Vistas de página en total

sábado, 14 de diciembre de 2019

Modificación de la Ley 39/2015 y de la Ley 40/2015 en materia de Administración digital por el Real Decreto-ley 14/2019, de 31 de octubre


El Gobierno ha dictado el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Este real decreto-ley modifica los artículos 9 y 10 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, e introduce en la norma una nueva disposición adicional sexta, y asimismo modifica la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público introduciendo un nuevo artículo 46 bis, y dando una nueva redacción al artículo 155.

El Real Decreto-ley 14/2019 ha sido convalidado por el Congreso de los Diputados en la sesión de 27 de noviembre de 2019. En su exposición de motivos se pone de relieve que las nuevas tecnologías plantean desafíos desde el punto de vista de la seguridad entre los que se encuentran las actividades de desinformación, las interferencias en los procesos de participación política de la ciudadanía y el espionaje, que se ven incrementados por la implementación de la administración electrónica, que extiende la posible superficie de ataque. Todo ello aconseja modificar el marco normativo vigente con la introducción de medidas preventivas para proteger los derechos y libertades constitucionalmente reconocidos y garantizar la seguridad pública de todos los ciudadanos.

Modificación de la Ley 39/2015

En primer lugar, se suprime el inciso final de la letra a) del apartado 2 de los arts. 9 y 10, para adaptar sus respectivos contenidos al Reglamento (UE) N.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado.

En segundo lugar, se modifica la letra c) del apartado 2 de los arts. 9 y 10, introduciendo la exigencia de que cuenten con un registro previo como usuario que permita garantizar su identidad tanto los sistemas de identificación de las personas interesadas en el procedimiento de clave concertada y cualquier otro sistema que las Administraciones públicas consideren válido diferente de los mencionados en las letras a) y b) del art. 9.2, como los sistemas de firma admitidos por las Administraciones públicas diferentes de los previstos las letras a) y b) del art. 10.2. Dicho registro previo habrá de ser autorizado previamente por la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior, y solo podrá ser denegado por motivos de seguridad pública.

En tercer lugar, se añade un nuevo apartado 3 tanto al art. 9 como al art. 10 en que se establece la obligatoriedad de que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de identificación previstos en la letra c) del apartado 2 de los arts. 9 y 10 se encuentren situados en territorio de la Unión Europea, y en caso de tratarse de categorías especiales de datos a los que se refiere el artículo 9 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en territorio español. En cualquier caso, los datos se encontrarán disponibles para su acceso por parte de las autoridades judiciales y administrativas competentes. Se establece también que dichos datos no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.

Por último, se añade a la Ley 39/2015 una nueva disposición adicional sexta que excluye los sistemas de identificación basados en tecnologías de registro distribuido[i] y los sistemas de firma basados en los anteriores, en tanto que no sean objeto de regulación específica por el Estado en el marco del Derecho de la Unión Europea. Además, establece que cualquier sistema de identificación basado en tecnología de registro distribuido que prevea la legislación estatal deberá contemplar que la Administración General del Estado actuará como autoridad intermedia que ejercerá las funciones que corresponda para garantizar la seguridad pública.

Modificación de la Ley 40/2015

El Real Decreto-ley 14/2019 introduce dos modificaciones en la Ley 40/2015.

En primer lugar, adiciona a la Ley un nuevo art. 46 bis que exige que los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, se ubiquen y se presten dentro del territorio de la Unión Europea. Asimismo, establece que dichos datos no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.

En segundo lugar, da una nueva redacción al art. 155, que en el apartado 1 consiste en actualizar la desfasada referencia a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, sustituyéndola por el conjunto normativo vigente formado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE y por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y su normativa de desarrollo.

La modificación de fondo del artículo, contenida en sus apartados 2 y 3, tiene la finalidad, en palabras de la exposición de motivos del real decreto-ley, de permitir un mayor control de los datos cedidos entre Administraciones Públicas, al efecto de garantizar la adecuada utilización de los mismos. En este sentido, cuando se produzca la cesión de datos relativos a los interesados entre Administraciones públicas, se prohíbe un tratamiento ulterior de los datos para fines incompatibles con el fin para el cual se recogieron inicialmente los datos personales, sin que se considere incompatible con los fines iniciales el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos.

Además, exceptuado este caso y siempre que no exista una prohibición específica por ley del tratamiento ulterior de los datos para finalidades distintas, cuando la Administración Pública cesionaria de los datos pretenda el tratamiento ulterior de los mismos para una finalidad que estime compatible con el fin inicial, deberá comunicarlo previamente a la Administración Pública cedente a los efectos de que esta pueda comprobar dicha compatibilidad, la cual podrá oponerse motivadamente en el plazo de 10 días, pero en tanto que la Administración Pública cedente no comunique su decisión a la cesionaria esta no podrá emplear los datos para la nueva finalidad pretendida.

Cuando la Administración cedente sea la Administración General del Estado podrá en este supuesto, excepcionalmente y de forma motivada, suspender la transmisión de datos por razones de seguridad nacional de forma cautelar por el tiempo estrictamente indispensable para su preservación.

El procedimiento descrito no será aplicable a los supuestos en que el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales esté previsto en una norma con rango de ley de conformidad con lo previsto en el artículo 23.1 del Reglamento (UE) 2016/679.




[i] Una tecnología de registro distribuido permite registrar, compartir y sincronizar transacciones y datos entre múltiples usuarios en múltiples ubicaciones, creando un entorno descentralizado. Dicha base de datos está replicada en las computadoras de los usuarios y se actualiza mediante protocolos de consenso. Las tecnologías Blockchain son una forma de tecnología de registro distribuido. Transcrito de https://www.fundacionbankinter.org/en/ftf/tendencias/el-futuro-del-dinero/tecnologias-facilitadoras-de-la-revolucion-monetaria/tecnologias-de-registro-distribuido