Agencia Estatal Boletín Oficial del Estado
Suscrito el 28 de febrero de 2023 el Convenio entre la Casa de Su Majestad el Rey y el Ministerio de Defensa, en materia de Ciberdefensa, en cumplimiento de lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» de dicho convenio, que figura como anexo de esta resolución.
Madrid, 29 de marzo de 2023.–El Secretario General Técnico del Ministerio de Defensa, Emilio Fernández-Piñeyro Hernández.
En Madrid, a 28 de febrero del 2023.
REUNIDOS
De una parte, el Secretario General de la Casa de Su Majestad el Rey, don Domingo Martínez Palomo, nombrado para dicho cargo por Real Decreto 566/2014, de 27 de junio de 2014, actuando en nombre y representación de la Casa de Su Majestad el Rey, en virtud de la delegación de competencias establecida por el Jefe de la Casa el 1 de enero de 2022.
De otra, el Almirante General don Teodoro López Calderón, Jefe de Estado Mayor de la Defensa, nombrado por Real Decreto 48/2021, de 26 de enero, actuando en nombre y representación del Ministerio de Defensa, en el uso de las facultades que le fueron delegadas por la persona titular del Ministerio de Defensa de acuerdo con el apartado primero de la Orden DEF/3015/2004, de 17 de septiembre, sobre delegación de competencias de autoridades del Ministerio de Defensa en materia de convenios de colaboración.
Ambas partes, en la representación que ostentan, se reconocen mutua capacidad para obligarse y convenir y
EXPONEN
Que el título II de la Constitución Española, configura a «la Corona» como un órgano constitucional; y el artículo 56.1, establece que entre otras funciones, «el Rey es el Jefe del Estado, símbolo de su unidad y permanencia» y que «ejerce las funciones que le atribuyen expresamente la Constitución y las leyes».
El artículo 3 de la Ley Orgánica 5/2005, de 17 de noviembre, de la Defensa Nacional, establece que «corresponden al Rey el mando supremo de las Fuerzas Armadas y las demás funciones que en materia de defensa le confiere la Constitución y el resto del ordenamiento jurídico».
Asimismo, el artículo 1 del Real Decreto 434/1988, de 6 de mayo, sobre reestructuración de la Casa de S. M. el Rey, dispone que «la Casa de Su Majestad el Rey es el organismo que, bajo la dependencia directa de S. M., tiene como misión servirle de apoyo en cuantas actividades se deriven del ejercicio de sus funciones como Jefe del Estado». El artículo 13 declara que «por razones de economía administrativa», y «para evitar en cuanto sea posible la creación en la Casa de S. M. el Rey de órganos con funciones paralelas a los de la Administración del Estado, los distintos Departamentos de ésta proporcionarán a aquélla los informes, dictámenes o asesoramientos de cualquier naturaleza que la Casa solicite, así como cuantos otros apoyos sean necesarios y contribuyan a facilitar el cumplimiento de las misiones que tienen encomendadas». Con esta finalidad se prevé que «la Casa de S. M. el Rey podrá también suscribir convenios de colaboración en el ámbito de la Administración General del Estado».
Que la Orden DEF/710/2020, de 27 de julio, por la que se desarrolla la organización básica del Estado Mayor de la Defensa, determina que en el ámbito ciberespacial debe garantizarse la necesaria libertad de acción de las Fuerzas Armadas (FAS). A tal efecto, se crea el Mando Conjunto del Ciberespacio (MCCE) para reforzar la capacidad de actuación de éstas en dicho ámbito. Este Mando se establece sobre la base del Mando Conjunto de Ciberdefensa (MCCD) y de la Jefatura de Sistemas de Información y Telecomunicaciones (JCISFAS), que desaparecen de la nueva estructura del Estado Mayor de la Defensa.
El MCCE es el órgano responsable del planeamiento, la dirección, la coordinación, el control y la ejecución de las acciones conducentes a asegurar la libertad de acción de las FAS en el ámbito ciberespacial. Para cumplir su misión, planea, dirige, coordina, controla y ejecuta las operaciones militares en el ciberespacio, de acuerdo con los planes operativos en vigor. En el ámbito de estas operaciones, realiza las acciones necesarias para garantizar la supervivencia de los elementos físicos, lógicos y virtuales críticos para la Defensa y las FAS.
Y el artículo 40.3 de la Instrucción 55/2021, de 27 de octubre, del Jefe de Estado Mayor de la Defensa, por la que se desarrolla la organización del Estado Mayor de la Defensa, determina que el Mando Conjunto del Ciberespacio «Ejecutará las actividades que permitan la protección, detección y defensa en las redes y servicios críticos de los sistemas de información y telecomunicaciones que emplean las FAS, así como otros que le encomiende el JEMAD», como serían las redes y sistemas de la Casa de S. M. el Rey.
Que frente a las amenazas procedentes del ciberespacio, cada vez más frecuentes y sofisticadas, la Casa de S. M. el Rey no dispone en la actualidad de los recursos propios necesarios para garantizar la seguridad de sus redes y sistemas de información y telecomunicaciones, por lo que requiere apoyos externos cualificados para paliar el riesgo de dichas amenazas.
Que la Casa de S. M. el Rey está interesada en que el Ministerio de Defensa le preste asesoramiento y apoyo en materia de ciberdefensa para reducir los riesgos derivados de potenciales ciberataques a los sistemas de telecomunicaciones e información de la red de la Secretaría General de la Casa de S. M. el Rey.
Que este convenio se fundamenta en la normativa en vigor sobre materias clasificadas, seguridad de la información y seguridad militar.
Por lo expuesto, las partes acuerdan suscribir el presente convenio que se regirá por las siguientes
CLÁUSULAS
El objeto de este convenio entre la Casa de S. M. el Rey, a través de la Unidad de Administración, Infraestructura y Servicios (AIS), y el Ministerio de Defensa (MINISDEF), a través del Mando Conjunto del Ciberespacio (MCCE), es mejorar y potenciar la protección, detección y defensa en las redes y servicios críticos de los sistemas de información y telecomunicaciones de la Casa de S. M. el Rey, lo que define la necesidad del mismo.
1. Para hacer efectiva la realización del objeto del presente convenio, las partes se comprometen a realizar las siguientes actuaciones:
a) Coordinación e intercambio de información:
1.º Establecer canales específicos de comunicación, puntos de contacto singularizados y procedimientos para el intercambio de información, con el objetivo de maximizar la efectividad en la gestión de incidentes, así como en su prevención.
2.º Intercambiar información y experiencias sobre capacidades ya implantadas, para la optimización de recursos en la puesta en marcha de nuevos servicios, y para el diseño y desarrollo de nuevas tecnologías de seguridad de los Sistemas y Tecnologías de la Información y las Comunicaciones (CIS/TIC) y ciberdefensa.
3.º Colaborar en el diseño y el despliegue de nuevas capacidades de detección y alerta temprana.
4.º Intercambiar información sobre ciberincidentes y ciberamenazas.
b) Apoyo y provisión de servicios de ciberdefensa:
El MCCE, en la medida de sus posibilidades y a demanda del Centro de Comunicaciones e Informática, prestará los siguientes apoyos a la Casa de S. M. el Rey:
1.º Realizar Auditorías de Seguridad y Análisis de vulnerabilidades de sistemas.
2.º Actuar como Centro de Operaciones de Seguridad, para la detección de ciberataques en los sistemas informáticos de la Secretaría General de la Casa de S. M. el Rey.
3.º Actuar como Equipo de Respuesta a Incidentes.
4.º Otros apoyos que pueda proporcionar el MCCE y que resulten de interés para la Casa de S. M. el Rey.
c) Formación y concienciación:
1.º Proporcionar al personal de la Casa de S. M. el Rey, en la medida de las posibilidades del MINISDEF/MCCE, acceso a las distintas opciones de formación de profesionales en materia de seguridad CIS/TIC y ciberdefensa.
2.º Impulsar acciones conducentes a potenciar la concienciación del personal de la Casa de S. M. el Rey, en materia de seguridad CIS/TIC y ciberdefensa, proporcionando acceso a los contenidos del Plan de Concienciación en Ciberdefensa.
d) Otras actuaciones de interés común que puedan interesar a ambas partes de conformidad con el objeto de este convenio.
Las partes aportarán los conocimientos, el personal y los medios que sean necesarios para desarrollar las actuaciones concretas. En caso de insuficiencia de medios por parte del MCCE en la prestación de capacidades de ciberdefensa, la atención a las necesidades de la Defensa Nacional y, en particular, las del MINISDEF y las misiones que tiene encomendadas, tendrá prioridad sobre el apoyo a la Casa de S. M. el Rey.
Las actuaciones previstas en este convenio no darán lugar a contraprestación económica alguna entre las partes firmantes y no supondrán incremento del gasto público. No podrán suponer incremento de dotaciones ni de retribuciones ni de otros gastos de personal.
No obstante, la Casa de S. M. el Rey asumirá los gastos de equipamiento, de licencias de software, etc., de las actuaciones que se determinen en base a este convenio hasta un máximo de sesenta mil euros (60.000,00 €) IVA excluido y la siguiente distribución por anualidades:
Ejercicio 2023: 15.000 € (quince mil euros).
Ejercicio 2024: 15.000 € (quince mil euros).
Ejercicio 2025: 15.000 € (quince mil euros).
Ejercicio 2026: 15.000 € (quince mil euros).
1. Se constituirá una Comisión Mixta de Seguimiento, en adelante Comisión Mixta, para el seguimiento, vigilancia y control de los proyectos concretos acordados por las autoridades competentes de ambas partes, derivados del objeto del presente convenio, dentro de las actuaciones establecidas en la cláusula segunda.
2. La Comisión Mixta será la encargada también de:
a) Diseñar y planificar los proyectos, definiendo y delimitando su alcance, designar a los responsables de su ejecución y someterlos a la aprobación de las autoridades competentes, lo cual será reflejado en el acta correspondiente.
b) Elaborar un informe anual de conclusiones y de las actuaciones llevadas a cabo.
c) Resolver problemas de interpretación y cumplimiento.
3. La Comisión Mixta estará compuesta por:
a) Casa de S. M. el Rey: Jefe de la Unidad de AIS y dos representantes de esta unidad designados por el jefe de la misma.
b) MINISDEF/MCCE: Comandante del MCCE y dos representantes del mismo designados por el citado mando.
4. La Comisión Mixta se constituirá, como máximo, al mes de la suscripción de este convenio, y se reunirá una vez al año, sin perjuicio de la periodicidad que las actividades a desarrollar requieran.
La presidencia será rotatoria entre las partes por períodos de un año, empezando por el MCCE. Podrá incorporarse a las reuniones el personal técnico de ambas partes que se considere oportuno, según los temas a tratar.
Para la adopción de acuerdos, se exigirá que asistan a la reunión la mayoría de los miembros y siempre el mismo número de representantes por cada parte. Los acuerdos se adoptarán por unanimidad.
5. De cada sesión que celebre la Comisión Mixta se levantará acta por el Secretario, cargo rotatorio por periodos de un año entre las partes, empezando por el MCCE. El acta especificará, necesariamente: los asistentes; el orden del día de la reunión; la fecha, lugar y hora en que se ha celebrado; los puntos principales de las deliberaciones; así como el contenido de los acuerdos adoptados. El acta será aprobada en el plazo de un mes por el Comandante del MCCE y por el Jefe de la Unidad de AIS.
Se respetará la normativa en vigor sobre materias clasificadas, seguridad en la información y seguridad militar y la correspondiente de la Casa de S. M. el Rey.
Las partes se comprometen a limitar el acceso a la información que pueda generarse en las actividades objeto de este convenio, por motivos de seguridad y defensa nacional.
En particular, cada parte mantendrá estrictamente protegida y no divulgará a terceros, ni en todo ni en parte, la información y documentación clasificada recibida de la otra parte e identificada como tal, en relación con el objeto y ejecución de este acuerdo, ni lo usarán, ni reproducirán, ni en todo ni en parte, sin autorización previa y escrita de la otra parte, utilizando dicha información exclusivamente para los fines de este acuerdo.
Las partes firmantes se comprometen a tratar los datos de carácter personal a los que puedan acceder durante la ejecución del acuerdo conforme a lo dispuesto en la normativa reguladora de la protección de datos de carácter personal.
Las partes intervinientes en el presente convenio se comprometen a cumplir, en los términos que sean de aplicación, lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de protección de datos, RGPD), y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y en las disposiciones de desarrollo que se dicten.
Los datos personales que sean objeto de tratamiento con motivo del convenio se incorporarán a los Registros de Actividades de Tratamiento de las partes intervinientes, con la finalidad de gestionar la relación descrita en el convenio. Las partes intervinientes se abstendrán de cualquier tipo de tratamiento de datos personales que no sea estrictamente necesario para el cumplimiento de los fines del convenio.
Sobre la Casa de S. M. el Rey y el MINISDEF, en calidad de corresponsables, recaen las responsabilidades que pudieran derivar del tratamiento de los datos personales. Las partes intervinientes asumen que han de informar a los titulares de los datos personales de las características del tratamiento de tales datos; obtener el oportuno consentimiento de los titulares de los datos personales para llevar a efecto el tratamiento de tales datos; implementar las oportunas medidas técnicas y organizativas y el correspondiente mecanismo en caso de violaciones de seguridad, así como establecer el oportuno mecanismo de respuesta en caso de ejercicio de los derechos de protección de los datos personales, y, si fuera necesario, establecer un mecanismo acordado de contratación de los encargados de tratamiento de datos personales.
Los titulares de los datos personales podrán ejercitar frente a cualquiera de los responsables del tratamiento de los datos personales los derechos de acceso, de rectificación, de supresión y portabilidad de los datos personales, y de limitación u oposición al tratamiento de datos personales, establecidos en la normativa de protección datos personales.
Si las partes intervinientes en el convenio destinasen los datos personales a otra finalidad, los comunicasen o los utilizasen incumpliendo lo estipulado en el convenio y/o en la normativa de protección de datos personales, cada una de las partes intervinientes responderá de las responsabilidades que puedan derivarse de los daños y perjuicios que cause, a fin de garantizar la indemnización efectiva del interesado, sin perjuicio de lo que se está previsto en el artículo 82.5 del RGPD europeo.
Las garantías que en orden a los datos personales se establecen, tendrán eficacia durante la vigencia del convenio y de sus prórrogas.
El presente convenio tiene naturaleza administrativa. Se regulará por lo establecido en el mismo, quedando excluido del ámbito de aplicación de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, conforme a lo dispuesto en su artículo 6.
Sin perjuicio de lo anterior, para la interpretación de dudas y controversias que surjan en la interpretación de este convenio se estará a lo dispuesto en las cláusulas del mismo y, subsidiariamente, a las restantes normas administrativas que le sean de aplicación y a los principios generales del Derecho.
Las cuestiones litigiosas que pudieran surgir entre las partes como consecuencia de la ejecución del convenio, o por incumplimiento de las obligaciones y compromisos asumidos, deberán solventase por mutuo acuerdo de las mismas en el seno de la Comisión Mixta.
Su vigencia será de cuatro años, a partir del día siguiente a la fecha de su firma, siendo prorrogable por un período de cuatro años, por acuerdo expreso de las partes, mediante una adenda de prórroga al convenio, manifestada con un mínimo de diez meses de antelación a la finalización del plazo de vigencia.
Asimismo, podrá revisarse en cualquier momento a requerimiento de alguna de las partes y, en su caso, modificarse por acuerdo expreso de ambas mediante una adenda de modificación a este convenio.
1. El convenio se podrá extinguir por denuncia expresa de cualquiera de las partes, en cualquier momento, con tres meses de antelación a la fecha en la que se pretenda que la referida finalización surta efectos.
2. En caso de finalización anticipada del convenio, las actuaciones en curso continuarán su desarrollo hasta su finalización en la fecha prevista en el momento de su programación, por lo que se establecerá un plazo improrrogable que será fijado por las partes cuando se resuelva el convenio.
3. El cumplimiento y la resolución del convenio, dará lugar a la extinción del mismo.
En el caso de la causa de resolución de incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en el plazo de 30 días naturales con las obligaciones o compromisos que se consideran incumplidos. Este requerimiento será comunicado a la Comisión Mixta. Si trascurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a la otra parte la concurrencia de la causa de resolución y se entenderá resuelto el convenio.
La resolución del convenio por esta causa conllevará la indemnización de los perjuicios causados, que se determina en el importe de los gastos de equipamiento, de licencias de software, etc., de las actuaciones que se determinan en este convenio, asumidos e imputados a la aplicación presupuestaria correspondiente por la parte cumplidora, que la parte incumplidora abonará, en un plazo de un mes, a la otra parte. No habrá lugar a indemnización alguna si no se hubieran producido tales gastos.
Los representantes de ambas partes, y en prueba de conformidad a cuanto antecede, firman el presente convenio en dos ejemplares originales igualmente válidos, en el lugar y fecha arriba indicado.–Por la Casa de S. M. el Rey, el Secretario General, Domingo Martínez Palomo.–Por el Ministerio de Defensa, el Jefe de Estado Mayor de la Defensa, Teodoro López Calderón.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
