Proporcionalidad de la exigencia del ENS nivel alto en contrato municipal de contenerización

Primero. La competencia para el conocimiento y resolución de los recursos interpuestos corresponde a este Tribunal, de acuerdo con lo dispuesto en el artículo 46. de la LCSP y en el Convenio con la Comunidad Autónoma de la Región de Murcia, sobre atribución de competencias en materia de recursos contractuales de 7 de noviembre de 2024 (BOE núm. 278, de 18 de noviembre de 2024)

Segundo. El recurso se ha presentado el 23 de junio de 2025, dentro del plazo de quince días del artículo 50.1.a) LCSP, habiéndose publicado los nuevos pliegos el 10 de junio de 2025, y habiéndose introducido ex novo en la modificación del pliego la exigencia del nivel alto del Esquema Nacional de Seguridad (en adelante, ENS) cuestión controvertida en el recurso, no afectada por la Resolución estimatoria de este Tribunal.

Tercero. La actuación impugnada se refiere a un contrato de suministros que supera el umbral del valor estimado del contrato fijado en el artículo 44.1, a) de la LCSP, es decir, superior a 100.000 € y además los actos recurridos, los pliegos y el anuncio se refieren a actuaciones susceptible de revisión ex artículo 44.2. a) de la LCSP.

Cuarto. La recurrente goza de legitimación, de acuerdo con la doctrina de este Tribunal, reflejada en resoluciones como la número 200/2023 o la número 1242/2024. Según esta doctrina para recurrir los pliegos de una licitación es necesario:

- que se haya presentado proposición, en tanto que solo en ese caso se adquiere la expectativa de resultar adjudicatario del contrato que conforma el interés legítimo;

- o que se no se haya podido presentar proposición como consecuencia de condiciones discriminatorias en el pliego.

Como se advierte de la lectura del recurso, la falta de presentación de proposición se debe a las presuntas condiciones discriminatorias del pliego, en particular, la actora afirma que "la exigencia del ENS Nivel Alto afecta directamente su capacidad para concurrir en condiciones de igualdad, ya que implica una barrera de entrada significativa en términos de coste y tiempo de certificación".

De esta forma, al subsumirse en el segundo supuesto expuesto con anterioridad, en virtud del principio "pro actione" (STC 112/2019), la recurrente goza de legitimación para la defensa ante este Tribunal, de acuerdo con el artículo 48 de la LCSP.

Quinto. Entrando a analizar el fondo del recurso, éste se dirige específicamente contra la exigencia contenida en la página 27 del pliego de prescripciones técnicas, dentro del apartado "24 características del mobiliario a suministrar, en concreto en el apartado 24.05.- SISTEMA IDENTIFICACIÓN DE USUARIO 'LECTORES Y CERRADURAS'", que establece:

"El sistema cumplirá con certificación ISO/IEC 27001:2013 de seguridad de la información de usuario y Nivel alto de Esquema Nacional de Seguridad.".

Considera la actora que esta exigencia es desproporcionada y restrictiva de la competencia para el objeto del contrato, siendo suficiente el cumplimiento del ENS en Nivel Medio.

Alega la recurrente que el nivel ALTO se reserva para sistemas cuyo incidente de seguridad podría tener un impacto "muy grave" sobre estas dimensiones, afectando funciones públicas críticas o grandes volúmenes de datos altamente sensibles.

En el presente caso, la información a tratar por el "Sistema de Identificación de Usuario" se describe como "datos estadísticos" y "toma de decisiones en cuanto a la tasa de pago por generación y control de impropio y buen uso del contenedor en función de los sectores". Si bien se gestionan identificaciones de usuario, el propio pliego indica que el sistema debe "impedir la obtención de datos personales del usuario del sistema incluidos en el mismo" en caso de pérdida o robo de la tarjeta, lo que sugiere que los datos sensibles están protegidos o no se almacenan directamente en el dispositivo físico de usuario.

Dada la naturaleza del proyecto, que se enfoca en el suministro y gestión de contenedores para residuos y un sistema de identificación asociado a estos, la exigencia técnica de un ENS nivel medio sería completamente suficiente y adecuada.

El impacto derivado de un posible incidente de seguridad en un sistema de identificación para contenedores de residuos, aunque no es nulo, difícilmente alcanzaría la categoría de "muy grave" que justifique la certificación de ENS Nivel Alto. Un sistema ENS Nivel Medio, que ya implica un nivel considerable de exigencia en términos de medidas de seguridad y auditorías, sería más que suficiente para garantizar la confidencialidad, integridad y disponibilidad de la información manejada en un contexto de gestión de residuos. Los riesgos asociados a un uso indebido o una falla en el sistema de apertura/identificación de contenedores son, en la mayoría de los casos, gestionables bajo un ENS Nivel Medio.

La exigencia del ENS Nivel Alto implica una certificación por tercera parte, lo que conlleva un coste económico y un plazo de obtención significativos. Este requisito se convierte en una barrera de entrada para un número considerable de empresas competitivas que, estando capacitadas para el suministro y la implementación de sistemas con altos estándares de seguridad (incluso con ISO 27001 y ENS Nivel Medio), no disponen o no tendrían tiempo de obtener la certificación específica en Nivel Alto para este tipo de contrato. Esto restringe indebidamente la competencia y la libre concurrencia de licitadores, contraviniendo los principios fundamentales de la contratación pública, sin que exista una justificación proporcional y objetiva para ello en relación con el riesgo real que presentan los datos o el servicio gestionado.

Y, continúa el actor afirmando que "El pliego ya exige el cumplimiento de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales. Esta ley es el marco principal para la protección de datos en España, y sus principios y obligaciones se aplican a cualquier tratamiento de datos personales, independientemente del nivel ENS. La exigencia de la ISO/IEC 27001:2013 ya asegura un robusto Sistema de Gestión de Seguridad de la Información. Estas medidas, junto con un ENS Nivel Medio, deberían ser más que suficientes para garantizar la seguridad de la información de usuario y cumplir con la legislación vigente en protección de datos, sin imponer un requisito desproporcionado".

Y con base en los anterior, suplica a este Tribunal que "se dicte resolución por la que se declare la anulación parcial del pliego de prescripciones técnicas, en lo que respecta a la exigencia del Esquema Nacional de Seguridad en Nivel Alto para el "Sistema de Identificación de Usuario 'Lectores y Cerraduras'", y se ordene al Ayuntamiento de Cartagena la modificación de dicho requisito para establecer el Esquema Nacional de Seguridad en Nivel Medio como suficiente, o el nivel que se justifique proporcionalmente a la naturaleza y sensibilidad real de la información tratada".

Sexto. Por el órgano de contratación, en primer término, se interesa la inadmisión del recurso por falta de legitimación al no haber presentado oferta la recurrente y haber precluido el plazo para ello, y, subsidiariamente solicita la desestimación del recurso.

Refiere el Ayuntamiento de Cartagena, en su informe al recurso, la justificación técnica de la exigencia del nivel alto del ENS.

"CONCLUSION: el Ayuntamiento de Cartagena atendiendo a la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local y a la Ley 7/2022, de 8 de abril, de residuos y suelos contaminados para una economía circular, va a implantar un sistema de pago por generación, lo que conlleva contenedores con cerraduras electrónicas inteligentes dotadas con sistema tecnológico de datos garantizados con un ENS ALTO.

Ha quedado justificado los fundamentos de la implantación del ENS ALTO, que desestiman el recurso en los siguientes tres puntos:

1. El sistema de identificación de usuario forma parte de una infraestructura crítica para la gestión de residuos urbanos, que: · Identifica individualmente a los usuarios mediante tarjetas o dispositivos móviles. · Registra eventos de apertura y cierre, así como la deposición o no de residuos. · Alimenta una plataforma de datos que se utilizará para la toma de decisiones públicas, incluyendo la aplicación de tasas por generación y el control de impropios. Esto implica el tratamiento de datos personales vinculados a comportamientos individuales, lo que eleva el nivel de sensibilidad de la información. Aunque el sistema no almacene directamente datos personales en el dispositivo, sí los trata en el backend, y estos datos pueden ser utilizados para decisiones administrativas individualizadas. Por tanto, conforme al Anexo II del Real Decreto 311/2022, que regula el ENS, el nivel de seguridad requerido debe ser alto cuando: · Se traten datos personales que puedan afectar derechos fundamentales. · Se tomen decisiones automatizadas/semi con impacto económico o jurídico. · Se requiera garantizar la trazabilidad y autenticidad de los registros.

2. Proporcionalidad del requisito. La exigencia del ENS Nivel Alto no es arbitraria ni desproporcionada, sino que responde a: La naturaleza crítica del servicio (gestión de residuos con impacto en la fiscalidad ciudadana). La necesidad de garantizar la integridad, autenticidad y trazabilidad de los datos. La alineación con las políticas de ciberseguridad del Ayuntamiento de Cartagena, que ya aplica ENS Nivel Alto en otros sistemas municipales. Además, se permite que el cumplimiento se acredite mediante certificación o compromiso de obtención, lo que flexibiliza la participación sin comprometer la seguridad.

3. No se vulnera la libre concurrencia. La exigencia de ENS Nivel Alto no impide la participación de empresas capacitadas, sino que eleva el estándar de seguridad exigido para un sistema que gestiona información sensible. La libre concurrencia no implica renunciar a requisitos técnicos legítimos, especialmente cuando están justificados por el interés público".

Séptimo. Habiendo dado respuesta a la cuestión relativa a la legitimación del recurrente en el fundamento jurídico cuarto, resta analizar si la exigencia del "Nivel alto de Esquema Nacional de Seguridad." es desproporcionada y restrictiva de la competencia para el objeto del contrato, siendo suficiente el cumplimiento del ENS en Nivel Medio como así entiende el actor.

Para dilucidar esta cuestión, hay que partir de la discrecionalidad técnica del órgano de contratación, a este respecto puede citarse, a título de ejemplo, la Resolución 746/2024 de 6 de junio y las que en ella se citan.

El artículo 126.5 de la LCSP, que traspone al ordenamiento español el contenido del artículo 42.3 de la Directiva 2014/24 establece lo siguiente:

"Sin perjuicio de las instrucciones y reglamentos técnicos nacionales que sean obligatorios, siempre y cuando sean compatibles con el derecho de la Unión Europea, las prescripciones técnicas se formularán de una de las siguientes maneras:

a) En términos de rendimiento o de exigencias funcionales, incluidas las características medioambientales, siempre que los parámetros sean lo suficientemente precisos para permitir a los licitadores determinar el objeto del contrato y al órgano de contratación adjudicar el mismo;

b) Haciendo referencia, de acuerdo con el siguiente orden de prelación, a especificaciones técnicas contenidas en normas nacionales que incorporen normas europeas, a evaluaciones técnicas europeas, a especificaciones técnicas comunes, a normas internacionales, a otros sistemas de referencias técnicas elaborados por los organismos europeos de normalización o, en defecto de todos los anteriores, a normas nacionales, a documentos de idoneidad técnica nacionales o a especificaciones técnicas nacionales en materia de proyecto, cálculo y ejecución de obras y de uso de suministros; acompañando cada referencia de la mención «o equivalente»;

c) En términos de rendimiento o de exigencias funcionales según lo mencionado en la letra a), haciendo referencia, como medio de presunción de conformidad con estos requisitos de rendimiento o exigencias funcionales, a las especificaciones contempladas en la letra b);

d) Haciendo referencia a especificaciones técnicas mencionadas en la letra b) para determinadas características, y mediante referencia al rendimiento o exigencias funcionales mencionados en la letra a) para otras características".

El Tribunal de Justicia de la Unión Europea ha abordado la interpretación del artículo 42 de la Directiva 2014/24 en su Sentencia de 16 de enero de 2025 (C-424/23, DYKA PLASTICS). En lo que interesa a este recurso, el Tribunal (en adelante, TJUE) insiste en el "amplio margen de apreciación" que asiste a los poderes adjudicadores, aunque la Directiva 2014/24 establece ciertos límites que deben respetar, específicamente que:

(…) las especificaciones técnicas proporcionen a los operadores económicos acceso en condiciones de igualdad a los procedimientos de contratación y no tengan por efecto la creación de obstáculos injustificados a la apertura de la contratación pública a la competencia" (§ 42) y que "(…) deben abrir dicho contrato a la competencia y, por tanto, permitir que se presenten ofertas que reflejen, en particular, la diversidad de las soluciones técnicas existentes en el mercado" (§ 43)

Expuesta la postura del TJUE, y antes de aplicar sus conclusiones a la cuestión que nos ocupa, hemos de destacar que la necesaria apertura del contrato a la concurrencia, según postula la Sentencia analizada, no menoscaba la discrecionalidad de la que goza el poder adjudicador para definir las prescripciones técnicas que mejor permitan satisfacer sus necesidades. Si le exige una cuidadosa definición de las prescripciones técnicas que definen el objeto del contrato, de modo que no excedan, en demérito de la libre concurrencia, los requerimientos funcionales que la satisfacción de esas necesidades suponen; pero no supone, ciertamente, que, según también hemos dicho, pueda el empresario interesado sustituir las apreciaciones del órgano de contratación por las suyas propias, ni que el principio de libre concurrencia se erija en el único principio que regule la contratación pública: no debemos olvidar el carácter eminentemente funcional de esta (satisfacer necesidades) lo que, indudablemente, supone que no todo empresario interesado en contratar con el sector público tiene derecho a hacerlo si los servicios o productos que ofrece no satisfacen plenamente las exigencias del órgano de contratación formuladas en los términos antes expuestos.

A la luz de esta doctrina analizamos la proporcionalidad de la exigencia del nivel alto del ENS.

Pues bien, para determinar el grado de seguridad exigible debemos acudir al Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, cuyo Anexo I en sus apartados 1, 2 y 3 de este Anexo establece:

"1. Fundamentos para la determinación de la categoría de seguridad de un sistema de información

La determinación de la categoría de seguridad de un sistema de información se basará en la valoración del impacto que tendría sobre la organización un incidente que afectase a la seguridad de la información tratada o de los servicios prestados para:

a) Alcanzar sus objetivos.

b) Proteger los activos a su cargo.

c) Garantizar la conformidad con el ordenamiento jurídico.

Anualmente, o siempre que se produzcan modificaciones significativas en los citados criterios de determinación, deberá re-evaluarse la categoría de seguridad de los sistemas de información concernidos.

2. Dimensiones de la seguridad

A fin de determinar el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información tratada o de los servicios prestados y, en su consecuencia, establecer la categoría de seguridad del sistema de información en cuestión, se tendrán en cuenta las siguientes dimensiones de la seguridad, que se identificarán por sus correspondientes iniciales en mayúsculas:

a) Confidencialidad [C].

b) Integridad [I].

c) Trazabilidad [T].

d) Autenticidad [A].

e) Disponibilidad [D]."

3. Determinación del nivel de seguridad requerido en una dimensión de seguridad

Una información o un servicio pueden verse afectados en una o más de sus dimensiones de seguridad. Cada dimensión de seguridad afectada se adscribirá a uno de los siguientes niveles de seguridad: BAJO, MEDIO o ALTO. Si una dimensión de seguridad no se ve afectada, no se adscribirá a ningún nivel.

a) Nivel BAJO. Se aplicará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.

Se entenderá por perjuicio limitado:

1.º La reducción de forma apreciable de la capacidad de la organización para desarrollar eficazmente sus funciones y competencias, aunque estas sigan desempeñándose.

2.º Causar un daño menor en los activos de la organización.

3.º El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.

4.º Causar un perjuicio menor a algún individuo, que pese a resultar molesto, pueda ser fácilmente reparable.

5.º Otros de naturaleza análoga.

b) Nivel MEDIO. Se aplicará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.

Se entenderá por perjuicio grave:

1.º La reducción significativa de la capacidad de la organización para desarrollar eficazmente sus funciones y competencias, aunque estas sigan desempeñándose.

2.º Causar un daño significativo en los activos de la organización.

3.º El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable.

4.º Causar un perjuicio significativo a algún individuo, de difícil reparación.

5.º Otros de naturaleza análoga.

c) Nivel ALTO. Se aplicará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.

Se entenderá por perjuicio muy grave:

1.º La anulación efectiva de la capacidad de la organización para desarrollar eficazmente sus funciones y competencias.

2.º Causar un daño muy grave, e incluso irreparable, de los activos de la organización.

3.º El incumplimiento grave de alguna ley o regulación.

4.º Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.

5.º Otros de naturaleza análoga.

Cuando un sistema de información trate diferentes informaciones y preste diferentes servicios, el nivel de seguridad del sistema en cada dimensión será el mayor de los establecidos para cada información y cada servicio."

Y añade el apartado 4 del Anexo I del RD 311/2022:

"4. Determinación de la categoría de seguridad de un sistema de información

1. Se definen tres categorías de seguridad: BÁSICA, MEDIA y ALTA.

a) Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel de seguridad ALTO.

b) Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel de seguridad MEDIO, y ninguna alcanza un nivel de seguridad superior.

c) Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.

2. La determinación de la categoría de seguridad de un sistema de información sobre la base de lo indicado en el apartado anterior, no implicará que se altere, por este hecho, el nivel de seguridad de las dimensiones de seguridad que no han influido en la determinación de la categoría de seguridad del mismo."

En el presente caso, nos encontramos en que la ejecución del contrato necesariamente implicará el tratamiento de información de identificación ciudadana para gestión tributaria y ambiental que exige garantías avanzadas en confidencialidad, integridad y trazabilidad, y que el órgano de contratación considera que ello sólo es asegurable mediante un proveedor certificado en ENS ALTO.

Tal y como se justifica en el informe técnico emitido, el sistema de identificación de usuario forma parte de una infraestructura crítica para la gestión de residuos urbanos, que:

· Identifica individualmente a los usuarios mediante tarjetas o dispositivos móviles.

· Registra eventos de apertura y cierre, así como la deposición o no de residuos.

· Alimenta una plataforma de datos que se utilizará para la toma de decisiones públicas, incluyendo la aplicación de tasas por generación y el control de impropios.

Esto implica el tratamiento de datos personales vinculados a comportamientos individuales, lo que eleva el nivel de sensibilidad de la información. Aunque el sistema no almacene directamente datos personales en el dispositivo, sí los trata en el backend, y estos datos pueden ser utilizados para decisiones administrativas individualizadas.

Cualquier brecha afectaría a la confidencialidad (vulneración de la privacidad), la integridad (alteración de historiales que afectan a tasas o sanciones) y la trazabilidad (auditoría fiscal o medioambiental).

Esto excede el umbral del ENS Medio, dado que el impacto de una brecha puede derivar en: o Sanciones administrativas. o Pérdida de confianza en servicios públicos digitales. o Discriminación por hábitos de consumo o ubicación.

Por tanto, puede concluirse que la exigencia del nivel alto se ha justificado adecuadamente por el órgano de contratación en uso de la discrecionalidad técnica, no resultando irrazonable o desproporcionada.

Además, como argumento definitivo debe advertirse que no se excluyen fabricantes sin ENS Alto si subcontratan la parte tecnológica a un tercero que sí lo tenga certificado en cuanto que sólo se exigiría que tenga ENS Alto a aquel que gestione directamente los sistemas de identificación, software y transmisión de datos.

Por todo lo anterior,

VISTOS los preceptos legales de aplicación

ESTE TRIBUNAL, en sesión celebrada el día de la fecha ACUERDA: