Tecnologia

El Decreto 40/2025 regula el RELIC y el RPC con novedades para garantizar más transparencia y eficiencia en la contratación pública.

El Diario Oficial de la Generalitat de Cataluña (DOGC) ha publicado el Decreto 40/2025, de 11 de marzo, que regula el Registro de Empresas Licitadoras y Clasificadas de Cataluña (RELIC) y el Registro Público de Contratos de Cataluña (RPC). Esta normativa introduce diversas mejoras para optimizar la calidad de la información, favorecer la transparencia y avanzar en la contratación pública electrónica.

Entre las principales novedades, destaca la inscripción de oficio en el RELIC de la documentación presentada en las solicitudes de clasificación empresarial, así como la obligación de los órganos de contratación de informar sobre cambios en los requisitos para contratar o sobre la detección de información falsa. Además, se establecen sanciones por la falta de actualización de los datos, con suspensiones de cinco años y cancelaciones de diez años.

En cuanto al RPC, todos los órganos de contratación de Cataluña deberán comunicar en él los datos básicos de los contratos sin necesidad de un convenio previo. En el caso de la Administración de la Generalitat y su sector público, también será obligatorio informar sobre el cumplimiento y la evaluación de los contratos. Además, se agiliza la comunicación con la Sindicatura de Cuentas y el Registro de Contratos estatal a través de la Secretaría Técnica de la Junta Consultiva de Contratación Pública de Cataluña.

El decreto también garantiza el acceso público a determinada información durante los últimos cinco años sin necesidad de identificación previa y prevé la interoperabilidad entre el Sistema Corporativo de Contratación Pública Electrónica de Cataluña y el Directorio de Empresas de la Ley 18/2020.

Esta nueva regulación entrará en vigor el 2 de abril de 2025 y se completará con la puesta en marcha de una nueva herramienta informática para la gestión del RELIC.

El 1 de agosto de 2024 marcó un punto de inflexión en la regulación tecnológica europea con la entrada en vigor del Reglamento Europeo de Inteligencia Artificial, conocido como AI Act. Este marco normativo, pionero a escala mundial, tiene como objetivo fomentar el desarrollo y la implementación responsables de la inteligencia artificial (IA) en la Unión Europea (UE), abordando los posibles riesgos para la salud, la seguridad y los derechos fundamentales de los ciudadanos.

La entrada en vigor del Reglamento Europeo de Inteligencia Artificial representa un paso decisivo hacia una regulación integral de la IA en la UE. Este marco normativo establece las bases para un desarrollo y uso de la IA que sean seguros, éticos y respetuosos con los derechos fundamentales, posicionando a Europa como líder en la gobernanza responsable de las tecnologías emergentes.

El AI Act establece una clasificación de los sistemas de IA basada en el nivel de riesgo que pueden representar:

1. Riesgo Inaceptable: Sistemas de IA prohibidos por considerarse una amenaza para los derechos fundamentales, como la manipulación subliminal que pueda provocar daños o la puntuación social por parte de los gobiernos.
2. Riesgo Alto: Sistemas que afectan sectores críticos como la educación, el empleo, las infraestructuras esenciales y la administración de justicia. Estos sistemas están sujetos a estrictas obligaciones de transparencia, supervisión humana y evaluación de conformidad antes de su comercialización.
3. Riesgo Limitado: Sistemas que requieren obligaciones específicas de transparencia, como informar a los usuarios de que están interactuando con una IA, garantizando así una toma de decisiones informada.
4. Riesgo Mínimo o Nulo: Sistemas que representan un riesgo mínimo para los derechos o la seguridad de los usuarios y que, por tanto, no están sujetos a obligaciones adicionales.

El reglamento impone diversas obligaciones tanto a los proveedores como a los usuarios de sistemas de IA:

• Proveedores: Deben garantizar que los sistemas de IA de riesgo alto cumplan con los requisitos de gestión de riesgos, gobernanza de datos, documentación técnica, transparencia, supervisión humana y robustez. Además, están obligados a registrar estos sistemas en una base de datos de la UE antes de su comercialización.
• Usuarios: Deben utilizar los sistemas de IA según las instrucciones proporcionadas, asegurarse de que estén bajo supervisión humana y monitorear su funcionamiento para informar de cualquier incidente grave o mal funcionamiento.

El AI Act busca equilibrar la promoción de la innovación con la protección de los derechos fundamentales. Al imponer obligaciones proporcionales al nivel de riesgo, se pretende mitigar posibles daños sin, en teoría, obstaculizar el desarrollo tecnológico. Sin embargo, surgen desafíos en la interpretación y aplicación de estas normas, especialmente en lo que respecta a la definición de las categorías de riesgo y la implementación de medidas de supervisión y transparencia.

La continua evolución de las amenazas cibernéticas ha dado origen a nuevos desafíos, poniendo de manifiesto ciertas limitaciones que dificultan abordar de manera eficaz los retos actuales y emergentes en el ámbito de la ciberseguridad. En este contexto, la Directiva NIS2 surge como respuesta a esa necesidad de actualización y fortalecimiento de las medidas establecidas en la Directiva NIS1, erigiéndose como un marco normativo estratégico para abordar los retos actuales en materia de ciberseguridad en el marco de la Unión Europea. La Directiva NIS 2 entró en vigor el 16 de enero de 2023, y su transposición en España se hará a través del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad aprobado el pasado 14 de enero de 2025 por el Consejo de Ministros.

La NIS2 amplía el ámbito de aplicación, dotando así de una mayor cobertura a los sectores y servicios de más relevancia social y económica, considerándolos como entidades esenciales o importantes, en función del grado de criticidad de sus sectores, de su tamaño o del tipo de servicio prestado. El sector sanitario forma parte de los sectores de alta criticidad, y en él se incluye: laboratorios de referencia de la UE, entidades que realizan actividades de investigación y desarrollo de medicamentos, entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas y entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública.

Además, la NIS2 refuerza los requisitos de seguridad que han de cumplir las entidades afectadas, precisa el proceso de notificación de incidentes, aborda la seguridad en la cadena de suministro y las relaciones con proveedores, refuerza el intercambio de información sobre incidentes y la divulgación de vulnerabilidades y establece una red europea de soporte de crisis (EU-CYCLONe). Todas las medidas deben, por un lado, ser proporcionadas al riesgo, tamaño, coste e impacto y gravedad de los incidentes; y, por otro lado, tener en cuenta el estado de la técnica, y cuando proceda, las normas europeas e internacionales.

En cuanto a la notificación de incidentes, solo en 2023, los países de la UE notificaron 309 incidentes de ciberseguridad graves contra sector sanitario, más que en cualquier otro sector crucial. Además, hay que considerar que el 54% de los ciberataques en el sector de la salud implican ransomware.

Tal y como se indica en el Informe de prospectivas de ciberseguridad para el 2024 de la Agencia de Ciberseguridad de Cataluña  “Se identifica, en primer lugar, que el sector salud emerge como un objetivo principal, ya que se enfronta a amenazas que pueden paralizar los sistemas críticos de salud pública y comprometer datos sensibles de pacientes. (…) El reto de implementar un entorno de ciberseguridad robusto y avanzado en Cataluña también exige adquirir y desplegar de forma efectiva nuevas capacidades. La aplicación de inteligencia artificial, para automatizar y escalar las defensas cibernéticas, junto con la incorporación de otras tecnologías punteras, es imprescindible para hacer frente a la evolución de las ciberamenazas. Además, hay que adoptar una estrategia de ciberseguridad proactiva, flexible y adaptable ágilmente a los cambios dinámicos y a la evolución de las amenazas cibernéticas.”

Los ciberataques también tienen consecuencias en la normativa de protección de datos. Por ello, es importante que el responsable sea consciente de cómo ha evolucionado el contexto de brechas de datos personales en el ámbito de la salud y, en particular, de los ciberincidentes de tipo ransomware que se han multiplicado en los últimos años, y que afectan a todo tipo de organizaciones asistenciales. Son varias las resoluciones sancionadoras de la Agencia Española de Protección de Datos que se han publicado en los últimos tiempos derivadas de ransomware, por ejemplo, el PS/00529/2022 contra Institut Marquès Obstetrícia i Ginecología SLP, en que se imputan infracciones de los arts. 5.1.f), 32 y 34 del Reglamento General de Protección de Datos (RGPD); o los procedimientos de la Autoridad Catalana de Protección de Datos PS 1/2024 y PS 4/2024, referentes al Hospital Clínic de Barcelona y Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer, en los que se declara una infracción del art. 83.4.a en relación con el art. 32.1 RGPD e infracción del art. 83.4.a en relación con el art. 32.2 RGPD.

En definitiva, de todo lo expuesto se desprende que la ciberseguridad seguirá marcando la agenda de las organizaciones del sector salud durante los próximos ejercicios, así como también de la política comunitaria. El pasado 15 de enero de 2025 la Comisión Europea presentó un plan de acción de la UE destinado a reforzar la ciberseguridad de los hospitales y los prestadores de asistencia sanitaria, que tiene como objetivo crear un entorno más seguro y protegido para los pacientes.  Esta iniciativa marca la primera iniciativa sectorial específica para desplegar toda la gama de medidas de ciberseguridad de la UE. El Plan se basa en las cuatro prioridades siguientes:

1. Prevención mejorada.  El plan ayuda a desarrollar las capacidades del sector sanitario para prevenir incidentes de ciberseguridad a través de medidas de preparación mejoradas, como orientaciones sobre la aplicación de prácticas críticas de ciberseguridad.
2. Mejor detección e identificación de amenazas. Se desarrollará un servicio de alerta temprana a escala de la UE, que ofrecerá alertas casi en tiempo real sobre posibles ciberamenazas, de aquí a 2026.
3. Respuesta a los ciberataques para minimizar el impacto. El plan propone un servicio de respuesta rápida para el sector sanitario en el marco de la Reserva de Ciberseguridad de la UE.
4. Disuasión. Proteger los sistemas sanitarios europeos disuadiendo a los agentes de ciberamenazas de atacarlos. Esto incluye una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas.

Seguiremos con interés los pasos previstos para 2025-2026 definidos en el Plan y analizaremos si con ello dejan de aumentar año tras año los ciberataques a hospitales y otros prestadores de asistencia sanitaria.

La implantación de la red móvil de quinta generación (5G) ya está aquí, cambiará la manera de comunicarnos y generará un gran impacto en la sociedad digital. El 5G aumentará la velocidad de conexión, reducirá al mínimo la latencia y multiplicará el número de dispositivos conectados. Permitirá la puesta en funcionamiento de muchos productos y servicios que podrán conectarse y compartir información en tiempo real, como por ejemplo: permitirá el trabajo especializado en remoto, sería el caso de cirugías remotas asistidas; impulsará la internet de las cosas (IoT), como puede ser cualquier dispositivo electrónico que tengamos en casa o en la oficina (lavadora, la alarma, el aspirador, la impresora, etc.), promoverá la automatización industrial; el impulso de la realidad virtual; la realidad aumentada; la creación de servicios basados ​​en decisiones automatizadas, muchas veces utilizando inteligencia artificial, entre otros.

El pasado 13 de mayo, la Agencia Española de Protección de Datos (AEPD) publicó una nota técnica titulada «Introducción a las tecnologías 5G y sus riesgos para la privacidad«, donde realiza un primer estudio de los riesgos para la privacidad que puede conllevar la quinta generación de comunicaciones móviles (5G).

La AEPD es consciente de que el 5G tendrá un alto e impredecible impacto sobre la privacidad de las personas, y es por este motivo que identifica de manera no exhaustiva, posibles riesgos en la privacidad, que deberán tenerse en cuenta desde las primeras fases de diseño, para que se integren en la naturaleza de los productos y servicios conforme las previsiones del artículo 25RGPD. Y que, en muchos casos, la implementación del servicio o producto requerirá la necesidad de realizar una previa Evaluación de Impacto en Materia de Protección de Datos (AIPD). Incluso si el riesgo residual resultante sigue siendo elevado, exigirá realizar una consulta previa a la autoridad de control. A continuación, recogemos algunos de los riesgos en la privacidad que la AEPD lista en la nota técnica publicada:

• Geolocalización precisa del usuario. Una de las características de la red 5G es el uso de más estaciones base y menos distancia entre ellas, que permitirá localizar el terminal del usuario con mayor precisión.
• Perfilado y decisiones automatizadas. A través de la inteligencia artificial y los servicios en tiempo real permitirán la toma de decisiones automatizada de forma individual.
• No definir correctamente los roles e intereses en el tratamiento de datos de los agentes implicados; fabricantes, operadores de red y proveedores de servicios. Así como, la falta de disponer de un modelo homogéneo de seguridad.
• Al aumentar la superficie de exposición, se incrementan las oportunidades que se materialicen amenazas de seguridad.
• Posible pérdida de control del usuario sobre el flujo de datos que puede imposibilitar el ejercicio de derechos. Habrá proporcionar una información clara de las transferencias internacionales que puede comportar el tratamiento de los datos por parte de los diferentes agentes implicados.

Con el fin de crear un marco de confianza, la AEPD propone tener en cuenta un conjunto de recomendaciones. Entre ellas:

• Proporcionar una información particularmente clara y comprensible, especialmente, identificando los responsables del tratamiento, los fines, la toma de decisiones automatizadas y la elaboración de perfiles, el acceso y el uso de control por parte de los usuarios. En este punto añadiríamos la importancia de informar sobre las transferencias internacionales, y que éstas dispongan de las garantías adecuadas.
• Definir claramente los roles y ámbitos de responsabilidad de los desarrolladores, fabricantes, operadores y agentes en materia de protección de datos.
• Garantizar comunicaciones cifradas de extremo a extremo.
• Cumplir con los principios en materia de protección de datos desde la fase de diseño del servicio o producto.
• Aplicar criterios homogéneos de seguridad en los diferentes agentes y segmentos de red basados ​​en los resultados del análisis de riesgos, y en aquellos casos, evaluaciones de impacto en materia de protección de datos, enfocados a gestionar amenazas de la red 5G y no de una operación singular.
• Gestión proactiva para verificar y poder demostrar el cumplimiento de la norma. Realizar auditorías de infraestructura y servicios, incluida la adhesión a mecanismos de certificación en protección de datos.

Podéis acceder a la nota técnica completa en el siguiente enlace.

Los que nos dedicamos al asesoramiento legal a menudo tenemos que explicar por qué existe la necesidad de tener una normativa en materia de protección de datos, con toda la carga que implica de obligaciones, conceptos jurídicos y sanciones. Esta necesidad legal se explica de forma comprensible por la necesidad de garantizar el derecho a la intimidad personal, de modo que la persona pueda tener siempre un control sobre sus datos de carácter personal y evitar que se haga un mal uso. Y eso pasa, inevitablemente, por el establecimiento de obligaciones a las organizaciones que recogen y tratan datos.

Imaginemos ahora que este control que la normativa reconoce a las personas no se haya de articular a través de un procedimiento de ejercicio de derechos, que puede tardar más de un mes en resolverse; imaginamos, por ejemplo, que la persona no tenga que hacer una solicitud para verificar, rectificar sus datos o suprimirlas en sus relaciones con una determinada organización o administración pública, sino que pueda ejercer este control sin que esta organización haya de recibir su solicitud ni contestarla. Imaginemos que la persona puede ejercer un control directo sobre sus propios datos, con quien compartirlas y de qué manera, con garantías de seguridad y legalidad. No necesitamos imaginar mucho más, porque esto es lo que plantea el modelo de identidad digital autogestionada que acaba de presentar la Generalidat de Catalunya, llamado IdentiCAT, el primero impulsado desde el sector público en Europa.

(más…)