La moderna Administración (electrónica) maneja cantidades ingentes de datos y aplicaciones de acceso a archivos que forman parte de sus procedimientos compartidos y que se deben almacenar. Esta sencilla afirmación plantea muchos y complejos tipos de problemas que los informáticos han venido resolviendo. Frente al histórico archivo físico en la sede administrativa hoy se ha generalizado su alojamiento externo, tanto en términos físicos como jurídicos: la respuesta está en la nube.

Esta solución destaca por su bajo riesgo de auditoría que para las Instituciones de Control Externo constituye también una verdadera oportunidad de uso eficiente del dinero público. Conjugando ambos aspectos se viene contratando el alojamiento, aun aceptando la descapitalización que conlleva y que ya fue anunciada hace más de un lustro por la venerable Cámara de Comptos de Navarra.

Existe un consenso doctrinal y profesional sobre la gran dificultad para encajar en la actual normativa de contratación pública todas las características de las tecnologías en la nube lo que está generando situaciones anticompetitivas entre los proveedores tradicionales de software/hardware (que también venden Nube) y los nuevos proveedores de servicios. Una contratación que, según apunta Julio González, acostumbra a incluir seis servicios básicos y dos avanzados: computación, almacenamiento, servicios de red, recuperación de datos perdidos en caso de daño, seguridad y comunicaciones. En su opinión, también resulta necesario evitar que los datos lleguen a terceros países, como prevé la normativa estadounidense que obliga a la entrega a las sus autoridades de los datos que soliciten, siempre que estén en servidores de empresas radicadas en EE.UU.

Este escenario fue analizado y debatido con detalle durante el seminario organizado por el Observatorio de la Contratación Pública (ObCP) celebrado en Panticosa que  contó con un panel específico de especialistas en la materia y que, además, acogió la presentación del libro “La compra pública de tecnología en la nube en España” (Aranzadi, 16/06/2022 y 25,50 euros) del que son autores José María Gimeno, Julio Tejedor y Gerardo Garcia-Alvarez. Comentamos a continuación algunas de las reflexiones que allí se plantearon.

¿Suministro o servicio?

La Junta Consultiva de Contratación Pública se ha posicionado al respecto en su Informe 13/2021, concluyendo que la tecnología de nube es, como regla general, un contrato de suministro, lo que ha generado un inmediato debate y critica al respecto por considerarlo una simplificación excesiva. La publicación analiza detenidamente los argumentos de la Junta Consultiva atendiendo a las consideraciones realizadas.

Así, la solvencia exigible es distinta en suministros y en servicios donde, además, la cláusula de progreso obliga a una solvencia dinámica. También existen diferencias en el plazo de duración del contrato, pues, aunque rige para suministros y servicios de prestación sucesiva el común de cinco años, en servicios dicho plazo puede ser superior, excepcionalmente, cuando lo exija el período de recuperación de las inversiones, siempre que la amortización de dichas inversiones sea un coste relevante en la prestación del servicio. Además, la gestión presupuestaria del gasto de suministros (y la elegibilidad para justificar fondos europeos) los lleva al capitulo VI, de inversiones, frente a los contratos de servicios, que se incluyen en capítulo II, de gastos corrientes.

Este aspecto fue también destacado por Javier Miranzo Díaz, profesor de la Universidad de Castilla-La Mancha que recordó como la LCSP no prevé expresamente el régimen jurídico aplicable a los mantenimientos de software. Así, el Informe 1/2020, de 28 de julio de 2020, de la Comisión Permanente de la Junta Consultiva de Contratación Administrativa de las Islas Baleares (JCCAIB) expone que “estos mantenimientos conllevan, necesariamente, la realización, por parte de las empresas de informática, de una actividad sucesiva dirigida a la obtención de un resultado distinto de una obra o de un suministro, que encaja perfectamente en la definición y características propias de un servicio”.

A pesar de que su uso va en aumento, este tipo de contratos adolecen aún hoy de una importante indefinición en la LCSP, lo que contribuye a generar inseguridad jurídica en torno a ellos y con una litigiosidad importante que los tribunales y órganos consultivos hayan adoptado un papel principal en el desarrollo de criterios y principios que doten este tipo de contrataciones digitales de seguridad jurídica

Para los ponentes y autores del libro, frente a inercias interpretativas, la situación “global” obliga a repensar soluciones jurídicas en la contratación pública de servicios en la nube que promuevan la eficacia de las políticas públicas y que concilien los interesen públicos en juego, diseñando procedimientos eficaces y eficientes que pongan el acento en la calidad de la prestación y que eviten la generación de monopolios de facto que pueden ser un freno a la necesaria política de digitalización de nuestro país. Lo que, de lege ferenda, aconsejaría un análisis específico y una solución normativa específica, que acompañase la estrategia europea en este campo, que generase seguridad jurídica para todas las partes y que, además, garantizase la correcta calidad de la prestación y la seguridad de la información. Además, con ello se lograría proteger a las entidades públicas adjudicatarias contra la sospecha de la influencia que pueden tener en sus actuaciones determinadas regulaciones extracomunitarias y además lograr un completa seguridad en soberanía ciudadana sobre los datos.

Nube de confianza

Para los autores, tal norma podría regular la exigencia de un certificado de “nube de confianza”, que supondría un importante paso adelante en la estrategia para contar con datos seguros y evitar la sospecha de miradas “extraterritoriales”. Los autores del libro incluyen una Adenda específica con el pionero Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnologías Cloud) que las Cortes de Aragón en la actualidad está tramitando tras ser admitido la semana pasada con un consenso parlamentario casi unánime (63 votos a favor y 2 en contra) .

Pues bien, entre las muchas previsiones del proyecto, una de las medidas fundamentales que recoge es la implantación del certificado de homologación de Cloud pública – SCCA (Solución Cloud Certificada de Aragón) que se expedirá mediante resolución de Aragonesa de Servicios Telemáticos a solicitud de las entidades interesadas que presten servicios de tecnologías Cloud y previa la tramitación del necesario procedimiento. Los proveedores de servicios de Cloud que obtengan el certificado serán inscritos en el Registro Electrónico de Proveedores de Solución Cloud Certificada de Aragón, que será de acceso público y emplearán en sus instrumentos de comunicación y documentación la marca asociada a la Solución Cloud Certificada de Aragón titularidad de la Comunidad Autónoma de Aragón.

Uno de los objetivos del sistema de certificación es contar con una lista de prestadores de servicios de Cloud respecto a los que haya quedado previamente acreditado que cumplen con los máximos niveles de seguridad de la información almacenada y en tránsito, que disponen de un alto sistema de análisis y gestión de los riesgos, que tienen las infraestructuras idóneas que aseguren minimizar el eventual impacto de incidentes de seguridad o que puedan comprometer la continuidad en la prestación del servicio, que cumplen con las disposiciones aplicables en materia de protección de datos y que cuentan con los mecanismos y dispositivos que permitan un máximo nivel de portabilidad e interoperabilidad de los datos y de los sistemas.

De este modo las personas potencialmente usuarias de los servicios de Cloud, tanto del sector público como del sector privado, podrán disponer de una lista de máxima confianza de entidades que tengan por objeto la prestación de servicios de Cloud.

En definitiva, la citada certificación va a ser un instrumento que hará posible que incluso el sector privado y otras administraciones puedan identificar, sin mayor esfuerzo, a aquellas entidades que la administración autonómica ha comprobado, a petición de las mismas, que cumplen con los máximos estándares para prestar esos servicios, sin perjuicio de que cada sujeto pueda escoger libremente entre que los servicios de Cloud se los presten las entidades que hayan obtenido este certificado o bien acudir a otras.