Protección de datos en la Contratación de las Administraciones Públicas

Las administraciones públicas deben cumplir con la normativa sobre protección de datos. La pirámide normativa de la Protección de Datos Personales tiene en su cúspide una norma europea de aplicación directa, que es el Reglamento General de Protección de Datos (en adelante el RGDP)¹Reglamento (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). y una ley orgánica nacional que adapta dicho reglamento a nuestro ordenamiento, que es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDyGDD).

Conforme al RGPD, las administraciones públicas pueden ser tanto Responsables del Tratamiento, como Encargadas del Tratamiento y también destinatarias de los datos personales.

Cuando el RGPD define qué es un Responsable del Tratamiento menciona expresamente entre los sujetos que pueden serlo a las “autoridades públicas”. Así:

“..la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros”.

Igualmente cuando habla del «encargado del tratamiento» vuelve a referirse como sujeto que puede serlo:

“la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. Además, también cuando define al «destinatario»: “la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero.”

En el ámbito de la contratación pública la protección de datos tiene relevancia desde una doble óptica. Por un lado, la entidad contratante necesita tratar los datos de los licitadores y adjudicatarios, en muchas ocasiones personas físicas, actuando en este caso como responsable del tratamiento de dichos datos. Por otro lado, desde la perspectiva del contratista, por razón del objeto, algunos contratos implican que éste trate datos de los que es Responsable del Tratamiento la entidad contratante, datos de ciudadanos, datos de empleados o funcionarios públicos, etc.

Hagamos un somero recorrido a cómo afecta la protección de datos al contenido de los contratos públicos.

En cuanto al tratamiento de datos de los licitadores

La entidad contratante, en concreto el órgano de contratación, deberá cumplir con el RGPD y LOPDyGDD, al tratar los datos de los licitadores y en su caso adjudicatarios, en estos casos, como hemos adelantado, es Responsable del Tratamiento de dichos datos, y como tal está obligado a respetar los derechos de estos licitadores y adjudicatarios y a cumplir los principios de protección de datos establecidos en el RGPD.

Los principios de la protección de datos son la columna vertebral del sistema de protección de datos establecido en el RGPD, deben tenerse en cuenta en el momento de tratar los datos personales relativo a una persona física identificada o identificable. Por otro lado, deben de cumplirse para que el tratamiento de datos personales sea Licito.

Estos principios son Licitud, Lealtad y Transparencia: Limitación de la Finalidad; Minimización de datos; Exactitud; Limitación del Plazo de Conservación; Integridad y Seguridad (deber de confidencialidad); y Responsabilidad Proactiva.

Detengámonos especialmente en el principio de transparencia y el de confidencialidad.

Principio de Transparencia

Este principio habrá que tenerlo en cuenta al recoger los datos de los licitadores. Ello exige informar al interesado de que se van a tratar sus datos; por quién, para qué, cómo, durante cuánto tiempo; y si se van a ceder a un tercero o transferir a otro país. Cuando el licitador sea una persona física, el órgano de contratación tendrá que cumplir al recoger sus datos personales con este principio.

El RGPD en su artículo 12, exige que esta información sea fácilmente accesible y fácil de entender, se facilite en lenguaje sencillo y claro.

Es el Artículo 13 del RGPD el que concreta la información que deberá facilitarse cuando los datos personales se obtengan del interesado:

1. La identidad y los datos de contacto del responsable;
2. Los datos de contacto del delegado de protección de datos;
3. Los fines del tratamiento y la base jurídica del tratamiento;
4. Los intereses legítimos del responsable o de un tercero, si el tratamiento se basa en el interés legítimo;
5. Los destinatarios o las categorías de destinatarios de los datos personales;
6. La intención del responsable de transferir datos personales a un tercer país u organización internacional;
7. El plazo durante el cual se conservarán los datos personales;
8. La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
9. La existencia del derecho a retirar el consentimiento en cualquier momento;
10. El derecho a presentar una reclamación ante una autoridad de control (En el ámbito nacional esta autoridad es La Agencia Española de Protección de Datos, AEPD);
11. Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
12. La existencia de decisiones automatizas, incluida la elaboración de perfiles.

Esta información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen directamente del interesado.

Para facilitar la comprensión por el interesado, esta información se puede facilitar mediante dos capas, una primera con información básica, y la segunda donde se amplía la información con más detalles del tratamiento. Este sistema de capas, que en un principio lo recomendaba la Agencia Española de Protección de Datos (AEPD), es el que ha recogido la LOPDyGDD, en su artículo 11 dispone que se podrá dar cumplimiento al deber de información establecido en el artículo 13 del RGPD facilitando al afectado una primera información básica, y el resto, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.

 Esta información básica según la LOPDyGDD deberá contener, al menos:

1. La identidad del responsable del tratamiento y de su representante, en su caso.
2. La finalidad del tratamiento.
3. La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del RGPD.

Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del RGPD.

Así mismo, establece la LOPDyGDD, que cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del RGPD facilitando a aquel la información básica señalada, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información, pero además, la información básica incluirá también:

1. Las categorías de datos objeto de tratamiento.
2. Las fuentes de las que procedieran los datos.

Como apunte práctico, y teniendo en cuenta que se puede optar por otras fórmulas, opinamos que en la contratación pública, esta información a facilitar a licitadores y adjudicatarios se puede llevar a cabo mediante un anexo al pliego de cláusulas administrativas particulares.

Principio de Confidencialidad vs deber de Transparencia

Como hemos visto más arriba, entre los principios a respetar en el tratamiento de datos personales se encuentra el de Integridad y Seguridad. El RGPD exige (art 5.1.f) que los datos sean tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

La entidad contratante, como responsable del tratamiento de los datos de licitadores y adjudicatarios, tiene que guardar la confidencialidad de los datos que trata, pero también está obligada a cumplir con el deber de transparencia que le impone la Ley.

La Ley de Transparencia, incorporó, en su artículo 8.1, a), la obligación de hacer público todos los contratos, con indicación de:

1. el objeto;
2. la duración;
3. el importe de licitación y de adjudicación;
4. el procedimiento utilizado para su celebración;
5. los instrumentos a través de los que, en su caso, se ha publicitado;
6. el número de licitadores participantes en el procedimiento y la identidad del adjudicatario;
7. las modificaciones del contrato;
8. y las decisiones de desistimiento y renuncia de los contratos.

Con un ámbito, objetivos, relevancia, efectos jurídicos y requisitos distintos de los de la Ley de Transparencia, la Ley 9/2017 de Contratos del Sector Público (en adelante LSCP) ha situado la transparencia como uno de los principios transversales de la compra pública en todas sus fases.

La LCSP establece, en diferentes preceptos, la obligación de publicar datos de las adjudicaciones y contrataciones, que incluirá los datos de los adjudicatarios, como, por ejemplo, en los artículos 63 y 154 dentro del perfil del contratante, o el artículo 346 en cuanto al Registro de Contratos del Sector Público, que obliga, entre otras cosas, a los poderes adjudicadores a comunicar al Registro de Contratos del Sector Público, para su inscripción, los datos básicos de los contratos por ellos adjudicados, entre los que figurará la identidad del adjudicatario.

Está claro que en todos estos casos el deber de confidencialidad en el tratamiento de datos, cede ante la obligación de transparencia de las entidades del sector público contratantes.

En cuanto al tratamiento de datos por cuenta del Poder Adjudicador

Los contratos del sector público pueden conllevar que el contratista trate datos personales de los que es responsable la entidad contratante, la última reforma de la ley de contratos de sector público efectuada por el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones, establece varias medidas en materia de contratación pública, todas ellas, según se dispone en su exposición de motivos, dirigidas a reforzar el cumplimiento de la normativa sobre protección de datos personales y la protección de la seguridad pública en este ámbito.

Así, dice esta exposición de motivos que:

“Los contratistas del sector público manejan en ocasiones, para la ejecución de los respectivos contratos, un ingente volumen de datos personales, cuyo uso inadecuado puede, a su vez, plantear riesgos para la seguridad pública. Por ello, resulta necesario asegurar normativamente su sometimiento a ciertas obligaciones específicas que garanticen tanto el cumplimiento de la normativa en materia de protección de datos personales como la protección de la seguridad pública.”

Consideración del Contratista como Encargado del Tratamiento

Cuando la entidad contratante trata datos personales y el contrato que se pretende adjudicar conlleva el tratamiento de estos datos por parte del contratista, nos encontramos con que la entidad contratante sería la Responsable del Tratamiento, pues es quien determina los fines y medios del tratamiento (Art. 4.7 RGPD), y el adjudicatario o contratista sería el encargado del tratamiento, ya que es quien trataría los datos personales por cuenta del responsable del tratamiento (Art. 4.8 RGPD).

La LCSP confirma esta condición del contratista en el punto 2 de la Disposición adicional vigésima quinta la cual dispone que:

“Para el caso de que la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, aquel tendrá la consideración de encargado del tratamiento.”

La Agencia Española de Protección de Datos (AEPD), teniendo en cuenta la mentada disposición adicional y lo previsto en el artículo 33-2 de la LOPDyGDD, en su informe 809/2019 ha señalado que:

“Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público.”

Concluyendo en dicho informe que:

“Con carácter general, debe entenderse que la contratación público-administrativa sometida al marco jurídico de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, confiere a la entidad pública contratante -esto es, a la Administración pública, órgano administrativo o ente público actuante- la cualidad de “responsable de los tratamientos” derivados de su actividad contractual en la gestión de los servicios públicos de competencia local.

En consecuencia, también con carácter general, las entidades contratadas por la Administración pública o por los órganos administrativos para la prestación de servicios públicos, tendrán la consideración de “encargadas del tratamiento”.

Cualidades del Contratista

Lo primero que debe tener cuenta el poder adjudicador, como responsable del tratamiento, es que el contratista que va a tratar datos personales por cuenta del responsable, debe cumplir determinadas condiciones, que se establecen en el artículo 28 del RGPD, el cual dispone que, cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, éste elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 del RGPD, o a un mecanismo de certificación aprobado a tenor del artículo 42 RGPD, podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes, pero ello no quiere decir que no se puedan usar otros métodos para acreditar la existencia de esas garantías. Por lo tanto, el poder adjudicador debe exigir al contratista esas garantías suficientes, las cuales deberán señalarse en el pliego de prescripciones técnicas o en su caso como requisito de solvencia técnica.

Contenido de los Pliegos de Cláusulas Administrativas Particulares (PCAP)

Sometimiento a la normativa europea y nacional sobre protección de datos

Debe hacerse constar en los pliegos la obligación del futuro contratista de respetar la normativa vigente en materia de protección de datos (Art. 122.2 tercer párrafo LCSP), es decir, la obligación del contratista de cumplir con el RGPD y la LOPDyGDD, así como con toda aquella normativa europea o nacional con relevancia en protección de datos que por razón del objeto del contrato pudiera ser de aplicación.

Así mismo, el Artículo 202 de La LCSP, en cuanto a condiciones especiales de ejecución del contrato de carácter social, ético, medioambiental o de otro orden²Los órganos de contratación podrán indicar en el anuncio de la licitación y establecer en los pliegos de cláusulas administrativas particulares condiciones especiales en relación con la ejecución del contrato, vinculadas al objeto del contrato. Estas condiciones de ejecución podrán referirse, en especial, a consideraciones económicas, relacionadas con la innovación, de tipo medioambiental o de tipo social. En todo caso, será obligatorio el establecimiento en el pliego de cláusulas … Continuar leyendo, dispone que en los pliegos correspondientes a los contratos cuya ejecución implique la cesión de datos por las entidades del sector público al contratista será obligatorio el establecimiento de una condición especial de ejecución que haga referencia a la obligación del contratista de someterse a la normativa nacional y de la Unión Europea en materia de protección de datos, advirtiéndose además al contratista de que esta obligación tiene el carácter de obligación contractual esencial de conformidad con lo dispuesto en la letra f) del apartado 1 del artículo 211 LCSP.

Expresión de la finalidad del tratamiento

La finalidad del tratamiento por parte del encargado debe ya estar definida desde el inicio del expediente de contratación, el artículo 116 de la LCSP:

“En aquellos contratos cuya ejecución requiera de la cesión de datos por parte de entidades del sector público al contratista, el órgano de contratación en todo caso deberá especificar en el expediente de contratación cuál será la finalidad del tratamiento de los datos que vayan a ser cedidos.”

Contenido exigible conforme al artículo 122 de la LCSP

El artículo 122 de la LCSP establece que, sin perjuicio de lo establecido en el artículo 28.2 del RGPD, en aquellos contratos cuya ejecución requiera el tratamiento por el contratista de datos personales por cuenta del responsable del tratamiento, adicionalmente en el pliego se hará constar:

1. 1. La finalidad para la cual se cederán dichos datos.
   2. La obligación del futuro contratista de someterse en todo caso a la normativa nacional y de la Unión Europea en materia de protección de datos, sin perjuicio de lo establecido en el último párrafo del apartado 1 del artículo 202.
   3. La obligación de la empresa adjudicataria de presentar antes de la formalización del contrato una declaración en la que ponga de manifiesto dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos.
   4. La obligación de comunicar cualquier cambio que se produzca, a lo largo de la vida del contrato, de la información facilitada en la declaración a que se refiere la letra c) anterior.
   5. La obligación de los licitadores de indicar en su oferta, si tienen previsto subcontratar los servidores o los servicios asociados a los mismos, el nombre o el perfil empresarial, definido por referencia a las condiciones de solvencia profesional o técnica, de los subcontratistas a los que se vaya a encomendar su realización.

Necesidad de un contrato que regule las obligaciones del contratista como encargado del tratamiento

La Disposición adicional vigésima quinta de la LCSP establece en su punto 1 que:

“Los contratos regulados en la presente Ley que impliquen el tratamiento de datos de carácter personal deberán respetar en su integridad la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo.”

Hay que entender que esta remisión a la derogada ley de protección de datos se refiere a la actual normativa, el RGPD y la LOPDyGDD.

La necesidad de un contrato que regule el acceso a los datos personales por parte del contratista está claramente fijada. Haciendo referencia a la normativa derogada, la mencionada Disposición adicional vigésima quinta de la LCSP establece que cuando se trate del acceso a datos del Responsable por parte del encargado del tratamiento:

“el acceso a esos datos no se considerará comunicación de datos, cuando se cumpla lo previsto en el artículo 12.2 y 3 de la Ley Orgánica 15/1999, de 13 de diciembre.”

En todo caso, las previsiones del artículo 12.2 de dicha Ley deberán de constar por escrito. Como hemos apuntado más arriba, las referencias a la LOPD 15/1999 deben entenderse hechas a la nueva normativa, al ya mentado artículo 28.2 del RGPD, así como al 33 de la LOPDyGDD que dispone en su apartado 1 que:

“El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la presente ley orgánica y en sus normas de desarrollo.” Y haciendo referencia a los contratos del sector público el apartado 2 este artículo 33 dispone que “Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público.”

El art. 28.3 del RGPD establece que:

“El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.”

Por todo ello, entendemos que en los pliegos de cláusulas administrativas particulares deberá ya establecerse la obligación de incorporar al contrato el clausulado exigible conforme al artículo 28 del RGPD.

Clausulado del contrato exigible conforme al artículo 28 del RGPD

Un clausulado conforme al artículo 28 del RGPD es exigible en todos aquellos contratos cuya ejecución requiera el tratamiento por el contratista de datos personales por cuenta del responsable del tratamiento. El artículo 122 de la LCSP cuando señala determinadas circunstancias que ha de constar expresamente en los pliegos, manifiesta que ello se hará sin perjuicio de lo establecido en el artículo 28.2 del RGPD

Por lo tanto, en los pliegos de cláusulas administrativas particulares, deberá hacerse constar, de acuerdo con lo dispuesto en el art 28 del RGPD, el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

Y en particular, que el encargado:

1. 1. 1. Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
      2. Garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
      3. Tomará todas las medidas necesarias de conformidad con el artículo 32;
      4. Respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;
      5. Asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;
      6. Ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
      7. A elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
      8. Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. En este supuesto, el encargado del tratamiento informará inmediatamente al responsable si, en su opinión, una instrucción infringe el Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

Ejercicio de los derechos

Además del contenido obligatorio, si se decide que el contratista, encargado del tratamiento, atienda por cuenta del responsable, las solicitudes de ejercicio formuladas por los afectados de sus derechos reconocidos en los artículos 15 a 22 del Reglamento, deberá fijarse así en el contrato (en nuestro caso, en los pliegos de cláusulas administrativas particulares). Art. 12 LOPDyGDD.

Medidas de seguridad a adoptar por el contratista

El Real Decreto 3/2010, de 8 de enero, regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. El Esquema Nacional de Seguridad (ENS) está constituido por los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información. Será aplicado por las Administraciones públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias.

Tras la entrada en vigor de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el ámbito objetivo de aplicación del RD 3/2010 se determinará atendiendo a lo recogido en el apartado segundo del artículo 156 de aquella norma, que señala: que:

“El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”.

En cuanto al ámbito subjetivo de aplicación de la Ley 40/2015, recogido en su artículo 2, abarca a la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local y el sector público institucional, teniendo en cuenta dentro de estas últimas que las entidades de derecho privado deberán aplicar el ENS cuando ejerzan potestades administrativas.

El ámbito de aplicación del ENS ha sido ampliado por la Disposición adicional primera de la LOPDyGDD que establece:

“1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.”

Los responsables enumerados en el Art. 77.1 de la LOPDyGDD a los que se refiere esta disposición adicional son:

1. 1. 1. Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
      2. Los órganos jurisdiccionales.
      3. La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
      4. Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
      5. Las autoridades administrativas independientes.
      6. El Banco de España.
      7. Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
      8. Las fundaciones del sector público.
      9. Las Universidades Públicas.
      10. Los consorcios.
      11. Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

El ENS es una norma de obligado cumplimiento para todos los Sistemas de Información de las Administraciones públicas, independientemente de su ubicación. Por lo tanto, es también exigible el cumplimiento del ENS a los Sistemas de Información que operados por terceros ─e, incluso, en dependencias de terceros─ desarrollan funciones, misiones, cometidos o servicios para las Administraciones públicas.

La Disposición adicional primera de la LOPDyGDD, apartado 2 párrafo segundo, dispone en cuanto a los responsables enumerados en el art. 77.1 de dicha ley que:

“En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad”

En cuanto a las administración electrónica, la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad³El artículo 29.2 del Real Decreto 3/2010, tras la modificación operada por el Real Decreto 951/2015, de 23 de octubre, establece el carácter vinculante de las Instrucciones Técnicas de Seguridad (ITS). de conformidad con el Esquema Nacional de Seguridad dispone en el su punto VII.1 que:

“Cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en esta Instrucción Técnica de Seguridad para las entidades públicas.”

Además, añade en el apartado VIII.2:

“Es responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el Esquema Nacional de Seguridad y posean las correspondientes Declaraciones o Certificaciones de Conformidad, según lo señalado en la presente Instrucción Técnica de Seguridad.”

La entidad contratante que estuviera obligada a aplicar determinadas medidas de seguridad establecidas en el Esquema Nacional de Seguridad, a los datos de los que fuese responsable y que vayan a ser tratados por el contratista, deberá exigir a éste la adopción de dichas medidas, estableciéndolas como una obligación del contratista en el correspondiente contrato (pliegos), e incluso cuando se trata del ámbito de la administración electrónica podrá pedir como requisito de solvencia la certificación en el ENS que corresponda.

Subcontratación del encargo del tratamiento

El artículo 215.1 de la LCSP establece que:

“El contratista podrá concertar con terceros la realización parcial de la prestación con sujeción a lo que dispongan los pliegos, salvo que conforme a lo establecido en las letras d) y e) del apartado 2.º de este artículo, la prestación o parte de la misma haya de ser ejecutada directamente por el primero”

Por lo tanto, cumpliendo con las condiciones establecidas en este precepto, el contratista podrá subcontratar el tratamiento de datos.

Será necesario que entre el contratista y el subcontratista se formalice en un contrato. Obligación que viene establecida por el art 24.4 del RGPD que dispone que:

“Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.”

La Obligación de formalizar un contrato también la exige la Disposición adicional vigésima quinta de la LCSP en su punto 3 que establece que:

 “En el caso de que un tercero trate datos personales por cuenta del contratista, encargado del tratamiento, deberán de cumplirse los siguientes requisitos:

1. 1. Que dicho tratamiento se haya especificado en el contrato firmado por la entidad contratante y el contratista.
   2. Que el tratamiento de datos de carácter personal se ajuste a las instrucciones del responsable del tratamiento.
   3. Que el contratista encargado del tratamiento y el tercero formalicen el contrato en los términos previstos en el artículo 12.2 de la Ley Orgánica 15/1999, de 13 de diciembre.(Hay que entender que esta remisión se refiere a la actual normativa, el RGPD y la LOPDyGDD)”

Además, en los preceptos anteriores observamos que este subcontratista tendrá también la consideración de encargado del tratamiento, y que además el contratista seguirá siendo responsable ante el poder adjudicador del cumplimiento de sus obligaciones de protección de datos, lo que se reitera en el artículo 215.4 de la LCSP según el cual los subcontratistas quedarán obligados solo ante el contratista principal que asumirá, por tanto, la total responsabilidad de la ejecución del contrato frente a la Administración, con arreglo estricto a los pliegos de cláusulas administrativas particulares o documento descriptivo, y a los términos del contrato; incluido el cumplimiento de las obligaciones en materia medioambiental, social o laboral a que se refiere el artículo 201, así como de la obligación a que hace referencia el último párrafo del apartado 1 del artículo 202 referida al sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos.

Por otro lado, como hemos visto, si es necesario exigir al contratista el cumplimiento de determinados requisitos de solvencia, como puede ser la certificación en el ENS, en el caso de subcontratación, se ha de exigir en los pliegos, conforme al artículo 215 2 a) de la LCSP, que el subcontratista cumpla con estos requisitos.

Obligaciones del contratista a la finalización del contrato

Vimos más arriba que el artículo 28 del RGPD establece como pacto a incluir en el contrato de encargado del tratamiento, una estipulación que especifique que hacer con los datos una vez finalizada la prestación del servicio, disponiendo que:

“a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros”

La LOPDyGDD sobre este punto dice: en su artículo 33.3 que:

“El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.

No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista.”

Y en su punto 4 dispone:

“El encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.”

La Disposición adicional vigésima quinta de la LCSP dispone además que:

“Cuando finalice la prestación contractual los datos de carácter personal deberán ser destruidos o devueltos a la entidad contratante responsable, o al encargado de tratamiento que esta hubiese designado.

El tercero encargado del tratamiento conservará debidamente bloqueados los datos en tanto pudieran derivarse responsabilidades de su relación con la entidad responsable del tratamiento.”

Nulidad de los contratos

El Artículo 39.2 h) de la LCSP establece como causa de nulidad de pleno derecho los contratos celebrados por poderes adjudicadores en los que falte la mención en los pliegos de lo previsto en los párrafos tercero, cuarto y quinto del apartado 2 del artículo 122 de la LCSP.

Además, en el artículo 71.2.d) de la LCPS se establece como circunstancia que impedirá la contratación a aquellas empresas cuyo contrato hubiere quedado resuelto por incumplimiento culpable del contratista de las obligaciones que los pliegos hubieren calificados como esenciales de acuerdo con lo previsto en el artículo 211.1.f) de la LCSP⁴Serán causas de resolución del contrato: …… f) El incumplimiento de la obligación principal del contrato. Serán, asimismo causas de resolución del contrato, el incumplimiento de las restantes obligaciones esenciales siempre que estas últimas hubiesen sido calificadas como tales en los pliegos o en el correspondiente documento descriptivo, cuando concurran los dos requisitos siguientes: Que las mismas respeten los límites que el apartado 1 del artículo 34 establece para la … Continuar leyendo

Nota final

*Aunque referido exclusivamente a las compras realizadas por las instituciones de la Unión Europea en orden al cumplimiento del Reglamento (CE) n.º 2018/1725, aún estando en inglés y necesitando de cierta adaptación pueden ser referencias válidas para crear tus propios modelos para cumplimentar las obligaciones de información en materia de protección de datos personales,  los documentos que ha creado al respecto la Comisión Europea. Tanto el modelo de declaración de confidencialidad para el tratamiento de datos personales en relación con las convocatorias de manifestaciones de interés para la selección de expertos y con los procedimientos de subvención o licitación, como la cláusula contractual tipo que garantiza que los datos personales incluidos en los contratos de la Comisión o en los acuerdos o decisiones de subvención estén debidamente protegidos.

Otros recursos

Indicamos otros recursos que se pueden encontrar en la web de la Agencia Española de Protección de datos y cuya consulta puede ser útil:

• La Guía para el cumplimiento del deben de informar
• Directrices para la elaboración de contratos entre Responsables y Encargados del Tratamiento
• Guía de Protección de Datos en La Administración Local

Infografía ‘Contratos Públicos y Protección de Datos Personales’

^{* Clic sobre la imagen para abrir una versión con más definición. Para mejor definición recomendamos descargarla en versión en pdf.}