¿Por qué el sector público español tiene exigencias propias?
Las administraciones públicas españolas (AGE, CCAA, EELL) y los proveedores que contratan con ellas operan bajo un marco regulatorio que añade capas sobre el RGPD/LOPDGDD: el Esquema Nacional de Seguridad (ENS, Real Decreto 311/2022) en sus niveles BÁSICO, MEDIO y ALTO, la Ley 9/2017 de Contratos del Sector Público que regula la subcontratación TIC, las obligaciones específicas de la Ley 39/2015 sobre archivo y conservación de comunicaciones, las exigencias de accesibilidad bajo el Real Decreto 1112/2018 conforme a EN 301 549. Una infraestructura de email que sirva a administraciones tiene que documentar el cumplimiento de cada uno de estos frentes; el RGPD genérico por sí solo no cubre ese requisito.
¿Cómo encajáis con el ENS si no estáis certificados directamente?
El ENS se certifica formalmente sólo para entidades del sector público español o empresas que contratan directamente con AAPP españolas. OS Domains GmbH, como sociedad austriaca que presta servicio a través de subcontratación, no se certifica directamente, pero nuestro ISO 27001:2022 está mapeado por nuestro DPO a los 75 controles del ENS nivel ALTO en una matriz que entregamos junto al contrato. Para cada control ENS, la matriz documenta: control ISO 27001 equivalente, evidencias específicas, gaps si los hay y cómo se cierran contractualmente. Este es el formato habitual aceptado por los responsables de seguridad de las administraciones contratantes y por la Junta de Contratación cuando evalúan ofertas.
Clientes del sector público que servimos.
Servimos a entidades del sector público europeo bajo contratos Enterprise: administraciones locales y regionales para comunicaciones a residentes (notificaciones de pago de tributos, avisos administrativos, alertas de emergencia), servicios sanitarios regionales para comunicación con pacientes, una universidad pública para comunicación académica (matrículas, calificaciones, comunicación con docentes), y organismos europeos (instituciones UE) bajo el régimen específico de protección de datos del Reglamento (UE) 2018/1725. Para España, las contrataciones siguen los procedimientos abiertos o restringidos de la Ley 9/2017 según presupuesto y servicio.
¿Qué particularidades tiene la contratación pública española?
La contratación pública con administraciones españolas tiene plazos y procedimientos específicos que afectan a un proveedor de email: el procedimiento de licitación tipo dura entre 3 y 12 meses según presupuesto base de licitación, los criterios de adjudicación habitualmente puntúan certificaciones de seguridad (ISO 27001 hasta 10 puntos, ISO 22301 sobre continuidad, ENS certificación o equivalencia) y experiencia previa en sector público (típicamente con peso 15-25% del baremo), las garantías definitivas se constituyen al 5% del presupuesto de adjudicación, la facturación se hace vía FACe (Facturación Electrónica AAPP) en formato Facturae 3.2. El plan Enterprise incluye soporte de procurement con apoyo en redacción técnica para la oferta y emisión de Facturae 3.2.
Lo que no fingimos ser.
No somos un procesador de información clasificada plenamente habilitado. No tenemos habilitación EU RESTRICTED ni EU CONFIDENTIAL para nuestras instalaciones ni para nuestro personal a la escala actual, ni el equivalente nacional español que acredita la Oficina Nacional de Seguridad bajo el Centro Criptológico Nacional. Las administraciones que manejan información clasificada (equivalente OTAN) no pueden usarnos para esa carga. Somos apropiados para comunicaciones no clasificadas de cara al ciudadano, difusión de información pública, notificaciones de licitaciones, anuncios regulatorios y notificaciones operativas de servicio público. Para cargas clasificadas, orientamos al cliente hacia proveedores especializados del sector público —Bundesdruckerei en Alemania, proveedores cualificados por ANSSI en Francia, o las soluciones acreditadas por el CCN en España—. Decir esto en una oferta importa, porque un evaluador ha visto a proveedores exagerar su alcance, y nombrar el límite con claridad lee como más creíble que difuminarlo.
¿Cómo aplica la Ley Europea de Accesibilidad al email del sector público?
La Ley Europea de Accesibilidad pasó a ser exigible el 28 de junio de 2025, y a lo largo de 2026 la pregunta dejó de ser si hay que cumplir para pasar a ser quién lo está comprobando. Los remitentes del sector público ya cargan la obligación de la Directiva de Accesibilidad Web para sus propios sitios y apps —en España, el Real Decreto 1112/2018—; la EAA añade encima los servicios de cara al consumidor, y ambas apuntan al mismo estándar técnico, la EN 301 549. La versión armonizada actual es la v3.2.1, que mapea a WCAG 2.1 nivel AA; la actualizada v4.1.1, desarrollada bajo el mandato de normalización de la Comisión y que incorpora WCAG 2.2, se espera que se publique durante 2026, así que un programa que construye hacia WCAG 2.2 ahora apunta a donde va el estándar y no a donde estaba en 2021. La vigilancia es nacional y tiene dientes: Francia la canaliza por ARCOM y la DGCCRF, Alemania por la Agencia Federal de Redes, Italia por AGID, y en España el control se apoya en el Observatorio de Accesibilidad Web y en las unidades responsables de cada administración. Las sanciones sobre la mesa incluyen requerimientos correctivos, restricciones de mercado y multas que varios marcos nacionales fijan en decenas de miles de euros. La consecuencia específica para el email es concreta. Una notificación al ciudadano que se renderiza como un bloque HTML inaccesible suspende la misma barra que un sitio web. Nuestras plantillas de mensaje y el portal de cliente cumplen la EN 301 549 contra WCAG 2.2 AA, y los patrones de plantilla que entregamos llevan esa conformidad, así que el trabajo de accesibilidad se hace una vez en la capa de plantilla en lugar de redescubrirse tras una reclamación.
eIDAS 2.0 y la cartera de identidad aterrizan en 2026, junto a las notificaciones al ciudadano.
eIDAS 2.0, el Reglamento (UE) 2024/1183, entró en vigor en mayo de 2024 y obliga a cada Estado miembro a ofrecer una Cartera Europea de Identidad Digital a ciudadanos, residentes y empresas, con el despliegue cayendo a lo largo de 2026. La cartera guarda credenciales verificadas por la administración y soporta Firmas Electrónicas Cualificadas reconocidas en toda la Unión, y se asienta sobre una base criptográfica certificada atada al marco europeo de certificación de ciberseguridad. Para una autoridad pública, la cartera cambia la superficie de alta y de autenticación alrededor del mismo ciudadano que recibe tu email, lo que sube el listón en la parte de la notificación: una notificación legal entregada por email necesita cada vez más encajar en un flujo de entrega cualificada en lugar de aterrizar como correo ordinario. eIDAS mantiene la entrega electrónica registrada cualificada como servicio de confianza en su artículo 44, y ahí es donde encajamos. Proporcionamos una configuración que cumple los requisitos técnicos de un servicio de entrega electrónica registrada cualificada —la entrega, la evidencia, los sellos de tiempo— mientras la cualificación en sí permanece en el organismo supervisor nacional del lado del cliente: la SEAD y los prestadores supervisados en España, el TKG en Austria, la Bundesnetzagentur en Alemania, ANSSI en Francia. Somos deliberados con la línea: operamos la entrega técnica y la evidencia de prueba de entrega, y el estatus legal de cualificación se concede a tu servicio por tu supervisor, no lo afirmamos nosotros.
La facturación electrónica B2G ya es obligatoria, y el email es la capa de cortesía.
Los proveedores del sector público llevan conviviendo con la facturación electrónica obligatoria a la administración más tiempo que el sector privado: la facturación electrónica business-to-government lleva años siendo obligatoria en buena parte de la UE, intercambiada sobre la red Peppol en formatos estructurados como XRechnung en Alemania, Factur-X en Francia y a través de FACe en España con Facturae 3.2. El paquete más amplio de IVA en la Era Digital arrastra ahora el business-to-business al mismo camino para 2030. Para una autoridad pública que envía comunicaciones de pago y de contratación, esto traza el mismo límite que trazamos en otros frentes. La factura estructurada que carga el peso legal y fiscal viaja por Peppol desde un sistema de finanzas, y nosotros no somos ese sistema; no generamos ni transmitimos documentos XRechnung, Factur-X ni Facturae y no lo aparentaremos. Lo que hace el email es transportar la confirmación legible por humanos, la actualización de estado, la copia de cortesía y la notificación procedimental al proveedor o al ciudadano, y nuestro trabajo es que aterricen de forma fiable y accesible sobre infraestructura residente en la UE. Mantener esa distinción explícita en una respuesta a licitación importa, porque los evaluadores han visto a proveedores inflar su alcance, y un proveedor que nombra la capa Peppol como trabajo de otro lee como más creíble que uno que la difumina.
¿Por qué la soberanía es estructural para el email del sector público?
Para una autoridad pública el requisito de residencia de datos rara vez se satisface con un ajuste de región en una plataforma con sede estadounidense, porque la preocupación es la jurisdicción y no la geografía: un proveedor con matriz estadounidense sigue expuesto a requerimientos de acceso extraterritoriales con independencia de dónde residan los bytes. Nuestra posición es estructural. La sociedad está constituida en Austria sin matriz estadounidense en la cadena corporativa, las cuentas del sector público fijan por defecto la selección de puntos de presencia solo-UE con las pasarelas de Dallas y Panamá deshabilitadas, y la lista de subprocesadores para esas cuentas excluye entidades que enrutarían el procesamiento por operaciones solo-estadounidenses. Donde una norma nacional va más lejos y prohíbe que los datos fluyan incluso a otro país de la UE —las reglas para autoridades federales en Alemania y las restricciones de ANSSI en Francia son los casos habituales—, la residencia de país único fija todos los datos y el procesamiento dentro del Estado elegido. Esa elección cambia resiliencia por soberanía, porque un anclaje a un solo país limita el failover a los puntos de presencia dentro de ese país, y las autoridades aceptan el canje porque la restricción de soberanía no es negociable. El trabajo europeo de certificación de ciberseguridad y las distintas iniciativas de nube soberana en los Estados miembros apuntan en la misma dirección, y un proveedor cuya soberanía es una cuestión de estructura corporativa y no un interruptor de configuración es el que sobrevive a la revisión legal sin un asterisco.