Contratos a dedo y riesgo de fuga de datos en el cerebro informático de la Generalitat

Contratos a dedo y fraccionados, y riesgo de fuga de datos en el cerebro informático de la Generalitat. La Sindicatura de Cuentas ha publicado un informe, correspondiente al ejercicio 2019, que denuncia el descontrol contable en el Centro de Telecomunicaciones y Tecnologías de la Información (CTTI), considerado el cerebro informático de la Generalitat y uno de los organismos que dispone de mayor presupuesto.

Este centro, adscrito entonces a la Consejería de Políticas Digitales y Administración Pública --en 2019 era Jordi Puigneró, dirigente de Junts per Catalunya, quien estaba al frente de ese departamento, pero ahora el CTTI depende de la Conselleria de Economía--, fue creado en 1993. Es uno de los órganos con mayor presupuesto del Govern y durante el procés, estuvo en el epicentro de las investigaciones judiciales. Durante el año fiscalizado recibió encargos de gestión por valor de 510 millones de euros.

El vicepresidente y 'conseller' de Políticas Digitales y Territorio de la Generalitat, Jordi Puigneró / GENERALITAT DE CATALUÑA

La Sindicatura denuncia en su informe que “en algunos expedientes, el CTTI contrató los mismos servicios o suministros con los mismos proveedores y con los mismos objetos contractuales, mediante contratación menor, de forma recurrente”. Esta actuación vulnera “requisitos de publicidad o de los relativos a los procedimientos de contratación que deberían correspondido”, lo que constituyen “un fraccionamiento indebido del contrato y, en consecuencia, un incumplimiento de los artículos 99.2 y 118.3 de la Ley de contratos del sector público”.

En algunos de los contratos revisados “se ha incumplido la prohibición, vigente en el ejercicio fiscalizado, de suscribir contratos menores con un mismo proveedor que individualmente o conjuntamente superaran los valores máximos autorizados para este tipo de contratos”.

"Sin ningún contrato en vigor"

Asimismo, en los contratos para el aprovisionamiento de infraestructura de centros de proceso de datos, “el 31 de julio de 2019, una vez terminado el período de extensión de su plan de continuidad, se siguió prestando el servicio sin ningún contrato en vigor, contrariamente a lo que establece la normativa”. Posteriormente se formalizaron dos contratos por el procedimiento negociado sin publicidad, por 1,61 millón y 6,14 millones de euros, respectivamente, por un período de seis meses, prorrogable seis meses más, cuando por la naturaleza del contrato correspondía utilizar un procedimiento abierto”.

La Sindicatura denuncia “carencias en el control de los permisos, de los cambios de rol y de la asignación administradores de las aplicaciones, y también en la segregación de funciones. Algunas de estas incidencias informáticas han puesto de manifiesto una debilidad en el control interno de la entidad”.

El CTTI no disponía de ninguna auditoría de cumplimiento del Esquema Nacional de Seguridad, contrariamente a lo que establece la normativa. Desde el ejercicio 2017 hasta 2019 “el CTTI no se ha sometido a ninguna auditoría de cumplimiento de las medidas de seguridad en el tratamiento de datos de carácter personal, contrariamente a la normativa aplicable que establece que al menos debe ser una auditoría bienal”.

Seguimiento

La Sindicatura ha hecho el seguimiento del cumplimiento de las recomendaciones incluidas en el último informe sobre el CTTI (informe 1/2016) y ha verificado que en noviembre de 2021 se habían cumplido el 50% (17 recomendaciones), mientras que el 17,6% (seis recomendaciones) quedan pendientes de aplicación. El resto de recomendaciones no se han verificado porque no estaban dentro del objeto del informe o no tenían validez dentro del período fiscalizado.