¿Cumplen tus pliegos con la protección de datos en la contratación pública?

Con la finalidad de introducir medidas que garanticen en todas las fases de la contratación pública a las administraciones (expediente de contratación, licitación y ejecución del contrato) y el respeto por parte de contratistas y subcontratistas a la legislación en materia de protección de datos; el pasado mes de noviembre, parte del articulado de la Ley 9/2017 de 8 de noviembre, de Contratos del Sector Público, sufrió modificaciones de gran calado que queremos dar a conocer.

¿Qué implicaciones prácticas tienen estas modificaciones?

En primer lugar, es de destacar que, se incluye como contenido mínimo de los contratos, la necesidad de establecer la referencia expresa, del sometimiento por parte del contratista a la normativa en materia de protección de datos, lo que se deriva, en la obligación de las entidades públicas de actualizar sus pliegos a fin de incluir en los mismos tales reseñas normativas.  Es de tal calado esta modificación que, incluso, se regula como causa de nulidad de pleno derecho la celebración de aquellos contratos que omitan esta mención en sus pliegos.

Las entidades públicas, en su calidad de responsables del tratamiento, deben actuar de forma proactiva y ser verdaderos valedores de la protección y cuidado de los datos de los ciudadanos que obran en su poder, al tratarse de un derecho fundamental, lo que justifica la posibilidad de la nulidad de pleno derecho en caso de incumplimiento.

Por otra parte, y como una prueba más del reconocimiento a la protección de datos de carácter personal en la contratación pública, hay que hablar del reconocimiento como obligación esencial del contrato, la obligación del cumplimiento de los contratistas a sus obligaciones en calidad de encargados de tratamiento. El hecho de que se trate de una obligación esencial, implica que su incumplimiento podría ser una causa de resolución del mismo, y que, además, podría dar lugar a la imposibilidad de futuras contrataciones públicas.

¿Estas modificaciones afectan solo a los contratos que impliquen tratamiento de datos?

Las modificaciones no sólo afectan a aquellos contratos que impliquen un tratamiento de datos, sino que, también se regulan nuevas obligaciones para aquellos expedientes de contratación cuya ejecución contractual, requiera de la cesión de datos.

En virtud de esta modificación, se incluye la obligación del órgano de contratación de especificar en el expediente cuál será la finalidad de los datos que vayan a ser cedidos, debiendo indicarlo en el anuncio de licitación y en los pliegos.

Es necesario determinar con carácter previo los roles y responsabilidades en cada expediente de contratación pública a fin de, especificar las obligaciones legales aplicables, calificando de forma adecuada la tipología y naturaleza del objeto del contrato según si se trata de:

  • Un encargo de tratamiento
  • Una cesión de datos
  • Una prestación del servicio sin acceso a datos
¿Cómo afrontar esta norma desde la Administración Pública?

En primer lugar, adecuar los procesos. Para ello, es esencial analizar las recomendaciones/directrices de la autoridad de contratación competente para posteriormente, poder adaptar los modelos de Pliegos, así como, de los contratos menores de la entidad, según si: existen obligaciones en materia de protección de datos de carácter personal o si, por el contrario, es un servicio sin acceso a datos de carácter personal.

Ahora bien, los modelos no son estáticos, cada contratación pública implicará unos tratamientos de datos diferenciados, por lo que, será necesario ajustar cada modelo al expediente específico, de ahí la necesidad de contar con una asistencia legal que tenga la capacidad de proceder a la calificación jurídica de la tipología del servicio y tratamiento de datos objeto de la contratación.

¿Quién debería realizar esta tarea?

El RGPD obliga a todas las autoridad u organismo público a contar con un Delegado de Protección de Datos (DPD) entre cuyas funciones está la de informar y asesorar al responsable del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos, así como, la de supervisar su cumplimiento.

Área de Tecnología, Innovación y Economía Digital

Post A Comment