El 'cortijo' de los contratos para la administración electrónica

Los servicios electrónicos se han convertido en el núcleo de la tramitación administrativa. Sin embargo, el Gobierno reconoce que no hay protección suficiente contra las ciberamenazas

Foto: (EFE)
(EFE)

España ocupa el cuarto puesto europeo en servicios públicos digitales, según el Índice de la Economía y la Sociedad Digitales (DESI) 2018, elaborado por la UE. El 67% de los usuarios que deben presentar formularios lo hacen por medios electrónicos, y el 95% de los servicios para empresas son digitales. Los servicios electrónicos se han convertido en el núcleo de la tramitación administrativa. Son obligatorios para las empresas y cada vez más usados por los ciudadanos. Sin embargo, el Gobierno reconoce que “en la actualidad carecen de una protección necesaria capaz de mitigar las crecientes amenazas procedentes del exterior”.

Durante al año 2018, se han registrado unos 34.000 ciberincidentes en entidades del sector público y empresas de interés estratégico, una cuarta parte más que el año anterior, según el Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia (CNI). De esos ataques, alrededor de 1.700 están calificados de peligrosidad muy alta.

A menudo, ante la insuficiencia de medios propios, las Administraciones recurren a la contratación pública para aprovisionarse de soluciones para acometer la transformación digital. Según el Informe REINA 2018, el gasto en servicios informáticos de ámbito estatal rondaba los 515 millones de euros en 2017. El desarrollo de sistemas para la Administración electrónica del sector público estatal está incluido en los servicios de contratación centralizada obligatoria cuando el presupuesto de licitación (IVA excluido) no supera los 862.000 euros.

La Ley 9/2017, de Contratos del Sector Público, confirma esa declaración obligatoria de contratación centralizada para el sector público estatal, salvo para los contratos declarados de carácter secreto o reservado. Las restantes entidades del sector público -como las pertenecientes a comunidades autónomas y a entidades locales- podrán acordar adherirse al sistema estatal.

La contratación centralizada de productos y servicios responde a la racionalización económica en el uso de fondos públicos. Entre las técnicas de racionalización de la contratación pública están los acuerdos marco, los sistemas dinámicos de adquisición y los contratos centralizados. La utilización de esas técnicas tiene beneficios en términos de eficiencia económica, como ahorrar costes administrativos, aprovechar economías de escala y mejorar la transparencia y la publicidad de las licitaciones. Sin embargo, también presenta riesgos, tal y como apunta la Comisión Nacional de los Mercados y la Competencia (CNMC). La concentración de la demanda puede condicionar la dinámica competitiva a medio plazo, y representa barreras de entrada para las pymes y para los nuevos entrantes.

En el caso de la Administración electrónica, la técnica de racionalización de la contratación más usada son los acuerdos marco (AM). Su fundamento es preestablecer una serie de condiciones o términos comunes para todos los contratos basados en él. En este área, hay que destacar la Junta de Contratación Centralizada (JCC), el órgano de contratación del sistema estatal de contratación centralizada, adscrita a la Dirección General de Racionalización y Centralización de la Contratación (DGRCC) en el Ministerio de Hacienda.

En los AM de ámbito estatal intervienen otros actores aparte de la JCC y la DGRCC. Por un lado, está el organismo interesado, que es el destinatario de los productos y servicios, por ejemplo, un Ministerio que necesita poner en marcha un servicio público digital. Por otro lado, se encuentran las empresas que participan en un AM como adjudicatarios, como una compañía desarrolladora de software. Dichas empresas, una vez forman parte de un AM, pueden presentar ofertas en contratos basados en ese AM, tras recibir una invitación. El organismo interesado define sus necesidades, pero además recibe y paga los bienes y servicios contratados. La JCC adjudica y formaliza el AM, mientras que la DGRCC se encarga de adjudicar los contratos basados en el AM en el ámbito del sector público estatal.

El Acuerdo Marco 26/2015 cubre los servicios de desarrollo de sistemas de administración electrónica. Es un AM de tipo servicios sin todos los términos fijados. Eso implica que para adjudicar los contratos basados en el AM 26/2015, los organismos interesados deben convocar siempre una segunda licitación. El organismo interesado elabora los documentos de licitación de los contratos basados en un AM. Cuando son contrataciones de bienes y servicios informáticos en la Administración General del Estado y sus organismos públicos, excepto para contratos de la defensa y de la seguridad, es preceptivo contar con un informe técnico de la Secretaría General de Administración Digital (SGAD). Si el organismo interesado pertenece al sector público estatal, la DGRCC supervisa esos documentos de licitación, y revisa las propuestas de adjudicación de las segundas licitaciones. Hay 72 empresas en el AM 26/2015.

El objeto del AM 26/2015 abarca diversas prestaciones relacionadas con la Administración electrónica. En primer lugar, el estudio de viabilidad, análisis, arquitectura, diseño, construcción, migración e implantación de sistemas de información. En segundo, servicios vinculados al desarrollo de aplicaciones, como oficina de proyectos, oficina de calidad y/o seguridad, y pruebas y validación de desarrollos de aplicaciones. Por último, el mantenimiento de aplicaciones desarrolladas a medida, para la adaptación, evolución y aseguramiento de la continuidad. Durante la vigencia de su antecesor, el AM 26/2011, se adjudicaban unos 600 contratos basados por año, por un importe medio de 160.000 euros.

Es llamativo que en el AM 26/2015 no aparezca la palabra “ciberseguridad”, ni en los pliegos, ni en las instrucciones para segundas licitaciones, sobre todo considerando el volumen de ciberataques que sufre el sector público. Sólo menciona “pruebas de seguridad automatizadas, como la explotación de vulnerabilidades típicas de las aplicaciones Web, y verificación de checklists asociadas a la normativa de desarrollo seguro de software basadas en guías de estándares y metodologías Open Source Security Testing Methodology Manual (OSSTMM), Open Web Application Security Project (OWASP), o equivalentes”.

El Gobierno reconoce que "en la actualidad carecen de una protección necesaria capaz de mitigar las crecientes amenazas procedentes del exterior"

Tratándose de una técnica de contratación centralizada, el AM 26/2015 es una oportunidad perdida de instaurar requisitos comunes para lograr una Administración electrónica segura por diseño, desde el mismo momento de su concepción. En este sentido, el Plan de Acción sobre Administración Electrónica de la Unión Europea 2016-2020 establece el principio de fiabilidad y seguridad. Recomienda que “todas las iniciativas deberían ir más allá del mero cumplimento del marco jurídico sobre la protección de datos personales y de la intimidad y la seguridad informática, integrando estos elementos en la fase de diseño”.

La duración del AM 26/2015 es de dos años, prorrogable por otros dos. Empezó su vigencia el 1 de agosto de 2016, y está prorrogado hasta el 31 de julio de 2020. Se pueden convocar contratos basados durante la vigencia de un acuerdo marco. En el caso del AM 26/215, dichos contratos tienen una duración máxima de dos años. Eso significa que podría haber desarrollos para la Administración electrónica derivados de ese AM que empiecen a funcionar a mediados del año 2022.

La prórroga del AM 26/2015 tiene varias consecuencias que afectan a la competencia en el mercado del desarrollo de sistemas de información, pero también a la seguridad de los servicios contratados.

Desde el punto de vista de la competencia, la idea de que el AM 26/2015 se prorrogara ya despertaba cautelas en la CNMC en un informe de septiembre de 2015. Tras realizar un análisis del mercado afectado por ese AM, la CNMC concluía que favorecía en exceso a las empresas instaladas frente a los nuevos entrantes, por ser un sector dinámico con altas y bajas continuas de empresas. Poco después, la DGRCC respondía al informe de la CNMC señalando que “si las empresas participantes pueden entrar en cualquier momento no tendrán incentivos a presentar una oferta indicativa competitiva en un estadio inicial”.

Desde el punto de vista de la seguridad, cabe destacar que cuando se elaboraron los pliegos del AM 25/2015 todavía no estaba en vigor legislación muy relevante para la seguridad y la calidad de los sistemas de Administración electrónica. Es el caso de la Ley 9/2017 de Contratos del Sector Público, el Reglamento UE 2016/679 de Protección de Datos, o la Directiva UE 2016/1148 de seguridad de las redes y sistemas de información (Directiva NIS). Asimismo, faltaban por publicarse la Ley 39/2015 de Procedimiento Administrativo Común, la Ley 40/2015 de Régimen Jurídico del Sector Público, y la modificación del Esquema Nacional de Seguridad. En cambio, todas esas normas ya estaban vigentes en julio de 2018 cuando se decidió prorrogar el AM 26/2018, en lugar de preparar uno nuevo conforme al nuevo contexto legal.

Eva Martín es Doctora por la Universidad Complutense de Madrid.

Tribuna

Escribe un comentario... Respondiendo al comentario #1
0 comentarios
Por FechaMejor Valorados
Mostrar más comentarios