El Gobierno ha
dictado el Real
Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas
urgentes por razones de seguridad pública en materia de administración digital,
contratación del sector público y telecomunicaciones. Este real decreto-ley
modifica los artículos 9 y 10 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas, e
introduce en la norma una nueva disposición adicional sexta, y asimismo
modifica la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector
Público introduciendo un nuevo artículo 46 bis, y dando una nueva redacción al
artículo 155.
El Real Decreto-ley
14/2019 ha sido convalidado
por el Congreso de los Diputados en la sesión de 27 de noviembre de 2019. En su
exposición de motivos se pone de relieve que las nuevas tecnologías plantean
desafíos desde el punto de vista de la seguridad entre los que se encuentran las
actividades de desinformación, las interferencias en los procesos de
participación política de la ciudadanía y el espionaje, que se ven
incrementados por la implementación de la administración electrónica, que
extiende la posible superficie de ataque. Todo ello aconseja modificar el marco
normativo vigente con la introducción de medidas preventivas para proteger los
derechos y libertades constitucionalmente reconocidos y garantizar la seguridad
pública de todos los ciudadanos.
Modificación de la Ley 39/2015
En primer lugar, se
suprime el inciso final de la letra a) del apartado 2 de los arts. 9 y 10, para
adaptar sus respectivos contenidos al Reglamento (UE) N.º 910/2014 del
Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la
identificación electrónica y los servicios de confianza para las transacciones
electrónicas en el mercado.
En segundo lugar,
se modifica la letra c) del apartado 2 de los arts. 9 y 10, introduciendo la
exigencia de que cuenten con un registro previo como usuario que permita
garantizar su identidad tanto los sistemas de identificación de las personas
interesadas en el procedimiento de clave concertada y cualquier otro sistema
que las Administraciones públicas consideren válido diferente de los
mencionados en las letras a) y b) del art. 9.2, como los sistemas de firma
admitidos por las Administraciones públicas diferentes de los previstos las
letras a) y b) del art. 10.2. Dicho registro previo habrá de ser autorizado
previamente por la Secretaría General de Administración Digital del Ministerio
de Política Territorial y Función Pública previo informe vinculante de la
Secretaría de Estado de Seguridad del Ministerio del Interior, y solo podrá ser
denegado por motivos de seguridad pública.
En tercer lugar, se
añade un nuevo apartado 3 tanto al art. 9 como al art. 10 en que se establece
la obligatoriedad de que los recursos técnicos necesarios para la recogida,
almacenamiento, tratamiento y gestión de los sistemas de identificación
previstos en la letra c) del apartado 2 de los arts. 9 y 10 se encuentren
situados en territorio de la Unión Europea, y en caso de tratarse de categorías
especiales de datos a los que se refiere el artículo 9 del Reglamento (UE)
2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en
territorio español. En cualquier caso, los datos se encontrarán disponibles
para su acceso por parte de las autoridades judiciales y administrativas
competentes. Se establece también que dichos datos no podrán ser objeto de
transferencia a un tercer país u organización internacional, con excepción de
los que hayan sido objeto de una decisión de adecuación de la Comisión Europea
o cuando así lo exija el cumplimiento de las obligaciones internacionales
asumidas por el Reino de España.
Por último, se
añade a la Ley 39/2015 una nueva disposición adicional sexta que excluye los
sistemas de identificación basados en tecnologías de registro distribuido[i]
y los sistemas de firma basados en los anteriores, en tanto que no sean objeto
de regulación específica por el Estado en el marco del Derecho de la Unión Europea.
Además, establece que cualquier sistema de identificación basado en tecnología
de registro distribuido que prevea la legislación estatal deberá contemplar que
la Administración General del Estado actuará como autoridad intermedia que
ejercerá las funciones que corresponda para garantizar la seguridad pública.
Modificación de la Ley 40/2015
El Real Decreto-ley
14/2019 introduce dos modificaciones en la Ley 40/2015.
En primer lugar,
adiciona a la Ley un nuevo art. 46 bis que exige que los sistemas de
información y comunicaciones para la recogida, almacenamiento, procesamiento y
gestión del censo electoral, los padrones municipales de habitantes y otros
registros de población, datos fiscales relacionados con tributos propios o
cedidos y datos de los usuarios del sistema nacional de salud, así como los
correspondientes tratamientos de datos personales, se ubiquen y se presten
dentro del territorio de la Unión Europea. Asimismo, establece que dichos datos
no podrán ser objeto de transferencia a un tercer país u organización
internacional, con excepción de los que hayan sido objeto de una decisión de
adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las
obligaciones internacionales asumidas por el Reino de España.
En segundo lugar,
da una nueva redacción al art. 155, que en el apartado 1 consiste en actualizar
la desfasada referencia a la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal, sustituyéndola por el conjunto
normativo vigente formado por el Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE y
por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales y su normativa de desarrollo.
La modificación de
fondo del artículo, contenida en sus apartados 2 y 3, tiene la finalidad, en
palabras de la exposición de motivos del real decreto-ley, de permitir un mayor
control de los datos cedidos entre Administraciones Públicas, al efecto de
garantizar la adecuada utilización de los mismos. En este sentido, cuando se
produzca la cesión de datos relativos a los interesados entre Administraciones
públicas, se prohíbe un tratamiento ulterior de los datos para fines
incompatibles con el fin para el cual se recogieron inicialmente los datos
personales, sin que se considere incompatible con los fines iniciales el
tratamiento ulterior de los datos personales con fines de archivo en interés
público, fines de investigación científica e histórica o fines estadísticos.
Además, exceptuado
este caso y siempre que no exista una prohibición específica por ley del
tratamiento ulterior de los datos para finalidades distintas, cuando la
Administración Pública cesionaria de los datos pretenda el tratamiento ulterior
de los mismos para una finalidad que estime compatible con el fin inicial,
deberá comunicarlo previamente a la Administración Pública cedente a los
efectos de que esta pueda comprobar dicha compatibilidad, la cual podrá oponerse
motivadamente en el plazo de 10 días, pero en tanto que la Administración
Pública cedente no comunique su decisión a la cesionaria esta no podrá emplear
los datos para la nueva finalidad pretendida.
Cuando la
Administración cedente sea la Administración General del Estado podrá en este
supuesto, excepcionalmente y de forma motivada, suspender la transmisión de
datos por razones de seguridad nacional de forma cautelar por el tiempo
estrictamente indispensable para su preservación.
El procedimiento
descrito no será aplicable a los supuestos en que el tratamiento para otro fin
distinto de aquel para el que se recogieron los datos personales esté previsto
en una norma con rango de ley de conformidad con lo previsto en el artículo
23.1 del Reglamento (UE) 2016/679.
[i] Una
tecnología de registro distribuido permite registrar, compartir y sincronizar
transacciones y datos entre múltiples usuarios en múltiples ubicaciones,
creando un entorno descentralizado. Dicha base de datos está replicada en las
computadoras de los usuarios y se actualiza mediante protocolos de consenso. Las
tecnologías Blockchain son una forma de tecnología de registro distribuido.
Transcrito de https://www.fundacionbankinter.org/en/ftf/tendencias/el-futuro-del-dinero/tecnologias-facilitadoras-de-la-revolucion-monetaria/tecnologias-de-registro-distribuido
No hay comentarios:
Publicar un comentario