Detrás del eslogan de la smart city y los premios a la innovación, los ayuntamientos españoles han entregado silenciosamente las llaves de nuestro territorio a una infraestructura tecnológica bajo jurisdicción de Estados Unidos. Un análisis de las dinámicas de contratación revela que el modelo de gobernanza local podría estar vulnerando principios clave de autonomía estratégica y concurrencia competitiva.

La transformación digital de las administraciones locales en España ha tomado un rumbo que empieza a alarmar a expertos en seguridad y derecho administrativo. De Madrid a Barcelona, pasando por Valencia, Sevilla, Zaragoza, Málaga, Bilbao, A Coruña y las capitales canarias, las ciudades se convierten en “ciudades inteligentes” utilizando una misma arquitectura técnica: el software ArcGIS, propiedad de la multinacional estadounidense Esri.

Lo que se presenta como una modernización necesaria oculta, sin embargo, una realidad de negligencia estratégica y posibles irregularidades administrativas.

1. El riesgo jurídico: una colisión con la doctrina europea

Al centralizar la gestión de datos urbanos, desde el tráfico hasta la red de agua, en plataformas propietarias estadounidenses, la administración pública española se sitúa en un terreno de inestabilidad jurídica. La CLOUD Act federal de Estados Unidos (Clarifying Lawful Overseas Use of Data Act, registrada en el Congreso de EE. UU. como H.R.4943, 115th Congress) permite a Washington acceder a los datos almacenados por empresas tecnológicas estadounidenses, con independencia de dónde residan físicamente los servidores, incluso en suelo europeo.

Esta práctica choca frontalmente con la doctrina del Tribunal de Justicia de la Unión Europea establecida en la histórica sentencia Schrems II (asunto C-311/18, código CELEX: 62018CJ0311). Aquel fallo invalidó los marcos de transferencia automática de datos porque las leyes de vigilancia norteamericanas no garantizan un nivel de protección equivalente al exigido por el Reglamento General de Protección de Datos (RGPD / Reglamento UE 2016/679, código CELEX: 32016R0679). Al normalizar contratos comerciales estándar con corporaciones sujetas a normativas extraterritoriales, el Estado compromete el espíritu de la autonomía estratégica europea y deja los datos de movilidad, infraestructuras y servicios críticos de la ciudadanía expuestos a una jurisdicción ajena.

El vacío del Marco de Privacidad: aunque la Comisión Europea aprobó una decisión de adecuación (EU-US Data Privacy Framework, Decisión de Ejecución UE 2023/1795), la persistencia de la CLOUD Act mantiene el conflicto de fondo: la preeminencia de la seguridad nacional estadounidense sobre los derechos fundamentales europeos.

2. Pliegos “dirigidos”: ¿la muerte de la competencia?

Más allá de la seguridad, el modelo de contratación levanta sospechas sobre la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP), publicada en el BOE con la referencia BOE-A-2017-12902. La homogeneidad tecnológica entre ciudades tan diversas no es fruto del azar.

El núcleo del problema reside en la redacción de los Pliegos de Prescripciones Técnicas (PPT). El artículo 126.4 de la LCSP es taxativo:

“Salvo que lo justifique el objeto del contrato, las prescripciones técnicas no harán referencia a una fabricación o una procedencia determinada […] o a marcas, patentes o tipos […] con la finalidad de favorecer o descartar ciertas empresas o ciertos productos.”

La inclusión explícita de licencias ArcGIS, o la redacción de requisitos técnicos tan milimétricos que solo un proveedor de software privativo puede cumplir, excluye de facto alternativas basadas en software libre o estándares abiertos (como QGIS o arquitecturas soberanas de bases de datos espaciales). Esta falta de concurrencia competitiva real constituye una barrera técnica que impide al ecosistema tecnológico local competir en igualdad de condiciones.

3. La “caja negra” de la democracia local

Delegar la toma de decisiones urbanas en un software propietario es una anomalía democrática. Las administraciones públicas tienen la obligación legal de ser transparentes y auditables. Al delegar la gestión del territorio en una “caja negra”, un software de código cerrado cuyo funcionamiento interno es secreto comercial, el ayuntamiento renuncia a su capacidad de auditoría.

Estamos ante una abdicación de funciones. La jurisprudencia sobre transparencia algorítmica ya ha dejado claro que la digitalización de la Administración no puede convertirse en un espacio de opacidad: el código fuente y la lógica de los sistemas que gestionan recursos públicos deben estar sometidos al control público y judicial. Utilizar plataformas cerradas rompe ese principio y convierte a la administración en un cliente cautivo, dependiente de una corporación privada cuya lógica interna está protegida frente a cualquier fiscalización ciudadana.

4. La paradoja de la financiación pública y la soberanía

A la gravedad técnica y jurídica se suma una contradicción económica estructural: el uso de fondos públicos europeos, incluidas las partidas del Plan de Recuperación, Transformación y Resiliencia, regulado por el Real Decreto-ley 36/2020 (BOE-A-2020-17338) y vinculado a NextGenerationEU, para pagar licencias recurrentes a multinacionales extranjeras.

Resulta paradójico que el capital destinado a fortalecer la resiliencia y la soberanía digital de la Unión se canalice hacia infraestructuras externas. En lugar de aprovechar esta inversión histórica para desarrollar infraestructura digital propia y potenciar la industria nacional, el dinero público subvenciona la expansión de plataformas ajenas.

Tal como se plantea en los debates europeos sobre la gobernanza de datos (Data Governance Act / Reglamento UE 2022/868, código CELEX: 32022R0868), la dependencia de proveedores no europeos en servicios críticos constituye una vulnerabilidad estratégica directa. Cada euro invertido en un ecosistema cautivo es un euro que se resta al desarrollo de soluciones abiertas e interoperables que mantengan el retorno de la inversión digital en la economía local, en nuestra seguridad y en nuestras manos.

Índice de registro y verificación documental

Jurisprudencia y normativa de la Unión Europea (datos y privacidad)

  • Sentencia Schrems II (C-311/18): base de datos Curia de la UE, código CELEX: 62018CJ0311.
  • Reglamento General de Protección de Datos (RGPD): código oficial CELEX: 32016R0679.
  • U.S. CLOUD Act (2018): registro oficial del Congreso de EE. UU. (Congress.gov), referencia H.R.4943, 115th Congress.

Marco de contratación y fondos públicos en España

  • Ley de Contratos del Sector Público (Ley 9/2017): buscador del BOE, código BOE-A-2017-12902.
  • Real Decreto-ley de gestión del Plan de Recuperación (RDL 36/2020): BOE, código BOE-A-2020-17338.

Gobernanza digital europea

  • Ley de Gobernanza de Datos de la UE (Reglamento 2022/868): identificador oficial CELEX: 32022R0868.