Hemos leído ocho pliegos técnicos de licitaciones públicas para servicios de vigilancia con software de control de rondas publicadas entre enero y mayo de 2026 en la Plataforma de Contratación del Sector Público. Todos repetían las mismas seis cláusulas genéricas («el adjudicatario deberá disponer de software de rondas con tecnología QR o NFC», «se generarán informes periódicos», «la información será propiedad del órgano contratante») y todos dejaban fuera las ocho cláusulas que realmente determinan si el servicio se puede auditar o no.
El resultado es predecible: el adjudicatario cumple la letra del pliego (instala QR, manda PDFs) pero la mesa de seguimiento no puede demostrar nada en una inspección. Cuando llega la auditoría de la propia administración o del SEPBLAC para infraestructuras críticas, no hay forma de demostrar que las rondas pactadas se hicieron.
Este post recoge el pliego técnico que pediríamos como cliente público que sabe lo que quiere. Catorce cláusulas, agrupadas en cuatro bloques, cada una con su redacción exacta y la referencia normativa que la sostiene.
Bloque 1 — Trazabilidad y evidencias (5 cláusulas)
1.1. Sellado temporal e inmutabilidad de cada escaneo
«Cada evento de escaneo (QR/NFC), incidencia, alerta y firma del personal de vigilancia incluirá obligatoriamente: a) Marca temporal con precisión de segundo en zona horaria UTC y zona horaria local del centro; b) Coordenadas GPS del dispositivo en el momento exacto del evento con precisión declarada (HDOP); c) Identificador único de evento (UUID v4 o equivalente); d) Identificador del dispositivo emisor y del usuario autenticado. Los eventos serán inmutables tras su sincronización con el servidor central. Cualquier modificación posterior generará un evento de auditoría separado vinculado al original.»
Sin esta cláusula, el adjudicatario puede editar los registros la noche antes de una inspección. Lo hemos visto en al menos tres casos en 2025.
1.2. Validación geográfica del escaneo (geofencing)
«El sistema validará automáticamente que cada escaneo se realiza dentro de un radio configurable (entre 5 y 50 metros, definible por punto de control) respecto a las coordenadas GPS oficiales del punto. Los escaneos fuera de radio serán etiquetados como "sospechosos" y no contarán como ronda completada hasta validación manual por supervisor con motivo escrito.»
Sin geofencing, basta una foto del QR para hacer ronda fantasma. La LO 5/2014 art. 87 obliga a que el servicio se preste «de manera efectiva y diligente»; sin geofencing no se puede demostrar.
1.3. Trazabilidad de la cadena de custodia digital
«El sistema mantendrá un log inalterable (append-only) de toda acción administrativa sobre rondas, puntos de control, rutas, usuarios y permisos. El log incluirá quién, cuándo, qué cambió y desde dónde (IP origen). La conservación mínima del log será de 4 años contados desde la fecha del último evento, conforme a LO 4/2015 art. 23 sobre conservación de datos por seguridad ciudadana.»
1.4. Pruebas de servicio exportables y firmadas
«El sistema generará automáticamente informes mensuales de cumplimiento de rondas en formato PDF/A firmados digitalmente con certificado cualificado conforme al Reglamento eIDAS (UE) 910/2014. Cada informe incluirá: rondas planificadas vs ejecutadas, desviaciones, incidencias documentadas, evidencias fotográficas y mapa de checkpoints visitados.»
Sin firma cualificada, el PDF no vale ante un juez ni ante una inspección de la Subdelegación del Gobierno.
1.5. Acceso del órgano contratante en tiempo real
«Personal autorizado del órgano contratante dispondrá de credenciales de solo lectura con acceso 24/7 a un panel de control que muestre el estado en tiempo real de las rondas en sus instalaciones. El acceso no podrá depender de comunicación con el adjudicatario.»
Esta cláusula la hemos visto en uno de los ocho pliegos. Es la que más le incomoda al adjudicatario perezoso y la que más valor da al cliente.
Bloque 2 — Resiliencia y disponibilidad (3 cláusulas)
2.1. Modo offline funcional con sincronización garantizada
«La aplicación móvil del personal de vigilancia operará al 100% sin conexión a internet ni datos móviles, almacenando localmente los escaneos, incidencias y multimedia. La sincronización con el servidor central será automática al recuperar conectividad, con confirmación de entrega (acknowledgment) y reintentos sin pérdida de información durante un mínimo de 30 días offline.»
Aplicable a instalaciones con zonas sin cobertura: sótanos, plantas técnicas, almacenes lejanos, edificios apantallados. Sin esto, todos los escaneos en zonas muertas se pierden.
2.2. SLA de disponibilidad de servicio
«El adjudicatario garantizará una disponibilidad del servicio backend del 99,5% mensual medida en ventanas de 5 minutos. Se reportará mensualmente el SLA real con detalle de incidencias, RCA y tiempo de resolución. Penalización del 2% de la facturación mensual por cada décima por debajo del SLA pactado.»
2.3. Continuidad operativa ante cambio de adjudicatario
«Al término del contrato, el adjudicatario entregará la totalidad de los datos históricos en formato estructurado abierto (CSV o JSON), incluidos eventos, incidencias, fotografías, usuarios y configuración de rutas/puntos. La exportación se entregará en plazo no superior a 10 días naturales desde la finalización del contrato. La propiedad de los datos pertenece al órgano contratante.»
Sin esta cláusula, cambiar de proveedor de software equivale a empezar de cero.
Bloque 3 — Cumplimiento normativo (4 cláusulas)
3.1. Conformidad LO 5/2014 art. 87 y RD 2364/1994
«El sistema documentará automáticamente la prestación efectiva del servicio de vigilancia conforme exige el artículo 87 del Reglamento de Seguridad Privada (RD 2364/1994), incluyendo: identificación del vigilante, instalación, horario, recorrido y novedades. La documentación generada será apta para presentación ante Unidades Territoriales de Seguridad Privada.»
3.2. Conformidad ENS para licitaciones del sector público
«El servicio acreditará una categoría mínima MEDIA del Esquema Nacional de Seguridad (RD 311/2022) mediante declaración de conformidad o certificación emitida por entidad acreditada. El adjudicatario aportará la documentación correspondiente con la oferta.»
3.3. Protección de datos personales (RGPD/LOPDGDD)
«El tratamiento de datos personales del personal de vigilancia (geolocalización, imágenes, biométricos si aplica) cumplirá íntegramente con el Reglamento (UE) 2016/679 y la LOPDGDD. El adjudicatario actuará como encargado del tratamiento conforme al art. 28, suscribiendo el contrato de encargo correspondiente. La geolocalización de personal vigilante estará exclusivamente activa durante la jornada laboral y dentro del perímetro de servicio.»
3.4. Conformidad NIS2 para operadores esenciales
«Si el órgano contratante está incluido en el Anexo I o II de la Directiva (UE) 2022/2555 (NIS2) o de su transposición española mediante el Real Decreto Ley de Ciberseguridad pendiente, el adjudicatario garantizará: notificación de incidentes significativos en plazo máximo de 24 horas, gestión de vulnerabilidades documentada y plan de continuidad probado anualmente.»
Bloque 4 — Operación y cumplimiento del contrato (2 cláusulas)
4.1. Formación inicial y reciclaje del personal de vigilancia
«El adjudicatario garantizará la formación inicial mínima de 4 horas a todo el personal de vigilancia asignado al servicio antes del inicio efectivo. La formación incluirá uso de la aplicación móvil, gestión de incidencias y procedimiento ante alertas SOS. La asistencia se documentará nominalmente. El reciclaje anual será obligatorio para todo el personal con permanencia superior a 12 meses.»
4.2. Auditoría externa anual del servicio
«Una vez al año, una entidad auditora independiente designada por el órgano contratante revisará el cumplimiento real del servicio: muestreo de rondas, validación de evidencias, conformidad con SLA. El coste de la auditoría correrá a cargo del adjudicatario. El informe de auditoría se incorporará al expediente de seguimiento del contrato.»
Lo que NO debe estar en el pliego
Tres errores frecuentes en los pliegos leídos:
- Exigir una tecnología concreta («deberá usar etiquetas NFC NTAG215»). Limita la oferta a productos cerrados. Lo correcto es exigir la función: triple verificación, antifraude, sellado temporal.
- Pedir «integración con el sistema existente» sin especificar el sistema. Los adjudicatarios responden «sí» sin verificar nada. Lo correcto es exigir API REST documentada con OpenAPI 3.0 y dejar que la integración sea responsabilidad propia.
- Exigir «informe diario» como entregable manual. Genera trabajo administrativo para nadie. Lo correcto es acceso 24/7 al panel y exportación bajo demanda firmada digitalmente.
Cómo usar este pliego
Si formas parte del órgano contratante de una administración pública, una mutua, una empresa estatal o una infraestructura crítica:
- Copia las 14 cláusulas como punto de partida.
- Ajusta los SLA y plazos (4 años de retención, 99,5% de disponibilidad) a tu nivel de criticidad real.
- Pide a los licitadores que respondan una a una las 14 cláusulas, sin texto genérico.
- En la valoración técnica, puntúa más alto al que entrega evidencias concretas (capturas del panel, ejemplos de informe firmado, log de auditoría real) que al que solo declara cumplir.
Y si eres el adjudicatario potencial: los pliegos con estas 14 cláusulas son los contratos que más se renuevan en el segundo periodo. Demuestran rigor del cliente y filtran a la competencia que no puede cumplirlos.
Si quieres las 14 cláusulas en formato editable para integrarlas en tu próximo pliego, escríbenos a info@patroltech.online y te las pasamos en docx.