Medidas urgentes por razones de seguridad pública en materia de protección de datos personales en la administración digital, contratación del sector público y telecomunicaciones


Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.

Vigente desde 06/11/2019 | BOE 266/2019 de 5 de Noviembre de 2019

Este RD-ley regula diferentes medidas relativas a las siguientes materias:

- DOCUMENTACIÓN NACIONAL DE IDENTIDAD. Se configura como el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular.

- IDENTIFICACIÓN ELECTRÓNICA ANTE LAS ADMINISTRACIONES PÚBLICAS. Se modifica la LPACAP para adaptarla al Reglamento (UE) nº 910/2014, que establece un marco legal común para las identificaciones y firmas electrónicas en la UE y se establecen medidas para garantizar la seguridad pública en relación con el empleo de sistemas de identificación y firma electrónicas de los interesados cuando se realizan con clave concertada o mediante cualquier otro sistema que cuente con un registro previo como usuario que permita garantizar su identidad y que las Administraciones Públicas consideren válido, sometiendo a autorización previa por parte de la Administración General del Estado a los sistemas que sean distintos a aquellos del certificado y sello electrónico.

Al mismo tiempo, se establece la obligatoriedad de que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas se encuentren situados en territorio de la UE y en territorio español en caso de que se trate de categorías especiales de datos a los que se refiere el art. 9 RGPD.

Por otro lado, se establece que en las relaciones de los interesados con las Administraciones Públicas no pueden ser autorizados los sistemas de identificación basados en tecnologías de registro distribuido y los sistemas de firma basados en los anteriores, en tanto que no sean objeto de regulación específica por el Estado en el marco del Derecho de la UE. Cualquier sistema de identificación basado en tecnología de registro distribuido que prevea la legislación estatal debe contemplar que la Administración General del Estado actúe como autoridad intermedia que ejerza las funciones que corresponda para garantizar la seguridad pública.

- DATOS QUE OBRAN EN PODER DE LAS ADMINISTRACIONES PÚBLICAS. Se modifica la LRJSP para establecer la obligación de que los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, se ubiquen y presten dentro del territorio de la UE. Asimismo, establece que solo puedan ser cedidos a terceros países cuando estos cumplan con las garantías suficientes que les permitan haber sido objeto de una decisión de adecuación de la Comisión Europea, o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.

También se permite un mayor control de los datos cedidos entre Administraciones Públicas. Excepcionalmente, la Administración General del Estado puede suspender la transmisión de datos por razones de seguridad nacional de forma cautelar por el tiempo estrictamente indispensable para su preservación.

- CONTRATACIÓN PÚBLICA. Se introducen en la LCSP 2017 medidas que garanticen en todas las fases de la contratación el respeto por parte de contratistas y subcontratistas de la legislación de la UE en materia de protección de datos:

a) se incluye como contenido mínimo de los contratos la referencia expresa al sometimiento a la normativa nacional y de la UE en materia de protección de datos;

b) se establece como circunstancia que impide a los empresarios contratar con entidades del sector público el haber dado lugar a la resolución firme de cualquier contrato celebrado con una de tales entidades por incumplimiento culpable de las obligaciones que los pliegos hubieren calificado como esenciales;

c) se incluye la obligación del órgano de contratación de especificar en el expediente de contratación cuál será la finalidad de los datos que vayan a ser cedidos en aquellos expedientes de contratos cuya ejecución requiera de la cesión de datos por parte de entidades del sector público al contratista;

d) se incluye la obligación de que los pliegos de cláusulas administrativas particulares mencionen expresamente la obligación del futuro contratista de respetar la normativa vigente en materia de protección de datos, considerándose la omisión de dicha mención causa de nulidad de pleno derecho del contrato;

e) se establece la obligación de hacer constar en el pliego, en caso de contratos que exijan el tratamiento por el contratista de datos personales por parte del responsable del tratamiento, tanto la finalidad de la cesión de datos como la obligación de la empresa adjudicataria de mantener al contratante al corriente de la ubicación de los correspondientes servidores. Dichas obligaciones deben constar en los pliegos como obligaciones esenciales a los efectos del régimen de resolución del contrato;

f) se exige que los pliegos incluyan como condición especial de ejecución, cuando se trate de contratos cuya ejecución implique la cesión de datos por las entidades del sector público al contratista, la obligación del contratista de someterse a la normativa nacional y de la UE en materia de protección de datos. En los pliegos debe advertirse al contratista de que esta obligación tiene el carácter de contractual esencial a los efectos del régimen de resolución del contrato; y

g) se incluye como obligación del contratista principal, en caso de subcontratación, la de asumir la total responsabilidad de la ejecución del contrato frente a la Administración también por lo que respecta a la obligación de sometimiento a la normativa nacional y de la UE en materia de protección de datos.

- SECTOR DE LAS TELECOMUNICACIONES. Se potencian las facultades del Gobierno para afrontar situaciones que pueden afectar al mantenimiento del orden público, la seguridad pública o la seguridad nacional. Por ejemplo, se amplían los supuestos en los que el Ministerio de Economía y Empresa puede adoptar medidas cautelares en casos de razones de imperiosa urgencia sin audiencia previa del presunto infractor, que puede incluir el cese de la actividad o la prestación de servicios.

Finalmente, se refuerza la coordinación en materia de seguridad de las redes y sistemas de información, de manera que el Centro Criptológico Nacional es el responsable de ejercer la coordinación nacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática en materia de seguridad de las redes y sistemas de información del sector público.

I

La sociedad actual requiere de adaptaciones en la esfera digital que exigen de una traducción en el plano normativo. El desarrollo y empleo de las nuevas tecnologías y redes de comunicaciones por parte de las Administraciones Públicas se está acelerando. Ello exige establecer sin demora un marco jurídico que garantice el interés general y, en particular, la seguridad pública, asegurando la adecuada prestación de los servicios públicos y, al mismo tiempo, que la administración digital se emplee para fines legítimos que no comprometan los derechos y libertades de los ciudadanos.

El carácter estratégico para la seguridad pública de las materias reguladas en este real decreto-ley se ve avalado por la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, que describe los riesgos asociados a las nuevas tecnologías como uno de los principales desafíos de la sociedad actual.

La Estrategia de Seguridad Nacional 2017, aprobada mediante Real Decreto 1008/2017, de 1 de diciembre, identifica las ciberamenazas y el espionaje como amenazas que comprometen o socavan la seguridad nacional y, en coherencia con ello, singulariza la ciberseguridad como uno de sus ámbitos prioritarios de actuación. El desarrollo tecnológico implica una mayor exposición a nuevas amenazas, especialmente las asociadas al ciberespacio, tales como el robo de datos e información, el hackeo de dispositivos móviles y sistemas industriales, o los ciberataques contra infraestructuras críticas. La hiperconectividad actual agudiza algunas de las vulnerabilidades de la seguridad pública y exige una mejor protección de redes y sistemas, así como de la privacidad y los derechos digitales del ciudadano.

Entre los principales desafíos que las nuevas tecnologías plantean desde el punto de vista de la seguridad pública se encuentran las actividades de desinformación, las interferencias en los procesos de participación política de la ciudadanía y el espionaje. Estas actividades se benefician de las posibilidades que ofrece la sofisticación informática para acceder a ingentes volúmenes de información y datos sensibles.

En este punto juega un papel decisivo el proceso de transformación digital de la Administración, ya muy avanzado. La administración electrónica agudiza la dependencia de las tecnologías de la información y extiende la posible superficie de ataque, incrementando el riesgo de utilización del ciberespacio para la realización de actividades ilícitas que impactan en la seguridad pública y en la propia privacidad de los ciudadanos.

Los recientes y graves acontecimientos acaecidos en parte del territorio español han puesto de relieve la necesidad de modificar el marco legislativo vigente para hacer frente a la situación. Tales hechos demandan una respuesta inmediata para evitar que se reproduzcan sucesos de esta índole estableciendo un marco preventivo a tal fin, cuyo objetivo último sea proteger los derechos y libertades constitucionalmente reconocidos y garantizar la seguridad pública de todos los ciudadanos.

El presente real decreto-ley tiene por objeto regular este marco normativo, que comprende medidas urgentes relativas a la documentación nacional de identidad; a la identificación electrónica ante las Administraciones Públicas; a los datos que obran en poder de las Administraciones Públicas; a la contratación pública y al sector de las telecomunicaciones.

II

El presente real decreto-ley consta de una parte expositiva y una parte dispositiva estructurada del modo siguiente: capítulo I (artículos 1 y 2), un capítulo II (artículos 3 y 4), un capítulo III (artículo 5), un capítulo IV (artículo 6), un capítulo V (artículo 7), una disposición adicional, tres disposiciones transitorias y tres disposiciones finales.

El capítulo I contempla dos medidas en materia de documentación nacional de identidad, dirigidas a configurar el Documento Nacional de Identidad, con carácter exclusivo y excluyente, como el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular. Con esta finalidad, el artículo 1 del presente real decreto-ley modifica el artículo 8.1 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana. En coherencia con ello, el artículo 2 del real decreto-ley modifica la regulación del Documento Nacional de Identidad electrónico recogida en el artículo 15.1 de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

El capítulo II del presente real decreto-ley, que contiene los artículos 3 y 4, establece varias medidas en materia de identificación electrónica ante las Administraciones Públicas, ubicación de determinadas bases de datos y datos cedidos a otras Administraciones Públicas. La finalidad de estas medidas es garantizar la seguridad pública, tanto en las relaciones entre las distintas Administraciones Públicas cuando traten datos personales, como entre ciudadanos y Administraciones Públicas cuando las últimas proceden a la recopilación, tratamiento y almacenamiento de datos personales en ejercicio de una función pública.

El artículo 3 del presente real decreto-ley modifica los artículos 9 y 10 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, a la vez que introduce una nueva disposición adicional sexta a la misma.

La modificación de la letra a) del apartado 2 de los artículos 9 y 10 responde a la necesidad de adaptar sus contenidos al Reglamento (UE) N.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, conocido como Reglamento eIDAS, que establece un marco legal común para las identificaciones y firmas electrónicas en la Unión Europea.

La modificación de la letra c) del apartado 2 de los artículos 9 y 10 tiene como finalidad garantizar la seguridad pública en relación con el empleo de sistemas de identificación y firma electrónicas de los interesados cuando se realizan con clave concertada o mediante cualquier otro sistema que cuente con un registro previo como usuario que permita garantizar su identidad y que las Administraciones Públicas consideren válido. Así, en palabras del propio Tribunal Constitucional expresadas en la Sentencia 55/2018, de 24 de mayo, se mantiene la posibilidad de que «cada administración diseñe sus propios sistemas de identificación electrónica o admita los expedidos por otras entidades públicas o privadas y, con ello, que estos sean más o menos complejos según sus preferencias y la relevancia o características del trámite o servicio correspondiente». Ahora bien, para garantizar la seguridad pública, competencia exclusiva del Estado conforme dispone el artículo 1.1 de la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad, la modificación efectuada somete a un régimen de autorización previa por parte de la Administración General del Estado a los sistemas que sean distintos a aquellos del certificado y sello electrónico. Dicha autorización tendrá por objeto, exclusivamente, verificar si el sistema validado tecnológicamente por parte de la Administración u Organismo Público de que se trate puede o no producir afecciones o riesgos a la seguridad pública, de modo que, si así fuera y solo en este caso, la Administración del Estado denegará dicha autorización con base en dichas consideraciones de seguridad pública.

En la misma línea, el nuevo apartado 3, que se añade tanto al artículo 9 como al artículo 10 de la Ley 39/2015, de 1 de octubre, establece la obligatoriedad de que, en relación con los sistemas previstos en la letra c) del apartado 2 de los artículos 9 y 10, los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas se encuentren situados en territorio de la Unión Europea, y en territorio español en caso de que se trate de categorías especiales de datos a los que se refiere el artículo 9 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Salvo las excepciones que se introducen en la ley, estos datos no podrán ser objeto de transferencia a un tercer país u organización internacional y, en cualquier caso, se encontrarán disponibles para su acceso por parte de las autoridades judiciales y administrativas competentes.

Por último, el artículo 3 del presente real decreto-ley incorpora una disposición adicional sexta a la Ley 39/2015, de 1 de octubre, que prevé que en las relaciones de los interesados con las Administraciones Públicas no serán admisibles en ningún caso y, por lo tanto, no podrán ser autorizados, los sistemas de identificaciones basados en tecnologías de registro distribuido y los sistemas de firma basados en los anteriores, en tanto que no sean objeto de regulación específica por el Estado en el marco del Derecho de la Unión Europea. Además, la nueva disposición adicional sexta establece que cualquier sistema de identificación basado en tecnología de registro distribuido que prevea la legislación estatal deberá contemplar que la Administración General del Estado actuará como autoridad intermedia que ejercerá las funciones que corresponda para garantizar la seguridad pública.

Las restricciones impuestas a los sistemas de identificaciones y firmas basados en tecnologías de registro distribuido en ningún caso suponen una prohibición general. Simplemente, se restringe puntualmente y de forma meramente provisional su uso como sistema de identificación y firma de los interesados cuando estos últimos se interrelacionan con la Administración y mientras no haya más datos o un marco regulatorio ad hoc de carácter estatal o europeo que haga frente a las debilidades que implica su uso para los datos y la seguridad pública. La falta de un marco regulatorio ad hoc sobre estas nuevas tecnologías justifica que, con carácter urgente y en ejercicio de su competencia para dictar legislación básica, el Estado intervenga sobre la materia con carácter provisional hasta que se avance en el seno de la Unión Europea en el tratamiento de este tipo de tecnologías.

El artículo 4 del presente real decreto-ley procede, por una parte, a la modificación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público introduciendo un nuevo artículo 46 bis, y dando una nueva redacción al artículo 155.

Por una parte, el artículo 46 bis obliga a que, por motivos de seguridad pública, los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, se ubiquen y presten dentro del territorio de la Unión Europea. Asimismo, establece que solo puedan ser cedidos a terceros países cuando estos cumplan con las garantías suficientes que les permitan haber sido objeto de una decisión de adecuación de la Comisión Europea, o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.

Por otra parte, la finalidad de la modificación del artículo 155 es permitir un mayor control de los datos cedidos entre Administraciones Públicas, al efecto de garantizar la adecuada utilización de los mismos. Se permite excepcionalmente que la Administración General del Estado pueda adoptar la medida de suspender la transmisión de datos por razones de seguridad nacional de forma cautelar por el tiempo estrictamente indispensable para su preservación.

La licitud del tratamiento de los datos personales para finalidades distintas de las finalidades iniciales viene determinada por la circunstancia de que se trate de finalidades compatibles. Tratándose de finalidades incompatibles, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, prohíbe su tratamiento. No obstante, el propio Reglamento declara ya unas finalidades que estima compatibles: tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. En este sentido, en caso de que el responsable del tratamiento (el cesionario), previo análisis de la compatibilidad de acuerdo con los criterios del artículo 6.4 del citado Reglamento, considere que es compatible, el precepto introduce la obligación adicional de consultar a la administración cedente. La Administración General del Estado podrá oponerse motivadamente y suspender por razones de seguridad nacional.

El capítulo III del presente real decreto-ley regula varias medidas en materia de contratación pública, todas ellas dirigidas a reforzar el cumplimiento de la normativa sobre protección de datos personales y la protección de la seguridad pública en este ámbito.

Los contratistas del sector público manejan en ocasiones, para la ejecución de los respectivos contratos, un ingente volumen de datos personales, cuyo uso inadecuado puede, a su vez, plantear riesgos para la seguridad pública. Por ello, resulta necesario asegurar normativamente su sometimiento a ciertas obligaciones específicas que garanticen tanto el cumplimiento de la normativa en materia de protección de datos personales como la protección de la seguridad pública.

El real decreto-ley modifica la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, con la finalidad de introducir medidas que garanticen en todas las fases de la contratación (expediente de contratación, licitación y ejecución del contrato) el respeto por parte de contratistas y subcontratistas de la legislación de la Unión Europea en materia de protección de datos.

Dichas modificaciones son coherentes con lo previsto en el artículo 6 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que, respecto de los tratamientos de datos necesarios para el cumplimiento de una obligación legal o de una misión realizada en interés público o en el ejercicio de poderes públicos, permite a los Estados miembros que mantengan o introduzcan disposiciones específicas para fijar los requisitos específicos del tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo.

Así, en primer lugar, el presente real decreto-ley modifica el artículo 35 de la Ley 9/2017, de 8 de noviembre, para incluir, como contenido mínimo de los contratos, la referencia expresa al sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos.

En segundo lugar, y por lo que respecta al régimen de invalidez de los contratos, se añade un subapartado al artículo 39.2 de la Ley 9/2017, de 8 de noviembre, para incluir, como causa de nulidad de pleno derecho, la celebración de contratos por parte de poderes adjudicadores que omitan mencionar en los pliegos las obligaciones del futuro contratista en materia de protección de datos a los que se refiere el nuevo artículo 122.2 de la Ley 9/2017, en la redacción dada a dicho precepto por el presente real decreto-ley. La aplicación en este caso de la consecuencia jurídica máxima que contempla nuestro ordenamiento jurídico, esto es, de la nulidad de pleno Derecho, se ha considerado adecuada una vez ponderada la oportunidad de su incorporación en la legislación de contratos del sector público (siguiéndose el dictamen n. 116/2015, del Consejo de Estado), dada la importancia que en determinados casos puede presentar para los intereses de la seguridad nacional conocer la ubicación de los servidores en los que se alojarán los datos que ceda la Administración con motivo de la ejecución de un contrato público, desde dónde se van a prestar los servicios asociados a los mismos y asegurar el sometimiento de la ejecución de ese contrato a la normativa nacional y de la Unión Europea en materia de protección de datos.

En tercer lugar, y en el contexto de la regulación de los requisitos para contratar con el sector público, se modifica el artículo 116.1 de la Ley 9/2017, de 8 de noviembre, para incluir, como circunstancia que impedirá a los empresarios contratar con las entidades comprendidas en el artículo 3 de dicha Ley, el haber dado lugar a la resolución firme de cualquier contrato celebrado con una de tales entidades por incumplimiento culpable de las obligaciones que los pliegos hubieren calificado como esenciales de acuerdo con lo previsto en el art. 211.1.f) de la propia Ley.

En cuarto lugar, se da una nueva redacción al artículo 116.1 de la Ley 9/2017, de 8 de noviembre, introduciendo un segundo párrafo relativo al expediente de contratación de los contratos cuya ejecución requiera de la cesión de datos por parte de entidades del sector público al contratista. En virtud de esta modificación, se incluye la obligación del órgano de contratación de especificar en el expediente cuál será la finalidad de los datos que vayan a ser cedidos.

En quinto lugar, se da una nueva redacción al artículo 122.2 de la Ley 9/2017, de 8 de noviembre, relativo a los pliegos de cláusulas administrativas particulares. En concreto, se añade un párrafo tercero a este apartado para incluir la obligación de los pliegos de mencionar expresamente la obligación del futuro contratista de respetar la normativa vigente en materia de protección de datos. Asimismo, se añade un párrafo cuarto relativo a los contratos que exijan el tratamiento por el contratista de datos personales por parte del responsable del tratamiento, indicando que en estos casos será obligatorio hacer constar en el pliego tanto la finalidad de la cesión de datos como la obligación de la empresa adjudicataria de mantener al contratante al corriente de la ubicación de los correspondientes servidores. También se añade un párrafo quinto para establecer que los extremos mencionados en el párrafo cuarto deben hacerse constar en los pliegos como obligaciones esenciales a los efectos del régimen de resolución del contrato.

En sexto lugar, el presente real decreto-ley da una nueva redacción al artículo 202.1 de la Ley 9/2017, de 8 de noviembre, regulador de las condiciones especiales de ejecución del contrato de carácter social, ético, medioambiental o de otro orden. En concreto, se introduce un párrafo tercero relativo a los pliegos correspondientes a contratos cuya ejecución implique la cesión de datos por las entidades del sector público al contratista. Mediante esta adición se impone la exigencia de que los pliegos incluyan, como condición especial de ejecución, la obligación del contratista de someterse a la normativa nacional y de la Unión Europea en materia de protección de datos. Asimismo, en los pliegos debe advertirse al contratista de que esta obligación tiene el carácter de obligación contractual esencial a los efectos del régimen de resolución del contrato.

En séptimo lugar, el artículo 5 siete del real decreto-ley da una nueva redacción al artículo 215.4 de la Ley 9/2017, relativo a la subcontratación, para incluir, entre las obligaciones del contratista principal, la de asumir la total responsabilidad de la ejecución del contrato frente a la Administración también por lo que respecta a la obligación de sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos.

El capítulo IV de este real decreto-ley regula varias medidas para reforzar la seguridad en materia de telecomunicaciones. Así, el artículo 6 de esta norma acomete cinco modificaciones de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, con el objetivo de potenciar las facultades de que dispone el Gobierno, a través del Ministerio de Economía y Empresa, para afrontar situaciones que pueden afectar al mantenimiento del orden público, la seguridad pública o la seguridad nacional.

Así, en concreto, se modifican los artículos 4.6 y 6.3 de la Ley 9/2014, de 9 de mayo, para reforzar las potestades del Ministerio de Economía y Empresa para llevar a cabo un mayor control y para mejorar sus posibilidades de actuación cuando la comisión de una presunta actuación infractora a través del uso de las redes y servicios de comunicaciones electrónicas pueda suponer una amenaza grave e inmediata para el orden público, la seguridad pública o la seguridad nacional o cuando en determinados supuestos excepcionales que también puedan comprometer el orden público, la seguridad pública y la seguridad nacional sea necesaria la asunción de la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas.

Estas mayores posibilidades de actuación que se reconocen no se limitan en su aplicación a un concepto estricto de una red o un servicio de comunicaciones electrónicas, sino que extienden su eficacia a los elementos que necesariamente acompañan a la instalación o despliegue de una red o la prestación de un servicio de comunicaciones electrónicas, como son las infraestructuras susceptibles de alojar redes públicas de comunicaciones electrónicas, sus recursos asociados o cualquier elemento o nivel de la red o del servicio que resulte necesario para preservar o restablecer el orden público, la seguridad pública y la seguridad nacional.

En necesaria correlación con este reforzamiento de funciones públicas en estas situaciones excepcionales, se potencia igualmente la potestad sancionadora del Ministerio de Economía y Empresa con el objetivo de hacer efectivas y reales las actuaciones que pueda adoptar en uso de estas nuevas facultades de actuación dirigidas a preservar o restablecer el orden público, la seguridad pública y la seguridad nacional. Con esta finalidad, el presente real decreto-ley da una nueva redacción a los artículos 76.15, 77.28 y 81.1 de la Ley 9/2014, de 9 de mayo. En particular, se amplían los supuestos en los que el Ministerio de Economía y Empresa puede adoptar medidas cautelares en casos de razones de imperiosa urgencia sin audiencia previa del presunto infractor, que puede incluir el cese de la actividad o la prestación de servicios, incorporando al efecto algunos de los supuestos que contemplados con dicha finalidad figuran en el artículo 30.6 del Código Europeo de las Comunicaciones Electrónicas, aprobado por la Directiva 2018/1972, de 11 de diciembre de 2018, del Parlamento Europeo y del Consejo, en especial, los relativos a la existencia de una amenaza inmediata y grave para el orden público, la seguridad pública o la seguridad nacional.

Por último, el capítulo V incorpora medidas para reforzar la coordinación en materia de seguridad de las redes y sistemas de información. Para ello, efectúa una modificación del real decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, en virtud de la cual el Centro Criptológico Nacional (CCN) ejercerá la coordinación nacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática (CSIRT) en materia de seguridad de las redes y sistemas de información del sector público. Adicionalmente, se prevé que el CCN ejercerá la función de enlace para garantizar la cooperación transfronteriza de los CSIRT de las Administraciones Públicas con los CSIRT internacionales en la respuesta a los incidentes y gestión de riesgos de seguridad.

III

El real decreto-ley constituye un instrumento constitucionalmente lícito, siempre que el fin que justifica la legislación de urgencia, sea, tal como reiteradamente ha exigido nuestro Tribunal Constitucional (Sentencias 6/1983, de 4 de febrero, F. 5; 11/2002, de 17 de enero, F. 4, 137/2003, de 3 de julio, F. 3 y 189/2005, de 7 julio, F.3), subvenir a un situación concreta, dentro de los objetivos gubernamentales, que por razones difíciles de prever exige una acción normativa inmediata en un plazo más breve que el requerido por la vía normal o por el procedimiento de urgencia para la tramitación parlamentaria de las leyes.

En relación con la concurrencia de los presupuestos habilitantes de extraordinaria y urgente necesidad, debe tenerse en cuenta la doctrina de nuestro Tribunal Constitucional, resumida en el Fundamento Jurídico IV de la Sentencia 61/2018, de 7 de junio de 2018. De acuerdo con ella, se requieren, por un lado, «la presentación explícita y razonada de los motivos que han sido tenidos en cuenta por el Gobierno en su aprobación», es decir, lo que ha venido en denominarse, la situación de urgencia; y, por otro, «la existencia de una necesaria conexión entre la situación de urgencia definida y la medida concreta adoptada para subvenir a ella».

En cuanto a la situación de urgencia, el Tribunal Constitucional ha indicado que «aun habiendo descartado que la utilización por el Gobierno de su potestad legislativa extraordinaria deba circunscribirse a situaciones de fuerza mayor o emergencia, es lo cierto que hemos exigido la concurrencia de ciertas notas de excepcionalidad, gravedad, relevancia e imprevisibilidad que determinen la necesidad de una acción normativa inmediata en un plazo más breve que el requerido para la tramitación parlamentaria de las leyes, bien sea por el procedimiento ordinario o por el de urgencia» (SSTC 68/2007, FJ 10, y 137/2011, FJ 7). También ha señalado el Tribunal Constitucional que la valoración de la extraordinaria y urgente necesidad de una medida puede ser independiente de su imprevisibilidad e, incluso, de que tenga su origen en la previa inactividad del propio Gobierno, siempre que concurra efectivamente la excepcionalidad de la situación, pues «lo que aquí debe importar no es tanto la causa de las circunstancias que justifican la legislación de urgencia cuanto el hecho de que tales circunstancias efectivamente concurran» (STC 11/2002, de 17 de enero, FJ 6).

En cuanto a la conexión de sentido entre la situación de necesidad definida y las medidas que en el real decreto-ley se adoptan, el Tribunal Constitucional atiende a «un doble criterio o perspectiva para valorar la existencia de la conexión de sentido: el contenido, por un lado, y la estructura, por otro, de las disposiciones incluidas en el Real Decreto-ley controvertido» (SSTC 29/1982, de 31 de mayo, FJ 3; 1/2012, de 13 de enero, FJ 11; 39/2013, de 14 de febrero, FJ 9; y 61/2018, de 7 de junio, FJ 4).

La alternativa de introducir estas medidas mediante un proyecto de ley no es factible en el presente caso, habida cuenta de que las Cámaras se encuentran disueltas y no es posible dilatar su adopción hasta la constitución de las Cortes Generales, y, aun utilizándose entonces el trámite de urgencia, no se lograría reaccionar a tiempo.

Los motivos que acaban de exponerse justifican ampliamente la concurrencia de los requisitos constitucionales de extraordinaria y urgente necesidad, que habilitan al Gobierno para aprobar el presente real decreto-ley dentro del margen de apreciación que, en cuanto órgano de dirección política del Estado, le reconoce el artículo 86.1 de la Constitución (STC 142/2014, FJ 3 y STC 61/2018, FFJJ 4 y 7). Concurren también las notas de excepcionalidad, gravedad y relevancia que hacen necesaria una acción normativa inmediata en un plazo más breve que el requerido para la tramitación parlamentaria de una ley, bien sea por el procedimiento ordinario o por el de urgencia (STC 68/2007, FJ 10 y STC 137/2011, FJ 7).

Por lo demás, en el supuesto abordado por este real decreto-ley ha de subrayarse que para subvenir a la situación de extraordinaria y urgente necesidad descrita es necesario proceder a la reforma de varias normas con rango de ley, lo que de por sí exige «una respuesta normativa con rango de ley» (STC 152/2017, de 21 de diciembre, FJ 3 i).

IV

El presente real decreto-ley respeta los límites constitucionalmente establecidos para el uso de este instrumento normativo, pues no afecta al ordenamiento de las instituciones básicas del Estado, a los derechos, deberes y libertades de los ciudadanos regulados en el Título I de la Constitución, al régimen de las comunidades autónomas ni al Derecho electoral general.

Ciertamente, el presente real decreto-ley contiene varias medidas de modificación de leyes preexistentes que refuerzan el cumplimiento de la normativa en materia de protección de datos No obstante, tales normas no constituyen una regulación del régimen general del derecho a la protección de datos, ni van en contra del contenido o elementos esenciales del este derecho, que son los contenidos prohibidos al instrumento jurídico del real decreto-ley según reiterada doctrina constitucional (sintetizada, recientemente, en la STC 139/2016, de 21 julio). Así, el presente real decreto-ley se limita a regular varios aspectos meramente puntuales respecto del tratamiento de datos personales por parte de las Administraciones Públicas y sus contratistas al amparo de la habilitación contenida en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Por lo demás, este real decreto-ley no invade la reserva de ley orgánica prevista en el artículo 81 de la Constitución ni en ningún otro precepto constitucional, en tanto que no se modifican preceptos de carácter orgánico. En particular, carece de carácter orgánico el artículo 8.1 de la Ley Orgánica 4/2015, de 30 de marzo, de Protección de la Seguridad Ciudadana, como expresamente dispone la Disposición Final Tercera de dicho texto legal.

V

El artículo 21.3 de la Ley 50/1997, de 27 de noviembre, del Gobierno, habilita al Gobierno en funciones para adoptar medidas distintas al despacho ordinario de los asuntos públicos en «casos de urgencia debidamente acreditados», así como «por razones de interés general cuya acreditación expresa así lo justifique».

Por su parte, los apartados 4 y 5 del artículo 21 de la Ley 50/1997, de 27 de noviembre, recogen una serie de facultades cuyo ejercicio está expresamente vedado al Gobierno en funciones, sin que ninguna de ellas se refiera a la aprobación de reales decretos-leyes. Dichas funciones de ejercicio prohibido para el Ejecutivo en funciones se refieren a cuestiones netamente distintas. En efecto, el artículo 21.4 establece que el Presidente del Gobierno en funciones no podrá proponer al Rey la disolución de alguna de las Cámaras, o de las Cortes Generales, ni plantear la cuestión de confianza, ni tampoco proponer al Rey la convocatoria de un referéndum consultivo. Por su parte, el artículo 21.5 de la Ley 50/1997, de 27 de noviembre, dispone que el Gobierno en funciones no podrá aprobar el Proyecto de Ley de Presupuestos Generales del Estado, ni tampoco presentar proyectos de ley al Congreso de los Diputados o, en su caso, al Senado.

La facultad del Gobierno en funciones de aprobar reales decretos leyes es congruente, por lo demás, con la exigencia de que concurra el presupuesto habilitante de extraordinaria y urgente necesidad previsto en el artículo 86 de la Constitución Española.

VI

El presente real decreto-ley se dicta al amparo de las competencias estatales contempladas en los apartados 18.ª, 21.ª y 29.ª del artículo 149.1 de la Constitución Española.

Por lo que respecta al artículo 149.1.18.ª de la Constitución Española, mediante el presente real decreto-ley se reforman las Leyes 39/2015, de 1 de octubre, y 40/2015, de 1 de octubre, aprobadas por el legislador estatal en ejercicio de su competencia sobre las bases del régimen jurídico de las Administraciones Públicas y sobre el procedimiento administrativo común. Asimismo, el presente real decreto-ley procede a la modificación de varios preceptos de la Ley 9/2017, de 8 de noviembre, preceptos que se enmarcan en la competencia estatal sobre legislación básica en materia de contratos y concesiones administrativas.

En virtud del artículo 149.1.21.ª de la Constitución Española, que atribuye al Estado la competencia exclusiva en materia de correos y telecomunicaciones, el presente real decreto-ley modifica varios preceptos de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones y del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

En cuanto a las competencias exclusivas del Estado en materia de seguridad pública (artículo 149.1.29.ª de la Constitución Española), el presente real decreto-ley modifica la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana y el mencionado Real Decreto-ley 12/2018. De acuerdo con este mismo título competencial, se modifica también la Ley 59/2003, de 19 de diciembre, de firma electrónica. Por último, es esta habilitación competencial la que ampara las modificaciones referidas a la necesaria autorización previa por parte de la Administración General del Estado de los sistemas de identificación y firma que cuenten con un registro previo como usuario.

Como se ha justificado en los apartados anteriores, las medidas contenidas en el presente real decreto-ley tienen como finalidad incrementar el estándar de protección de la seguridad pública frente a las crecientes amenazas que plantea el uso de las nuevas tecnologías y a la luz siempre de los últimos sucesos en territorio español. Ha de recordarse que, según la jurisprudencia constitucional, la seguridad pública se refiere a la «actividad dirigida a la protección de personas y bienes (seguridad en sentido estricto) y al mantenimiento de la tranquilidad u orden ciudadanos»; aunque no se limita a regular «las actuaciones específicas de la llamada Policía de seguridad», pues «la actividad policial es una parte de la materia más amplia de la seguridad pública» que «abarca un amplio espectro de actuaciones administrativas» (STC 86/2014, de 29 de mayo, FFJJ 2 y 4, entre otras) e incluye «un conjunto plural y diversificado de actuaciones, distintas por su naturaleza y contenido, aunque orientadas a una misma finalidad tuitiva del bien jurídico así definido» (STC 235/2001, de 13 de diciembre, FJ 6, y las allí citadas).

El Tribunal Constitucional ha situado dentro del concepto de seguridad pública, entre otros extremos, a «las situaciones o productos que son susceptibles de ocasionar graves riesgos para personas y bienes, lo que exige la adopción de medidas de especial intensidad», así como «la regulación de materias concretas susceptibles de originar riesgos ciertos que pueden afectar de modo directo y grave a la seguridad de personas y bienes, tomando en consideración, especialmente, fenómenos colectivos que implican la aparición de amenazas, coacciones o acciones violentas, con graves repercusiones en el funcionamiento de los servicios públicos y en la vida ciudadana» (STC 25/2004, de 26 de febrero, FJ 6).

VII

En la elaboración de este real decreto-ley se han observado los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia, exigidos por el artículo 129 de la Ley 39/2015, de 1 de octubre.

Por una parte, resulta evidente el principio de proporcionalidad, toda vez que las medidas contempladas en esta norma se ajustan plenamente al objetivo que pretende conseguirse mediante este instrumento. Asimismo, cumple los principios de seguridad jurídica ya que es coherente con el resto del ordenamiento jurídico nacional y de la Unión Europea, asegurando su correcta incardinación y congruencia con la regulación vigente. Por lo demás, la norma es coherente con el principio de transparencia al haber cumplido estrictamente con los procedimientos exigidos en la tramitación de un real decreto-ley. No se han realizado los trámites de participación pública, tal y como excepciona para los reales decretos-leyes el artículo 26.11 de la Ley 50/1997, de 27 de noviembre, del Gobierno.

Por otra parte, las medidas contenidas en el real decreto-ley son adecuadas y proporcionadas a las necesidades que exigen su dictado, sin que a estos efectos quepa considerar que existan otras alternativas menos restrictivas o que impongan menos obligaciones a los destinatarios, más bien al contrario, tras la adopción de esta norma con rango de ley se establecerán mejoras sustanciales en el ámbito de la administración electrónica, la contratación pública y las telecomunicaciones.

Se ha solicitado el informe preceptivo de la Oficina de Coordinación y Calidad Normativa, previsto en el artículo 26.9 de la Ley 59/1997, de 27 de noviembre, del Gobierno.

En su virtud, en uso de la autorización concedida en el artículo 86 de la Constitución, a propuesta de la Vicepresidenta del Gobierno y Ministra de la Presidencia, Relaciones con las Cortes e Igualdad, de las Ministras de Justicia, de Defensa, y de Hacienda, del Ministro del Interior, del Ministro de Política Territorial y Función Pública, por suplencia, el Ministro de Agricultura, Pesca y Alimentación, en virtud del Real Decreto 351/2019, de 20 de mayo, y de la Ministra de Economía y Empresa, y previa deliberación del Consejo de Ministros en su reunión del día 31 de octubre de 2019,

DISPONGO:

I

La sociedad actual requiere de adaptaciones en la esfera digital que exigen de una traducción en el plano normativo. El desarrollo y empleo de las nuevas tecnologías y redes de comunicaciones por parte de las Administraciones Públicas se está acelerando. Ello exige establecer sin demora un marco jurídico que garantice el interés general y, en particular, la seguridad pública, asegurando la adecuada prestación de los servicios públicos y, al mismo tiempo, que la administración digital se emplee para fines legítimos que no comprometan los derechos y libertades de los ciudadanos.

El carácter estratégico para la seguridad pública de las materias reguladas en este real decreto-ley se ve avalado por la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, que describe los riesgos asociados a las nuevas tecnologías como uno de los principales desafíos de la sociedad actual.

La Estrategia de Seguridad Nacional 2017, aprobada mediante Real Decreto 1008/2017, de 1 de diciembre, identifica las ciberamenazas y el espionaje como amenazas que comprometen o socavan la seguridad nacional y, en coherencia con ello, singulariza la ciberseguridad como uno de sus ámbitos prioritarios de actuación. El desarrollo tecnológico implica una mayor exposición a nuevas amenazas, especialmente las asociadas al ciberespacio, tales como el robo de datos e información, el hackeo de dispositivos móviles y sistemas industriales, o los ciberataques contra infraestructuras críticas. La hiperconectividad actual agudiza algunas de las vulnerabilidades de la seguridad pública y exige una mejor protección de redes y sistemas, así como de la privacidad y los derechos digitales del ciudadano.

Entre los principales desafíos que las nuevas tecnologías plantean desde el punto de vista de la seguridad pública se encuentran las actividades de desinformación, las interferencias en los procesos de participación política de la ciudadanía y el espionaje. Estas actividades se benefician de las posibilidades que ofrece la sofisticación informática para acceder a ingentes volúmenes de información y datos sensibles.

En este punto juega un papel decisivo el proceso de transformación digital de la Administración, ya muy avanzado. La administración electrónica agudiza la dependencia de las tecnologías de la información y extiende la posible superficie de ataque, incrementando el riesgo de utilización del ciberespacio para la realización de actividades ilícitas que impactan en la seguridad pública y en la propia privacidad de los ciudadanos.

Los recientes y graves acontecimientos acaecidos en parte del territorio español han puesto de relieve la necesidad de modificar el marco legislativo vigente para hacer frente a la situación. Tales hechos demandan una respuesta inmediata para evitar que se reproduzcan sucesos de esta índole estableciendo un marco preventivo a tal fin, cuyo objetivo último sea proteger los derechos y libertades constitucionalmente reconocidos y garantizar la seguridad pública de todos los ciudadanos.

El presente real decreto-ley tiene por objeto regular este marco normativo, que comprende medidas urgentes relativas a la documentación nacional de identidad; a la identificación electrónica ante las Administraciones Públicas; a los datos que obran en poder de las Administraciones Públicas; a la contratación pública y al sector de las telecomunicaciones.

II

El presente real decreto-ley consta de una parte expositiva y una parte dispositiva estructurada del modo siguiente: capítulo I (artículos 1 y 2), un capítulo II (artículos 3 y 4), un capítulo III (artículo 5), un capítulo IV (artículo 6), un capítulo V (artículo 7), una disposición adicional, tres disposiciones transitorias y tres disposiciones finales.

El capítulo I contempla dos medidas en materia de documentación nacional de identidad, dirigidas a configurar el Documento Nacional de Identidad, con carácter exclusivo y excluyente, como el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular. Con esta finalidad, el artículo 1 del presente real decreto-ley modifica el artículo 8.1 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana. En coherencia con ello, el artículo 2 del real decreto-ley modifica la regulación del Documento Nacional de Identidad electrónico recogida en el artículo 15.1 de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

El capítulo II del presente real decreto-ley, que contiene los artículos 3 y 4, establece varias medidas en materia de identificación electrónica ante las Administraciones Públicas, ubicación de determinadas bases de datos y datos cedidos a otras Administraciones Públicas. La finalidad de estas medidas es garantizar la seguridad pública, tanto en las relaciones entre las distintas Administraciones Públicas cuando traten datos personales, como entre ciudadanos y Administraciones Públicas cuando las últimas proceden a la recopilación, tratamiento y almacenamiento de datos personales en ejercicio de una función pública.

El artículo 3 del presente real decreto-ley modifica los artículos 9 y 10 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, a la vez que introduce una nueva disposición adicional sexta a la misma.

La modificación de la letra a) del apartado 2 de los artículos 9 y 10 responde a la necesidad de adaptar sus contenidos al Reglamento (UE) N.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, conocido como Reglamento eIDAS, que establece un marco legal común para las identificaciones y firmas electrónicas en la Unión Europea.

La modificación de la letra c) del apartado 2 de los artículos 9 y 10 tiene como finalidad garantizar la seguridad pública en relación con el empleo de sistemas de identificación y firma electrónicas de los interesados cuando se realizan con clave concertada o mediante cualquier otro sistema que cuente con un registro previo como usuario que permita garantizar su identidad y que las Administraciones Públicas consideren válido. Así, en palabras del propio Tribunal Constitucional expresadas en la Sentencia 55/2018, de 24 de mayo, se mantiene la posibilidad de que «cada administración diseñe sus propios sistemas de identificación electrónica o admita los expedidos por otras entidades públicas o privadas y, con ello, que estos sean más o menos complejos según sus preferencias y la relevancia o características del trámite o servicio correspondiente». Ahora bien, para garantizar la seguridad pública, competencia exclusiva del Estado conforme dispone el artículo 1.1 de la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad, la modificación efectuada somete a un régimen de autorización previa por parte de la Administración General del Estado a los sistemas que sean distintos a aquellos del certificado y sello electrónico. Dicha autorización tendrá por objeto, exclusivamente, verificar si el sistema validado tecnológicamente por parte de la Administración u Organismo Público de que se trate puede o no producir afecciones o riesgos a la seguridad pública, de modo que, si así fuera y solo en este caso, la Administración del Estado denegará dicha autorización con base en dichas consideraciones de seguridad pública.

En la misma línea, el nuevo apartado 3, que se añade tanto al artículo 9 como al artículo 10 de la Ley 39/2015, de 1 de octubre, establece la obligatoriedad de que, en relación con los sistemas previstos en la letra c) del apartado 2 de los artículos 9 y 10, los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas se encuentren situados en territorio de la Unión Europea, y en territorio español en caso de que se trate de categorías especiales de datos a los que se refiere el artículo 9 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Salvo las excepciones que se introducen en la ley, estos datos no podrán ser objeto de transferencia a un tercer país u organización internacional y, en cualquier caso, se encontrarán disponibles para su acceso por parte de las autoridades judiciales y administrativas competentes.

Por último, el artículo 3 del presente real decreto-ley incorpora una disposición adicional sexta a la Ley 39/2015, de 1 de octubre, que prevé que en las relaciones de los interesados con las Administraciones Públicas no serán admisibles en ningún caso y, por lo tanto, no podrán ser autorizados, los sistemas de identificaciones basados en tecnologías de registro distribuido y los sistemas de firma basados en los anteriores, en tanto que no sean objeto de regulación específica por el Estado en el marco del Derecho de la Unión Europea. Además, la nueva disposición adicional sexta establece que cualquier sistema de identificación basado en tecnología de registro distribuido que prevea la legislación estatal deberá contemplar que la Administración General del Estado actuará como autoridad intermedia que ejercerá las funciones que corresponda para garantizar la seguridad pública.

Las restricciones impuestas a los sistemas de identificaciones y firmas basados en tecnologías de registro distribuido en ningún caso suponen una prohibición general. Simplemente, se restringe puntualmente y de forma meramente provisional su uso como sistema de identificación y firma de los interesados cuando estos últimos se interrelacionan con la Administración y mientras no haya más datos o un marco regulatorio ad hoc de carácter estatal o europeo que haga frente a las debilidades que implica su uso para los datos y la seguridad pública. La falta de un marco regulatorio ad hoc sobre estas nuevas tecnologías justifica que, con carácter urgente y en ejercicio de su competencia para dictar legislación básica, el Estado intervenga sobre la materia con carácter provisional hasta que se avance en el seno de la Unión Europea en el tratamiento de este tipo de tecnologías.

El artículo 4 del presente real decreto-ley procede, por una parte, a la modificación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público introduciendo un nuevo artículo 46 bis, y dando una nueva redacción al artículo 155.

Por una parte, el artículo 46 bis obliga a que, por motivos de seguridad pública, los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, se ubiquen y presten dentro del territorio de la Unión Europea. Asimismo, establece que solo puedan ser cedidos a terceros países cuando estos cumplan con las garantías suficientes que les permitan haber sido objeto de una decisión de adecuación de la Comisión Europea, o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.

Por otra parte, la finalidad de la modificación del artículo 155 es permitir un mayor control de los datos cedidos entre Administraciones Públicas, al efecto de garantizar la adecuada utilización de los mismos. Se permite excepcionalmente que la Administración General del Estado pueda adoptar la medida de suspender la transmisión de datos por razones de seguridad nacional de forma cautelar por el tiempo estrictamente indispensable para su preservación.

La licitud del tratamiento de los datos personales para finalidades distintas de las finalidades iniciales viene determinada por la circunstancia de que se trate de finalidades compatibles. Tratándose de finalidades incompatibles, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, prohíbe su tratamiento. No obstante, el propio Reglamento declara ya unas finalidades que estima compatibles: tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. En este sentido, en caso de que el responsable del tratamiento (el cesionario), previo análisis de la compatibilidad de acuerdo con los criterios del artículo 6.4 del citado Reglamento, considere que es compatible, el precepto introduce la obligación adicional de consultar a la administración cedente. La Administración General del Estado podrá oponerse motivadamente y suspender por razones de seguridad nacional.

El capítulo III del presente real decreto-ley regula varias medidas en materia de contratación pública, todas ellas dirigidas a reforzar el cumplimiento de la normativa sobre protección de datos personales y la protección de la seguridad pública en este ámbito.

Los contratistas del sector público manejan en ocasiones, para la ejecución de los respectivos contratos, un ingente volumen de datos personales, cuyo uso inadecuado puede, a su vez, plantear riesgos para la seguridad pública. Por ello, resulta necesario asegurar normativamente su sometimiento a ciertas obligaciones específicas que garanticen tanto el cumplimiento de la normativa en materia de protección de datos personales como la protección de la seguridad pública.

El real decreto-ley modifica la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, con la finalidad de introducir medidas que garanticen en todas las fases de la contratación (expediente de contratación, licitación y ejecución del contrato) el respeto por parte de contratistas y subcontratistas de la legislación de la Unión Europea en materia de protección de datos.

Dichas modificaciones son coherentes con lo previsto en el artículo 6 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que, respecto de los tratamientos de datos necesarios para el cumplimiento de una obligación legal o de una misión realizada en interés público o en el ejercicio de poderes públicos, permite a los Estados miembros que mantengan o introduzcan disposiciones específicas para fijar los requisitos específicos del tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo.

Así, en primer lugar, el presente real decreto-ley modifica el artículo 35 de la Ley 9/2017, de 8 de noviembre, para incluir, como contenido mínimo de los contratos, la referencia expresa al sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos.

En segundo lugar, y por lo que respecta al régimen de invalidez de los contratos, se añade un subapartado al artículo 39.2 de la Ley 9/2017, de 8 de noviembre, para incluir, como causa de nulidad de pleno derecho, la celebración de contratos por parte de poderes adjudicadores que omitan mencionar en los pliegos las obligaciones del futuro contratista en materia de protección de datos a los que se refiere el nuevo artículo 122.2 de la Ley 9/2017, en la redacción dada a dicho precepto por el presente real decreto-ley. La aplicación en este caso de la consecuencia jurídica máxima que contempla nuestro ordenamiento jurídico, esto es, de la nulidad de pleno Derecho, se ha considerado adecuada una vez ponderada la oportunidad de su incorporación en la legislación de contratos del sector público (siguiéndose el dictamen n. 116/2015, del Consejo de Estado), dada la importancia que en determinados casos puede presentar para los intereses de la seguridad nacional conocer la ubicación de los servidores en los que se alojarán los datos que ceda la Administración con motivo de la ejecución de un contrato público, desde dónde se van a prestar los servicios asociados a los mismos y asegurar el sometimiento de la ejecución de ese contrato a la normativa nacional y de la Unión Europea en materia de protección de datos.

En tercer lugar, y en el contexto de la regulación de los requisitos para contratar con el sector público, se modifica el artículo 116.1 de la Ley 9/2017, de 8 de noviembre, para incluir, como circunstancia que impedirá a los empresarios contratar con las entidades comprendidas en el artículo 3 de dicha Ley, el haber dado lugar a la resolución firme de cualquier contrato celebrado con una de tales entidades por incumplimiento culpable de las obligaciones que los pliegos hubieren calificado como esenciales de acuerdo con lo previsto en el art. 211.1.f) de la propia Ley.

En cuarto lugar, se da una nueva redacción al artículo 116.1 de la Ley 9/2017, de 8 de noviembre, introduciendo un segundo párrafo relativo al expediente de contratación de los contratos cuya ejecución requiera de la cesión de datos por parte de entidades del sector público al contratista. En virtud de esta modificación, se incluye la obligación del órgano de contratación de especificar en el expediente cuál será la finalidad de los datos que vayan a ser cedidos.

En quinto lugar, se da una nueva redacción al artículo 122.2 de la Ley 9/2017, de 8 de noviembre, relativo a los pliegos de cláusulas administrativas particulares. En concreto, se añade un párrafo tercero a este apartado para incluir la obligación de los pliegos de mencionar expresamente la obligación del futuro contratista de respetar la normativa vigente en materia de protección de datos. Asimismo, se añade un párrafo cuarto relativo a los contratos que exijan el tratamiento por el contratista de datos personales por parte del responsable del tratamiento, indicando que en estos casos será obligatorio hacer constar en el pliego tanto la finalidad de la cesión de datos como la obligación de la empresa adjudicataria de mantener al contratante al corriente de la ubicación de los correspondientes servidores. También se añade un párrafo quinto para establecer que los extremos mencionados en el párrafo cuarto deben hacerse constar en los pliegos como obligaciones esenciales a los efectos del régimen de resolución del contrato.

En sexto lugar, el presente real decreto-ley da una nueva redacción al artículo 202.1 de la Ley 9/2017, de 8 de noviembre, regulador de las condiciones especiales de ejecución del contrato de carácter social, ético, medioambiental o de otro orden. En concreto, se introduce un párrafo tercero relativo a los pliegos correspondientes a contratos cuya ejecución implique la cesión de datos por las entidades del sector público al contratista. Mediante esta adición se impone la exigencia de que los pliegos incluyan, como condición especial de ejecución, la obligación del contratista de someterse a la normativa nacional y de la Unión Europea en materia de protección de datos. Asimismo, en los pliegos debe advertirse al contratista de que esta obligación tiene el carácter de obligación contractual esencial a los efectos del régimen de resolución del contrato.

En séptimo lugar, el artículo 5 siete del real decreto-ley da una nueva redacción al artículo 215.4 de la Ley 9/2017, relativo a la subcontratación, para incluir, entre las obligaciones del contratista principal, la de asumir la total responsabilidad de la ejecución del contrato frente a la Administración también por lo que respecta a la obligación de sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos.

El capítulo IV de este real decreto-ley regula varias medidas para reforzar la seguridad en materia de telecomunicaciones. Así, el artículo 6 de esta norma acomete cinco modificaciones de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, con el objetivo de potenciar las facultades de que dispone el Gobierno, a través del Ministerio de Economía y Empresa, para afrontar situaciones que pueden afectar al mantenimiento del orden público, la seguridad pública o la seguridad nacional.

Así, en concreto, se modifican los artículos 4.6 y 6.3 de la Ley 9/2014, de 9 de mayo, para reforzar las potestades del Ministerio de Economía y Empresa para llevar a cabo un mayor control y para mejorar sus posibilidades de actuación cuando la comisión de una presunta actuación infractora a través del uso de las redes y servicios de comunicaciones electrónicas pueda suponer una amenaza grave e inmediata para el orden público, la seguridad pública o la seguridad nacional o cuando en determinados supuestos excepcionales que también puedan comprometer el orden público, la seguridad pública y la seguridad nacional sea necesaria la asunción de la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas.

Estas mayores posibilidades de actuación que se reconocen no se limitan en su aplicación a un concepto estricto de una red o un servicio de comunicaciones electrónicas, sino que extienden su eficacia a los elementos que necesariamente acompañan a la instalación o despliegue de una red o la prestación de un servicio de comunicaciones electrónicas, como son las infraestructuras susceptibles de alojar redes públicas de comunicaciones electrónicas, sus recursos asociados o cualquier elemento o nivel de la red o del servicio que resulte necesario para preservar o restablecer el orden público, la seguridad pública y la seguridad nacional.

En necesaria correlación con este reforzamiento de funciones públicas en estas situaciones excepcionales, se potencia igualmente la potestad sancionadora del Ministerio de Economía y Empresa con el objetivo de hacer efectivas y reales las actuaciones que pueda adoptar en uso de estas nuevas facultades de actuación dirigidas a preservar o restablecer el orden público, la seguridad pública y la seguridad nacional. Con esta finalidad, el presente real decreto-ley da una nueva redacción a los artículos 76.15, 77.28 y 81.1 de la Ley 9/2014, de 9 de mayo. En particular, se amplían los supuestos en los que el Ministerio de Economía y Empresa puede adoptar medidas cautelares en casos de razones de imperiosa urgencia sin audiencia previa del presunto infractor, que puede incluir el cese de la actividad o la prestación de servicios, incorporando al efecto algunos de los supuestos que contemplados con dicha finalidad figuran en el artículo 30.6 del Código Europeo de las Comunicaciones Electrónicas, aprobado por la Directiva 2018/1972, de 11 de diciembre de 2018, del Parlamento Europeo y del Consejo, en especial, los relativos a la existencia de una amenaza inmediata y grave para el orden público, la seguridad pública o la seguridad nacional.

Por último, el capítulo V incorpora medidas para reforzar la coordinación en materia de seguridad de las redes y sistemas de información. Para ello, efectúa una modificación del real decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, en virtud de la cual el Centro Criptológico Nacional (CCN) ejercerá la coordinación nacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática (CSIRT) en materia de seguridad de las redes y sistemas de información del sector público. Adicionalmente, se prevé que el CCN ejercerá la función de enlace para garantizar la cooperación transfronteriza de los CSIRT de las Administraciones Públicas con los CSIRT internacionales en la respuesta a los incidentes y gestión de riesgos de seguridad.

III

El real decreto-ley constituye un instrumento constitucionalmente lícito, siempre que el fin que justifica la legislación de urgencia, sea, tal como reiteradamente ha exigido nuestro Tribunal Constitucional (Sentencias 6/1983, de 4 de febrero, F. 5; 11/2002, de 17 de enero, F. 4, 137/2003, de 3 de julio, F. 3 y 189/2005, de 7 julio, F.3), subvenir a un situación concreta, dentro de los objetivos gubernamentales, que por razones difíciles de prever exige una acción normativa inmediata en un plazo más breve que el requerido por la vía normal o por el procedimiento de urgencia para la tramitación parlamentaria de las leyes.

En relación con la concurrencia de los presupuestos habilitantes de extraordinaria y urgente necesidad, debe tenerse en cuenta la doctrina de nuestro Tribunal Constitucional, resumida en el Fundamento Jurídico IV de la Sentencia 61/2018, de 7 de junio de 2018. De acuerdo con ella, se requieren, por un lado, «la presentación explícita y razonada de los motivos que han sido tenidos en cuenta por el Gobierno en su aprobación», es decir, lo que ha venido en denominarse, la situación de urgencia; y, por otro, «la existencia de una necesaria conexión entre la situación de urgencia definida y la medida concreta adoptada para subvenir a ella».

En cuanto a la situación de urgencia, el Tribunal Constitucional ha indicado que «aun habiendo descartado que la utilización por el Gobierno de su potestad legislativa extraordinaria deba circunscribirse a situaciones de fuerza mayor o emergencia, es lo cierto que hemos exigido la concurrencia de ciertas notas de excepcionalidad, gravedad, relevancia e imprevisibilidad que determinen la necesidad de una acción normativa inmediata en un plazo más breve que el requerido para la tramitación parlamentaria de las leyes, bien sea por el procedimiento ordinario o por el de urgencia» (SSTC 68/2007, FJ 10, y 137/2011, FJ 7). También ha señalado el Tribunal Constitucional que la valoración de la extraordinaria y urgente necesidad de una medida puede ser independiente de su imprevisibilidad e, incluso, de que tenga su origen en la previa inactividad del propio Gobierno, siempre que concurra efectivamente la excepcionalidad de la situación, pues «lo que aquí debe importar no es tanto la causa de las circunstancias que justifican la legislación de urgencia cuanto el hecho de que tales circunstancias efectivamente concurran» (STC 11/2002, de 17 de enero, FJ 6).

En cuanto a la conexión de sentido entre la situación de necesidad definida y las medidas que en el real decreto-ley se adoptan, el Tribunal Constitucional atiende a «un doble criterio o perspectiva para valorar la existencia de la conexión de sentido: el contenido, por un lado, y la estructura, por otro, de las disposiciones incluidas en el Real Decreto-ley controvertido» (SSTC 29/1982, de 31 de mayo, FJ 3; 1/2012, de 13 de enero, FJ 11; 39/2013, de 14 de febrero, FJ 9; y 61/2018, de 7 de junio, FJ 4).

La alternativa de introducir estas medidas mediante un proyecto de ley no es factible en el presente caso, habida cuenta de que las Cámaras se encuentran disueltas y no es posible dilatar su adopción hasta la constitución de las Cortes Generales, y, aun utilizándose entonces el trámite de urgencia, no se lograría reaccionar a tiempo.

Los motivos que acaban de exponerse justifican ampliamente la concurrencia de los requisitos constitucionales de extraordinaria y urgente necesidad, que habilitan al Gobierno para aprobar el presente real decreto-ley dentro del margen de apreciación que, en cuanto órgano de dirección política del Estado, le reconoce el artículo 86.1 de la Constitución (STC 142/2014, FJ 3 y STC 61/2018, FFJJ 4 y 7). Concurren también las notas de excepcionalidad, gravedad y relevancia que hacen necesaria una acción normativa inmediata en un plazo más breve que el requerido para la tramitación parlamentaria de una ley, bien sea por el procedimiento ordinario o por el de urgencia (STC 68/2007, FJ 10 y STC 137/2011, FJ 7).

Por lo demás, en el supuesto abordado por este real decreto-ley ha de subrayarse que para subvenir a la situación de extraordinaria y urgente necesidad descrita es necesario proceder a la reforma de varias normas con rango de ley, lo que de por sí exige «una respuesta normativa con rango de ley» (STC 152/2017, de 21 de diciembre, FJ 3 i).

IV

El presente real decreto-ley respeta los límites constitucionalmente establecidos para el uso de este instrumento normativo, pues no afecta al ordenamiento de las instituciones básicas del Estado, a los derechos, deberes y libertades de los ciudadanos regulados en el Título I de la Constitución, al régimen de las comunidades autónomas ni al Derecho electoral general.

Ciertamente, el presente real decreto-ley contiene varias medidas de modificación de leyes preexistentes que refuerzan el cumplimiento de la normativa en materia de protección de datos No obstante, tales normas no constituyen una regulación del régimen general del derecho a la protección de datos, ni van en contra del contenido o elementos esenciales del este derecho, que son los contenidos prohibidos al instrumento jurídico del real decreto-ley según reiterada doctrina constitucional (sintetizada, recientemente, en la STC 139/2016, de 21 julio). Así, el presente real decreto-ley se limita a regular varios aspectos meramente puntuales respecto del tratamiento de datos personales por parte de las Administraciones Públicas y sus contratistas al amparo de la habilitación contenida en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Por lo demás, este real decreto-ley no invade la reserva de ley orgánica prevista en el artículo 81 de la Constitución ni en ningún otro precepto constitucional, en tanto que no se modifican preceptos de carácter orgánico. En particular, carece de carácter orgánico el artículo 8.1 de la Ley Orgánica 4/2015, de 30 de marzo, de Protección de la Seguridad Ciudadana, como expresamente dispone la Disposición Final Tercera de dicho texto legal.

V

El artículo 21.3 de la Ley 50/1997, de 27 de noviembre, del Gobierno, habilita al Gobierno en funciones para adoptar medidas distintas al despacho ordinario de los asuntos públicos en «casos de urgencia debidamente acreditados», así como «por razones de interés general cuya acreditación expresa así lo justifique».

Por su parte, los apartados 4 y 5 del artículo 21 de la Ley 50/1997, de 27 de noviembre, recogen una serie de facultades cuyo ejercicio está expresamente vedado al Gobierno en funciones, sin que ninguna de ellas se refiera a la aprobación de reales decretos-leyes. Dichas funciones de ejercicio prohibido para el Ejecutivo en funciones se refieren a cuestiones netamente distintas. En efecto, el artículo 21.4 establece que el Presidente del Gobierno en funciones no podrá proponer al Rey la disolución de alguna de las Cámaras, o de las Cortes Generales, ni plantear la cuestión de confianza, ni tampoco proponer al Rey la convocatoria de un referéndum consultivo. Por su parte, el artículo 21.5 de la Ley 50/1997, de 27 de noviembre, dispone que el Gobierno en funciones no podrá aprobar el Proyecto de Ley de Presupuestos Generales del Estado, ni tampoco presentar proyectos de ley al Congreso de los Diputados o, en su caso, al Senado.

La facultad del Gobierno en funciones de aprobar reales decretos leyes es congruente, por lo demás, con la exigencia de que concurra el presupuesto habilitante de extraordinaria y urgente necesidad previsto en el artículo 86 de la Constitución Española.

VI

El presente real decreto-ley se dicta al amparo de las competencias estatales contempladas en los apartados 18.ª, 21.ª y 29.ª del artículo 149.1 de la Constitución Española.

Por lo que respecta al artículo 149.1.18.ª de la Constitución Española, mediante el presente real decreto-ley se reforman las Leyes 39/2015, de 1 de octubre, y 40/2015, de 1 de octubre, aprobadas por el legislador estatal en ejercicio de su competencia sobre las bases del régimen jurídico de las Administraciones Públicas y sobre el procedimiento administrativo común. Asimismo, el presente real decreto-ley procede a la modificación de varios preceptos de la Ley 9/2017, de 8 de noviembre, preceptos que se enmarcan en la competencia estatal sobre legislación básica en materia de contratos y concesiones administrativas.

En virtud del artículo 149.1.21.ª de la Constitución Española, que atribuye al Estado la competencia exclusiva en materia de correos y telecomunicaciones, el presente real decreto-ley modifica varios preceptos de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones y del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

En cuanto a las competencias exclusivas del Estado en materia de seguridad pública (artículo 149.1.29.ª de la Constitución Española), el presente real decreto-ley modifica la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana y el mencionado Real Decreto-ley 12/2018. De acuerdo con este mismo título competencial, se modifica también la Ley 59/2003, de 19 de diciembre, de firma electrónica. Por último, es esta habilitación competencial la que ampara las modificaciones referidas a la necesaria autorización previa por parte de la Administración General del Estado de los sistemas de identificación y firma que cuenten con un registro previo como usuario.

Como se ha justificado en los apartados anteriores, las medidas contenidas en el presente real decreto-ley tienen como finalidad incrementar el estándar de protección de la seguridad pública frente a las crecientes amenazas que plantea el uso de las nuevas tecnologías y a la luz siempre de los últimos sucesos en territorio español. Ha de recordarse que, según la jurisprudencia constitucional, la seguridad pública se refiere a la «actividad dirigida a la protección de personas y bienes (seguridad en sentido estricto) y al mantenimiento de la tranquilidad u orden ciudadanos»; aunque no se limita a regular «las actuaciones específicas de la llamada Policía de seguridad», pues «la actividad policial es una parte de la materia más amplia de la seguridad pública» que «abarca un amplio espectro de actuaciones administrativas» (STC 86/2014, de 29 de mayo, FFJJ 2 y 4, entre otras) e incluye «un conjunto plural y diversificado de actuaciones, distintas por su naturaleza y contenido, aunque orientadas a una misma finalidad tuitiva del bien jurídico así definido» (STC 235/2001, de 13 de diciembre, FJ 6, y las allí citadas).

El Tribunal Constitucional ha situado dentro del concepto de seguridad pública, entre otros extremos, a «las situaciones o productos que son susceptibles de ocasionar graves riesgos para personas y bienes, lo que exige la adopción de medidas de especial intensidad», así como «la regulación de materias concretas susceptibles de originar riesgos ciertos que pueden afectar de modo directo y grave a la seguridad de personas y bienes, tomando en consideración, especialmente, fenómenos colectivos que implican la aparición de amenazas, coacciones o acciones violentas, con graves repercusiones en el funcionamiento de los servicios públicos y en la vida ciudadana» (STC 25/2004, de 26 de febrero, FJ 6).

VII

En la elaboración de este real decreto-ley se han observado los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia, exigidos por el artículo 129 de la Ley 39/2015, de 1 de octubre.

Por una parte, resulta evidente el principio de proporcionalidad, toda vez que las medidas contempladas en esta norma se ajustan plenamente al objetivo que pretende conseguirse mediante este instrumento. Asimismo, cumple los principios de seguridad jurídica ya que es coherente con el resto del ordenamiento jurídico nacional y de la Unión Europea, asegurando su correcta incardinación y congruencia con la regulación vigente. Por lo demás, la norma es coherente con el principio de transparencia al haber cumplido estrictamente con los procedimientos exigidos en la tramitación de un real decreto-ley. No se han realizado los trámites de participación pública, tal y como excepciona para los reales decretos-leyes el artículo 26.11 de la Ley 50/1997, de 27 de noviembre, del Gobierno.

Por otra parte, las medidas contenidas en el real decreto-ley son adecuadas y proporcionadas a las necesidades que exigen su dictado, sin que a estos efectos quepa considerar que existan otras alternativas menos restrictivas o que impongan menos obligaciones a los destinatarios, más bien al contrario, tras la adopción de esta norma con rango de ley se establecerán mejoras sustanciales en el ámbito de la administración electrónica, la contratación pública y las telecomunicaciones.

Se ha solicitado el informe preceptivo de la Oficina de Coordinación y Calidad Normativa, previsto en el artículo 26.9 de la Ley 59/1997, de 27 de noviembre, del Gobierno.

En su virtud, en uso de la autorización concedida en el artículo 86 de la Constitución, a propuesta de la Vicepresidenta del Gobierno y Ministra de la Presidencia, Relaciones con las Cortes e Igualdad, de las Ministras de Justicia, de Defensa, y de Hacienda, del Ministro del Interior, del Ministro de Política Territorial y Función Pública, por suplencia, el Ministro de Agricultura, Pesca y Alimentación, en virtud del Real Decreto 351/2019, de 20 de mayo, y de la Ministra de Economía y Empresa, y previa deliberación del Consejo de Ministros en su reunión del día 31 de octubre de 2019,

DISPONGO:

CAPÍTULO I. 
Medidas en materia de documentación nacional de identidad

Artículo 1. 
Modificación de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.

Se modifica el apartado 1 del artículo 8 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, que queda redactado en los siguientes términos:

Artículo 2. 
Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se modifica el apartado 1 del artículo 15 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, en los siguientes términos:

CAPÍTULO II. 
Medidas en materia de identificación electrónica ante las Administraciones Públicas, ubicación de determinadas bases de datos y datos cedidos a otras Administraciones Públicas

Artículo 3. 
Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas queda modificada en los siguientes términos:

Uno. Se modifica el apartado 2 del artículo 9, que queda con el siguiente contenido y se añade un nuevo apartado 3, renumerando el apartado 3 que pasa a ser el apartado 4:

Dos. Se modifica el apartado 2 del artículo 10, que queda con el siguiente contenido, y se añade un nuevo apartado 3, renumerando los apartados 3 y 4 que pasan a ser 4 y 5:

Tres. Se añade una nueva disposición adicional sexta, con la siguiente redacción:

Artículo 4. 
Modificación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público queda modificada en los siguientes términos:

Uno. Se introduce un nuevo artículo 46 bis, que queda redactado como sigue:

Dos. Se da nueva redacción al artículo 155, que queda redactado como sigue:

CAPÍTULO III. 
Medidas en materia de contratación pública

Artículo 5. 
Modificación de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

Uno. Se da nueva redacción a la letra d) del apartado 1 del artículo 35, que queda redactado como sigue:

Dos. Se introduce una nueva letra h) al apartado 2 del artículo 39, que queda con la siguiente redacción:

Tres. Se da nueva redacción a la letra d) del apartado 2 del artículo 71:

Cuatro. Se da nueva redacción al apartado 1 del artículo 116, que queda redactado como sigue:

Cinco. Se da nueva redacción al apartado 2 del artículo 122, que queda redactado como sigue:

Seis. Se da nueva redacción al apartado 1 del artículo 202, que queda redactado como sigue:

Siete. Se da nueva redacción al apartado 4 del artículo 215, que queda redactado como sigue:

CAPÍTULO IV. 
Medidas para reforzar la seguridad en materia de telecomunicaciones

Artículo 6. 
Modificación de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

Uno. Se da nueva redacción al apartado 6 del artículo 4, que queda redactado de la manera siguiente:

Dos. Se introduce un nuevo apartado 3 en el artículo 6, que queda redactado como sigue:

Tres. Se da nueva redacción al apartado 15 del artículo 76, que queda redactado como sigue:

Cuatro. Se da nueva redacción al apartado 28 del artículo 77, que queda redactado como sigue:

Cinco. Se da nueva redacción al apartado 1 del artículo 81, que queda redactado como sigue:

CAPÍTULO V. 
Medidas para reforzar la coordinación en materia de seguridad de las redes y sistemas de información

Artículo 7. 
Modificación del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Se introduce un apartado 3 en el artículo 11 del siguiente tenor literal:

DISPOSICIÓN ADICIONAL 

Disposición adicional única. 
Comunicación de las redes de comunicaciones electrónicas en régimen de autoprestación de las Administraciones Públicas.

Las Administraciones Públicas deberán comunicar al Ministerio de Economía y Empresa en el plazo de un mes de la entrada en vigor de este real decreto-ley las redes de comunicaciones electrónicas en régimen de autoprestación que hagan uso del dominio público a las que se refiere el artículo 6.3 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones que hayan sido instaladas o estén en proceso de instalación o explotación.

DISPOSICIONES TRANSITORIAS 

Disposición transitoria primera. 
Régimen transitorio de las modificaciones introducidas en el artículo 3.

1. Las entidades del Sector Público que quieran habilitar sistemas de identificación o firma conforme a las letras c) de los artículos 9.2 y 10.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, a partir de la entrada en vigor de este real decreto-ley, deberán solicitar la autorización prevista en dichos preceptos. Los sistemas que, antes de la citada entrada en vigor, ya estén validados y plenamente operativos en los procedimientos administrativos de que se trate, no requerirán someterse a dicha autorización.

2. Las entidades pertenecientes al Sector Público deberán adoptar las medidas necesarias para cumplir la obligación prevista en los artículos 9.3 y 10.3 de la Ley 39/2015, de 1 de octubre, en el plazo máximo de seis meses a partir de la entrada en vigor de este real decreto-ley cuando gestionen directamente o a través de medios propios los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de identificación y firma.

3. En el caso de que la gestión de los recursos citados en el apartado anterior se lleve a cabo mediante la licitación de contratos del Sector Público, directamente por los sujetos a los que es de aplicación la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público o por sus medios propios, la obligación de adaptarse a lo preceptuado en estos artículos no se aplicará a los expedientes de contratación iniciados antes de la entrada en vigor de este real decreto-ley, que se regirán por la normativa anterior. Los contratos adjudicados en virtud de dichos expedientes, aun cuando mantendrán su plena validez y eficacia, no podrán ser objeto de modificación que vulnere lo establecido en los citados preceptos. Tampoco podrán ser objeto de prórroga salvo que previamente sean objeto de modificación para adaptarse a las disposiciones que en ellos se contienen, siempre y cuando ello sea posible conforme a la Ley 9/2017, de 8 de noviembre.

4. A los efectos de lo dispuesto en esta disposición transitoria se entenderá que los expedientes de contratación han sido iniciados si se hubiera publicado la correspondiente convocatoria del procedimiento de adjudicación del contrato. En el caso de procedimientos negociados sin publicidad, para determinar el momento de iniciación se tomará en cuenta la fecha de aprobación de los pliegos.

5. En el plazo de tres meses desde la entrada en vigor de este real decreto-ley, las distintas Administraciones Públicas remitirán a la Comisión Sectorial de Administración Electrónica la información sobre todos los contratos vigentes que tengan por objeto los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de identificación y firma, así como de aquellos cuyos expedientes ya estén iniciados conforme al apartado anterior.

Disposición transitoria segunda. 
Régimen transitorio de las modificaciones introducidas en el artículo 4.

1. Las entidades pertenecientes al Sector Público deberán adoptar las medidas necesarias para cumplir la obligación prevista en el artículo 46 bis de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en el plazo máximo de seis meses a partir de la entrada en vigor de este real decreto-ley cuando gestionen directamente o a través de medios propios los sistemas de información y comunicaciones a que dicho precepto se refiere.

2. En el caso de que la gestión de los sistemas citados en el apartado anterior se lleve a cabo mediante la licitación de contratos del Sector Público, directamente por los sujetos a los que es de aplicación la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público o por sus medios propios, la obligación de adaptarse a lo preceptuado en el artículo 46 bis de la Ley 40/2015, de 1 de octubre, no se aplicará a los expedientes de contratación iniciados antes de la entrada en vigor de este real decreto-ley, que se regirán por la normativa anterior.

Los contratos adjudicados en virtud de dichos expedientes, aun cuando mantendrán su plena validez y eficacia, no podrán ser objeto de modificación que vulnere lo establecido en los citados preceptos. Tampoco podrán ser objeto de prórroga salvo que previamente sean objeto de modificación para adaptarse a las disposiciones que en ellos se contienen.

3. A los efectos de lo dispuesto en esta disposición se entenderá que los expedientes de contratación han sido iniciados si se hubiera publicado la correspondiente convocatoria del procedimiento de adjudicación del contrato. En el caso de procedimientos negociados sin publicidad, para determinar el momento de iniciación se tomará en cuenta la fecha de aprobación de los pliegos.

Disposición transitoria tercera. 
Régimen transitorio de las modificaciones introducidas en el artículo 5.

1. Los expedientes de contratación iniciados antes de la entrada en vigor de este real decreto-ley se regirán por la normativa anterior. A estos efectos se entenderá que los expedientes de contratación han sido iniciados si se hubiera publicado la correspondiente convocatoria del procedimiento de adjudicación del contrato. En el caso de procedimientos negociados sin publicidad, para determinar el momento de iniciación se tomará en cuenta la fecha de aprobación de los pliegos.

2. No obstante lo anterior, los contratos basados en acuerdos marco que no establezcan todos los términos se regirán por la normativa vigente en la fecha de envío de la invitación a la licitación a las empresas parte del acuerdo marco o por la normativa vigente en la fecha de adjudicación si el contrato basado no requiriera una nueva licitación. En los casos en que el acuerdo marco se hubiera licitado con sujeción a la normativa anterior y, como consecuencia de la aplicación de lo dispuesto en el primer inciso de este párrafo, a alguno o algunos de los contratos basados en ese acuerdo marco le resultara de aplicación la nueva regulación resultante de este Real Decreto-ley, el órgano de contratación deberá elaborar los documentos de la licitación correspondiente a dichos contratos basados de acuerdo con esta nueva regulación.

3. El artículo 5 será de aplicación a las modificaciones de los contratos que se inicien con posterioridad a su entrada en vigor.

DISPOSICIONES FINALES 

Disposición final primera. 
Títulos competenciales.

1. Los artículos 1 y 2 de este real decreto-ley se dictan al amparo del artículo 149.1.29.ª de la Constitución, que atribuye al Estado la competencia exclusiva en materia de seguridad pública.

2. Los artículos 3 y 4, así como las disposiciones transitoria primera y segunda se dictan al amparo del artículo 149.1.18.ª de la Constitución Española, que atribuye al Estado la competencia exclusiva para dictar las bases del régimen jurídico de las Administraciones Públicas y sobre el procedimiento administrativo común y del artículo 149.1.29.ª de la Constitución, que atribuye al Estado competencia exclusiva en materia de seguridad pública.

3. El artículo 5, así como la disposición transitoria tercera, se dictan al amparo de lo dispuesto en el artículo 149.1.18.ª de la Constitución Española en materia de bases del régimen jurídico de las Administraciones Públicas y en materia de legislación básica sobre contratos y concesiones administrativas y, en consecuencia, son de aplicación general a todas las Administraciones Públicas que entren dentro de su ámbito de aplicación, así como a los organismos y entidades dependientes de ellas.

4. El artículo 6, así como la disposición adicional única, se dictan al amparo de la competencia exclusiva estatal en materia de telecomunicaciones, prevista en el artículo 149.1.21.ª de la Constitución que atribuye al Estado la competencia exclusiva en materia de régimen general de comunicaciones.

5. El artículo 7 se dicta al amparo de las competencias exclusivas atribuidas al Estado en materia de régimen general de telecomunicaciones y seguridad pública, por el artículo 149.1.21.ª de la Constitución, que atribuye al Estado competencia exclusiva en materia de régimen general de comunicaciones y 29.ª de la Constitución, que atribuye al Estado competencia exclusiva en materia de seguridad pública.

Disposición final segunda. 
Desarrollo reglamentario y ejecución.

Se habilita al Gobierno y a las personas titulares de los departamentos ministeriales, en el ámbito de sus competencias, a dictar cuantas disposiciones sean necesarias para el desarrollo y ejecución de lo dispuesto en este real decreto-ley.

Disposición final tercera. 
Entrada en vigor.

El presente real decreto-ley entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

Dado en Madrid, el 31 de octubre de 2019.

FELIPE R.

El Presidente del Gobierno,

PEDRO SÁNCHEZ PÉREZ-CASTEJÓN