La protección de datos en la Contratación Pública
I.-Introducción
La Agencia Española de Protección de Datos (en adelante AEPD) estableció las llamadas Directrices para la elaboración de contratos entre responsables y encargados del tratamiento de los datos cuya incidencia en el ámbito de la contratación pública, que nos ocupa, resulta evidente.
Dicho documento contiene una serie de definiciones que vamos a intentar recoger a continuación en el presente artículo ya que se trata de un tema de vital importancia para los agentes que participación en un proceso de licitación pública.
Por lo pronto, hay que detallar la definición y las funciones de figuras tales como el responsable del tratamiento de datos y el encargado del tratamiento así como la relación entre ambos. A continuación señalaremos y meramente indicaremos la normativa jurídica complementaria a la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE (en adelante LCSP). En definitiva, las fuentes normativas.
II.-¿Que es un encargado del tratamiento y cuál es su función principal?
Para la AEPD el encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.
Señala, a este respecto, que los tipos de encargado del tratamiento y las formas en que se regulará su relación pueden ser tan variados como los tipos de servicios que puedan suponer acceso a datos personales. Así, podemos encontrar servicios cuyo objeto principal es el tratamiento de datos personales (por ejemplo, una empresa o entidad pública que ofrece un servicio de alojamiento de información en sus servidores) y otros que tratan datos personales sólo como consecuencia de la actividad que presta por cuenta del responsable del tratamiento (por ejemplo el gestor de un servicio público municipal).
Como se señala en las Directrices, a las que aquí seguimos, pese a que la definición puede parecer clara, en la práctica se dan multitud de situaciones donde puede ser dificil deslindar cuándo estamos frente a un encargado o a un responsable del tratamiento. Para facilitar esta distinción, debemos tener en cuenta que corresponde al responsable decidir sobre la finalidad y los usos de la información, mientras que el encargado del tratamiento debe cumplir con las instrucciones de quien le encomienda un determinado servicio, respecto al correcto tratamiento de los datos personales a los que pueda tener acceso como consecuencia de la prestación de este servicio.
Cuando sea de aplicación la LCSP, hay que tener en cuenta que en dicha ley, como veremos más adelante, se prevé que, cuando la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, el contratista tendrá la consideración de encargado del tratamiento. Y en estos casos también será de aplicación el Reglamento General de Protección de Datos (en adelante RGDP).
El encargado puede realizar todos los tratamientos, automatizados o no, que el responsable del tratamiento le haya encomendado formalmente. En tal sentido, deben de quedar claramente delimitados en el acuerdo que se adopte. A este respecto también, la relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato o de un acto jurídico (incluso unilateral) similar que los vincule. El contrato o acto jurídico debe constar por escrito, inclusive en formato electrónico.
Lógicamente, en el ámbito que aquí nos interesa, el contrato podrá ser el mismo contrato administrativo y en cuanto al acto jurídico similar normalmente será el Pliego de cláusulas administrativas que rige la contratación pública correspondiente.
III.-Contenido mínimo de un acuerdo o acto de encargo del tratamiento de datos.
En las indicadas Directrices de la AEPD se señala que como mínimo debe establecerse (y quedar claro entre los licitadores y el órgano de contratación) el: objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.
En particular, y de manera aquí necesariamente muy resumida, el acuerdo o acto debe contener:
A.-Las instrucciones del responsable del tratamiento: se debe documentar de forma precisa las instrucciones respecto del encargo realizado.
B.-El deber de confidencialidad: hay que establecer la forma en que el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se han comprometido, de forma expresa, a respetar la confidencialidad o, en su caso, si están sujetas a una obligación de confidencialidad de naturaleza estatutaria.
C.-Las medidas de seguridad: el acuerdo debe establecer la obligación del encargado de adoptar todas las medidas de seguridad necesarias, de conformidad con lo establecido en el artículo 32 del RGPD.
D.-El régimen de subcontratación: el acuerdo debe establecer el régimen de subcontratación. El RGDP exige autorización previa por escrito del responsable del tratamiento para que el encargado del tratamiento pueda recurrir a otro encargado (subencargado) para desarrollar el servicio encomendado, cuando esto conlleve el tratamiento de los datos personales por parte de un tercero.
E.-Los derechos de los interesados tales como: a) acceso a datos personales, b) Rectificación, c) Supresión (derecho al olvido), c) Limitación del tratamiento, d) Portabilidad de datos, e) Oposición, f) A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
F.-La colaboración en el cumplimiento de las obligaciones del responsable: el cumplimiento de esta obligación de ayuda del encargado al responsable queda supeditado a la naturaleza del tratamiento realizado y a la información que esté a disposición del encargado.
G.-El destino de los datos al finalizar la prestación: debe de quedar clara la elección elegida una vez finalice la prestación de los servicios del tratamiento, o suprimir o devolver los datos personales y de cualquier copia existente, ya sea al responsable o a otro encargado designado por el responsable.
H.-La colaboración con el responsable para demostrar el cumplimiento: el encargado tiene la obligación a de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas.
IV.-Normativa aplicable
En el ámbito de la contratación pública nos interesa tener en cuenta la normativa aplicable o fuentes jurídicas:
-El mencionado Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, General de Protección de Datos (RGDP) que comenzó a aplicarse el 25 de mayo de 2018.
-La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales.
-El apartado tercero de la disposición adicional vigésimo quinta de la LCSP.
-Y, finalmente, el artículo 133.1 de la LCSP.
Para finalizar, es necesario señalar que la Disposición adicional vigésimo quinta de la LCSP hace referencia en su inicial redacción a la anterior Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, cuando en realidad dicha normativa fue derogada por la indicada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los derechos digitales.
Desde INFOCONCURSO queremos informar a nuestros clientes y lectores de la existencia de un servicio jurídico puesto a su disposición para que puedan ser asistidos en sus licitaciones.