El ministre de Funció Pública i Transformació Digital, Marc Rossell, ha defensat que la garantia de seguretat de les dades públiques allotjades en infraestructures de núvol gestionades per empreses estrangeres passa, en primer lloc, per una definició i classificació prèvia de la informació segons el seu nivell de sensibilitat i criticitat. Així ho exposa en una resposta escrita a la consellera general socialdemòcrata, Laia Moliné, publicada al Butlletí del Consell General.
En relació amb la possibilitat que dades públiques allotjades en serveis cloud puguin ser objecte d’accés per part d’autoritats de tercers països, Rossell assegura que el model adoptat per l’Executiu es basa en «un marc robust de garanties jurídiques, tècniques i organitzatives» que permet mantenir el control efectiu de la informació per part de les entitats públiques titulars.
En aquest sentit, el ministre afirma que les administracions han de «definir i aplicar polítiques de classificació de la informació en funció del seu nivell de sensibilitat i criticitat» per determinar-ne la ubicació adequada, ja sigui en núvol públic, núvol privat o infraestructures pròpies. També destaca que els contractes incorporen clàusules específiques sobre residència de dades, jurisdicció aplicable i limitació d’accés per part de tercers, amb preferència per entorns que ofereixin garanties equiparables a les de l’espai jurídic europeu.
Rossell afegeix que la responsabilitat sobre les dades «recau en l’entitat pública titular», que manté la capacitat de decisió sobre el tractament, la ubicació i el nivell de protecció de la informació.
El Govern vincula la protecció de les dades públiques a una classificació prèvia de la informació
La resposta també aborda la dependència tecnològica que podria derivar-se de la concentració de serveis públics digitals en grans operadors internacionals. El ministre sosté que aquesta és una qüestió que el Govern afronta des d’una «perspectiva àmplia de gestió de riscos estratègics de país», especialment rellevant en estats de dimensions reduïdes.
Per aquest motiu, defensa que la reducció de dependències excessives i el reforç de la resiliència són objectius transversals de l’acció governamental. Segons exposa, l’impuls de l’Acord d’associació amb la Unió Europea constitueix «una eina clau per reforçar la seguretat jurídica i la diversificació de proveïdors».
Rossell argumenta que els procediments de contractació pública són un instrument essencial per evitar situacions de dependència excessiva, ja que afavoreixen la participació de diversos operadors i garanteixen la diversitat de proveïdors, especialment en els serveis més crítics. En aquesta línia, assegura que el Govern promou activament la diversificació de solucions tecnològiques i que, en el cas de serveis essencials o infraestructures crítiques, els requisits de continuïtat, disponibilitat i seguretat es veuen reforçats pel marc normatiu vigent.
Pel que fa al cost que tindrà per al sector públic el desplegament generalitzat dels serveis cloud i de les llicències digitals durant el període 2026-2030, Rossell admet que «no és possible establir una estimació global única ex ante».
El ministre justifica aquesta impossibilitat pel fet que no existeix una contractació centralitzada amb un volum tancat ni tampoc un nivell d’adopció uniforme predeterminat entre les diferents administracions. Tot i això, assegura que el desplegament dels serveis digitals està subjecte a mecanismes de seguiment i control de la despesa.
En relació amb possibles fallades greus, interrupcions del servei o incidents de seguretat en infraestructures gestionades per tercers, Rossell afirma que el model adoptat es fonamenta en una «clara definició de responsabilitats» entre les administracions públiques i els proveïdors de serveis.
Finalment, destaca que el país tindrà accés a tot el catàleg de serveis al núvol, inclosos els serveis vinculats al núvol sobirà, que considera una peça rellevant per garantir la sobirania de la dada mitjançant una gestió i un control adequats sobre la privacitat, l’accessibilitat i la custòdia de la informació considerada més sensible.
