El Gobierno ha aprobado este martes el Proyecto de Ley de Protección y Resiliencia de las Entidades críticas, tal y como adelantó en exclusiva Demócrata. Se trata de una iniciativa cuyo propósito es transponer una directiva europea sobre la protección de aquellas organizaciones que prestan servicios esenciales en sectores estratégicos y resultan indispensables para mantener las funciones sociales o las actividades económicas. Para ello, entre otras cosas, el Ejecutivo permitirá la instalación de sistemas antidrones y de reconocimiento biométrico.
El texto, al que ha tenido acceso este medio, incluye una disposición adicional (octava) relativa a la instalación de sistemas antidrones para garantizar la protección de algunas o todas las instalaciones críticas. La implantación de estos sistemas, características y extensión se regulará a través de un real decreto que deberá aprobar el Gobierno.
Sistemas de reconocimiento biométrico
El Proyecto de ley de Entidades Críticas abre la puerta al uso de sistemas de reconocimiento biométrico para reforzar la seguridad en infraestructuras estratégicas. Estas tecnologías podrán emplearse para identificar a las personas que accedan a determinadas instalaciones o se desplacen por ellas, siempre con el objetivo de prevenir delitos y garantizar la seguridad física.
La implantación de estos sistemas no será automática. La norma establece que sus condiciones y características deberán desarrollarse, como en el caso de los sistemas antidrones, mediante un real decreto. Además, su uso deberá estar justificado en función de la Evaluación Nacional de Amenazas y Riesgos, lo que permitirá adaptar las medidas a la criticidad de cada instalación.
Según el texto, el reconocimiento biométrico tendrá una finalidad estrictamente limitada: verificar la identidad de una persona para permitir su acceso o tránsito en zonas sensibles. En ningún caso podrá utilizarse con fines laborales, como el control horario o la supervisión de la actividad de los trabajadores, lo que busca acotar su uso y evitar posibles abusos.
Los sistemas de biometría no podrán utilizarse con fines laborales, como el control horario o la supervisión de la actividad de los trabajadores
El sistema deberá cumplir con los principios de privacidad desde el diseño y minimización de datos, de modo que la tecnología empleada se ajuste a las necesidades concretas de cada entidad. Antes de su puesta en marcha, será obligatoria la realización de una evaluación de impacto en materia de protección de datos, en línea con la normativa europea.
Asimismo, la ley exigirá que estos sistemas incorporen mecanismos que permitan desvincular la identidad de la persona de su plantilla biométrica y que eviten su reutilización para otros fines. Con ello, el Ejecutivo trata de equilibrar el refuerzo de la seguridad en infraestructuras críticas con las garantías en materia de derechos fundamentales y protección de datos.
¿Dónde podrán instalarse?
Una entidad crítica es cualquier organización —pública o privada— que presta un servicio esencial para el funcionamiento de la sociedad o de la economía. Su relevancia no depende tanto de su tamaño como del impacto que tendría una interrupción de su actividad.
La nueva regulación introduce además el concepto de “efecto perturbador significativo”, que permite medir hasta qué punto una caída del servicio podría afectar a la seguridad, la salud pública o la estabilidad económica. Es ese impacto potencial el que determina si una infraestructura o entidad debe ser considerada crítica.
En la práctica, esto incluye desde operadores energéticos hasta hospitales, redes de transporte, sistemas de abastecimiento de agua o instalaciones vinculadas a la cadena alimentaria.
El ámbito de aplicación de la ley es amplio y abarca los principales sectores estratégicos. Entre ellos figuran:
- Energía.
- Transporte.
- Sanidad.
- Sector bancario.
- Mercados financieros.
- Agua.
- Infraestructuras digitales
- Administración pública.
- Alimentación.
- Industria nuclear.
- Infraestructuras de investigación.
- Seguridad privada.
Se trata de actividades cuya interrupción no solo afecta a usuarios concretos, sino que puede generar efectos en cascada sobre el conjunto del sistema económico y social.
Algunos sectores como el bancario, los mercados financieros o las infraestructuras digitales quedan al margen del nuevo proyecto de ley porque ya cuentan con marcos regulatorios específicos, especialmente en el ámbito de la ciberseguridad.
La importancia de las entidades críticas ha cobrado protagonismo en los últimos años a raíz de crisis encadenadas. La pandemia, la guerra en Ucrania o las tensiones geopolíticas han puesto de manifiesto la vulnerabilidad de las cadenas de suministro y de los servicios esenciales.
Un fallo en algún eslabón de una de estas infraestructuras puede traducirse en apagones, interrupciones del transporte, problemas sanitarios o desabastecimientos. Por eso, la prioridad de las administraciones es garantizar no solo su protección física, sino también su capacidad de resistir, adaptarse y recuperarse ante incidentes.