El desarrollo de software público. Ley 40/2015 y GDPR.

Deberíamos atribuir cierta relevancia a la interacción entre el artículo 157 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y el Reglamento general de protección de datos. El primero establece las condiciones de utilización de los sistemas y aplicaciones propias de la Administración. Esta Norma está llamada a cambiar de modo radical los procesos de desarrollo del software al servicio de las administraciones públicas y define un nuevo mercado primario de aplicaciones entre administraciones uno cuyos principio rectores es la gratuidad o la compensación presupuestaria entre estas administraciones.

Esto afecta de manera significativa tanto a las condiciones de las licitaciones como a la explotación del propio producto. En primer lugar, el nuevo modelo del artículo 157 no sólo comporta la reserva de los derechos cuando se externaliza la producción de un software sino también un modo de compartir las aplicaciones entre administraciones. Eso significa que tanto cuando las aplicaciones hayan sido desarrolladas con recursos propios, como cuando hayan sido objeto de externalización, alcanzan un mercado compartido entre administración es públicas. En este mercado cuando una administración hace pública la existencia de la aplicación en un directorio actualizados de aplicaciones permite  su libre reutilización en todo caso repercutiendo el coste de adquisición o fabricación de las aplicaciones. Es más, conforme al párrafo tercero de la norma existe la obligación de consultar en el directorio general de aplicaciones, dependiente de la Administración General del Estado, si existen soluciones disponibles para la reutilización. En caso de que estas aplicaciones sean susceptibles de satisfacer el total o parcialmente las necesidades de que se trate deberán ser aplicadas. De no hacerlo así debería justificarse en la existencia de una excepción a este uso que pueda justificarse en términos de eficiencia, de seguridad o de interoperabilidad.

Ello no excluye en absoluto el recurrir a soluciones de mercado, y será muy habitual en aplicaciones ofimáticas, sistemas operativos o cuando o lo requieran determinado hardware. Ahora bien, todo parece apuntar a que en aquellos casos en los que sea necesario acudir al mercado para el desarrollo de una aplicación a medida, parece imprescindible reservar los derechos sobre la misma. Esto significa que sin perjuicio del reconocimiento del derecho moral de autor, el admitir un reconocimiento del tipo “powered by”, que deben reservarse en exclusiva los derechos de explotación utilización y modificación del código de la aplicación de la que se trate. Esto pone fin, a una inveterada práctica de la alguna administración española que alimenta el crecimiento de modelos de negocio de software en el que los poderes públicos soportan el coste del desarrollo, transfieren gratuitamente su conocimiento y asumen los costes de su propio personal, generalmente poniendo desarrolladores propios a liderar el proyecto, en la traslación de especificaciones y verificación y revisión de los entregables. Estas aplicaciones acaban siendo objeto de venta al mejor postor y de negociación con terceras administraciones. Y con ello se da una paradoja la paradoja de que el desarrollador y su modelo de negocio fueron financiados por la administración sin ningún retorno de la inversión para esta y para la ciudadanía. Es más, un producto que en la filosofía del artículo 157 sería gratuito, o cuyos costes podrían ser compartidos, minora las arcas públicas tantas veces sea adquirido gracias al aprovechamiento sin contraprestación para la administración de origen de los conocimientos adquiridos.

Curiosamente el legislador no ha incluido en sus previsiones la rúbrica que motiva esta nota.  El artículo 157 no señala en ningún momento cuáles son las condiciones previas que deberían regir la inclusión de un software de aplicación en estos catálogos. Obviamente, el conjunto de la normativa permite deducir que la inclusión de un aplicativo requerirá de la de comprobación de un conjunto de requisitos adicionales, distintos de los meramente funcionales. En este caso no sólo se trata de garantizar que la aplicación cumpla con los objetivos para la que fue diseñada, sino también de que reúna condiciones de cumplimiento normativo esenciales para garantizar los derechos de la ciudadanía. No ofrece dudas el hecho de que una aplicación destinada a la gestión administrativa deberá cumplir con los requerimientos establecidos por los Esquemas Nacionales de seguridad y de interoperabilidad. De hecho una aplicación nunca debería alcanzar el estado de entrada en producción si no aseguramos que previamente se han reunido aquellos requisitos.

Sin embargo hay que considerar cómo impacta el Reglamento general de protección de datos en el diseño de aplicaciones corporativas dedicadas a la gestión administrativa por parte de las administraciones públicas. En general, lo normal es que las aplicaciones de la Administración comporten el tratamiento de datos de carácter personal. En este sentido, el GDPR impone los deberes de protección de datos de datos desde el diseño y por defecto y en ciertos tratamientos el desarrollo de las PIA,s o evaluación del impacto en la protección de datos. Por tanto, no sería posible la entrada en producción de ninguna aplicación desde estos mismos momentos, y en todo caso a partir del 25 de mayo de 2018 cuando no haya sido revisada y asegurado con que cumple con los principios generales del GDPR.

Evaluación del impacto en la protección de datos y protección de datos desde el diseño y por defecto comportan no sólo un análisis de carácter técnico, sino también semántico que atienda los contenidos, finalidades y usos de la información. Por tanto posee un alcance mayor que el relacionado con el propio diseño funcional y de seguridad de las aplicaciones aunque los subsuma. En este sentido, las administraciones públicas deberían comenzar a considerar de modo significativo sus estrategias de revisión del conjunto de aplicativos desde la óptica de los objetivos establecidos por el Reglamento general de protección de datos y por la futura reforma de la Ley Orgánica de protección de datos. Y, obviamente, ajustar sus procesos de gestión e implementación de nuevas aplicaciones, o de rediseño de las anteriores de acuerdo con estos principios. Ninguna aplicación administrativa, producida o no por el sector privado, debería alcanzar el estado de producción si no viene acompañada de documentos que acrediten que estos procesos de protección de datos desde el diseño y por defecto y de evaluación del impacto en la protección de datos han sido efectivamente y materialmente aplicados y garantizados los derechos de la ciudadanía en materia de protección de datos. Y la ausencia de esta acreditación debería impedir su inclusión en el directorio general de aplicaciones, dependiente de la Administración General del Estado y en los autonómicos o locales que se creen.