¿Se puede acreditar la exigencia del Certificado del Esquema Nacional de Seguridad a través de un subcontratista?

  • Tribuna de opinión

ENS

El Esquema Nacional de Seguridad, tal y como está recogido en el artículo 2 del Real Decreto 311/2022, de 3 de mayo, resulta de aplicación a las entidades del sector público, a las entidades del sector privado que les presten servicios competenciales y, en general, a la cadena de suministro de estas últimas, en la medida que un análisis de riesgos previo así lo determine.

José Alberto Beltrán, especialista en Contratación Pública, Kalaman Consulting

José Alberto Beltrán Loza,
especialista en contratación pública, KALAMAN CONSULTING

Se debe señalar que realmente la exigencia del Esquema Nacional de Seguridad se refiere a las medidas de seguridad que deben adoptar los proveedores de servicios en la ejecución del contrato.

En este sentido, el artículo 1.2. Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, dice que  “está constituido por los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias

Así, con carácter previo a la publicación del PCAP, se debe realizar un análisis previo donde la Administración contratante determine las medidas de seguridad que deben ejecutarse durante la vida del contrato en función de la naturaleza de los servicios prestados y en base a dicho análisis previo, se deberán categorizar los sistemas según el nivel de seguridad necesarias dentro de las categorías básica, media o alta.

Ello es importante en la medida que, para la acreditación de la categoría básica, bastará con un procedimiento de autoevaluación que verifique el cumplimiento de los requerimientos contemplados en el ENS, mientras que, para los sistemas de categorías media o alta, es necesaria y obligatoria una auditoría y certificación por un tercero.

Así, para poder exigir a un licitador la exhibición del certificado correspondiente es una cuestión primordial que los Pliegos establecen dicha categorización y se exija en la documentación contractual la obligación de exhibición del meritado. 

Por otra parte, realmente la exigencia del certificado del Esquema Nacional de Seguridad no atañe a las condiciones personales del licitador o adjudicatario, sino que se refiere a las condiciones de la prestación o actividad que realizan.

Diversas Administraciones cuando elaboran Pliegos establecen la exigencia de este certificado cómo requisito de solvencia técnica o habilitación, pero, cómo hemos visto, lo que exige la Ley es que los sistemas que se utilicen en la ejecución del contrato respeten las exigencias legales.  

De este modo, se pronuncia este Tribunal en su Resolución nº 373/2017 cuando dijo que “Por otro lado, en relación con la certificación de la adecuación al Esquema Nacional de Seguridad (ENS) otorgado a la empresa para las actividades de Gestión y Desarrollo de Aplicaciones de Gestión Tributaria y Servicios Telemáticos, se ha de dar la razón en este punto al Órgano de Contratación, puesto que, el certificado garantiza el cumplimiento de las últimas normas legales publicadas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos; y ello porque así se garantiza la protección de los datos de carácter personal de los que son titulares los destinatarios del servicio, por lo que, las aplicaciones y el software deberá ajustarse a dichos estándares y acreditarlo por medio del certificado, pues es imprescindible para la ejecución del contrato.

Este Tribunal en su Resolución 214/2021 dice que “en ambos casos se exige la conformidad con el ENS en nivel alto a la “solución ofertada” por lo que es evidente que se trata de un requisito de la oferta

Por lo que cabe preguntarse si es posible que un licitador acuda a los medios de un subcontratista para cumplir con el requisito de la oferta relativo a las medidas de seguridad que deben aplicarse en la ejecución del contrato.

Pues bien, en la medida que se refiere a las condiciones de la prestación del servicio o de la oferta y no se refiere a circunstancias personalísimas del licitador, entendemos que es posible que se acuda a dicho subcontratista para acreditar el certificado que los Pliegos exijan.

En este sentido se pronuncia la Resolución nº 185/2021 del Tribunal Administrativo de Contratación Pública de la Comunidad de Madrid: “No es óbice que las menciones de los Pliegos sean al adjudicatario o a los licitadores como en general lo son todas, lo que no emplace a la posibilidad de integrar la solvencia con medios ajenos.”

Así pues, si de la oferta presentada se desprende que los medios del subcontratista se ponen a disposición del contrato y dichos medios están acreditados, la oferta del adjudicatario cumpliría con el certificado medio/alto y cumpliría con la exigencia del Pliego y así lo ha confirmado la doctrina de los diferentes Tribunales (Resolución número 8/2024 (recurso N-2023-0485) del Tribunal Catalán del Sector Público, Resolución número 1616/2022, 357/2022 del TACRC).

Así, por ejemplo, la Resolución nº 1616/2022 argumentó que “En el presente recurso por el órgano de contratación se han valorado los certificados de las dos empresas que TELEFÓNICA indica en su oferta que van a colaborar en la ejecución del contrato, considerando que cumplen con dichas medidas de seguridad, por lo que, no apreciándose arbitrariedad o discriminación en dicha valoración, no puede este Tribunal sustituir dicho criterio técnico.” 

En otro supuesto muy similar el TACRC ha considerado en su resolución 357/2022 que es posible que un tercero sea el que aporte el certificado ENS alto y que es potestad discrecional de la Administrador aceptarlo o no, en los siguientes términos:

“En este sentido, la determinación de si la oferta del adjudicatario puede cumplir o no con la condición de cumplimiento de las medidas de seguridad establecidas en el Esquema Nacional de Seguridad es una cuestión técnica sometida, en su valoración, a la doctrina de este Tribunal sobre la discrecionalidad técnica de la Administración.

[…]

En el presente recurso por el órgano de contratación se han valorado los certificados de las dos empresas que TELEFÓNICA indica en su oferta que van a colaborar en la ejecución del contrato, considerando que cumplen con dichas medidas de seguridad, por lo que, no apreciándose arbitrariedad o discriminación en dicha valoración, no puede este Tribunal sustituir dicho criterio técnico.”

Por lo que, en ejercicio de su discrecionalidad técnica, la Administración Contratante tendrá que considerar si el certificado ENS cubre los servicios a prestar y tiene un ámbito material coincidente con el del objeto del contrato y en consecuencia, si los sistemas que se involucren en la ejecución del contrato cumplen o no con las medidas de seguridad que sean exigidas.

TAGS Kalaman