¿Las certificaciones de obra a cero euros implican suspensión del contrato?

1. La entidad consultante somete a consideración de esta Comisión Consultiva la emisión de dictamen en relación con el contrato del Servicio de ayuda a domicilio en Villafranca de Córdoba.

La primera cuestión que procede aclarar a este respecto es que, de acuerdo con el criterio reiteradamente sentado (Informes 5/2007, 6/2007 y 6/2009), la Comisión Consultiva únicamente puede evacuar informes sobre cuestiones de contratación pública que revistan carácter general, careciendo de competencia para emitir informes en relación con expedientes concretos o un contrato en particular o sobre cláusulas específicas a incluir en los pliegos, salvo los supuestos específicos a que se refiere el artículo 2 del Decreto 93/2005, de 29 de marzo, por el que se regulan la organización y funciones de este órgano consultivo, cuestiones todas ellas para las cuales las entidades públicas disponen del correspondiente servicio o asesoría jurídica.

Tampoco compete a este órgano consultivo asesorar jurídicamente a la entidad solicitante para la toma de decisiones en sus expedientes contractuales.

En consecuencia, esta Comisión no va a resolver las cuestiones específicas y concretas planteadas respecto a la situación descrita, sino que, en congruencia con lo antes expuesto, reconducirá la consulta a los términos generales en que debemos pronunciarnos.

2. La cuestión general que se abordará en el presente informe es la relativa a la necesidad de que la entidad contratante exija a las entidades licitadoras que acrediten la conformidad de sus sistemas de información con el Esquema Nacional de Seguridad (ENS), cuando los servicios a prestar por la entidad que resulte adjudicataria del contrato vayan a sustentarse en dichos sistemas.

Además, surge también la cuestión relativa a las consecuencias que tendría para una licitadora el hecho de no poder acreditar que sus sistemas de información no son conformes a las exigencias del ENS.

3. Para dar adecuada respuesta a las cuestiones planteadas, debe partirse de la regulación legal que se contiene en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante, RD 311/2022).

No obstante, con carácter previo cabe hacer una aproximación a la naturaleza del Esquema Nacional de Seguridad y su encuadre en el sistema de derecho administrativo por el que se rige el sector público. El artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP) establece que el ENS “tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”.

Por su parte, el RD 311/2022, en su artículo 1.2, dispone que “el ENS está constituido por los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias”.

En cuanto al ámbito de aplicación del RD 311/2022, el artículo 2 reconoce la inclusión en el mismo de las entidades del sector privado que contraten con el sector público:

“3. Este real decreto también se aplica a los sistemas de información de las entidades del sector privado, incluida la obligación de contar con la política de seguridad a que se refiere el artículo 12, cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.

La política de seguridad a que se refiere el artículo 12 será aprobada en el caso de estas entidades por el órgano que ostente las máximas competencias ejecutivas.

Los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.

Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos”.

Por otro lado, la disposición transitoria única de la norma citada regula la adecuación de los sistemas de información, diferenciando entre aquellos que ya se encontrasen implantados en el momento de la entrada en vigor de la norma y aquellos que no. En cuanto a los primeros, dice que las entidades contratistas “dispondrán de veinticuatro meses para alcanzar su plena adecuación al ENS, circunstancia que se manifestará con la exhibición del correspondiente distintivo de conformidad”; mientras que los segundos o “nuevos sistemas de información”, según el apartado tercero de la misma disposición, “aplicarán lo establecido en este real decreto desde su concepción”.

Por tanto, de la lectura conjunta de dichos preceptos se extrae lo siguiente:

– Actualmente -desde el 05/05/2024, veinticuatro meses tras la entrada en vigor de la norma-, todas las entidades del sector privado que presten servicios o provean soluciones a las entidades del sector público están obligadas a cumplir con las exigencias del ENS respecto de los sistemas de información cuya utilización sea necesaria para el desarrollo de la actividad de que se trate1, independientemente de cuándo hubiesen sido estos implementados;

– Esta circunstancia ha de ser recogida en los pliegos de las licitaciones públicas como exigencia que han de cumplir las entidades que participen en las mismas.

4. No obstante, la norma no detalla cómo debe ser configurada esta obligación en los pliegos. Al respecto se pronuncia, entre otros, el Tribunal Administrativo de Recursos Contractuales de la Junta de Andalucía (TARCJA) en su reciente Resolución número 451/2025, de 25 de julio:

“Pues bien, como hemos visto, la conformidad con el ENS es exigible por imperativo legal, respecto de los sistemas de información a suministrar que vienen determinados por el objeto del contrato […].

Por ello, este Tribunal entiende que la acreditación de contar con la correspondiente certificación de cumplimiento del ENS por las entidades privadas que pretendan licitar a contratos como el presente, donde hay una prestación de servicios de información para el ejercicio por las entidades públicas de sus competencias y potestades administrativas, debe configurarse como un requisito de «habilitación profesional», al ser una obligación legal establecida en una legislación sectorial.

[…] Así, hay que entender la habilitación empresarial o profesional como un requisito especial de capacidad de los contratistas, complementario al general de tener capacidad de obrar, una suerte de «capacidad de obrar administrativa específica», como se refiere a ella la Junta Consultiva de Contratación Administrativa de la Comunidad de Madrid, en su informe 6/2010, de 21 de diciembre.

Por ello, no podemos confundirla con la solvencia, así, la necesidad de contar con una determinada habilitación empresarial o profesional para el ejercicio de una profesión o para la realización de una prestación «hace referencia más que a la capacitación técnica o profesional, a la aptitud legal para el ejercicio de la profesión de que se trata… en consecuencia es un requisito de legalidad y no de solvencia en sentido estricto» (Informe 1/2009, de 25 de septiembre, de la Junta Consultiva de Contratación Pública del Estado)”.

Por tanto, el Tribunal deja claro que la exigencia de contar con sistemas de información que cumplan con los requisitos del ENS, al venir impuesta por imperativo legal, debe ser configurada como una habilitación empresarial o profesional específica, a la que se refiere el artículo 65.2 de la LCSP, según el cual “Los contratistas deberán contar, asimismo, con la habilitación empresarial o profesional que, en su caso, sea exigible para la realización de las prestaciones que constituyan el objeto del contrato”.

Con lo cual, esto descartaría que el incumplimiento de la exigencia contenida en el RD 311/2022 pudiera dar lugar al establecimiento de una prohibición de contratar. Aunque a esta conclusión también puede llegarse analizando el propio régimen jurídico de esta última figura, que se encuadra en la Subsección 2ª de la Sección 1ª del Capítulo II del Título II de la LCSP, artículos 71 y siguientes. En este primer artículo se recogen, a modo de catálogo cerrado o numerus clausus, las diferentes circunstancias que, de cumplirse, imposibilitarían a la entidad respecto de la que concurren la contratación con entidades del sector público. El carácter de catálogo cerrado se extrae de la interpretación literal de los preceptos reguladores de la figura, y de conformidad con la propia naturaleza y límites de toda medida restrictiva de derechos.

Así lo entiende el Tribunal Supremo, por todas, en su Sentencia número 1115/2021, de 14 de septiembre:

“Las prohibiciones de contratar, como toda limitación, no pueden ser ni indefinidas ni ilimitadas, sería contrario a los más elementales principios que rigen las medidas sancionadoras o restrictivas, entre ellos el principio de seguridad jurídica y el principio de proporcionalidad, en cuanto exigen que tanto el sancionado como terceros conozcan hasta donde alcanza la prohibición y, a su vez, se pueda cuestionar y revisar si la limitación establecida es adecuada y ajustada a la sanción impuesta y a los hechos en los que se funda”.

Consecuencia de ello, nuestro Alto Tribunal también reconoce de forma pacífica la reserva de ley en lo que atañe al régimen jurídico de las prohibiciones de contratar, por lo que no es otro instrumento que la ley el que puede crear o reducir las circunstancias que dan lugar a prohibición de contratar. Así lo pone de manifiesto, con cita de diferentes sentencias del Tribunal Supremo, el Tribunal Administrativo Central de Recursos Contractuales, que dice lo siguiente al respecto en su Resolución número 1288/2022, de 20 de octubre:

“En efecto, siendo las «prohibiciones para contratar», como declaró el Tribunal Supremo, materia reservada a Ley, y suponiendo dichas prohibiciones un acto gravemente restrictivo de derechos, en consecuencia, la reserva legal, no sólo debe alcanzar la creación de nuevas causas de prohibición para contratar o modificación de las ya existentes, sino que también se extiende en cuanto a los efectos de dicha prohibición, pues son en éstos en donde despliega la prohibición de contratar su verdadero alcance, duración y ámbito de aplicación. Por tanto, no sería consecuente que se limitara la reserva de ley únicamente a la creación o modificación de las causas de prohibición, pero no a sus efectos, pues es aquí donde se producen de manera efectiva la restricción de derechos, materializada en la imposibilidad de presentar proposiciones, con los consiguientes daños y perjuicios graves que de ello se pueden derivar para las empresas, tanto mayor cuanto más amplio sea el ámbito de la prohibición”.

Por tanto, no puede defenderse de ninguna forma que el incumplimiento de las obligaciones que en el ámbito de los sistemas de información impone el RD 311/2022 a las entidades privadas que contraten con el sector público pueda dar lugar al reconocimiento de prohibición de contratar alguna, al no estar esta circunstancia contemplada como tal de forma expresa ni en el artículo 71 de la LCSP ni en ninguna otra norma con rango de ley.

5. Derivado del anterior razonamiento, y al considerar la obligación impuesta por el RD 311/2022 como un requisito de habilitación empresarial o profesional, su cumplimiento es obligado respecto de todas las personas licitadoras.

La consecuencia del incumplimiento de esta obligación por parte de una licitadora, por tanto, no sería otra que su exclusión del procedimiento de adjudicación de que se trate, al igual que ocurre en caso de que la licitadora no cuente con la habilitación profesional exigida o no tenga la capacidad de obrar necesaria. Así lo reconoce expresamente en TARCJA en la resolución 451/2025, citada con anterioridad:

“[…] la certificación de conformidad con el ENS, no debe ser un requisito para acreditar la solvencia, como ya hemos analizado, ni una condición especial de ejecución, sino que debe considerarse un requisito de capacidad del licitador, de habilitación para realizar la prestación objeto del contrato, al ser una obligación legal establecida en la legislación sectorial y, consecuentemente, su incumplimiento en la fecha final de presentación de ofertas originaría la exclusión de la empresa de la licitación, de acuerdo con lo establecido en el artículo 140.4 de la LCSP, por lo que este motivo debe estimarse, a los efectos de modificar en su caso el PCAP en este sentido”.

En este sentido, y como consecuencia directa de lo anterior, reconoce el TARCJA que se trata de un requisito previo sin el cual no procedería siquiera entrar a valorar el cumplimiento de los requisitos de solvencia: “es un requisito que hay que comprobar previamente al de solvencia, (al igual que la capacidad de obrar y la ausencia de prohibición de contratar), ya que, si un licitador no tiene la habilitación necesaria para realizar el objeto del contrato, da igual lo solvente que pueda llegar a ser, cuestión que no habría ya, ni siquiera, que verificar”.

6. Por último, es necesario analizar la naturaleza de la obligación a la que se encuentra sometido el órgano de contratación con relación a la inclusión de las circunstancias recogidas en el artículo 2 del RD 311/2022 en los pliegos de la licitación cuando la ejecución del contrato exija el uso por parte de la persona adjudicataria de sus sistemas de información.

En principio, esta obligación nace directamente de una norma -en este caso de rango reglamentario-, y no de su reconocimiento en los pliegos. Así el TARCJA, en la resolución citada anteriormente, continúa afirmando que, en el caso de requisitos exigidos por una norma imperativa y vinculante, “con carácter general, no es necesario su exigencia en los pliegos al hacerlo ya la normativa, por lo que, aunque nada dijera al respecto el pliego, dicha habilitación sería exigible”. Sin embargo, es esta propia norma la que exige el reconocimiento de la obligación en los pliegos reguladores de la licitación, por lo que continúa el TARCJA reconociendo que en este caso “de acuerdo con lo establecido en el tercer párrafo del citado artículo 2.3 del Real Decreto 311/2022, sí deben indicarse en los pliegos “los requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas”.

Y es que esta lógica obedece no sólo a los términos literales en los que se expresa el Real Decreto, sino también de la necesidad de la categorización de los sistemas de información, teniendo el órgano de contratación que establecer de forma clara y concisa, conjuntamente con los requisitos para asegurar la conformidad de los sistemas con el ENS, la categoría de seguridad de los sistemas de información cuyo uso sería necesario para la ejecución del contrato. Así lo exigen los artículos 40 y 41 del RD 311/2022.

Es interesante en este sentido citar la Resolución número 131/2025, de 19 de agosto, del Tribunal Administrativo de Contratos Públicos de la Comunidad Autónoma de Canarias:

“En cuanto a la identificación de si el contrato implica el tratamiento por cuenta de un responsable del tratamiento, la redacción es claramente confusa, pues la cláusula 4.3.2 b) del PCAP expone una fórmula ambigua que no es admisible, pues la definición del objeto, dentro del ámbito de la discrecionalidad técnica con que cuenta la Administración, debe conllevar que le permita introducir si la prestación conlleva o no la afectación relacionada con el tratamiento de datos y el nivel de seguridad que implica, dada la diferente categorización recogida en el artículo 40 del RD 311/2022 y su traslado a los pliegos, a fin de que los licitadores conozcan desde la fase de publicación del anuncio de licitación y de los pliegos los requerimientos exigidos y la documentación a presentar y su impacto durante la ejecución del contrato. Y es que, conforme a la evaluación que realice la Administración, la cual cuenta con el necesario margen de apreciación a la hora de determinar los medios adecuados para atender las necesidades que se tratan de satisfacer mediante la contratación de que se trate y el concreto impacto que pueda tener la misma sobre la protección de datos y los sistemas de información, se debe trasladar de forma accesible y comprensible, garantizando el conocimiento efectivo de los requisitos y documentación a aportar por parte de todos los posibles interesados en la licitación, respecto de los elementos relacionados con la seguridad de los sistemas de la información y la protección de los datos personales de conformidad con el RGPD y la LOPDGDD.

Y conforme al artículo 40 del RD 311/2022, que dispone las categorías de seguridad […], el órgano de contratación debe dejar constancia en los pliegos de la categoría de seguridad exigida, no pudiendo exigir únicamente el disponer de certificado de conformidad con el ENS sin categorizarlo, todo ello conforme a los parámetros del Anexo I del RD 311/2022. Omisión que, como señala la recurrente, se aprecia en la definición contenida en los pliegos y da lugar a su estimación y por ende, anulación de la cláusula impugnada”.

Señala por tanto el tribunal canario la importancia de dar cumplimiento a las exigencias del RD 311/2022 en esta materia, dada la significación que tiene para la validez y la regularidad del procedimiento de licitación que las personas licitadoras conozcan, desde la fase de publicación del anuncio y de los pliegos, la documentación a presentar y las obligaciones derivadas de dichas exigencias.

La falta de pronunciamiento de los pliegos sobre la necesidad de contar con sistemas de información acordes al ENS, así como sobre el nivel o categoría de seguridad exigido (que comporta diferencias en las obligaciones a cumplir por parte de las licitadoras) podría tener consecuencias tales como, tal y como ocurre en el caso analizado por el tribunal canario, la anulación de cláusulas o llegar incluso a la impugnación de los pliegos que rigen la licitación.