27 estados miembros (entre ellos España) junto a Liechtenstein y Noruega firmaron en 2018 una declaración para crear la Asociación Europea de Blockchain o EBP (European Blockchain Partnership en sus siglas en inglés). El objetivo de este grupo es el desarrollo de la Infraestructura Europea de Servicios de Blockchain o EBSI (European Blockchain Service Infrastructure en sus siglas en inglés), que pretende facilitar el intercambio de datos entre países y lograr un mejor acceso a los servicios transeuropeos, garantizando la seguridad y la privacidad de los datos. Por ello la infraestructura debe ser pública y permisionada, escalable, abierta (open source software), sostenible (eficiencia energética) e interoperable (1).
Cada país participante estará encargado de al menos un nodo y se espera que en el corto plazo las entidades públicas puedan desarrollar aplicaciones conectadas a este EBSI. A largo plazo el objetivo es que sea interoperable con otras plataformas y redes del sector privado.
EBSI tiene ya cuatro casos de uso iniciales en fase piloto y está planificando nuevos. Los cuatro casos de uso iniciales son:
1) Protocolización o certificación notarial, en que la tecnología blockchain sirve para certificar ante notario documentos oficiales con fines transfronterizos y facilitar controles de cumplimiento automatizados en procedimientos urgentes, así como demostrar la integridad de los datos.
2) Titulaciones académicas, caso de uso que permite a los ciudadanos gestionar sus credenciales educativas, reducir significativamente los costes de verificación y mejorar la confianza en su autenticidad. En un principio se aplicará a educación superior.
3) Identidad digital europea que permite a los usuarios controlar su propia identidad a través de las fronteras sin depender de autoridades centralizadas, a la vez que se garantiza el cumplimiento del marco regulatorio eIDAS en cuanto a la firma digital (2).
4) Intercambio de datos seguro entre las autoridades de la UE, comenzando con los números de identificación del IVA y las ventanillas únicas entre las autoridades aduaneras y fiscales en materia de importación.
Los tres nuevos casos consisten en:
5) Financiación de pequeñas y medianas empresas (PYMEs) a través de blockchain.
6) Acceso transfronterizo a los servicios sanitarios mediante los números de seguridad social europeos.
7) Gestión de los procesos de solicitud de asilo transfronterizos.
Para (1) generar nuevas capacidades de la Infraestructura Europea de Servicios de Blockchain, que permitan implementar correctamente los casos de uso actuales y desarrollar nuevos casos de uso, (2) contribuir al desarrollo de nuevas soluciones y nuevos estándares y (3) reforzar la posición europea en materia de tecnología blockchain, la Comisión Europea impulsó una Compra Pública Precomercial (CPPc). (3)
La preparación y lanzamiento de esta CPPc se hizo en varias fases. En diciembre de 2019 se publicó un aviso de información previa en el que se anunciaba una consulta preliminar de mercado, que tuvo lugar de forma online en abril de 2020 (4). El anuncio de licitación se publicó en noviembre de ese mismo año, pero la adjudicación no tuvo lugar hasta julio de 2021.
La primera fase de la CPPc – diseño de la solución – se desarrolló por 7 contratistas, de los cuales cinco pasaron a la fase 2ª – desarrollo de prototipo y ensayos de laboratorio – en enero de 2022 (5). La tercera y última fase – desarrollo final de la solución, instalación y ensayo de campo está ahora en desarrollo con tres contratistas (6).
Este desarrollo por múltiples contratistas tiene varias ventajas, siendo las principales:
• Reducción del “riesgo de innovación” - ¿Con cuántas buenas ideas es necesario experimentar hasta llegar a una solución viable? Al comenzar la primera fase con un gran número de empresas y mantenerse la competición a lo largo de toda la CPPc, se limita el peligro de que tras toda la inversión en tiempo y recursos no se desarrolle ninguna solución.
• Disminución del riesgo de “vendor lock-in” – O lo que es lo mismo, desarrollar una única propuesta que lleve a largo plazo a una situación de monopolio. En una CPPc se limita al hacer participar a múltiples empresas en cada una de las fases.
Sin embargo, el procedimiento por el que se está adquiriendo esta solución innovadora no es el aspecto más llamativo de esta licitación, sino las cláusulas que se han introducido en los pliegos para garantizar la autonomía y resiliencia europea y la seguridad y la privacidad de los datos (7).
En primer lugar, solo contratistas establecidos en o controlados por estados del Espacio Económico Europeo (EEE) pueden participar en este procedimiento. Si una empresa está establecida en Europa, pero controlada por una empresa matriz de un tercer estado no podría participar. Podría darse el caso de una empresa situada en un tercer estado, pero controlada por un matriz europea, participando como subcontratista o entidad en cuyas capacidades se apoya la empresa principal, si el contratista principal sí está situado en Europa. Si estos requisitos no se cumplen, la Comisión puede denegar los pagos de la fase y reclamar la transferencia de todos los resultados obtenidos en dicha fase.
El segundo aspecto de interés es el lugar de ejecución del contrato, donde de nuevo se introducen limitaciones a que participen empresas de terceros países: como mínimo el 70% de las actividades de I+D de las fases 1 y 2A se deben llevar a cabo en instalaciones en el EEE y cumulativamente el 70% de estas actividades de todas las fases (1, 2A y 2B) se deben llevar a cabo en Europa por empleados localizados principalmente en Europa. La idea detrás de esta exigencia es, por un lado, (1) garantizar que la investigación y desarrollo se llevan a cabo en Europa, lo que tiene como fin fomentar las tecnologías punteras con sello de calidad europeo, reforzando las tecnologías blockchain y su implementación en los estados miembros, así como (2) fomentar la creación de puestos de trabajo e instalaciones de alto nivel en Europa.
A esto se suma, en el caso de ambos requisitos – limitación a participar y limitaciones en la ejecución del contrato – el hecho de que no sólo se trata de una tecnología puntera, sino también de una tecnología con un valor estratégico muy alto, cuyo desarrollo, implementación y estandarización no se puede dejar en manos de terceros países: es muy importante el posicionamiento de Europa. Sin olvidar que los servicios que se prestarán a través de esta infraestructura dependen fundamentalmente del almacenamiento de datos en muchos casos muy sensibles. Se trata por lo tanto de un campo estratégico que afecta a la seguridad de los estados participantes.
Esto permite añadir cláusulas incluso más restrictivas que las que acabamos de ver, como por ejemplo que, si el desarrollo es de componentes de seguridad, tendrá que llevarse a cabo al 100% en estados miembros de la UE.
En último lugar, no podemos dejar de mencionar la medida estrella respecto al procesamiento de datos personales, que sólo podrá tener lugar en la UE o en el EEE y no puede transferirse a terceros estados, a no ser que cumpla con los requisitos de trasferencias de datos establecidos en el RGPD (8). Los datos personales se mantendrán en centros en estos territorios. Si los contratistas desean cambiar la localización del procesamiento de datos, tendrá que pedir autorización a la Comisión.
Este requerimiento asegura que, por un lado, los datos personales están correctamente custodiados y procesados en Europa, cumpliendo todos los requisitos legales (en particular con el RGPD), y por otro lado, que el inmenso valor que tienen los datos procesados genera beneficios en Europa.
Si bien estos requisitos son sin duda un primer paso para lograr a nivel micro - de la propia solución blockchain - la seguridad y la privacidad de los datos que se van a trasmitir y generar en la prestación de los servicios recogidos en los casos de uso; y a nivel macro – del EEE - fomentar la autonomía, la resiliencia y sobre todo la innovación en Europa y por Europa, una visión crítica requiere una serie de reflexiones.
1) La tecnología blockchain se caracteriza por la fiabilidad de los datos grabados – cualquier alteración es fácilmente detectable - ya que cada bloque se graba en todos los nodos del servidor, una vez estos nodos se han puesto “de acuerdo” siguiendo un algoritmo. Sin embargo, el hecho de que estén grabados en muchos nodos implica que hay que “proteger” más bases de datos frente a posibles ataques, lo que es crucial cuando la información almacenada es sensible. En el caso de EBSI se trata de al menos 27 nodos de cada estado miembro, la Comisión Europea, y tres países del EEE.
2) La limitación a la participación de empresas de terceros países es un buen primer paso para asegurarse que Europa está a la cabeza de las innovaciones en materia de blockchain. Sin embargo, sí se permite participar como subcontratistas a empresas de terceros países, siempre que estén controladas por una matriz europea. Y la responsabilidad por el cumplimiento se deja en manos del contratista principal. Cabe aquí preguntarse hasta qué punto este tiene control sobre sus subcontratistas.
Parece que estos subcontratistas, al no estar situados en Europa, no podrán participar en el desarrollo de componentes de seguridad (que recordamos, tendrán que llevarse a cabo al 100% en estados miembros de la UE). Pero ¿cómo evitar que haya “contaminación” de información cuando los equipos estén trabajando? Es cierto que la Comisión se reserva el derecho de hacer cuantas comprobaciones sean necesarias durante la ejecución del contrato, pero es cuánto menos complicado desde el punto de vista práctico.
3) Además, limitando la participación únicamente a empresas europeas, nada garantiza que éstas sean las mejores en su campo. Sólo nos indica que son europeas. Es decir, la solución que desarrollen puede no ser la mejor en el campo o incluso darse el caso de que estemos destinando recursos a desarrollar algo que ya existe (9).
4) Cierto es que la obligatoriedad de ejecutar un 70% de las actividades de I+D de las fases 1 y 2A y cumulativamente el 70% de estas actividades de todas las fases (1, 2A y 2B) en el EEE por empleados localizados mayoritariamente en este espacio fomenta el desarrollo de tecnologías punteras con sello de calidad europeo y la creación de puestos de trabajo e instalaciones de alto nivel en Europa. No obstante lo dicho, queda un 30% - siempre que no se trate de componentes de seguridad - que se podrá ejecutar fuera de Europa. La pregunta es de nuevo el cómo evitar “pérdidas” o “contaminación” de información cuando ciertos componentes se desarrollen en países terceros.
5) Por último, pero definitivamente no menos importante, es el procesamiento de datos personales, que sólo se podrán transferir a terceros Estados cumpliendo con los requisitos del RGDP. Hay dos formas de que esas transferencias sean legales:
1.Si se basan en una decisión de adecuación de la Comisión, que, tras una evaluación, decide que el tercer país garantiza un nivel de protección adecuado. Se trata de una autorización genérica para el país, por lo que una transferencia no requiere autorización específica (10).
2.Si los interesados “cuentan con derechos exigibles y acciones legales efectivas” y el contratista provee de unas garantías adecuadas, como instrumentos jurídicamente vinculantes, normas corporativas, cláusulas de protección de datos, códigos de conducta.
Y es en este punto donde cabe dudar de la seguridad en la trasmisión de los datos. Aunque sea la Comisión quien ejerza las validaciones pertinentes, sigue siendo poco trasparente la manera de transferir datos personales a países terceros (11). ¿Cómo funcionaría este mecanismo desde el punto de vista práctico? ¿Cómo demostrará el ciudadano que tiene derechos exigibles y/o acciones legales? ¿Y a quién? ¿Al contratista? ¿A la Comisión?
La conclusión – por no hacer críticas sin aportar soluciones – es que, ciertamente era necesaria una iniciativa que “despertara” y activara una tecnología tan novedosa y estratégica en Europa, porque los estados miembros no se pueden quedar atrás, a riesgo de que sean otros países los que impongan sus estándares a nivel mundial. Estándares que pueden no ser tan garantistas como los europeos.
Sin embargo, tratándose de una tecnología cuyo poder reside precisamente en la capacidad de almacenar y gestionar datos de carácter sensible, tanto, que pueden afectar a los intereses generales de los estados, tal vez estaba justificado excluir este procedimiento de la normativa de contratación, no ya porque se encuentre bajo el ámbito de aplicación el a CPPc, si no por el objeto de su contratación: se trata de una tecnología estratégica, que incluye datos muy sensibles y que afecta de manera significativa a la seguridad de los estados miembros participantes.
El artículo III.1) del Acuerdo General de Comercio excluye de su ámbito de aplicación cualquier contratación por la que los estados deban revelar información que afecte a sus intereses esenciales de seguridad relacionados entre otros con la seguridad nacional (12).
Las Directivas de Contratación de 2014 se derivan de este Acuerdo General de Comercio (13). De ahí que la propia Directiva 2014/24/UE excluya de su ámbito de aplicación contratos públicos cuando la protección de los intereses esenciales de seguridad de un Estado miembro no pueda garantizarse con medidas que supongan una menor injerencia (14)(15).
En resumen, si bien licitar una CPPc presenta ciertas ventajas ya comentadas, también es cierto que su propia estructura (un requisito indispensable para que una CPPc lo sea y por tanto este excluida de la LCSP es que los Derechos de Propiedad Intelectual (DPI) queden en manos del contratista que los genera, dándole así la posibilidad de comercializar la solución fuera del marco de la propia CCPc) puede generar riesgos en la seguridad de la información de esta tecnología.
Y si bien los pliegos de la licitación están muy bien diseñados, pensando en posibles eventualidades, siempre va a existir un riesgo de que se filtre determinada información, que a la larga puede llevar a ataques a la seguridad de la red que gestionará una cantidad ingente de datos personales de ciudadano del EEE.
Es cierto que la competencia en contratación pública es beneficiosa. Pero las Directivas han contemplado una serie de exclusiones muy restrictivas, porque en determinados casos, como podría ser el presente, una licitación no debería ser accesible para todos.
[1] Véase https://digital-strategy.ec.europa.eu/en/policies/european-blockchain-services-infrastructure
[2] eIDAS se refiere al Reglamento (UE) No 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/C. OJ L 257, 28.8.2014, p. 73–114.
Un aspecto fundamental de este reglamento es su artículo 6, que establece el reconocimiento mutuo de los medios de identificación electrónica emitidos por los países de la UE, siempre que cumplan con una serie de criterios y hayan sido debidamente notificados a la Comisión. Este reconocimiento permite transacciones electrónicas seguras al garantizar que una identificación electrónica emitida en un estado miembro sea válida y reconocida en todos los demás.
Ahora mismo está en revisión porque a pesar del avance que supuso este reglamento, sigue habiendo discrepancias en el desarrollo y la interoperabilidad de los sistemas de identificación electrónicos nacionales entre estados miembros.
Para más información consultar: https://digital-strategy.ec.europa.eu/en/policies/eidas-regulation
[3] Véase https://digital-strategy.ec.europa.eu/en/news/european-blockchain-pre-commercial-procurement. Obviamente, la solución en desarrollo debe ser compatible con el marco jurídico de la UE, en particular con el RGPD, el Reglamento eIDAS y la Directiva 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva NIS).
[4] Aquí están disponibles el anuncio de información previa: https://ted.europa.eu/en/notice/-/detail/590329-2019 y la consulta preliminar: https://www.youtube.com/watch?v=71A0fzFUR34
[5] Los siete contratistas originales son: IOTA Stiftung; IOV42 IP Ltd; Stichting Dyne.org, Infocert Spa, RIDDLE&CODE Gmbh; Orange Business Belgium SA; Chromaway AB; Billon Sp. Z O. O.; y Westpole Belgium, Net Service Spa, Flosslab s.r.l.
[6] No hay más noticias disponibles del resultado de esta fase por ahora.
[7] Algunas de estas cláusulas sólo se han podido introducir porque se trata de una CPPc excluida del ámbito de aplicación de las Directicas de Contratación de 2014 y de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014 (LCSP). Véanse los artículos 25 de la 2014/23/UE, 14 de la Directiva 2014/24/UE, 32 de la 2014/25/UE y 8 de la LCSP.
[8] Véanse artículos 44, 45 y 46 del RGPD.
[9] En este caso, el desarrollo en Europa es por un motivo estratégico de mantener una tecnología estratégica bajo su control, pero es un argumento que no podemos dejar de mencionar, sobre todo porque como veremos en la conclusión podría haber otras formas de asegurarse ese control, aumentando además los niveles de confidencialidad y seguridad de los estados.
[10] En la actualidad, los países y territorios declarados como adecuados son: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda, Japón, Reino Unido, República de Corea y USA. Fuente: AEPD. https://www.aepd.es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/garantias-para-las-transferencias-de
[11] Aspecto que no queda claro, porque el artículo 46 habla de “una autoridad de control” -
[12] Modificado en Marzo de 2012.
[13] Directivas 2014/23/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, relativa a la adjudicación de contratos de concesión, 2014/24/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre contratación pública y por la que se deroga la Directiva 2004/18/CE y 2014/25/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, relativa a la contratación por entidades que operan en los sectores del agua, la energía, los transportes y los servicios postales y por la que se deroga la Directiva 2004/17/CE.
[14] Véase el artículo 15. 2 de la Directiva 2014/24/UE: “La presente Directiva no se aplicará a otros contratos públicos y concursos de proyectos que no se exceptúen ya en virtud del apartado 1, en la medida en que la protección de los intereses esenciales de seguridad de un Estado miembro no pueda garantizarse con medidas que supongan una menor injerencia, por ejemplo imponiendo requisitos destinados a proteger el carácter confidencial de la información que el poder adjudicador proporcione en un procedimiento de adjudicación de un contrato con arreglo a lo dispuesto en la presente Directiva”.
[15] La exclusión podría venir también por parte de la Directiva de Defensa, aunque es más difícil de justificar porque hay que asegurar el cumplimiento de las siguientes definiciones:
“«Equipo sensible», «obras sensibles» y «servicios sensibles»: el equipo, las obras y los servicios con fines de seguridad que impliquen, requieran y/o contengan información clasificada”.
“«Información clasificada»: cualquier información o material, independientemente de su forma, naturaleza o modo de transmisión, al que se haya atribuido un nivel de clasificación de seguridad o un nivel de protección y que, en interés de la seguridad nacional y de conformidad con las disposiciones legales, reglamentarias o administrativas vigentes en el Estado miembro en cuestión, requiera protección contra toda apropiación indebida, destrucción, eliminación, divulgación, pérdida o acceso por cualquier persona no autorizada, o contra cualquier otro riesgo”
“«Ciclo de vida»: todas las posibles etapas sucesivas de los productos, a saber, investigación y desarrollo, desarrollo industrial, producción, reparación, modernización, modificación, mantenimiento, logística, formación, ensayo, retirada y eliminación”.
