Nube catalana: una victoria parcial

L’anunci de la licitación de la Generalitat para una nube pública soberana catalana es una señal de que la lucha por una digitalización más democrática empieza a dar sus frutos. Con la ayuda inestimable, hay que decirlo, del mal ejemplo que Trump, Musk y sus aliados han dado al mundo, mostrando que aquello que desde hace años decimos las defensoras de los derechos digitales no era una fantasía distópica sino una posibilidad muy real. La dependencia tecnológica de infraestructuras, proveedores, jurisdicciones y decisiones ajenas a los derechos fundamentales se puede convertir, de un día para otro, en un problema democrático de primer orden.

Por eso, esta licitación contiene elementos positivos. Sobre todo, implica un cambio de rumbo: por fin se empiezan a introducir, en una gran contratación pública tecnológica, criterios que no responden solo a la seguridad técnica, sino también a la consolidación del interés general: el software libre, es decir, auditable; la portabilidad y la interoperabilidad. Todo ello contribuye a la independencia tecnológica.

Cargando
No hay anuncios

Esto no es menor. Desde la directiva europea de contratación pública de 2014, la legislación ya permite adjudicar no solo en función del precio, sino incorporando criterios cualitativos, sociales, medioambientales e innovadores. Sin embargo, y tal como explico en Digitalización democrática. Soberanía digital para las personas (Raig Verd, 2024), en la práctica estos criterios se han aplicado demasiado poco. Cualquier intento de introducir objetivos de interés general en la contratación tecnológica ha sido a menudo bloqueado por inercias jurídicas ancladas en una visión estrecha de la competencia, como si cualquier exigencia democrática, social o tecnológica que no fuera el precio más bajo fuera sospechosa de distorsionar el mercado.

En este caso hay un avance que desde Xnet consideramos especialmente relevante: el pliego exige que el licitador demuestre "compromiso con el uso de software de código abierto" en la construcción de la plataforma, priorizándolo en componentes clave para favorecer la independencia tecnológica y la portabilidad mediante estándares abiertos y API documentadas. También exige detallar qué componentes son de código abierto y cuáles son propietarios, y justificar esta elección en términos de soberanía, funcionalidad e integración con estándares abiertos.

Cargando
No hay anuncios

Es cierto: no es una obligación plena de software libre. No exige que todo el código esté publicado, ni que toda la plataforma sea públicamente auditable. Pero es un avance importante. Veremos si este compromiso es serio cuando sepamos quién gana la licitación y cuál es la composición real del sistema: qué partes son libres, cuáles son propietarias, qué dependencias subsisten y quién las puede auditar.

El pliego incorpora garantías valiosas: infraestructura situada en territorio catalán; gestión y control por una entidad sometida a la regulación europea; requisitos de soberanía jurídica; datos alojados en la UE; claves bajo el control del cliente; API no propietarias; trazabilidad; observabilidad; auditorías y mecanismos de reversibilidad. También exige capacidad de integración mediante API o protocolos bien documentados y no propietarios, adheridos a estándares públicos y ampliamente adoptados, para reducir la dependencia de proveedores únicos.

Cargando
No hay anuncios

Pero la pregunta esencial es: ¿quién podrá comprobar todo esto? Por lo que hemos podido ver en el pliego, las garantías de auditabilidad son fuertes, pero principalmente internas e institucionales. El CTTI, la Agencia de Ciberseguridad de Cataluña y los organismos competentes podrán auditar la ejecución correcta del servicio, acceder a documentación y herramientas, y exigir asistencia y planes de acción. Esto es necesario, pero no es suficiente. No equivale a transparencia pública.

Cargando
No hay anuncios

La soberanía no debería ser solo para el Gobierno y las instituciones. Pedimos que todas estas garantías de auditabilidad sean públicas y accesibles. Soberanía digital no debería significar que ya no queremos que las Big Tech nos vigilen y nos perfilen porque lo puedan hacer nuestros gobiernos. La soberanía digital debe ser para todos, instituciones y personas.

Finalmente, parece que no se ha aprendido una lección que no deberíamos olvidar. Durante el Procés, la Guardia Civil registró la sede de T-Systems, entonces proveedora tecnológica de la Generalitat, en el marco de diligencias judiciales relacionadas con el 1-O. Las informaciones publicadas hablaron de requerimientos judiciales de información y del precinto de equipos. Este precedente muestra una cuestión clave: una infraestructura pública crítica no es soberana si el proveedor puede recibir una orden judicial, administrativa o gubernamental —estatal o extranjera— y la administración afectada no dispone de una garantía contractual expresa de notificación inmediata, salvo que haya una prohibición legal. En este sentido, falta una cláusula esencial que obligue al proveedor a notificar inmediatamente al cliente –el Gobierno, en este caso– cualquier petición de una autoridad pública, excepto cuando una prohibición legal expresa lo impida.

Cargando
No hay anuncios

Sin una cláusula de este tipo, no hay soberanía real ni siquiera para el mismo Gobierno. El pliego exige evitar accesos de jurisdicciones o matrices de fuera de la UE, pero no va más allá.

Cargando
No hay anuncios

En definitiva: esta licitación es una buena noticia porque desplaza el debate. Hablamos de derechos, autonomía, control, seguridad, código abierto, portabilidad y soberanía. Es una victoria parcial de años de lucha por una digitalización democrática. Pero no debemos confundir el rumbo con la llegada. El mismo marco del pliego exige un nivel SEAL-3 de la Unión Europea, es decir, soberanía tecnológica o resiliencia digital, pero no soberanía plena. Es comprensible, porque todavía no disponemos de suficiente talento y capacidad digital para alcanzarla. Por lo tanto, nuestra posición es clara: celebramos el cambio de rumbo, deseamos que se cumpla realmente y pedimos que aumente cuanto antes mejor.