La seguridad informática en la nueva Ley de contratos públicos
Requisitos legales básicos que deben cumplir las plataformas de licitación
La seguridad de la información en la utilización de medios electrónicos en los procesos de licitación previstos en la Ley 9/2017 LCSP, resulta ser uno de los ejes esenciales para una correcta aplicación de las previsiones de esta Ley, aunque no se le otorgue en la práctica diaria la obligada importancia que le corresponde, y ello, por cuanto:
- No hay administración electrónica, con seguridad jurídica, sin una adecuada protección de la seguridad de la información y de los datos personales en poder de la administración
- No es posible implementar una licitación electrónica que resulte respetuosa con las obligatorias garantías procedimentales referidas al secreto de las ofertas, si no podemos garantizar que nuestros sistemas informáticos cumplen las exigencias técnicas legalmente establecidas.
Requisitos legales básicos que deben cumpir las plataformas de licitación
Primero. La utilización de medios electrónicos de comunicación no queda exenta de las exigencias correspondientes en materia de seguridad, y en este sentido se manifiesta el artículo 22.3 de la Directiva 2014/24/UE que señala: «los poderes adjudicadores velarán por que en todas las comunicaciones, intercambios y almacenamiento de información se preserven la integridad de los datos y la confidencialidad de las ofertas y las solicitudes de participación», así como que «no examinarán el contenido de las ofertas y solicitudes de participación hasta que venza el plazo previsto para su presentación».
Esta obligación general de seguridad se concreta en el Anexo IV de la Directiva 2014/24/UE, relativo a requisitos que deben cumplir las herramientas y los dispositivos de recepción electrónica de las ofertas, de las solicitudes de participación, así como de los planos y proyectos en los concursos, mediante medios técnicos y procedimientos adecuados, y que tienen el carácter de mínimo exigible.
Segundo. La Seguridad de la información es objeto de regulación en los apartados d) y f) de la disposición adicional 16ª de la LCSP, cuyo contenido es idéntico al regulado en la disposición adicional decimosexta del TRLCSP, y a este respecto, la principal crítica a realizar y esencial, es la ausencia de cualquier referencia a las previsiones del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).
Tercero. Lo anterior, no supone que las previsiones del Esquema Nacional de Seguridad (ENS) no resulten de obligada aplicación. Dado el carácter general y básico de las previsiones del ENS no hay duda alguna de que su contenido resulta exigible a las plataformas de licitación de electrónica.
Es preciso destacar que Esquema Nacional de Seguridad (ENS) ofrece un marco integral y completo para el aseguramiento de la información, y en aplicación del mismo de forma correlativa se acreditará adecuadamente el cumplimiento de los requisitos de seguridad impuestos por la Directiva 2014/24/UE y la LCSP, y en aplicación del principio de proporcionalidad previsto en el artículo 22.6.b) de la Directiva 2014/24/UE y el apartado 1.f) de la disposición adicional decimosexta de la LCSP, el ENS modula el cumplimiento de los requisitos a cumplir en función de las necesidades de seguridad que se precisen para cada caso.
Cuarto. El ENS emplea el concepto de categoría de seguridad del sistema de información (en este caso, para las comunicaciones, incluyendo en su caso la presentación de propuestas y otros documentos, o para la gestión de los expedientes de contratación, etc.). Así, en su calidad de responsable del servicio (artículo 44.1 del ENS), el órgano de contratación debe realizar la valoración del «impacto que tendría un incidente que afectara a la seguridad de la información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, como dimensiones de seguridad» (artículo 43.2 del ENS), mediante el procedimiento establecido a este efecto en el anexo I del propio ENS.
Conforme al Esquema Nacional de Seguridad, es preciso realizar este análisis para las informaciones esenciales que gestiona el servicio, y para el propio servicio, al objeto de determinar la categoría de seguridad global del sistema de información, lo que permitirá seleccionar y aplicar las medidas de seguridad correspondientes, de las previstas en el Anexo II del ENS.
Este Anexo II contiene hasta ochenta medidas de seguridad, con el carácter de mínimo exigible, agrupadas en medidas de tipo organizativo, medidas de tipo operacional y medidas de protección, siendo la mayoría de ellas de tipo técnico.
Quinto. Las administraciones públicas que vayan a incorporar una plataforma de licitación electrónica, incluidas las cloud computing, deberían exigir para asegurarse de que se cumplen las exigencias de seguridad citadas una auditoría de certificación de cumplimiento del Esquema Nacional de Seguridad prevista en el artículo 34 del Real Decreto 3/2010, que resulta obligatoria con una periodicidad de dos años, y que dictamina sobre el grado de cumplimiento de las obligaciones del Esquema Nacional de Seguridad, resultando conveniente que dicha auditoría incluya también la verificación del cumplimiento de los requisitos específicos de la LCSP que no se contengan en el Esquema Nacional de Seguridad, algo que normalmente sucederá en el caso de las plataformas de contratación electrónica.
Finalmente, de forma complementaria que no obligatoria, a efectos de solvencia técnica admitiendo siempre su equivalente, resultaría recomendable la exigencia de estar en posesión de la norma ISO 27001.
Jorge Fondevila Antolín es Jefe de la Asesoría Jurídica. Consejería de Presidencia y Justicia (Gobierno de Cantabria).
También te puede interesar la «Guía con los contenidos más destacados de la nueva LCSP 2017», realizada por Javier Vázquez Matilla. Descárgala aquí.
