Este ayuntamiento tiene contratado una empresa para la gestión de expedientes. Ahora vamos a actualizar el aplicativo, pero los datos de los expedientes se pretenden guardar en los servidores de la compañía (incluido padrón de habitantes que incluye datos de menores) y no en los servidores del propio ayuntamiento. ¿Es legal? En el pliego técnico que sirvió para la contratación se decía que los datos se guardarían en los servidores del ayuntamiento.
En segundo lugar, pretenden el uso de un certificado SSL wildcard a nombre de la empresa, en lugar de los correspondientes certificados de sede electrónica, ¿se ajusta a derecho dicha práctica?
El art. 46.bis de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público -LRJSP- establece sobre la ubicación de los sistemas de información y comunicaciones para el registro de datos que:
Por su parte, el art. 122.2 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, -LCSP 2017-, señala a los efectos que nos interesan que:
La modalidad de contrato por los que una empresa pone a disposición del ayuntamiento un gestor documental para la tramitación de expediente con el consecuente alojamiento de datos e información, ha sido objeto de pronunciamiento en el Expediente 13/2024 de la Junta Consultiva de Contratación pública del Estado, sobre calificación jurídica de los contratos de prestación de servicios en la nube con apoyo en el informe de la Secretaría General de Administración Digital (SGAD) del Ministerio de Asuntos Económicos y Transformación Digital de fecha 10 de noviembre de 2020, donde se pone de manifiesto la conformidad a derecho de la práctica por la que se interesa nuestro consultante, esto es, que los servidores que alojan los datos no estén en el Ayuntamiento, siendo una nota peculiar de estos “servicios en la nube” que los recursos que se utilizan están sujetos a un sistema de pago por uso, que incluye tanto la licencia de software asociada como la infraestructura y el soporte de la misma, haciendo inviable que los datos se guarden en los servidores del ayuntamiento, sin perjuicio de la copia que la empresa contratista ponga a disposición de la Administración. Dice el citado Informe de la JCCE:
Respecto a la segunda pregunta, comencemos por aclarar algún concepto. Un dominio web es la dirección electrónica que sirve para encontrar una persona o entidad pública o privada en internet, en nuestro caso al ayuntamiento, por medio de un navegador. Por otro lado, un hosting es el almacenamiento que aloja la información de diversos sitios web y que, por tanto, resguarda el contenido de un dominio. Los dominios pueden ser entendidos como pequeñas áreas o espacios en el internet. Estos deben su nombre a que es el interesado el propietario del sitio web y de toda la información que está contenida en él. Del mismo modo que en el mundo real, estos lugares pueden ubicarse mediante una dirección electrónica que sirve para localizar el dominio y llegar a todas sus páginas.
El “.es” es el dominio de Internet de primer nivel correspondiente a España. En el Estado español la Entidad Pública Empresarial Red., Dependiente del Ministerio para la Transformación Digital y de la Función Pública, tiene encomendada la autoridad de registro de los nombres de dominio de Internet bajo el indicativo de primer nivel correspondiente al país de España (.es).
Pues bien, según podemos observar en la página web de la Diputación provincial de Cáceres, comunidad autónoma a la que pertenece la entidad local consultante, (https://innovacion.dip-caceres.es/catalogo-de-servicios-municipales/gestion-de-nombres-de-dominio/) ésta ofrece desde el Área de Innovación el servicio gratuito de gestión de los nombres de dominio “.es” de prácticamente todas las entidades locales de la provincia. Esta gestión permite utilizar no sólo los servicios de internet que ofrece la diputación provincial (portal web, correo electrónico, …), sino que se ofrece la posibilidad a los ayuntamientos de redirigir los dominios a servicios alojados en otros servidores, de modo que se recomienda ceder la gestión de los dominios a la diputación provincial con el fin de asegurar su custodia y así evitar la pérdida del mismo.
Además, señalar que el art. 38 LRJSP establece:
Por lo tanto, entendemos que el servicio ofrecido por el contratita al ayuntamiento de nuestra entidad consultante, un Certificado SSL WildCard, esto es, un servicio de acreditación que permite a su usuario certificar todos los subdominios asociados a un mismo dominio, no sólo es innecesario por cuanto ya lo ofrece la Diputación de Cáceres y en una entidad local de pequeño tamaño no es usual asociar subdominios al dominio principal donde se aloja la única sede electrónica bajo el dominio www.ayuntamiento…es, sino, que no es conforme a derecho si se expide a nombre de la empresa ya que el art. 38 LRJSP exige que las identificación y garantía de la comunicación segura de los usuarios con la sede electrónica se soporte en certificados reconocidos o cualificados de autenticación de sitio web o medio equivalente, de titularidad de la Administración.
1ª. Los contratos por los que las entidades públicas adquieren el derecho de uso de activos de software en la nube y la utilización de su infraestructura son contratos de suministro conforme a lo dispuesto en el art. 16.3 b) LCSP 2017, a menos que se trate del desarrollo de programas de ordenador a medida del órgano de contratación en la nube, que serán contratos de servicios.
2ª. En el vigente marco normativo, en esta modalidad de contrato no es preceptivo que los datos queden obligatoriamente alojados en los servidores de titularidad del ayuntamiento; si bien, sin perjuicio de otro tipo de garantías, el lugar de alojamiento y el servicio deben ubicarse y prestarse dentro del territorio de la Unión Europea.
3ª. Entendemos que el servicio ofrecido por el contratita al ayuntamiento de nuestro consultante, un Certificado SSL WildCard, esto es, un servicio de acreditación que permite a su usuario certificar todos los subdominios asociados a un mismo dominio, no sólo es innecesario por cuanto ya lo ofrece la Diputación de Cáceres no siendo usual en una entidad local de pequeño tamaño asociar subdominios al dominio principal, sino, que no es conforme a derecho, si dicho certificado se expide a nombre de la empresa, ya que el art. 38 LRJSP exige que la identificación y garantía de la comunicación segura de los usuarios con la sede electrónica ubicada en el dominio www.ayuntamiento…es se soporte en certificados reconocidos o cualificados de autenticación de sitio web o medio equivalente, de titularidad de la Administración.