de comunicaciones electrónicas, pudiendo intervenirlas y abolirlas si alterasen el “orden público”. Esto significa que el Gobierno se adjudica la capacidad de actuar directamente sobre una infraestructura digital para detener sus operaciones, sin necesidad de una audiencia previa.
Según la normativa que precedía, una actuación así por parte del Gobierno se encontraba amparada en casos de “defensa nacional” y que afectasen a la “seguridad pública”.
También si se producía una interferencia en el funcionamiento de los servicios de seguridad, de protección civil y de emergencias, en otras redes de comunicación electrónicas o se hiciera peligrar una vida humana. Ahora el Gobierno podrá intervenir redes e infraestructuras digitales que supongan “una amenaza inmediata y grave para el orden público” o incluso que causen un perjuicio económico a proveedores de servicios de redes.
La "Ley Mordaza" y el blockchain entran en el tablero de juego
Primera ley citada que altera la resolución, la de Telecomunicaciones, pero no la más sorprendente. Otra que se modifica es la Ley de Seguridad Ciudadana, la conocida popularmente por "Ley Mordaza", la misma que el presidente del Gobierno en funciones, Pedro Sánchez, aseguraba querer derogar después del debate electoral del pasado lunes. El decreto hace del DNI “el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular”.
Y acto seguido, cambia también la Ley de Firma Electrónica para describir el DNI como el “documento nacional de identidad que acredita electrónicamente la identidad personal de su titular (...) y permite la firma electrónica de documentos”.
Por si fuera poco, se prohíbe cualquier sistema de identificación basado en tecnologías de registro distribuido, haciendo alusión al famoso blockchain (del que os hablaremos más adelante), hasta que haya una normativa con más rango (europea) en cuanto a su aplicación en procesos administrativos de entidades públicas. Al final, lo que hace el decreto es incluir un paso de supervisión al que se enfrentarán las administraciones que establezcan sus propios sistema de identificación electrónica, ya que la última palabra la tendrá el Estado. Cambio que introduce en la Ley de Procedimiento Administrativo Común de las Administraciones Públicas.
La crisis catalana desencadena la aprobación de un decreto dirigido a su territorio
Aquí entra en juego el fin último para aprobar el decreto apenas una semana antes de la convocatoria de elecciones generales. Pedro Sánchez dijo en una entrevista en Onda Cero el pasado 31 de octubre que “no se pueden utilizar los datos de ninguna administración para fines espúreos, como está haciendo la Generalitat de Cataluña”, para según él “violentar el Estado desde el mundo online”.
Sánchez instó a frenar una “república digital” y una “independencia online”, conceptos que no apuntan a un contexto concreto, pero que sí aluden específicamente a la crisis catalana. Esta no se menciona en el texto, que solo habla de dar “respuesta inmediata” a “los recientes y graves acontecimientos acaecidos en parte del territorio español” y al “riesgo de utilización del ciberespacio para la realización de actividades ilícitas".
Al asociar la aprobación del decreto con los sucesos acontecidos en Cataluña, la primera conclusión que se saca es la de que la normativa pone fin a los proyectos de crear una identidad digital de la Generalitat para un hipotético futuro referéndum, como el de Identicat. Un proyecto ya defendido por la Generalitat.
Los datos personales más sensibles de identificación tendrán que alojarse en servidores en suelo español
Por otro lado, está el apunte que saltó a los medios con mayor rapidez debido a la entrevista de Sánchez: la norma obliga a que los servidores de entidades públicas que recojan y administren datos personales se alojen en territorio de la Unión Europea (UE), y a aquellos sitios web que manejen datos más sensibles de la ciudadanía lo hagan en España. No todas las plataformas, solo aquellos de entidades públicas que manejen este tipo de información.
Por partes: ¿a qué tipo de datos hacen referencia? En el primer caso, el decreto se refiere a datos del censo electoral, padrones municipales, registros de población, datos fiscales y datos nacionales de Salud. En cuanto al segundo caso, los datos de “categoría especial” que según el texto tendrán que guardarse en servidores en suelo español, son aquellos relacionados con el origen étnico o racial, datos genéticos, biométricos o relativos a la orientación sexual, por ejemplo. Esta clasificación viene recogida en el Artículo 9 del Reglamento General de Protección de Datos (RGPD) europeo y es el que cita el decreto ley.
El hecho de que los datos digitales de los ciudadanos europeos se administren en territorio europeo es algo que ya contempla el RGPD, la máxima regulación de la zona en esta materia. En caso de que no sea así porque la información es tratada por un país no miembro, el tratamiento de los datos debe hacerse “en plena conformidad” con la norma. Es decir, que debe comprometerse a garantizar el mismo nivel de protección que ofrece el RGPD. Y si no, la Comisión Europea podría clasificar un país de no apto para administrar datos procedentes de población europea.
¿Qué pasa? Que por mucho que la información citada relativa a tu persona y que sea gestionada por entidades públicas se guarde en servidores de Europa (o de España, concretamente), el Gobierno sigue facilitando la transferencia de datos a terceros países si la Comisión da el visto bueno, o cuando haya acuerdos internacionales firmados de por medio.
Y esto es algo que tendrá que venir muy detallado en los contratos entre empresas y administraciones públicas: estas deberán especificar la finalidad de uso de los datos personales que se estén solicitando, incluir toda la legislación dedicada a su protección y reafirmar su cumplimiento con el RGPD. Pero además, una de las cláusulas deberá precisar la ubicación de los servidores: ¿desde dónde administrarán la información?
Estos dos últimos requisitos se recogen en las modificaciones que hace el decreto de la Ley Régimen Jurídico del Sector Público y la Ley de Contratos del Sector Público, respectivamente. Cerramos el repaso a los cambios incluidos en la legislación con un último apunte: será el Centro Criptológico Nacional (CCN) el encargado de coordinar estas novedades junto al CSIRT, el equipo de respuesta a incidentes de seguridad informática.
* Esta información se ha redactado en base a las consultas realizadas al abogado especializado e ingeniero de Telecomunicaciones, Sergio Carrasco, y al miembro del equipo del despacho de abogados de Legal Army, Rahul Uttamchandani, especializado en datos y derechos digitales.