Público
Público

Internet El Poder Judicial externaliza el correo electrónico de sus empleados por "falta de medios humanos y técnicos"

Nueva externalización de un servicio informático público, en esta ocasión de algo tan "sensible" como parte del correo corporativo del Consejo General del Poder Judicial (CGPJ). Hasta ahora, los e-mails de los trabajadores de este organismo se gestionan 'in situ'. ¿Es una buena idea dejar todo esto en manos de un tercero?

Fachada del CGPJ en Madrid

El órgano de gobierno de los jueces quiere externalizar la gestión de los correos electrónicos de sus empleados. Estas cuentas, del entorno '@cgpj', no corresponden a los e-mails que usan los jueces y magistrados, pero sí a las cuentas de los trabajadores de la institución. Así, el BOE ha publicado el anuncio de licitación para contratar el servicio, que el Consejo General del Poder Judicial (CGPJ) estima en un coste de 324.736 euros por tres años de servicios, según publica el jueves el BOE.

Según la jefa de informática del Centro de Documentación Judicial (CENDOJ), responsable de la gestión del servicio, se trata de una medida necesaria porque el organismo "no dispone de los medios humanos y técnicos suficientes" para gestionar el correo electrónico "en las condiciones óptimas", según reza la memoria justificativa para la contratación de este servicio, que ella misma firma.

En dicho documento, la responsable técnica afirma que el CENDOJ "realiza la gestión integral del entorno del correo corporativo @cgpj.es" y reconoce que existe "un grado elevado de criticidad debido al tipo de usuarios del servicio", unos trabajadores que manejan datos sobre jueces y magistrados de toda España.

No obstante, afirma que "se hace necesaria la contratación para la migración de los actuales servicios de correo electrónico corporativo 'in situ' a la modalidad online" dado que, con los medios disponibles no se puede garantizar "una disponibilidad de 24 horas siete días a la semana" que requiere el servicio.

Así, se ha licitado la contratación de la migración del servicio de correo de los trabajadores del CGPJ (650 buzones), de "servicios de alojamiento en la nube" y de adquisición para 400 usuarios de licencias de Exchange Online, Outlook 2016 y del paquete Office 365, todo ello productos de Microsoft. Desde CENDOJ calculan el coste de la migración en unos 48.000 euros (pago único), mientras que cada año se deberán desembolsar más de 86.000 euros, todo con IVA incluido.

La "soberanía digital"

La externalización de los servicios informáticos en las administraciones públicas es algo relativamente normalizado. De hecho, existe una amplia lista de compañías que proporcionan servicios externalizados para el sector público y que están certificadas en el Esquema Nacional de Seguridad (ENS). Esta lista está publicada por el Centro Criptológico Nacional (adscrito al Centro Nacional de Inteligencia, CNI) incluye a Microsoft.

No obstante, ha habido casos anteriores en los que se ha producido un verdadero caos, como cuando el Consejo General de la Abogacía decidió la migración a Office 360 de las cuentas de correos electrónicos de 60.000 letrados de toda España hace tres años. Pero más allá de los posibles problemas de implementación, existe una importante cuestión: ¿a dónde van los datos de los correos y quién puede tener acceso a ellos?

"Microsoft cumple estándares de seguridad y certificaciones al respecto", apunta el abogado experto en tecnología e ingeniero Sergio Carrasco, aunque recuerda que "cuando se trata de un servicio básico estatal hay que ser doblemente precavido, especialmente con empresas cuya sede principal está en Estados Unidos y sometida a normas como la 'Cloud Act'".

La 'Cloud Act' o Ley Aclaratoria del Uso Legal de Datos en el Extranjero de EEUU es una controvertida norma aprobada hace un año —insertada en los presupuestos generales de Donald Trump—, que permite a las autoridades estadounidenses solicitar a las compañías de internet el acceso a datos de usuarios y empresas de otros países, incluso si éstos están alojados en servidores fuera de EEUU, por razones de "seguridad nacional".

"Aunque costase más dinero, es importante que los poderes del Estado recuperen su soberanía tecnológica"

El pliego de requisitos técnicos del Poder Judicial para externalizar el correo de los empleados obliga a que los datos "en la nube" queden almacenados en servidores localizados en el Espacio Económico Europeo (EEE). Es decir, no existe obligación expresa de que los datos se almacenen en España, pero sí la prohibición de que existan traspasos internacionales fuera del EEE. Asimismo, y según el mismo pliego, la información en los buzones deberá almacenarse cifrada, y "se valorará favorablemente" que el sistema soporte cifrado de extremo a extremo mediante mecanismos estándar de mercado.

Sin embargo, la existencia de dicha 'Cloud Act' no resulta tranquilizadora: datos sensibles del CGPJ podrían terminar en manos de una agencia o autoridad estadounidense, por mucho que lo prohíba la normativa española, y de forma completamente legal. Además, no hay forma de controlar que esto no suceda. Por esa razón, quizá no parece una buena idea migrar a la "nube" un servicio de correo electrónico, especialmente éste que lo utilizan los trabajadores del CGPJ.

"Servicios críticos, como el CENDOJ o el Consejo de la Abogacía, trabajan con datos especialmente sensibles", opina Carrasco, que apunta que "aunque costase más dinero, tiene más sentido que toda la infraestructura y el mantenimiento del Poder Judicial lo lleve el propio Poder Judicial, simplemente porque es importante que los poderes del Estado recuperen su soberanía tecnológica".

¿Te ha resultado interesante esta noticia?

Más noticias