Hay regulaciones técnicas que obligan a conocimientos especializados en la preparación, licitación y ejecución de los contratos públicos. Los gestores generalistas de los contratos públicos han de acudir a órganos especializados para obtener criterios de actuación.
Uno de esos temas creo que es la exigencia de certificación de cumplimiento del Esquema Nacional de Seguridad (ENS) en las licitaciones públicas.
El requerimiento podríamos enmarcarlo así:
– el art. 46 de la ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público prevé en su CAPÍTULO V «Funcionamiento electrónico del sector público», artículo 46 «Archivo electrónico de documentos» que (apartado 1), «Todos los documentos utilizados en las actuaciones administrativas se almacenarán por medios electrónicos, salvo cuando no sea posible” y en su apartado 3 que, “Los medios o soportes en que se almacenen documentos, deberán contar con medidas de seguridad, de acuerdo con lo previsto en el Esquema Nacional de Seguridad….».
– El Real Decreto 311/2022, de 3 de mayo, regula el Esquema Nacional de Seguridad. El artículo 2 establece en su apartado 3 la sujeción a su regulación de las entidades privadas contratistas: «3. Este real decreto también se aplica a los sistemas de información de las entidades del sector privado, incluida la obligación de contar con la política de seguridad a que se refiere el artículo 12, cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas». Así, en ese mismo apartado 3 se dice: «Los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS».
En los contratos en que se requieran sistemas informáticos en los que haya involucrados datos de carácter personal hay que estar atentos a las prescripciones legales anteriormente referidas. Valga esta afirmación en su carácter más general, sin pretender una profundización.
La casuística es diversa y los pronunciamientos de los órganos consultivos o de los tribunales de recursos también.
La Comisión Consultiva de Contratación Pública de la Junta de Andalucía en Informe 25/2025, de 3 de noviembre, ha considerado en sus conclusiones segunda y tercera que,
«La conformidad de los sistemas de información de las personas licitadoras con el ENS es un requisito de habilitación empresarial o profesional, por lo que su incumplimiento conllevaría la exclusión de la entidad licitadora correspondiente del procedimiento, aunque no se estaría ante la existencia de una prohibición de contratar, que únicamente son las contempladas en el artículo 71 y ss. de la LCSP.
El incumplimiento por parte del órgano de contratación de la obligación regulada en el artículo 2.3 del RD 311/2022 podría viciar la validez de los pliegos que regulan la contratación de que se trate, incluso pudiendo afectar a la validez del procedimiento en determinados casos».
El Tribunal Administrativo Central de Recursos Contractuales (TACRC) ha publicado resolución 125/2026 de 29 de enero de 2026 abordando recurso especial contra los pliegos del procedimiento «Concesión de los servicios de abastecimiento de agua potable y alcantarillado en el municipio de Iniesta» ha abordado un recurso especial en el que la empresa licitadora recurrente de acuerdo con la descripción que se efectúa en la resolución:
«… impugna la cláusula 40 del pliego de cláusulas administrativas particulares (PCAP), por considerar que la misma incurre en una omisión sustancial al no concretar el nivel de exigencia aplicable en materia de seguridad de la información, conforme al Esquema Nacional de Seguridad (ENS), vulnerando con ello los principios de transparencia, igualdad de trato y libre concurrencia consagrados en el artículo 1 de la Ley 9/2017, de Contratos del Sector Público (LCSP)».
Al efecto señala que el PCAP se limita a establecer de forma genérica la obligación del concesionario de cumplir con la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, sin especificar la categoría de seguridad exigible (básica, media o alta), ni requerir la acreditación de la correspondiente certificación o declaración de conformidad con el ENS, conforme a lo previsto en el Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad.
La Disposición adicional primera de la citada Ley Orgánica 3/2018 establece que los operadores privados que presten servicios en régimen de concesión deberán aplicar las medidas de seguridad previstas en el ENS, en condiciones equivalentes a las exigidas a la Administración pública de origen. Asimismo, la Instrucción Técnica de Seguridad aprobada por Resolución de 13 de octubre de 2016 exige que dichos operadores estén en condiciones de exhibir la correspondiente certificación o declaración de conformidad, en función de la categoría del sistema de información.
En este sentido, señala la recurrente que la omisión de esta especificación impide a los licitadores conocer el nivel de seguridad requerido, lo que afecta directamente a la elaboración de sus ofertas, al no poder determinar con certeza.
Sin embargo, el TACRC no estima esta alegación y considera que,
«De manera que, de conformidad con la cláusula 40 del PCAP que impone al concesionario la obligación de cumplir lo establecido en la Ley Orgánica 3/2018 de 5 de diciembre de protección de datos personales, y la Disposición adicional primera de la citada Ley Orgánica 3/2018, que establece que el ENS incluirá las medidas que deban implantarse en caso de tratamiento de datos personales, ninguna duda suscita la necesidad de adecuarse al ENS.
Ahora bien se trata de obligaciones a verificar durante la ejecución del contrato, teniendo en cuenta la previsión del artículo 3 del RD 311/2022 sobre los sistemas de información que traten datos personales, que el responsable o encargado del tratamiento, asesorado por el delegado de protección de datos, realizarán un análisis de riesgos conforme al artículo 24 del Reglamento general de protección de datos y, en los supuestos de su artículo 35, una evaluación de impacto en la protección de datos. Por tanto, la categorización de nivel exigido dependerá del análisis de riesgos, determinándose la categoría de seguridad en función de la valoración del impacto que tendría un incidente que afectase a la seguridad de la información, o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, y de acuerdo con el procedimiento descrito en el Anexo I. Evaluación que deberá realizarse en la fase de ejecución en el periodo de implantación del sistema de información».
El criterio del TACRC coincide con el planteamiento expresado por la Junta Consultiva de Contratación Pública de Cataluña en su informe12/2020 de 2 de octubre, en el que considera que,
«En cambio, en los casos en que la exigencia de cumplimiento del ENS en los pliegos haga referencia a una obligación o requerimiento a futuro –por tratarse, por ejemplo, de la construcción de una solución tecnológica o de un servicio en cuya ejecución la empresa debe garantizar el cumplimiento–, los pliegos pueden prever la obligación de las empresas de incluir una declaración o compromiso al respecto en sus ofertas, que también debe considerarse susceptible de subsanación ya que no comporta un cambio en el contenido de la oferta; si bien el hecho de no establecer la exigencia de dicha declaración en los pliegos no afectaría al deber de cumplimiento con el ENS, ya que, como se ha dicho, la presentación de oferta por parte de las empresas comporta, en sí misma, el compromiso de cumplirla, sin que las empresas tengan que hacer necesariamente referencia expresa en sus ofertas al cumplimiento de esta exigencia en ejecución del contrato». Este informe concluye:
«I. En caso de que resulte exigible el cumplimiento de conformidad con el Esquema Nacional de Seguridad para el servicio o la solución tecnológica que una entidad del sector público tenga que contratar, los pliegos respectivos pueden incluir dicha exigencia como a prescripción técnica o como obligación de la empresa contratista, exigiendo la Declaración o la Certificación de Conformidad con el ENS en función del sistema de que se trate, o bien un compromiso de futuro, de disponer de una o la otra, en caso de convertirse en contratista y en ejecución del contrato.
La exigencia del compromiso de las empresas licitadoras de estar en situación de poder cumplir la conformidad con el ENS en un momento posterior a la licitación es una opción más favorecedora de la concurrencia que la exigencia de acreditación en la propia oferta y, por tanto, más conveniente, siempre que sea adecuado al objeto del contrato, en los términos señalados en la consideración jurídica III de este informe, y las circunstancias concurrentes en cada caso».
En fin, como dije al comienzo de esta colaboración, las licitaciones públicas exigen en algunos casos conocimientos técnico-jurídicos que no son fáciles de emitir. Desde el cumplimiento de los requisitos derivados del ENS, prescripciones ambientales, técnicas sectoriales, laborales o sociales tanto de origen comunitario y trasposición nacional o propiamente internas.
El punto de partida es conocer al menos que existen esos requisitos y abordarlos con la ayuda de los especialistas adecuados en el seno de la Administración contratante o reclamando colaboración con otras Administraciones Públicas.
