¿Eres proveedor habitual de servicios del sector público o estás pensando licitar con la administración pública? Si la respuesta es SÍ, la siguiente pregunta que deberías hacerte es: ¿cumples con la protección de datos cuando te presentas a un concurso?
A priori podría resultar extraño mezclar conceptos como: licitador, concurso, adjudicatario, administración y contratación pública con protección de datos de carácter personal, pero la realidad es que están bastante conectados y te vamos a explicar el por qué.
Empecemos por el principio, en el mundo de la protección de datos hay dos figuras esenciales: el responsable del tratamiento (la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento) y el encargado del tratamiento (la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento), si trasladamos estos roles al ámbito de la contratación pública, y siempre que, obviamente haya tratamiento de datos de carácter personal durante la prestación del servicio, resulta que, la administración contratante se configura como el responsable del tratamiento y el resultante como adjudicatario del proceso de licitación sería el encargado del tratamiento, y por ende ambos se ven sometidos al cumplimiento de la normativa protectora de datos de carácter personal en el proceso.
Para reforzar este hecho, además de las derivaciones propias de normas específicas en protección de datos como el Reglamento General de Protección de Datos, o la nueva ley orgánica española reguladora de esta materia (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales), hay que tener en especial consideración las modificaciones introducidas por el Real Decreto-ley 14/2019, de 31 de octubre, en la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, y es que, la cosa se ha puesto más seria, ya que, estas modificaciones tienen como finalidad garantizar el respeto y cumplimento por parte de contratistas y subcontratistas de la legislación de la Unión Europea en materia de protección de datos en todas las fases de la contratación (expediente de contratación, licitación y ejecución del contrato). Con lo que, podemos decir que el círculo se cierra, ya que no sólo contamos con unas normas -de obligado cumplimiento, pero entendidas en el contexto de la protección de datos-, sino que, ahora se regulan en el ámbito específico de la contratación pública y esto, como no puede ser de otra manera, incide directamente en los procesos de contratación.
Pasemos a lo interesante ¿qué implicación tienen estas modificaciones para mí como licitador?
En primer lugar, el RD-Ley modifica el artículo relativo al contenido mínimo del contrato para incluir la referencia expresa al sometimiento por parte del contratista a la normativa nacional y de la Unión Europea en materia de protección de datos. ¿Ello qué supone? Simple, que el licitador acepta y reconoce su sometimiento y cumplimiento a dicha normativa.
Fíjate si es importante la referencia expresa de tal sometimiento que, se ha incluido como causa de nulidad de pleno derecho, la celebración de contratos por parte de poderes adjudicadores que omitan mencionar en los pliegos las obligaciones del futuro contratista en materia de protección de datos.
Asimismo, se ha añadido como circunstancia que impedirá a los empresarios contratar con el sector público, el haber dado lugar a la resolución firme de cualquier contrato celebrado con una de tales entidades por incumplimiento culpable de las obligaciones que los pliegos hubieren calificado como esenciales y, la protección de datos, tras estas modificaciones, se configura como esencial.
Todo lo anterior nos traslada a la siguiente pregunta ¿cumples realmente con la protección de datos? ¿eres conocedor de las obligaciones que, como encargado de tratamiento te atribuye la normativa? Si la respuesta es negativa debes tener en cuenta que ello entraña un doble riesgo; por una parte, el incumplimiento legal y, por otra, una desventaja competitiva en el proceso de licitación, en la medida en la que, el responsable del tratamiento deberá elegir únicamente a un encargado que ofrezca garantías suficientes.
En la práctica, ¿qué me voy a encontrar en los Pliegos?
Por regla general, y de conformidad con la ley de contratación del sector público, en los contratos en los que el contratista requiera el tratamiento de datos por cuenta de la entidad pública como responsable del tratamiento, en el pliego se hará constar:
- La finalidad para la cual se tratarán dichos datos. Lo que supone que el tratamiento que debe realizar el adjudicatario como encargado de tratamiento se tiene que ajustar en su totalidad a lo indicado en el pliego.
- La obligación del futuro contratista de someterse en todo caso a la normativa protectora de datos de carácter personal -como ya se ha indicado-.
- La obligación de la empresa adjudicataria de presentar antes de la formalización del contrato una declaración en la que ponga de manifiesto dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos. Este punto toma especial interés, sobre todo, en aquellos casos en los que la adjudicataria tenga una subcontratista (subencargado del tratamiento en el mundo de los datos) ya que, la adjudicataria puede ser una compañía española radicada en España, pero, por ejemplo, ofrece servicios cloud para el que subcontrata a una gran tecnológica no domiciliada en España ni en el entorno de la Unión Europea. En estos casos, será especialmente importante conocer qué excepciones permite el Reglamento General de Protección de Datos, en tanto, la regla básica es que los datos personales en el contexto de las actividades de una entidad radicada en la Unión Europea, así como el tratamiento de datos personales de interesados que residan en la Unión Europea, deberán tratarse en la Unión Europea.
- La obligación de comunicar cualquier cambio que se produzca, a lo largo de la vida del contrato, de la información facilitada en la declaración a que se refiere el punto anterior.
- La obligación de los licitadores de indicar en su oferta, si tienen previsto subcontratar los servidores o los servicios asociados a los mismos. Hay que tener en cuenta que, el/los subcontratista/s quedarán obligados sólo ante el contratista principal quien asumirá, por tanto, la total responsabilidad de la ejecución del contrato frente a la Administración.
Todo ello, como resulta lógico, no sólo implica obligaciones para el licitador sino también para la propia administración que, deberá tener en cuenta todos estos elementos a la hora de redactar el pliego, algo de lo que ya hablamos en el artículo ¿Cumplen tus pliegos con la protección de datos en la contratación pública?
¿Pueden las administraciones requerir el cumplimiento de obligaciones adicional a las indicadas?
Sí, las obligaciones anteriores son las expresamente recogidas en la ley de contratación del sector público, pero es perfectamente lícito –y de hecho empieza a ser habitual- que, a éstas, se añadan las obligaciones que se derivan de la normativa protectora de datos de carácter personal, tales como:
- La obligación de presentación de documentación que acredite la designación, nombramiento o contrato con el Delegado de Protección de Datos – DPD – por parte de la licitadora;
- contar con protocolos de actuación ante una violación de seguridad o,
- estar certificado de conformidad con el Esquema Nacional de Seguridad, son algunas de las más habituales, pero no las únicas.
Como habrás podido comprobar, y respondiendo a la pregunta inicial, si eres proveedor habitual de servicios del sector público o estás pensando licitar con la administración pública, es el momento de adecuarte y cumplir de forma efectiva con la protección de datos. Ya no hay alternativas.
Ingrid González
Área de Tecnología, Innovación y Economía Digital
Añadir nuevo comentario