nov
2024

¿Se pueden alojar los datos de los expedientes del ayuntamiento en los servidores de la empresa que proporciona el gestor documental?


Planteamiento

Este ayuntamiento tiene contratado una empresa para la gestión de expedientes. Ahora vamos a actualizar el aplicativo, pero los datos de los expedientes se pretenden guardar en los servidores de la compañía (incluido padrón de habitantes que incluye datos de menores) y no en los servidores del propio ayuntamiento. ¿Es legal? En el pliego técnico que sirvió para la contratación se decía que los datos se guardarían en los servidores del ayuntamiento.

En segundo lugar, pretenden el uso de un certificado SSL wildcard a nombre de la empresa, en lugar de los correspondientes certificados de sede electrónica, ¿se ajusta a derecho dicha práctica?

Respuesta

El art. 46.bis de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público -LRJSP- establece sobre la ubicación de los sistemas de información y comunicaciones para el registro de datos que:

  • “Los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, deberán ubicarse y prestarse dentro del territorio de la Unión Europea.
  • Los datos a que se refiere el apartado anterior no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.”

Por su parte, el art. 122.2 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, -LCSP 2017-, señala a los efectos que nos interesan que:

  • “Los pliegos deberán mencionar expresamente la obligación del futuro contratista de respetar la normativa vigente en materia de protección de datos.
  • Sin perjuicio de lo establecido en el artículo 28.2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en aquellos contratos cuya ejecución requiera el tratamiento por el contratista de datos personales por cuenta del responsable del tratamiento, adicionalmente en el pliego se hará constar:
    • a) La finalidad para la cual se cederán dichos datos.
    • b) La obligación del futuro contratista de someterse en todo caso a la normativa nacional y de la Unión Europea en materia de protección de datos, sin perjuicio de lo establecido en el último párrafo del apartado 1 del artículo 202.
    • c) La obligación de la empresa adjudicataria de presentar antes de la formalización del contrato una declaración en la que ponga de manifiesto dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos. (…)
    • d) La obligación de comunicar cualquier cambio que se produzca, a lo largo de la vida del contrato, de la información facilitada en la declaración a que se refiere la letra c) anterior.
    • e) La obligación de los licitadores de indicar en su oferta, si tienen previsto subcontratar los servidores o los servicios asociados a los mismos, el nombre o el perfil empresarial, definido por referencia a las condiciones de solvencia profesional o técnica, de los subcontratistas a los que se vaya a encomendar su realización.”

La modalidad de contrato por los que una empresa pone a disposición del ayuntamiento un gestor documental para la tramitación de expediente con el consecuente alojamiento de datos e información, ha sido objeto de pronunciamiento en el Expediente 13/2024 de la Junta Consultiva de Contratación pública del Estado, sobre calificación jurídica de los contratos de prestación de servicios en la nube con apoyo en el informe de la Secretaría General de Administración Digital (SGAD) del Ministerio de Asuntos Económicos y Transformación Digital de fecha 10 de noviembre de 2020, donde se pone de manifiesto la conformidad a derecho de la práctica por la que se interesa nuestro consultante, esto es, que los servidores que alojan los datos no estén en el Ayuntamiento, siendo una nota peculiar de estos “servicios en la nube” que los recursos que se utilizan están sujetos a un sistema de pago por uso, que incluye tanto la licencia de software asociada como la infraestructura y el soporte de la misma, haciendo inviable que los datos se guarden en los servidores del ayuntamiento, sin perjuicio de la copia que la empresa contratista ponga a disposición de la Administración. Dice el citado Informe de la JCCE:

  • “3. (..)
  • Por tanto, siguiendo nuestros anteriores pronunciamientos sobre esta cuestión, podemos concluir que la diferencia sustancial entre los contratos de suministros y los de servicios, en lo que atañe a los contratos de tipo informático, radica precisamente en la confección a medida de servicios que, como tales, presentan una notable complejidad, funcionalidades específicas y únicas para el órgano de contratación o una personalización que excede de las prestaciones que de forma ordinaria, masiva o general se ponen a disposición del público por parte del contratista. Sólo si se producen estas circunstancias podremos calificar un contrato de este tipo como un servicio. Por el contrario, en los casos en que falten estas condiciones deberá aplicarse la regla general que califica a estos contratos como suministros.
  • (…)
  • En este mismo sentido se pronunció nuestro Informe 28/96, de 5 de junio.
  • (...)
  • … la peculiaridad de estos servicios en la nube es que los recursos que se utilizan están sujetos a un sistema de pago por uso, que incluye tanto la licencia de software asociada como la infraestructura y el soporte de la misma.
  • (…)
  • Pues bien, en este caso, expresamente señala la consulta que el derecho que se transfiere al órgano de contratación es el uso del programa o aplicación, característica propia de los contratos informáticos en la nube según el informe de la SGAD antes citado, de modo que, sin lugar a dudas, el supuesto se subsume en la regla que califica como contratos de suministro a aquellos que tengan por objeto la cesión del derecho de uso de los programas en cualquiera de sus modalidades de puesta a disposición. Esta última referencia no es baladí ni inocua a estos efectos. Cuando el legislador ha querido hacer referencia ex novo a las diferentes modalidades de puesta a disposición de cualquier activo de software es porque pretende, de modo congruente con la constante evolución tecnológica en este campo, que se incluyan como contratos de suministro también todos aquellos en que la forma de puesta a disposición del producto pueda diferir de la clásica compraventa o arrendamiento del producto físico. De este modo, aunque el software que se va a emplear por la entidad contratante esté alojado en la nube, y siempre que no se trate de un programa hecho a medida, -cuestión que sin duda deberá conocer el órgano de contratación- el contrato deberá ser calificado jurídicamente como un contrato de suministro y así se deberá hacer constar expresamente el pliego de cláusulas administrativas particulares del contrato”.

Respecto a la segunda pregunta, comencemos por aclarar algún concepto. Un dominio web es la dirección electrónica que sirve para encontrar una persona o entidad pública o privada en internet, en nuestro caso al ayuntamiento, por medio de un navegador. Por otro lado, un hosting es el almacenamiento que aloja la información de diversos sitios web y que, por tanto, resguarda el contenido de un dominio. Los dominios pueden ser entendidos como pequeñas áreas o espacios en el internet. Estos deben su nombre a que es el interesado el propietario del sitio web y de toda la información que está contenida en él. Del mismo modo que en el mundo real, estos lugares pueden ubicarse mediante una dirección electrónica que sirve para localizar el dominio y llegar a todas sus páginas.

El “.es” es el dominio de Internet de primer nivel correspondiente a España. En el Estado español la Entidad Pública Empresarial Red., Dependiente del Ministerio para la Transformación Digital y de la Función Pública, tiene encomendada la autoridad de registro de los nombres de dominio de Internet bajo el indicativo de primer nivel correspondiente al país de España (.es).

Pues bien, según podemos observar en la página web de la Diputación provincial de Cáceres, comunidad autónoma a la que pertenece la entidad local consultante, (https://innovacion.dip-caceres.es/catalogo-de-servicios-municipales/gestion-de-nombres-de-dominio/) ésta ofrece desde el Área de Innovación el servicio gratuito de gestión de los nombres de dominio “.es” de prácticamente todas las entidades locales de la provincia. Esta gestión permite utilizar no sólo los servicios de internet que ofrece la diputación provincial (portal web, correo electrónico, …), sino que se ofrece la posibilidad a los ayuntamientos de redirigir los dominios a servicios alojados en otros servidores, de modo que se recomienda ceder la gestión de los dominios a la diputación provincial con el fin de asegurar su custodia y así evitar la pérdida del mismo.

Además, señalar que el art. 38 LRJSP establece:

  • “1. La sede electrónica es aquella dirección electrónica, disponible para los ciudadanos a través de redes de telecomunicaciones, cuya titularidad corresponde a una Administración Pública, o bien a una o varios organismos públicos o entidades de Derecho Público en el ejercicio de sus competencias.
  • 2. El establecimiento de una sede electrónica conlleva la responsabilidad del titular respecto de la integridad, veracidad y actualización de la información y los servicios a los que pueda accederse a través de la misma.
  • 3. Cada Administración Pública determinará las condiciones e instrumentos de creación de las sedes electrónicas, con sujeción a los principios de transparencia, publicidad, responsabilidad, calidad, seguridad, disponibilidad, accesibilidad, neutralidad e interoperabilidad. En todo caso deberá garantizarse la identificación del órgano titular de la sede, así como los medios disponibles para la formulación de sugerencias y quejas.
  • 4. Las sedes electrónicas dispondrán de sistemas que permitan el establecimiento de comunicaciones seguras siempre que sean necesarias.
  • 5. La publicación en las sedes electrónicas de informaciones, servicios y transacciones respetará los principios de accesibilidad y uso de acuerdo con las normas establecidas al respecto, estándares abiertos y, en su caso, aquellos otros que sean de uso generalizado por los ciudadanos.
  • 6. Las sedes electrónicas utilizarán, para identificarse y garantizar una comunicación segura con las mismas, certificados reconocidos o cualificados de autenticación de sitio web o medio equivalente.”

Por lo tanto, entendemos que el servicio ofrecido por el contratita al ayuntamiento de nuestra entidad consultante, un Certificado SSL WildCard, esto es, un servicio de acreditación que permite a su usuario certificar todos los subdominios asociados a un mismo dominio, no sólo es innecesario por cuanto ya lo ofrece la Diputación de Cáceres y en una entidad local de pequeño tamaño no es usual asociar subdominios al dominio principal donde se aloja la única sede electrónica bajo el dominio www.ayuntamiento…es, sino, que no es conforme a derecho si se expide a nombre de la empresa ya que el art. 38 LRJSP exige que las identificación y garantía de la comunicación segura de los usuarios con la sede electrónica se soporte en certificados reconocidos o cualificados de autenticación de sitio web o medio equivalente, de titularidad de la Administración.

Conclusiones

1ª. Los contratos por los que las entidades públicas adquieren el derecho de uso de activos de software en la nube y la utilización de su infraestructura son contratos de suministro conforme a lo dispuesto en el art. 16.3 b) LCSP 2017, a menos que se trate del desarrollo de programas de ordenador a medida del órgano de contratación en la nube, que serán contratos de servicios.

2ª. En el vigente marco normativo, en esta modalidad de contrato no es preceptivo que los datos queden obligatoriamente alojados en los servidores de titularidad del ayuntamiento; si bien, sin perjuicio de otro tipo de garantías, el lugar de alojamiento y el servicio deben ubicarse y prestarse dentro del territorio de la Unión Europea.

3ª. Entendemos que el servicio ofrecido por el contratita al ayuntamiento de nuestro consultante, un Certificado SSL WildCard, esto es, un servicio de acreditación que permite a su usuario certificar todos los subdominios asociados a un mismo dominio, no sólo es innecesario por cuanto ya lo ofrece la Diputación de Cáceres no siendo usual en una entidad local de pequeño tamaño asociar subdominios al dominio principal, sino, que no es conforme a derecho, si dicho certificado se expide a nombre de la empresa, ya que el art. 38 LRJSP exige que la identificación y garantía de la comunicación segura de los usuarios con la sede electrónica ubicada en el dominio www.ayuntamiento…es se soporte en certificados reconocidos o cualificados de autenticación de sitio web o medio equivalente, de titularidad de la Administración.