La seguridad informática y la protección de datos son dos ejes clave para el buen funcionamiento de la contratación electrónica, obligada a partir del próximo 9 de marzo por la ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP), por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

Sin embargo, para los expertos en Derecho de las nuevas tecnologías, la regulación al respecto es dispersa, como han explicado en el III Congreso Nacional de Contratación Pública Electrónica que finalizaba hoy mismo, Carlos Galán Pascual (doctor en Informática y abogado especialista en Derecho de las TIC), Jorge Fontevila Antolín (jefe de Asesoría Jurídica de la Consejería de Presidencia y Justicia del Gobierno de Cantabria) y Rubén Martínez Gutiérrez (profesor titular de Derecho Administrativo en la Universidad de Alicante).

A juicio de Fondevila, la ley 9/2017 es «asistemática en los contenidos de seguridad, no incluye referencias sobre aspectos como el archivo electrónico o la firma de empleados públicos y tampoco al Esquema Nacional de Seguridad que se aplica a todas las administraciones públicas».

Así lo expresa el profesor Martínez Gutiérrez: «es un error adentrarnos en la Smart City sin tener la administración electrónica y la contratación pública electrónica implantadas porque seguramente se infringen los principios de seguridad».

Sin embargo, las tasas de cumplimiento del Esquema Nacional de Seguridad (ENS) son altas: «casi el 70% de las entidades públicas recogidas en el Informe Nacional del Estado de la Seguridad (INES) están cumpliendo con los requerimientos del ENS», afirma Carlos Galán. No obstante, no solo debe cumplirse con las disposiciones del ENS, sino también evidenciarse mediante la Certificación de Conformidad expedida por una entidad de certificación acreditada.

La seguridad informática y la contratación pública electrónica son indisolubles, ya que cuando hablamos de procesos de contratación pública, además de regirse éstos por la LCSP, también deben regirse por el ENS, como dispone la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.

Dicha resolución en su apartado VII señala que cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el ENS, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos exigidos para las entidades públicas.

En relación a la confidencialidad y protección de datos, llama la atención el artículo 133.2 LCSP que señala: «El contratista deberá respetar el carácter confidencial de aquella información a la que tenga acceso con ocasión de la ejecución del contrato a la que se le hubiese dado el referido carácter en los pliegos o en el contrato, o que por su propia naturaleza deba ser tratada como tal. Este deber se mantºendrá durante un plazo de cinco años desde el conocimiento de esa información, salvo que los pliegos o el contrato establezcan un plazo mayor que, en todo caso, deberá ser definido y limitado en el tiempo».

La mayoría de normas de seguridad señalan un deber de secreto permanente que perdura incluso después de finalizar la relación contractual. Luego será responsabilidad de cada Administración pública que contrate, establecer en los pliegos o en el contrato particular un plazo mayor de los cinco años establecidos por defecto en la LCSP. Aunque deba limitarse en el tiempo, según el referido artículo, nada impide establecer el deber de secreto en, por ejemplo, 100 años.