PP y Vox llevan al Parlamento iniciativas para frenar contratos con Huawei y proveedores chinos que creen de alto riesgo

La inquietud acerca de la posible transferencia de datos estratégicos fuera del Espacio Económico Europeo ha ocupado una posición destacada en el debate parlamentario actual, según reportó El País. Esta preocupación se ha visto reforzada a raíz de un contrato por 12,3 millones de euros adjudicado a la Unidad Central Operativa de la Guardia Civil, lo que ha reactivado el análisis sobre el grado de exposición de información sensible bajo la gestión de entidades extranjeras, especialmente empresas tecnológicas sujetas a regulaciones como la normativa china. Dentro del Parlamento, la discusión gira en torno al riesgo de que información protegida acabe en manos de autoridades foráneas debido a obligaciones legales que exigen a ciertas compañías transferir datos a gobiernos extranjeros, más allá de la jurisdicción comunitaria. El eje de las deliberaciones se ubica en la posible intervención de proveedores chinos como Huawei, cuyas operaciones quedan bajo vigilancia institucional por los requerimientos legales en China de entregar al gobierno la información procesada, tanto en su país como en el exterior.

De acuerdo con el seguimiento informativo realizado por El País, el Partido Popular y Vox han promovido en la Cámara Baja iniciativas legislativas destinadas a limitar el acceso de proveedores tecnológicos extranjeros a contratos públicos en sectores estratégicos, centrando sus esfuerzos en el ámbito de las telecomunicaciones y la defensa. Las propuestas impulsadas por ambas formaciones buscan establecer restricciones claras que impidan la participación de empresas consideradas “de alto riesgo”, es decir, aquellas sujetas a marcos regulatorios extraños a los estándares europeos y cuya regulación permitiría la intervención de gobiernos no pertenecientes a la UE.

El País detalló que estas medidas toman como fundamento las recomendaciones de la Comisión Europea recogidas en el documento C(2023) 4049. Dicho texto promueve la necesidad de aumentar los controles en la cesión de acceso a información delicada a compañías extracomunitarias, exigiendo el refuerzo de los mecanismos que frenen la salida de datos estratégicos fuera del entorno regulatorio europeo. La Comisión plantea la implementación de barreras adicionales a las transferencias de datos, dada la preocupación reiterada por vulneraciones potenciales o episodios de espionaje que podrían desencadenarse utilizando sistemas sometidos a legislaciones externas.

Según publicó El País, la directiva europea sobre ciberseguridad NIS2, de aplicación obligatoria para todos los Estados miembros, constituye una de las bases del nuevo enfoque legislativo. Esta directiva refuerza las obligaciones sobre la notificación y prevención de incidentes informáticos, eleva el grado de protección en infraestructuras críticas y endurece las limitaciones para la exportación de información que supere lo contemplado por la legislación europea. El impulso de Vox incluye la posibilidad de excluir explícitamente a empresas con sedes en jurisdicciones que prevén la colaboración obligatoria con gobiernos no europeos, suprimiendo su rol en la gestión de servicios públicos esenciales ligados al tratamiento de información sensible o datos clasificados.

El objetivo principal de este paquete legislativo, reseñó El País, reside en fortalecer la integridad y la confidencialidad de los datos estratégicos de naturaleza estatal, a través de mecanismos de control robustos que eviten accesos indebidos o transferencias sin autorización fuera de Europa. El enfoque de gestión de riesgos relacionados con la cadena de suministro y la seguridad digital pasa por entidades como el Centro Criptológico Nacional (CCN), organismo encargado de definir protocolos para la captación, almacenamiento y compartición segura de información en instituciones públicas españolas. El País consignó que el CCN ha desarrollado herramientas destinadas a aislar digitalmente los datos de mayor sensibilidad y cuenta con procedimientos específicos para responder ante incidentes que pongan en peligro la protección de información clasificada.

La coordinación de la estrategia nacional en ciberprotección encuentra su marco dentro de la Comisión Mixta de Seguridad Nacional, según destacó El País. Este organismo fomenta el diálogo proactivo entre los ámbitos público y privado, promoviendo la adaptación de las recomendaciones de la Unión Europea a las condiciones operativas del sector público español. Además, potencia la inversión en soluciones tecnológicas de última generación, así como en la capacitación de profesionales enfocados en la defensa digital. Estas directrices procuran dotar de recursos adecuados al país para identificar, gestionar y contener eventos que puedan afectar a infraestructura vital tanto para el funcionamiento de la administración como de la economía nacional.

Para supervisar la aplicación práctica de la normativa y adecuarla al panorama de riesgos actuales, el proceso legislativo incluye la consulta a expertos multidisciplinares. Según el seguimiento de El País, tanto técnicos como responsables institucionales defienden la necesidad de fortalecer los sistemas nacionales de control sobre los proveedores tecnológicos, y de implementar controles estrictos en las fases de adjudicación y supervisión de proyectos de tecnología pública.

Una de las propuestas a debate en el Parlamento, recogida por El País, es la eventual instauración de una agencia nacional de ciberseguridad con la competencia para organizar acciones preventivas, identificar incidentes y emitir respuestas ágiles en caso de ataques dirigidos a infraestructura estatal o datos clasificados. Dicha agencia, proyectada dentro del refuerzo del espacio digital europeo, trabajaría en estrecha colaboración con el CCN y se uniría a los actuales sistemas de alerta y respuesta.

El proceso de reforma legal considera también la creación de un régimen sancionador aplicable ante vulneraciones a las normas de seguridad o filtraciones de información estratégica. Según indicó El País, el propósito de dotar de mayor responsabilidad técnica y jurídica a los adjudicatarios de contratos públicos tecnológicos se articula a través de estas medidas, incrementando los requisitos exigidos a las empresas implicadas en proyectos financiados con fondos estatales o que participen en la salvaguarda de intereses institucionales.

La motivación esencial detrás de estas iniciativas se centra en garantizar la soberanía digital y minimizar todo margen de influencia por parte de actores ajenos a la UE, especialmente en sectores señalados como vitales o críticos. Informó El País que esta orientación resulta convergente con la línea adoptada en diversos países europeos, donde se privilegia la exclusión preventiva de empresas catalogadas como de riesgo, incluso antes de que se concrete cualquier amenaza específica.

Las comisiones parlamentarias especializadas avanzan en la labor de identificar prioridades y distribuir recursos para la implementación efectiva de estos controles, relató El País, persiguiendo el objetivo de preservar la seguridad de los sistemas públicos frente al aumento de amenazas detectadas y en concordancia con la evolución de las políticas de ciberprotección promovidas dentro de la Unión Europea.