Más del 99% de los ayuntamientos españoles incumple la ley en ciberseguridad, dejando al descubierto los datos personales de millones de ciudadanos. A pesar de la obligatoriedad del Esquema Nacional de Seguridad (ENS)—el marco legal que garantiza la protección de los sistemas informáticos públicos—, solo 41 municipios de los más de 8.000 del país han certificado su cumplimiento.

El contraste entre la norma y la realidad es abismal. Según la ley, todas las administraciones deben someterse a auditorías independientes cada dos años para validar sus protocolos de seguridad. Sin embargo, la mayoría ni siquiera ha dado el primer paso. Ni Madrid, ni Barcelona, ni Valencia—ciudades con amplios recursos— figuran entre las ocho capitales de provincia que sí cumplen (Granada, Pamplona, San Sebastián, Girona, Guadalajara, Segovia, Burgos y Palencia).

La falta de fiscalización es el verdadero problema: aunque el ENS es obligatorio desde 2015, no hay consecuencias claras para quienes lo ignoran. Pero el escenario podría cambiar. La Unión Europea, en un contexto de crecientes ciberamenazas y tensiones geopolíticas, ha empezado a vincular el cumplimiento de estas normas con el acceso a fondos comunitarios.

Mientras tanto, la privacidad de los ciudadanos queda en manos de sistemas vulnerables, expuestos a filtraciones o ataques.