Risk & Compliance. Identificación, Análisis y Gestión de Riesgos Corporativos

Captura de pantalla 2014-02-04 a la(s) 00.40.41

Disponer de una estrategia integral para la identificación, análisis, evaluación y gestión del riesgo legal corporativo en las organizaciones de hoy día, es una necesidad esencial para lograr generar la confianza reclamada insistentemente por inversores, clientes y demás agentes del mercado, además de lograr reducir los riesgos legales de la compañía, aumentar la eficiencia de la organización y facilitar la toma de decisiones por parte del “Board”

A ninguno se nos escapa que la actual situación económica ha provocando que la mayoría de organizaciones comiencen a implementar planes encaminados a mejorar y aumentar su eficiencia, los sistemas de control internos, así como la disposición de de sistemas internos de monitorización y control del “estado de salud” de la organización.

En este proceso de cambio, como no podía ser de otra forma, Gobiernos y Entes Reguladores iniciaron hace algunos años un profundo proceso de regulación con impacto en la mayoría de sectores, caracterizándose las diferentes normas promulgadas por introducir sistemas de control efectivo, de transparencia y de buen gobierno corporativo orientados  a lograr los máximos grados de participación, legalidad, transparencia, responsabilidad, consenso, equidad, eficacia, eficiencia y sostenibilidad.

La creación del mercado común europeo, entre cuyas principales orientaciones se encuentra promover la unificación de la normativa aplicables en todos los países miembros; los frecuentes casos de corrupción en organismos públicos y privados con graves efectos colaterales para las economías nacionales; o las importantes quiebras  que desde inicios del S. XXI hemos tenido ocasión de presenciar, tales como la de compañías como Lehman Brothers, y todo lo que de ella dependía a nivel mundial, Enron, Worldcom, AOL o Arthur Andersen, caídas que en muchos casos se produjeron por la falta de control interno y externo del cumplimiento normativo, han obligado al establecimiento de un marco regulador uniforme, del que se derivan una serie de reglas básicas cuyo cometido no es otro que, sin llegar a anular la necesaria capacidad privada para la gestión de las organizaciones, existieran herramientas y métodos, más o menos uniformes, que permitieran anticiparse y prever los posibles efectos derivados de estas situaciones, así como dotara al resto de los agentes del mercado de medios suficientes para poder reaccionar desde el punto de vista jurídico y económico para la defensa de sus intereses.

Desde los departamentos jurídicos y de cumplimiento normativo, como la gran mayoría de las disciplinas empresariales, hemos tenido que evolucionar con los tiempos, adaptándonos a los requisitos que una sociedad y un mercado, cada vez más exigente, nos requieren.

Los servicios de asesoramiento y consultoría legal tradicionalmente han estado orientados únicamente a identificar posibles incumplimientos normativos de la organización, centrándose en la proposición de las medidas correctoras oportunas para lograr solucionar los incumplimientos de la organización, sin que en ningún momento se realice una identificación de los riesgos reales que la organización asume en caso de incumplimiento, ni tampoco analizar el coste / beneficio que podría implicar el cumplimiento, o en su caso el incumplimiento normativo en cuestión.

Ante los cambios normativos tan habituales a los que no estamos viendo sometidos en los últimos tiempo, la intensificación de los niveles de responsabilidad de los consejos de administración, así como la imposición de la obligación de debido y efectivo control en las compañías o de evaluación del riesgos de las organizaciones, el asesoramiento jurídico prestado siguiendo las metodologías tradicionales, en muchas ocasiones, ha dejado de aportar niveles de seguridad frente al riesgo efectivamente razonables, convirtiéndose el cumplimiento normativo en una carga pesada para las organizaciones, que en muchas ocasiones son mantenidas únicamente por tratarse de una mera imposición legal, sin que se extraiga un valor añadido real a la compañía, como podría ser, por ejemplo, al aumento de la valoración de la compañía en bolsa.

El principal elemento adicional que se está introduciendo en la valoración jurídica, es el elemento del Riesgo, un Riesgo, que debe ser calculado tomando como referencia criterios actuariales, ampliamente utilizados en el sector asegurador o financiero, en el que mediante la aplicación de un sencilla fórmula matemática (Riesgo = Probabilidad x Impacto), también, por qué no, los asesores legales podemos poner a disposición de nuestros Consejos un potente instrumento con el que poder valorar, basándonos en datos puramente objetivos, las decisiones asociadas al cumplimiento de determinadas normas o en su caso el grado de cumplimiento.

Son cuatro los elementos que debemos tener en cuenta a la hora de calcular el riesgo asociado al incumplimiento de una determinada obligación legal:

1)    Probabilidad: siendo la frecuencia con la que se produce una determinada amenaza.

2)    Amenaza: siendo la situación que en caso de constatarse, junto a la vulnerabilidad, produciría necesariamente que el impacto se materializara.

3)    Vulnerabilidad: produciéndose cuando no existe o no se aplica una medida específica, ya sea jurídica, técnica u organizativa, encaminada a eliminar el riesgo en su origen, o en su caso, mitigarlo para su adecuada gestión.

4)    Impacto: efectos, directos e indirectos (no sólo económicos, sino también reputacionales, bloqueo de operaciones, etc) , que pueden llegar a derivarse en caso de que se materialice una determinada amenaza.

Para la identificación, evaluación y gestión del riesgo, contamos en la actualidad con estándares internacionales como ISO/IEC 31.000 que ponen a nuestra disposición una metodología uniforme, común y reconocida a nivel internacional para identificar, analizar, evaluar y tratar los potenciales riesgos, contribuyendo a minimizar las áreas de incertidumbre y a la mejora del desempeño, proporcionando las directrices necesarias para gestionar eficazmente cualquier tipo de riesgo de una manera sistemática, transparente y fiable, ayudando a desarrollar un marco de trabajo para integrar la gestión del riesgo en todos los procesos de la empresa y como no, también en los procesos asociados al área legal de la organización.

Son sectores como el asegurador, financiero, telecom o energético en los que la normativa nacional, comunitaria e internacional de reciente publicación, está haciendo especial hincapié en la necesidad de que las organizaciones se doten de sistemas internos de Governance, Risk & Compliance (GR&C) que permitan a las entidades poder establecer internamente un Framework para la gestión de riesgos y cumplimiento normativo, pero no sólo financieros u operacionales, sino también para los riesgos asociados al cumplimiento normativo.

grafico_compliance_riesgos

La mayoría de la normativa de aplicación a la empresa privada, especialmente si ésta pertenece a sectores con alta regulación o compañías que cotizadas, impone la obligación de realizar auditorías periódicas, así como publicar datos estadísticos del nivel de cumplimiento y de los riesgos asumidos por la compañía, así como sobre el grado de cumplimiento y desarrollo de una determinada ley o marco regulatorio.

Del mismo modo, es habitual que la normativa en cuestión requiera las máximas garantías de objetividad, independencia e integridad de todos y cada uno de los procesos de evaluación de cumplimiento, de tal forma que una vez emitidos no puedan ser variados. Todo ello no tiene otro objetivo que reforzar la confianza de inversores y clientes, mediante la reduciendo del riesgo de la compañía y especialmente, mediante la acreditación permanente de los niveles de cumplimiento normativo de la organización.

Desde el punto de vista normativo, cabe destacar entre las principales normas que apunta a la necesidad de establecer un “FrameWork” de cumplimiento normativo, en el que se realice una auditoría y evaluación periódica del nivel de cumplimiento, así como se mantengan registros acreditativos del cumplimiento periódicos o en su caso sistemas de evaluación de riesgos legales corporativos

A nivel Nacional, cabe destacar lo dispuesto por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y particularmente por el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, donde se establece, entre otras, la obligación por parte de cualquier tipo de entidad que trate datos personales que sean catalogados de un determinado nivel de seguridad deben someter los sistemas de información empleados para el tratamiento de los mismos, a una auditoría bienal, además de llevar a cabo la elaboración de un Documento de Seguridad interno en el que se describan todas las medidas de seguridad y organizativas aplicadas sobre los sistemas de información y tratamiento de datos personales.

Del mismo modo, es igualmente destacable el papel que juega en este sentido la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, donde se establece expresamente que los sujetos obligados deberán aprobar por escrito y aplicar políticas y procedimientos adecuados en materia de diligencia debida, información, conservación de documentos, control interno, evaluación y gestión de riesgos, garantía del cumplimiento de las disposiciones legales pertinentes y comunicación de las mismas a los organismo reguladores, con objeto de prevenir e impedir operaciones relacionadas con el blanqueo de capitales o la financiación del terrorismo, extendiendo lo dispuesto en las citadas políticas a las sucursales y filiales con participación mayoritaria situadas en terceros países.

Es también importante, por el tipo de norma de que se trata, tener en cuenta lo dispuesto en la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, en lo que respecta a la responsabilidad penal de personas jurídicas, donde se dispone que  las personas jurídicas serán también penalmente responsables de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridad de los representantes legales y administradores de hecho o de derecho, han podido realizar los hechos por no haberse ejercido sobre ellos el “debido control” atendidas las concretas circunstancias del caso.

Precisamente, el “debido control” requerido por la norma no es otro que el establecimiento de sistemas de gestión y control internos, políticas de seguridad y prevención así como sistemas de evaluación permanente del nivel de cumplimiento de los objetivos previamente establecidos.

A nivel internacional, concretamente en los Estados Unidos de América (USA), cabe tener en consideración lo dispuesto por la Sarbanes – Oxley Act of 2002, Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista, norma de frecuente aplicación por parte de compañías españolas, en tanto éstas compañías coticen en la bolsa de los Estados Unidos o en su caso coticen en otras bolsas internacionales que lleven a cabo negocios en los EE.UU, cosa que suele ser extraordinariamente habitual.

Esta norma pretende lograr la generación de confianza entre los clientes y especialmente inversores, mediante la creación de estándares de auditoría y selección de los equipos auditores; el establecimiento de controles internos con el fin de asegurar la transparencia financiera, así como la precisión y responsabilidad individual sobre la información contenida en los mismos; la realización de evaluaciones y auditorías internas, que deberán constar en todo caso por escrito, en los que se establezca la responsabilidad del equipo directivo de tener una estructura de control adecuada para los informes de estados financieros y en todo caso, se acredite haber realizado una evaluación sobre la eficacia de los controles efectivamente aplicados.

Como vemos, de nuevo se trata de una norma aplicable a una gran número de compañías española que dispone la necesidad de disponer de controles internos y sistemas que integren el cumplimiento normativo de la organización con una identificación, análisis y evaluación de riesgos, con el fin de dotar a la información manejada por la compañía de la trazabilidad, transparencia e integridad requeridas por el mercado, con el fin de garantizar la máxima confianza, especialmente a inversores y resto de agentes del mercado.

Por último y dada la importancia de la materia y la conexión con la normativa de protección de datos anteriormente comentada, es de especial trascendencia la Health Insurance Portability and Accountability Act (HIPAA), normativa específica de privacidad respecto a datos relativos a salud aplicable a todos los planes de salud, centros de salud, así como a cualquier entidad que preste servicios relacionados con la salud que transmita este tipo de información en el territorio de los Estados Unidos de América (USA)

En definitiva, y a modo de conclusión, como no podía ser de otra forma, el mundo del Derecho y del Cumplimiento Normativo se está viendo sacudido en los últimos tiempos por la entrada en vigor de una gran número de normas, tanto nacionales, como internacionales que requieren el establecimiento en las compañías de políticas internas y sistemas de evaluación del cumplimiento normativo orientadas al riesgo, lo que necesariamente requiere la modernización de los sistemas de cumplimiento normativo y la conceptualización de los servicios de asesoramiento jurídico, en tanto que deben ser prestados atendiendo al riesgo y al coste-beneficio asociado al incumplimiento de cada obligación legal.

El papel de los asesores jurídicos y abogados, internos y externos, en este proceso de cambio del que estamos siendo partícipes, se torna en crucial para lograr que nuestra labor sea vista por parte de los consejos e inversores como un servicio esencial que aporta un valor claro a la organización, con un retorno de la inversión, claramente definido y cuantificable.

Artículo publicado en la Revista Economist & Jurist el pasado día 30 de agosto de 2013. Disponible para su descarga en PDF. Risk_& _Compliance_Identificación_Análisis_Gestión_Riesgos_Corporativos

Photo Credit: saturn ♄ via Compfight cc

Orden HAP/2194/2013 – Obligación de la presentación electrónica de Autoliquidaciones y Declaraciones Informativas ante la AEAT

Recientemente, el Ministerio de Hacienda y Administraciones Públicas ha aprobado la Orden HAP/2194/2013, de 22 de noviembre, por la que se regulan los procedimientos y las condiciones generales para la presentación de determinadas autoliquidaciones y declaraciones informativas de naturaleza tributaria, estableciéndose la obligatoriedad de presentar telemáticamente determinadas declaraciones periódicas.

6962664528_bb5cedb932_o

Fuente: http://www.flickr.com/photos/22417120@N08/6962664528
Creative Commons: http://creativecommons.org/licenses/by-nc-nd/2.0/

Por todos es sabido que si hay una Administración Pública en España que apuesta por el uso de las tecnologías de la información para la realización de trámites, esa es la Administración Tributaria. Desde que Santiago Segarra ocupó el cargo de Director del Departamento de Informática Tributaria en el año 1997, cargo que ocupó hasta el año 2008, la penetración en el uso de las tecnologías de la información por parte de los ciudadanos, ha pasado de ser nula, a ocupar puesto más que aceptables.

Tras leer la Orden Ministerial de referencia, no pude evitar que se me viniera a la cabeza la Sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Supremo de  22 de Febrero de 2012 (rec.7/2011) en la que se confirmaba la legalidad de obligar a todas las sociedades a recibir las notificaciones y comunicaciones administrativas exclusivamente por medios electrónicos (Para más información sobre esta STS, recomiendo leer este post de Sevach en el que queda claramente explicado el asunto)

La cuestión en el caso que nos ocupa con la publicación de esta nueva Orden HAP/2194/2013, es si ¿es posible que una Administración imponga a determinado colectivo de administrados, la obligación de comunicarse con ésta y recibir comunicaciones de la Administración en cuestión, en formato exclusivamente electrónico?

Para poder dar respuesta a esta cuestión, y sin ser extraordinariamente prolijo en la explicación, debemos atender a lo expresamente dispuesto en el artículo 27.6 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos en el que se dispone que “Reglamentariamente, las Administraciones Públicas podrán establecer la obligatoriedad de comunicarse con ellas utilizando sólo medios electrónicos, cuando los interesados se correspondan con personas jurídicas o colectivos de personas físicas que por razón de su capacidad económica o técnica, dedicación profesional u otros motivos acreditados tengan garantizado el acceso y disponibilidad de los medios tecnológicos precisos.”

Del mismo modo, tenemos que tener en cuenta lo dispuesto en el artículo 32 del Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, en el que se dispone que:

“1.La obligatoriedad de comunicarse por medios electrónicos con los órganos de la Administración General del Estado o sus organismos públicos vinculados o dependientes, en los supuestos previstos en el artículo 27.6 de la Ley 11/2007, de 22 de junio, podrá establecerse mediante orden ministerial. Esta obligación puede comprender, en su caso, la práctica de notificaciones administrativas por medios electrónicos, así como la necesaria utilización de los registros electrónicos que se especifiquen.

 .En la norma que establezca dicha obligación se especificarán las comunicaciones a las que se aplique, el medio electrónico de que se trate y los sujetos obligados. Dicha orden deberá ser publicada en el «Boletín Oficial del Estado» y en la sede electrónica del órgano u organismo público de que se trate.

3.Si existe la obligación de comunicación a través de medios electrónicos y no se utilizan dichos medios, el órgano administrativo competente requerirá la correspondiente subsanación, advirtiendo que, de no ser atendido el requerimiento, la presentación carecerá de validez o eficacia.”

Por último, hemos de tener en consideración lo expresamente dispuesto en el artículo 98.4 de la Ley 58/2003, de 17 de diciembre, General Tributaria en la que se dispone que “En el ámbito de competencias del Estado, el Ministro de Hacienda podrá determinar los supuestos y condiciones en los que los obligados tributarios deberán presentar por medios telemáticos sus declaraciones, autoliquidaciones, comunicaciones, solicitudes y cualquier otro documento con trascendencia tributaria”

Llegados a este punto en el que parece que tenemos identificados todos los “ingredientes” normativos que entran en juego en relación a la cuestión objeto de este post, debemos plantearnos si en el caso que nos ocupa se cumplen todos los requisitos para poder mantener que la obligatoriedad introducida por la Orden de referencia es acorde a derecho y no se excede de lo expresamente recogido en la normativa vigente.

En este sentido, desde mi punto de vista es esencial que tengamos en cuenta dos factores:

  1. ¿Quién es el destinatario de la obligación de comunicarse con las administraciones de forma exclusivamente electrónica?
  2. ¿Esos destinatarios tienen garantizado por razón de su capacidad económica o técnica, dedicación profesional u otros motivos acreditados tengan garantizado el acceso y disponibilidad de los medios tecnológicos precisos?

Los destinatarios de la obligación son todos los profesionales y trabajadores por cuenta propia dados de alta en el Régimen Alternativo de Autónomos o en su caso en las mutualidades correspondientes. Entiendo en que una vez identificado los sujetos pasivos de la obligación, todos estamos de acuerdo en que

La segunda cuestión, la auténtica clave del asunto planteado, es si esos destinatarios, por razón de su capacidad económica o técnica, dedicación profesional u otros motivos acreditados tengan garantizado el acceso y disponibilidad de los medios tecnológicos precisos para poder dar cumplimiento a la obligación dispuesta en la Orden de referencia.

En este sentido, como ya decíamos anteriormente, se planteó un caso parecido ante el Tribunal Supremo, relativo a las notificaciones electrónicas obligatorias, en el que Alto Tribunal dictaminó que:

“(…)ha de concluirse que el ámbito subjetivo de personas afectadas por la disposición impugnada, y dadas las características de estas, no se puede aceptar que se trate de un requisito técnico que pueda considerarse de imposible cumplimiento para las entidades destinatarias de las notificaciones.”

“Se infiere del texto legal citado que los criterios establecidos en la ley sobre este punto son: “capacidad económica”, “capacidad técnica”, “dedicación profesional” u “otros medios acreditados”. Pero el precepto añade otra nota de no menor importancia que es la de que esté “garantizado el acceso y disponibilidad de los medios tecnológicos precisos”.

La Sala estima que, aunque en el Decreto impugnado no se contienen esas limitaciones, el ámbito subjetivo establecido impide que las mencionadas limitaciones afecten a las personas que el autor del Reglamento ha decidido incluir en el sistema de notificaciones electrónicas.

Por la naturaleza de las cosas las entidades incluidas en el ámbito de aplicación del Reglamento no están afectadas por las limitaciones que la ley prevé sobre “acceso y disponibilidad” de medios tecnológicos, a efectos de imponer la asunción de las notificaciones electrónicas”

Ahora bien, debemos tener en cuenta quién era el sujeto pasivo de la normativa objeto de recurso ante el Tribunal Supremo, tratándose de Personas Jurídicas.

En el caso que nos ocupa, la AEAT y el legislador han dado un paso más allá, extendiendo la obligación determinada por el Tribunal Supremo como ajustada a Derecho para las personas jurídicas (sociedades limitadas y sociedades anónimas), estableciendo la obligación de todos los sujetos pasivos de presentar las “autoliquidaciones” y “declaraciones informativas” en los formatos indicados en el artículo 2 de la Orden de referencia, en el que se disponen las siguientes tres modalidades de presentación:

  1.  Presentación electrónica por Internet mediante certificado de firma electrónica o mediante lo que ha venido a denominarse “PIN 24H”
  2. Presentación mediante papel impreso generado exclusivamente mediante la utilización del servicio de impresión desarrollado a estos efectos por la Agencia Tributaria en su Sede Electrónica
  3. Papel impreso a través del programa de ayuda o por el módulo de impresión correspondiente

Si bien el Tribunal Supremo entendió en su momento, que las personas jurídicas obligadas a recibir notificaciones por parte de la AEAT exclusivamente por vía electrónica, no podían alegar que no tuvieran “capacidad económica”, “capacidad técnica”, “dedicación profesional”, “otros medios acreditados” o falta de “acceso y disponibilidad de los medios tecnológicos precisos” para poder acceder a las citadas notificaciones por vía electrónica, parece que en esta ocasión, al extenderlo a un colectivo bastante más amplio, como son todos los sujetos pasivos de impuesto tan extendidos como el IRPF o el Impuesto sobre Patrimonio, entre muchas otras, puede que se le “haya ido de las manos” al regulador el asunto, pudiendo haber superado la delgada línea roja que dispone la actual normativa.

No debemos olvidar, que en este caso, la AEAT ha dispuesto la posibilidad de realizar la presentación de las “autodeclaraciones” y “declaraciones informativas” con un sistema alternativo, el PIN 24H, en el que se facilita enormemente la accesibilidad al sistema, y se eliminan todas las barreras de entrada derivadas de los habituales problemas que resultan del uso de certificados de firma electrónica reconocida.

Desde mi punto de vista, este momento tenía que llegar. La AEAT y en general las Administraciones Públicas, llevan muchos años lanzando globos sonda, en los que de forma gradual imponían obligaciones del uso de medios electrónicos para comunicarse con ellas de forma exclusivamente electrónica. Ahora bien, estoy convencido de que en no mucho tiempo vamos a ver cómo asociaciones de usuarios van a reclamar la ilegalidad de esta norma, por entender que se trata de una norma que deja en desigualdad a muchos ciudadanos, dado que no todos cuentan con “capacidad económica”, “capacidad técnica”, “dedicación profesional”, “otros medios acreditados”, o en definitiva, tienen falta de “acceso y disponibilidad de los medios tecnológicos precisos” para poder llevar a cabo las acciones dispuestas normativamente.

Es muy posible que en un tiempo veamos como el Alto Tribunal determina la ilegalidad, desde mi punto de vista, de parte de la citada Orden, estableciendo que determinados colectivos sujetos a la obligatoriedad de presentar electrónicamente determinados modelos de autoliquidaciones y declaraciones informativas, no cuenta o tienen difícil acceso con las capacidades y medios anteriormente indicados.

A pesar de ello, estoy convencido de que el caminó que inició la AEAT y la Seguridad Social hace bastantes años, no tiene vuelta atrás, y que el uso de medios tecnológicos en las Administraciones ha venido a quedarse y esperemos que así sea por mucho tiempo.

Aspectos básicos de la Seguridad en la Contratación Pública Electrónica

Dos manos - Licitación y Contratación Pública ElectrónicaEl pasado día 30 de diciembre, publicaron un breve artículo en el Blog del Observatorio de la Seguridad de la Información del INTECO en el que abordo un tema sobre el que llevo trabajando intensamente desde hace más de dos años. Se trata de la Licitación y Contratación Pública Electrónica, entendidas como fases diferentes del procedimiento de tramitación del expediente completo de contratación pública, utilizando medios electrónicos.

Durante este tiempo he tenido la oportunidad de trabajar mano a mano con algunos de considerados por la Comisión Europea como principales agentes del mercado comunitario, con los que he tenido y tengo la oportunidad de analizar multitud de cuestiones, directa o indirectamente relacionadas con aspectos como la seguridad, criptografía, gestión de la seguridad de la información, protección de datos y multitud de aspectos realmente apasionantes que unen esos dos sectores que tanto me apasionan, el Derecho y la Tecnología.

Sin ánimo de reproducir íntegramente el artículo publicado en el Blog del INTECO, dejo un breve resumen de los aspectos que considero esenciales desde el punto de vista de la seguridad para lograr el éxito de la implantación de licitación y la contratación pública electrónica entre nuestras administraciones públicas:

  • Identidad: como no podía ser de otra forma, es requisito indispensable que todo acto que cause efectos jurídicos dentro del procedimiento administrativo de contratación pública debe encontrarse debidamente firmado, garantizándose en todo momento la identidad del firmante. Por ello, es requisito indispensable que las plataformas o herramientas empleadas por las Administraciones Públicas para la tramitación de este tipo de procedimientos administrativos, establezcan como requisito indispensable que cualquier acción que cause efectos jurídicos dentro del procedimiento de contratación -publicación de pliegos, presentación de ofertas, notificación de necesidad de subsanar ofertas, presentación de subsanaciones, notificación adjudicaciones, formalización del contrato, emisión de facturas electrónicas,  entre otras- deba encontrarse debidamente firmada mediante certificado de firma electrónica reconocida.
  • Integridad: durante todo el procedimiento administrativo de contratación pública deberá garantizarse la no alteración de la información contenida en el mismo, de tal forma que si en algún momento algún dato fuera modificado, de forma automática el sistema debería alertar sobre ello, con el fin de que fuera analizado el caso concreto y el cumplimiento de todos los requisitos normativamente establecidos.
  • Trazabilidad: juega un papel esencial en los procedimientos de contratación pública, en la medida en que es necesario conocer en todo momento en qué estado se encuentra el procedimiento y en qué momento exacto se llevaron a cabo cada una de las acciones realizadas. Para ello, es indispensable que la plataforma de contratación pública electrónica empleada por parte del órgano de contratación realice un sellado de tiempo sobre cada acción específica que se lleve a cabo, para lo que será necesario recurrir a un sellado de tiempo o Time Stamp, provisto por un Prestador de Servicios de Certificación, que tomando como hora oficial la expresamente establecida por el Real Instituto y Observatorio de la Armada, de conformidad con lo expresamente establecido en el artículo 15.2 del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
  • Confidencialidad: la confidencialidad en relación a los participantes y al contenido de cada propuesta de licitación pública en los procedimientos de contratación es un requisito indispensable, en la medida en que para garantizar la igualdad competitiva entre todos los actores, es indispensable que ningún participante -licitador-, ni ningún miembro de la mesa de contratación pueda tener acceso a las ofertas hasta el momento en que sea constituida la mesa de contratación.

Si queréis leer el artículo completo, lo tenéis a vuestra disposición desde el siguiente link del Blog del Observatorio de la Seguridad de la Información del INTECO.