Archivo de la categoría: Administración Electrónica

E-Administración y su fecha: ¿volvemos a octubre de 2020?

Escribo otra vez, no sin cierta pesadez, con la temática relativa a la fecha en que entrará en vigor definitivamente la e-administración y que con tanta modificación normativa va dejando un cierto agotamiento y malestar por la sensación de desconocimiento del sector e improvisación constante. Haciendo un breve repaso recordaremos cómo la fecha inicial establecida por la Ley 39/2015 fue el 2 de octubre del año 2018, en el que el horizonte de 3 años desde la aprobación de la Ley parecía lejano y plausible, en una sensación de avance vertiginoso de las tecnologías sin parangón, desinflando dicha alegría el mero paso del tiempo y el control real de los avances. Ante esa nueva realidad tuvo que ampliarse deprisa y corriendo el plazo por el Decreto-ley 11/2018, estirándolo hasta 2 de octubre del año 2020. Pero hete aquí que más allá de la desastrosa pandemia que vivimos los plazos son los que son y tampoco llegamos a los objetivos tecnológicos-organizativos-operativos marcados, por tanto, todos sabíamos que debían extenderse los plazos, pudiendo haberse aprobado una norma con rango de ley que ampliase los plazos de ese 2 de octubre de 2020, incluyendo un plazo convincente, real y alcanzable por todos .

Pero no, la solución vino por esa norma publicada con el verano, un Real Decreto-ley 27/2020 dedicado a medidas financieras, de carácter extraordinario y urgente, aplicable a las entidades locales (que nada tiene que ver con la e-administración) y con una forma de norma de Real Decreto Ley, es decir que tal y como indica el art. 86 de la Const. esos instrumentos jurídicos deben utilizarse solo en “caso de extraordinaria y urgente necesidad“, estirándose los plazos, con cierta nocturnidad, hasta el 2 de abril de 2021. Circunstancias de la vida, el Congreso de los Diputados en su reciente sesión del 10 de septiembre ha derogado dicho Real Decreto Ley. Se puede pensar que SSª no están pensando en sus prioridades en que la no ratificación del mismo tendría estas consecuencias en la e-administración, pero la realidad es que a día de hoy no tenemos norma que sustente la extensión del plazo hasta el 2 de abril del 2021.

Ahora es cuando pueden realizarse las apuestas ¿Se aprobará una norma con rango de Ley que extienda los plazos? El 2 de octubre está a la vuelta de la esquina, pero no nos preocupemos que seguramente tendremos más post (este creo que es el cuarto…) para comentar cuándo realmente entrará total y definitivamente en vigor la e-administración.

Re-nuevo plazo de la e-administración

Qué mejor que agosto, una norma como un Real Decreto Ley en vez de una ley y qué mejor que introducir una Disposición Final sexta en un texto relativo a medidas financieras urgentes aplicables a las entidades locales, para que pase totalmente desapercibida una nueva moratoria en la aplicación de la administración electrónica. A estas alturas pocas cosas sorprenden, aunque tiene cierto tufo de nocturnidad este tipo de aprobaciones, debemos darnos por enterados y para conocimiento general saber que la Disposición Final Sexta del Real Decreto-ley 27/2020, dedicado a las medidas financieras, de carácter extraordinario y urgente, aplicables a las entidades locales ha ampliado el periodo de in-aplicación de la e-administración hasta el día 2 de abril de 2021: ¿será la última? ¿se aprovechará para aprobar los desarrollos reglamentarios y las Normas técnicas que faltan?

La excusa del retraso se fundamenta en el COVID-19, -que sea dicho de paso ha sido uno de los grandes motores de la digitalización forzada de administraciones y particulares-, manifestando la exposición de motivos que “el riesgo manifiesto desde el punto de vista técnico-organizativo de no concluir a 2 de octubre de 2020 los procesos de adaptación, imposibilidad que puede afectar no solo al ejercicio de los derechos de los interesados sino a la interoperabilidad del funcionamiento de todas las administraciones públicas” ha sido el que ha llevado al nuevo aplazamiento.

Seamos positivos y pensemos que alcanzaremos la plenitud en un breve período, y sobre todo, que para el 2 de abril de 2021 los mas de once mil ochocientos sujetos obligados a implementar este sistema tecnológico serán plenamente interoperables.

Real Decreto-ley 25/2020: regreso al pasado

Estáis de suerte todos aquellos que os gustan los debates infinitos e inacabados sobre protección de datos en su relación con la administración electrónica, ya que el reciente Real Decreto-Ley 25/2020 aporta más leña sobre el consentimiento y la vigencia de la Ley 11/2007. Si disfrutas con esa dialéctica, este Real Decreto Ley es vuestro nuevo terreno de juego.

El artículo 23 comienza realmente bien, haciendo una remisión expresa a los criterios de tramitación y notificación de la Ley 39/2015, pero esa lucidez se va torciendo en el apartado 7 del mismo artículo. El mismo indica:

7. Los solicitantes no estarán obligados a presentar los documentos que ya obren en poder del órgano competente para la concesión, de conformidad con lo previsto por el artículo 28.3 y 53.1.d) de la Ley 39/2015, de 1 de octubre, debiéndose cumplimentar específicamente en el cuestionario de solicitud en qué momento y ante qué órgano administrativo presentó los citados documentos, para lo cual indicará el número del expediente que le fue comunicado en aquella ocasión, siempre y cuando no hayan transcurrido más de cinco años desde la finalización del procedimiento al que correspondan. En cumplimento de la Ley Orgánica 3/2018 de 5 de diciembre de Protección de datos personales y garantía de los derechos digitales y del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), se solicitará el consentimiento expreso para el tratamiento por parte del Ministerio, de los datos incluidos en el cuestionario por el solicitante. En los supuestos de imposibilidad material de obtener el documento o cuando el interesado manifestará la negativa para la consulta de sus datos de carácter personal, el órgano competente requerirá al solicitante su presentación, o, en su defecto, la acreditación por otros medios de los requisitos a que se refiere el documento

Como bien sabéis, los órganos de control han emitido diferentes notas y dictámenes indicando que el tratamiento de datos por parte de la administración no se sustenta en la base legitimadora del artículo 6.1.a) del RGPD, si no -como pudiera ser en este caso- en una obligación legal o en el cumplimiento de una obligación de interés público. Por otra parte, vuelve a abrir el melón del derecho de oposición del artículo 28.2 de la Ley 39/2015, considerando que la Agencia Española había dictado unas “orientaciones” antes del comienzo del Estado de Alarma en el que consideraba que no debía ofrecerse ese derecho a los solicitantes:

Esta interpretación se traduce, en términos prácticos, en que, a la hora de recabar datos de los ciudadanos vinculados a un trámite concreto a través de los diferentes formularios disponibles en las sedes electrónicas de las Administraciones Públicas, la administración actuante realizará el tratamiento en cumplimiento de una obligación legal, una misión de interés público o en el ejercicio de poderes públicos. La administración actuante deberá informar al administrado, en aplicación del principio de transparencia, sobre los datos que van a ser consultados para la resolución del trámite en cuestión así como la posibilidad de ejercer sus derechos en materia de protección de datos, entre ellos el de oposición, facilitando información en relación a los cauces para hacerlo, pero sin ser necesario ni obligatorio la inclusión de una casilla o mecanismo que permita al interesado ejercer el derecho de oposición ad nutumde forma absoluta y sin justificación motivada. De igual manera, y de acuerdo con la Disposición adicional octava de la LOPDGDD, la administración actuante queda facultada, en el ejercicio de sus competencias, a realizar las verificaciones que resulten necesarias para comprobar la exactitud de los datos aportados por el ciudadano en las solicitudes formuladas.
Sólo en los casos en que, como consecuencia del tipo de trámite, pueda ser necesaria la consulta, la cesión o comunicación de datos de naturaleza tributaria o de algún otro tipo cuya legislación específica regule la necesidad de un consentimiento expreso por parte del interesado, será necesario incluir una cláusula en la que el interesado autorice su consulta por parte de la administración actuante a la administración cedente de los datos responsable de estos.

¿Está revelándose AGE contra los planteamientos de la Autoridad de Control? o ¿es esta tramitación ese tipo de legislación específica que regula la necesidad de un consentimiento expreso? ¿Qué tendría de especial esta tramitación para solicitar este consentimiento expreso? ¿El consentimiento es un requisito imitable para los siguientes textos normativos?

Siguiendo con la protección de datos, tampoco tiene desperdicio el artículo 51, denominado Confidencialidad y protección de datos de carácter personal, en el que en un claro retorno al pasado utiliza el concepto de fichero, además de reducir los derechos de los afectados a los antiguos derechos ARCO:

1. De conformidad con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales la información y datos de carácter personal que reciba en su caso el Ministerio de Industria, Comercio y Turismo por parte de cualquier solicitante, beneficiario o interesado, en general, también tendrá carácter confidencial, y serán recogidos por el mismo para ser incorporados, respectivamente, a los ficheros automatizados titularidad y responsabilidad del mismo, con la finalidad de verificar el cumplimiento, control y seguimiento de las obligaciones establecidas por el presente real decreto-ley. Los interesados podrán ejercer personalmente sus derechos de acceso, rectificación, cancelación u oposición mediante escrito.

Una vez terminemos de consensuar y ordenemos estos debates sobre el consentimiento, los nuevos criterios legales y el tratamiento de datos, el Real Decreto Ley nos ofrece otro tema de debate, relativo a la normativa vigente en administración electrónica. Según su artículo 44.2 dedicado a la Gestión del sistema de ayudas, se indica que:

2. La gestión de las ayudas se realizará a través de un sistema electrónico de gestión y con las garantías exigidas en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y la restante normativa reguladora de la Administración electrónica.

¿Error involuntario? Es posible, pero dichas remisiones a esa normativa moribunda se vuelves a repetir en el artículo 4 del Anexo II , en sus apartados 5 y 6. Cabría interpretar que como el Real Decreto 1671/2009 sigue -en parte- en vigor la remisión a este lleve al otro, pero dicho salto interpretativo me parece excesivo por encontrarse en vigor la Ley 11/2007 únicamente en aquellos aspectos que no contradigan ni la ley 39/2015 ni la Ley 40/2015 ,ni los aspectos tecnológicos de la vacatio legis.

Ciertamente es una materia para no aburrirnos, pero de vez en cuando sería aconsejable ir cerrando capítulos, simplemente por limpieza y así poder centrarnos en otros debates en la materia igualmente novedosos y sustanciosos.

La interoperabilidad y su concreción

En estas semanas he recibido varias consultas relativas a la supuesta obligatoriedad de la interoperabilidad en el ámbito de la Administración y me ha causado cierta perplejidad. Tenía la impresión de que el propio término había sido ya aceptado en nuestro acerbo jurídico, instaurado en la Ley 11/2007, concretado en el RD 4/2010 y confirmado en la Ley 40/2015. Pero hete aquí que un concepto tan aparentemente consolidado genera suspicacias sobre su obligatoriedad. No es menos cierto que las disposiciones finales de la Ley 39/2015 y 40/2015 no ayudan, dado que mantienen ese período de inaplicación sobre determinados aspectos tecnológicos referidos al registro electrónico de apoderamientos, registro electrónico, registro de empleados públicos habilitados, punto de acceso general electrónico de la Administración y archivo único electrónico, pero no es menos cierto que en dicha lista no se nombra la interoperabilidad.

Entonces ¿de dónde proviene esa resistencia? En mi opinión de dos frentes: en primer lugar, de ese período de inaplicación de los elementos tecnológicos indicados, en el que difícilmente se entiende una correcta interoperabilidad que no venga acompañada de un registro electrónico o un archivo electrónico y en segundo lugar, en que la interoperabilidad -aun siendo obligatoria por el artículo 156 de la Ley 40/2015-, no tiene una aplicación practica concreta y obligatoria. Este segundo aspecto posiblemente sea el más complejo de concertar, dado que su implementación se sustenta en la voluntad de las partes implicadas, léase administraciones responsables. Esto significa que no existe un canal legalmente obligatorio para trasmitir un dato desde un Ayuntamiento de Murcia a uno de Bizkaia, lo que existen son obligaciones normativas que indican cómo y qué aspectos debe cumplir dicha transmisión.

Esta situación la considero preocupante, dado que tal y como he indicado en numerosas ocasiones, el modelo se construye mediante un sistema paccionado en el que es muy importante la voluntad de todos los intervinientes para generar un modelo de interoperabilidad en el que todos se encuentren cómodos, debiendo transmitirse el mensaje claro al conjunto de las Administraciones sobre su obligatoriedad desde el convencimiento de las bondades de los sistemas de intercomunicación existentes, aunque sea por una cuestión de eficacia financiera.

Protección de datos en el Real Decreto-ley 21/2020

Supongo que, como la mayoría de los operadores jurídicos, durante esta pandemia nos hemos levantado cada mañana releyendo el BOE para reorganizar nuestro conocimiento sobre la legalidad de la actividad humana en esta peculiar situación. Ciertamente los hechos han obligado a una premura normativa que nunca ha sido compatible con la construcción de una sólida arquitectura jurídica que sustente nuestra concepción legal de una forma bien estructurada, evitando las redundancias, contradicciones, vacíos, lagunas e indefiniciones, dado que si las mismas se producen los juristas nos quedamos sin brújula y la ciudadanía sin rumbo.

Centrándome exclusivamente en lo relativo a protección de datos personales, contenido en el artículo 27 del Real Decreto Ley 21/2020, debo mostrar cierta contrariedad por la redacción del mismo. Si el lector es profano en protección de datos el texto parece ofrecer la solemnidad necesaria para regular una materia tan delicada como la que nos ocupa, pero si conoce un poco las reglas de nuestro “deporte” su lectura le dejará la sensación de haber caído en la casilla de la calavera del juego de la oca: vuelva al punto de partida.

De una forma menos prosaica el texto expone cuatro ideas, extraídas en orden del propio artículo:

1. El tratamiento de la información de carácter personal que se realice como consecuencia del desarrollo y aplicación del presente real decreto-ley se hará conforme a la normativa de protección de datos. !Gran novedad! Este Real Decreto Ley no ha derogado un Reglamento Europeo, pero además dichos tratamientos se fundamentan en lo establecido en materia epidemiológica y sanitaria de la LGS: Es decir, está regulando la actividad de la hostelería, transporte, servicios docentes, sociales, culturales, recreativos, competitivos… y ¿los únicos competetentes para el tratamiento son los Servicios Públicos de Salud?

2.- El tratamiento viene determinado por la finalidad de seguimiento y vigilancia epidemiológica, es decir ¿las entidades que no sean la entidad sanitaria no pueden tratar los datos de sus empleados, trabajadores o subcontratados como ha indicado la AEPD en prevención de Riesgos?

3.- Respondiendo a las anteriores preguntas, parece que no hay más responsable que las comunidades autónomas, las ciudades de Ceuta y Melilla y el Ministerio de Sanidad. Estos datos no pueden ser tratados por las Entidades Locales, Diputaciones u otros entes públicos o privados, dado que si lo hiciesen no lo podrían hacerlo a título de Responsable del Tratamiento.

4.- Por último, se permite el intercambio de datos con otros países, por existir habilitación normativa, hecho que de existir no hace falta elevarlo o refrendarlo por una ley, dado que de esta forma no se sabe si la base jurídica se encuentra en este Real Decreto Ley o en la Normativa internacional.

En resumen, que nos vuelven a poner más difícil la comprensión metodológica de protección de datos ya que nadie que no sea la autoridad indicada en el punto 3 puede tratar los datos del COVID, con lo que la dinámica en la que las autoridades de control habían entrado de dejar tratar dichos datos con condiciones parece que se han desvanecido o mejor dicho, tal y como indicábamos al principio, nos queda vivir unos meses desaprensivos en los que los hechos y las interpretaciones autorizadas deberán poner en su sitio al derecho.

Covid-19, la Ley 39/2015, el RDL 14/2019 y el Consejo de Empadronamiento

La situación anómala que genera el Covid-19 nos altera e inquieta pero de forma paralela nos muestra el auténtico estado de conocimiento de la ciudadanía y de algunas Instituciones, concretamente en lo referido a la Administración Electrónica. En este caso me refiero a la  Nota de la Comisión Permanente del Consejo de Empadronamiento de 31 de marzo de 2020, que de forma resumida plantea el problema que estamos viviendo en tres elementos clave:

Primero.- Por el estado de alarma existe una imposibilidad de desplazamiento de los ciudadanos a sus Ayuntamientos para solicitar sus Certificados de empadronamiento.

Segundo.- Que los ciudadanos no disponen de sistemas de identificación y firma electrónica.

Tercero.- Que estos últimos remiten un correo electrónico a los Entes Locales para obtenerlo.

Con estas premisas todo conocedor de la Ley 39/2015, de la Ley de firma Electrónica o de la Resolución de 2015 del INE sabe que los sistemas de identificación y firma son los que el legislador indicó, siempre con especial hincapié en la correcta identificación de las personas por los posibles riesgos existentes en la confidencialidad de la información y, concretamente, en la normativa de protección de datos. Todo ello, sin entrar en muchas profundidades con la reciente modificación ultra-restrictiva del los artículos 9 y 10  de la Ley 39/2015 mediante el Real Decreto-ley 14/2019 (os recomiendo releer ese RDL, por si no lo tenéis fresco), protegiendo los sistemas de identificación y firma en las más altas cotas de seguridad del Estado, e igualmente, sin realizar el mínimo atisbo sobre el ENI o el ENS.

Conocedores de estos antecedentes normativos, todos esperaríamos que el Consejo hubiese fomentado e incluso requerido a las Instituciones del Estado con el fin de conseguir -mediante la aplicación del artículo 9.2 de la Ley 39/2015-  un sistema de claves concertadas menos riguroso que cl@ve, o similar, abriendo alguna vía interpretativa o al menos, haber obtenido una autorización general por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública para un sistema menos riguroso de identificación.

Muy a mi pesar la solución ofrecida dista enormemente de cualquier sofisticado sistema que conjugue leyes y tecnología. La solución consiste en (copio en literal):

-Copia cifrada de un documento acreditativo de su identidad , para lo que bastaría con comprimirla con una contraseña robusta que luego  se enviará en un correo aparte.
– Si el certificado que se solicita es colectivo se deberán enviar por el mismo sistema copias de los documentos acreditativos de la identidad de todos los empadronados en el domicilio. Para los menores de edad se deberá aportar copia del certificado de nacimiento o del libro de familia.
– Escrito firmado por el solicitante indicando una serie de datos como, por ejemplo, el nombre y apellidos, dirección de empadronamiento en el municipio, el nombre y apellidos de los demás empadronados en el domicilio para certificados colectivos, dirección del correo electrónico, motivo de la solicitud, teléfono de contacto ; con el objetivo de aumentar las garantías en la comprobación de su identidad y de no facilitarle en el certificado información que él no haya dado previamente.
– En el caso de certificados colectivos, un escrito firmado por todas las personas mayores de edad empadronadas en el domicilio autorizando al solicitante del certificado.

Una vez confirmada la identidad, el Ayuntamiento podría remitir por correo electrónico el certificado de empadronamiento también en un documento cifrado, cuya contraseña se enviará en un correo aparte.

No puedo evitar realizar un par de comentarios:

Primero.- Parece que cifrar la información  -independientemente del sistema de cifrado que se aplicase  que da para otro hilo de conversación- garantiza la identidad de las personas, no distinguiendo entre identificación y confidencialidad . La distinción es clara dado que el hecho de crear una cuenta electrónica denominada antxon234fd@xx.com no me convierte en Antxon, siendo indiferente -a efectos de identificación- que la información vaya o no cifrada. Con todo esto no he descubierto nada que ninguno de los lectores no sepa.

Segundo.- Parece que el Estado de Alarma -en algún artículo que se me escapa- ha suspendido la aplicación del Real Decreto-ley 14/2019, al menos, en las partes de identificación y firma.

En  fin, seguimos manteniendo un sistema jurídico muy regulado pero que se aplica de una forma curiosa dependiendo de las circunstancias. Menos mal que todo volverá a su estado natural el día que se acabe el Estado de Alarma y estas anomalías desaparecerán tal y como vinieron.

Covid-19 y entrada en vigor de la E-Administración

Dado que en este tiempo de confinamiento estamos más dados a la reflexión, somos más conscientes del tiempo y de los plazos, la mente construye escenarios en el que el 2 de octubre del 2020 se sigue dibujando como la fecha tope para que todo el Sector Público implante la Administración Electrónica. Si a este objetivo ya de por si difícilmente alcanzable le unimos la situación que estamos viviendo ofrece un escenario en el que sólo pudiera salvarse mediante una nueva prorroga de los plazos tal y como ocurrió un mes antes de la anterior moratoria mediante el Real Decreto-ley 11/2018, de 31 de agosto.

Podría pensarse que la Disposición Adicional Tercera Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma pudiera ser la palanca por la que se alteraran o se suspendieran los plazos de entrada en vigor de la E-administración (como acertadamente ha precisado la abogacía del Estado diferenciado suspensión de interrupción), pero sería una interpretación muy forzada ya que la Disposición se refiere exclusivamente a los procedimientos administrativos no a las obligaciones que la norma ha impuesto a las administraciones. Y tampoco la Disposición Adicional Cuarta del mismo texto, por la que se suspenden los derechos y las acciones tiene la misma naturaleza que la obligación de cumplimiento de la administración electrónica.

Por lo que, viendo el estado de situación y de la tecnología, sería más que recomendable que el Gobierno incluyese alguna línea repensando el plazo de implantación de esta entelequia compleja y necesaria, dando tranquilidad a los equipos de trabajo, sobre todo por no haberse aprobado la batería de normas que desarrollan y dan sentido a esta realidad.

El Esquema de Certificación de la AEPD impide ejercitar los derechos RGPD

Reconozco que hay supuestos que no dejan de sorprenderme por las interpretaciones peculiares que  realiza a veces la AEPD, apurando y estrujando las bases jurídicas de tratamiento dependiendo de circunstancias poco clarificadoras.

Mi compañero Gontzal, leyendo los documentos de primera hora y que se nos acumulan, ha tenido el mérito de encontrar esta frase que nos ha inquietado.  La AEPD, mediante una Resolución de 10 de enero de 2020, aprobó la modificación del Esquema de Certificación de Delegados de Protección de datos, dentro de la cual se incluye un apartado 7.5 (pg 15) “método de evaluación” el que se afirma que  “no está permitido facilitar o mostrar los exámenes a los candidatos que lo soliciten“.

Es decir, todos aquellos solicitantes al examen de certificación que hayan realizado el mismo y quieran revisarlo, no pueden acceder a su contenido por estar prohibido desde el propio órgano de Certificación.  Ciertamente, me deja asombrado que el órgano que vela por la existencia de este derecho sea el que cercena el derecho recogido desde hace 30 años en la legislación, interpretando de forma ultra restrictiva la obtención de copias del artículo 15 del RGPD, no indicando cuál es el límite legislativo que le impide su exposición -de los contemplados en el artículo 23 de la misma norma-, y sea uno de los promotores de un límite del artículo 105 b) de la Constitución, del Convenio del Consejo de Europa sobre el Acceso a los Documentos Públicos (no ratificado), o las STS como las de 14 de noviembre de 2000 o 30 de marzo de 1.999.

La AEPD no puede promocionar la limitación de los derechos de protección de datos sin base ni fundamento, y no sería coherente ni propio de dicho órgano fundamentarlo en la Ley de Secretos empresariales. ¿Se imaginan que en los procesos selectivos, concursos, exámenes de universidad, colegios o cursos académicos aplicásemos dicho criterio? ¿De verdad nos creemos la esencia y filosofía que subyace en protección de datos o es mero postureo?

 

La RED SARA: ¿sigue siendo la Red Troncal?

Es evidente que los cambios normativos siempre alteran las jerarquías y las relaciones entre categorías o elementos jurídicos, por eso y para mantener la suficiente coherencia los operadores jurídicos solemos solicitar con vehemencia que todo cambio se realice con la suficiente calma, reflexión y análisis. En los cambios últimos producidos por el RDL 14/2019 y ya comentados en el anterior post, me he percatado de un elemento que pudiera tener cierta trascendencia o que igual ha sido trasladado a otra norma que no he sido capaz de encontrar. Me refiero al fundamento de la RED SARA como punto de encuentro del resto de redes de las AAPP y que se sustentaba en el artículo 43 de la derogada LAECSP y en el posterior artículo 155.3 de la LRJSP, que ha quedado totalmente desfigurado por su nueva redacción establecida en el RDL 14/2019.

Entrando en materia el susodicho artículo 43 o 155.3 establecía la siguiente obligación:  “La Administración General del Estado, las Administraciones Autonómicas y las Entidades Locales, adoptarán las medidas necesarias e incorporarán en sus respectivos ámbitos las tecnologías precisas para posibilitar la interconexión de sus redes con el fin de crear una red de comunicaciones que interconecte los sistemas de información de las Administraciones Públicas y permita el intercambio de información y servicios entre las mismas, así como la interconexión con las redes de las instituciones de la Unión Europea y de otros Estados Miembros”. Esta obligación  se recogió como un mandato insoslayable en el artículo 13 del ENI, desarrollándose con profusión en la NTI  de requisitos de conexión a la red de comunicaciones de las Administraciones Públicas españolas, así como en las guías que la desarrollan: toda una estructura que establecía un modelo de red en el que SARA ocupa un lugar prominente.

Se produce, por tanto, un desencuentro entre el fundamento manifestado en el vigente artículo 13 del ENI (“al objeto de satisfacer lo previsto en el artículo 43 de la Ley 11/2007, de 22 de junio”) así como en la NTI derivada con la normativa vigente, dado que la existencia destacada de la RED SARA  cumplía el mandato del artículo 155.3 de la LRJSP  o anterior 43 de la LAECSP, y dado que han desaparecido de los textos con rango de Ley,  dejan desamparados el resto de obligaciones establecidas en sus desarrollos normativos salvo que se considere, en un bucle sin sentido, que todo lo contemplado en el ENI tiene la bendición general del 156 de la LRJSP.

Muchos saltos mentales hay que realizar para parchear lo evidente: si tanto el ENI como su NTI de requisitos de conexión a la red de comunicaciones de las Administraciones Públicas españolas indican expresamente que su fundamento se halla en un artículo o en un texto que ya no existe hay algo en la lógica jurídica que flojea o al menos, que abre diferentes vías de debate, dejando la pregunta en el aire: ¿es o no es obligatoriamente la RED SARA la red troncal  de comunicaciones que interconecta los sistemas de información de las Administraciones Públicas y permita el intercambio de información y servicios entre las mismas?

Desde el punto de vista práctico no me queda duda que lo sigue siendo, dado que las Administraciones se han procurado vía Convenial potenciar el papel de SARA, pero su posición legal ha dejado de ser indiscutible pudiendo modificarse los textos y los acuerdos que mantienen su preponderancia a criterio de los firmantes. Igual sería conveniente volver a revitalizar el texto perdido.

Apuntes del Real Decreto -Ley 14/2019

Tal y como se había anunciado la semana pasada en la reunión del Consejo de Ministros de 31 de octubre, el BOE ha publicado el Real Decreto Ley 14/2019 que impacta directamente en la normativa relativa al tratamiento de información por parte del Sector Público. Por la estructura y contenido de la norma puedo congratularme en un sentido doctrinal que he defendido durante años en el que la Administración Electrónica no existe realmente como concepto jurídico, sino como criterio aglutinante de diferentes actuaciones administrativas que tienen como denominador común la actividad automatizada. El propio título del RDL manifiesta que su contenido incluye medidas urgentes que se adoptan en las siguientes materias:

  • Seguridad Pública
  • Administración digital
  • Contratación del Sector Público
  • Telecomunicaciones

Las modificaciones, más allá del detalle, se plantean con un carácter claramente defensivo, careciendo de la confianza legítima que debiera regir las relaciones entre las Administraciones Públicas. Ciertamente, su contenido no puede entenderse sin el momento político actual que se vive en Cataluña pero no es menos cierto que el diseño de un entramado normativo generado desde el problema y no desde el horizonte de la generalidad provocará un nuevo sistema complejo, lento, procedimentado y nada coherente con los estudios previos de la “nueva Administración” ni Estatales ni Europeos.

A modo de simples notas, se pueden comentar las siguientes novedades, que deben ser matizadas por las Disposiciones Transitorias del RDL que permite un período de adaptación variable entre los 3 a los 6 meses, dependiendo de la actividad:

Primero.- El DNI adopta un papel preponderante respecto a su alcance y eficacia. Es el único documento que acredita a todos los efectos la identidad de las personas. No quiere decir que anule al resto de documentos, pero el DNI en la actualidad es el único que alcanza a todos los ámbitos: ¿Quiere decir que con mi DNI puedo identificarme ante todas las Administraciones y acceder a mi Polideportivo, identificarme como conductor en vigor o abogado en ejercicio? Creo que iré tirando carnés que me sobran… o igual espero todavía.

Segundo.- Los sistemas de identificación y firma electrónica sustentados en Registros de Clave concertada – el habitual usuario/contraseña- debe ser previamente autorizado por la Secretaría General de Administración Digital. Los sistemas de identificación de clave blanda, como vulgarmente se les conoce, son utilizados de forma generalizada por la Administración, y dependiendo de cómo se interprete el artículo puede alcanzar incluso a los sistemas de comunicación institucional con los ciudadanos, impactando en herramientas que se usan con cierta ligereza pero a veces, con ciertos efectos.

Tercero.- La ubicación de los sistemas de custodia de la información no es libre dependiendo del tipo de datos que se traten debiendo almacenarse en territorio nacional o al menos, dentro del territorio de la Unión Europea, o contar con una decisión de adecuación de la Comisión Europea. Entiendo que este aspecto ya ha sido respetado, quedando un resquicio en la utilización de redes sociales, las cuales cada vez se encuentran más cercadas para ser utilizadas por las Administraciones Públicas.

Cuarto.- La interoperabilidad se instituye como  un régimen jurídico en el que la confianza entre el cedente y cesionario no prima. En dichas trasmisiones el cesionario debe acreditar al cedente que utilizará los datos para fines compatibles, pudiendo el cedente comprobar dicha compatibilidad. ¿Cómo comprobará una Entidad Local que sus datos de padrón se utilizarán para un fin compatible, con qué medios cuenta para realizarlo? Si el despliegue de la interoperabilidad se estaba convirtiendo en un imposible se genera un mundo de desconfianza en el que es más sencillo no compartir que transmitir datos.

Quinto.- La normativa de Protección de datos se convierte a ser el Rey en la Contratación Pública. Si no se siguen todas las referencias en la Memoria del Expediente, en los Pliegos de Contratación, o en el contrato de adjudicación, nada más y nada menos que el contrato puede devenir NULO. Ni qué decir que la consecuencia jurídica parece desproporcionada a los fines perseguidos.

Sexto.- El Blockchain parece que no está bien visto por la normativa, hasta que no sea regulado expresamente. No voy a decir que me alegro, pero era un tema recurrente, con mucha exposición mediática y que había comentado en un post algo antiguo.

Séptimo.- Los sistemas de redes de telecomunicaciones en régimen de autoprestación por el Sector Público requiere de una autorización previa. Ciertamente no afectará por igual a todas las Administraciones Públicas, pero mantiene este sistema de desconfianza comentado.

Lo dicho, norma rápida para problemas complejos en un mundo en el que se desconfía del vecino. Para arreglar un problema igual acabamos ralentizando el objetivo final: el despliegue de la ¿Administración electrónica?