La Protección de datos en las licitaciones públicas
¿Eres proveedor de servicios al sector público? ¿Estás pensando presentarte a una licitación?
Si la respuesta es SÍ, este artículo te podrá resultar de interés y es que, los últimos cambios legislativos en materia de contratación pública tienen como finalidad garantizar el respeto y cumplimento, por parte de contratistas y subcontratistas, de la legislación de la Unión Europea en materia de protección de datos en todas las fases de la contratación de una licitación pública.
Lo anterior nos traslada a la siguiente pregunta ¿cumples realmente con la protección de datos? ¿eres conocedor de las obligaciones que, como encargado de tratamiento te atribuye la normativa?
Si la respuesta es NO debes tener en cuenta que ello entraña un doble riesgo; por una parte, el incumplimiento legal y, por otra, una desventaja competitiva en el proceso de licitación, en la medida en la que, la entidad pública deberá elegir únicamente a un licitador que ofrezca garantías suficientes.
Tal es la importancia al cumplimiento en materia de protección de datos personales que se ha incluido como causa de nulidad de pleno derecho, la celebración de contratos por parte de poderes adjudicadores que omitan mencionar en los pliegos las obligaciones del futuro contratista en materia de protección de datos.
En la práctica, ¿qué me voy a encontrar en los Pliegos de una licitación pública en materia de protección de datos?
Por regla general, y de conformidad con la ley de contratación del sector público, en los contratos en los que el contratista requiera el tratamiento de datos por cuenta de la entidad pública, en el pliego de la licitación pública se hará constar:
- La finalidad para la cual se tratarán dichos datos. Lo que supone que el tratamiento que debe realizar el adjudicatario del concurso como encargado de tratamiento de esos datos se tiene que ajustar en su totalidad a lo indicado en el pliego de la licitación.
- La obligación del futuro contratista de someterse en todo caso a la normativa protectora de datos de carácter personal.
- La obligación de la empresa adjudicataria de presentar antes de la formalización del contrato una declaración en la que ponga de manifiesto dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos. Este punto toma especial interés, sobre todo, en aquellos casos en los que la adjudicataria tenga una subcontratista (subencargado del tratamiento en el mundo de los datos) ya que, la adjudicataria puede ser una compañía española radicada en España, pero, por ejemplo, ofrece servicios cloud para el que subcontrata a una gran tecnológica no domiciliada en España ni en el entorno de la Unión Europea. En estos casos, será especialmente importante conocer qué excepciones permite el Reglamento General de Protección de Datos, en tanto, la regla básica es que los datos personales en el contexto de las actividades de una entidad radicada en la Unión Europea, así como el tratamiento de datos personales de interesados que residan en la Unión Europea, deberán tratarse en la Unión Europea.
- La obligación de comunicar cualquier cambio que se produzca, a lo largo de la vida del contrato, de la información facilitada en la declaración a que se refiere el punto anterior.
- La obligación de los licitadores de indicar en su oferta, si tienen previsto subcontratar los servidores o los servicios asociados a los mismos. Hay que tener en cuenta que, el/los subcontratista/s quedarán obligados sólo ante el contratista principal quien asumirá, por tanto, la total responsabilidad de la ejecución del contrato frente a la administración.
¿Pueden las administraciones requerir el cumplimiento de obligaciones adicional a las indicadas?
Sí, las obligaciones anteriores son las expresamente recogidas en la ley de contratación del sector público, pero es perfectamente lícito –y de hecho empieza a ser habitual- que, a éstas, se añadan las obligaciones que se derivan de la normativa protectora de datos de carácter personal, tales como, la obligación de presentación de documentación que acredite la designación, nombramiento o contrato con el Delegado de Protección de Datos – DPD – por parte de la licitadora; contar con protocolos de actuación ante una violación de seguridad o, estar certificado de conformidad con el Esquema Nacional de Seguridad, son algunas de las más habituales, pero no las únicas.
Sobre el Autor
Ingrid González Hernández
Ingrid González es abogada especialista en Derecho Digital en Ceca Magán Abogados, y máster oficial en Administración y Gobierno Electrónico. Asimismo, es Delegada de Protección de Datos (DPD) Certificada conforme al Esquema de la AEPD - ENAC; docente del Instituto Canario de Administración Pública (ICAP), así como, tutora del Programa Tutorización Nueva Empresa de la Cámara de Industria, Comercio y Navegación de Santa Cruz de Tenerife, además de miembro de la Alianza Europea de Inteligencia Artificial (Comisión Europea).
Ingrid se ha especializado en el asesoramiento jurídico para la gestión integral del dato y la gestión de los riesgos asociados al mismo, tanto en el sector privado como en el público.
En lo relativo al sector público destaca por su asesoramiento jurídico en la implantación de la Administración Electrónica; adecuación e implantación del Reglamento General Europeo de Protección de datos, ejerciendo -incluso- funciones de DPD en varias Administraciones Públicas; la llevanza de proyectos en materia de Transparencia de la información pública, así como, en proyectos de Big Data, Open Data y participación ciudadana.
En el sector privado se ha especializado, entre otras, en adaptación integral a la normativa protectora de datos personales; la llevanza de proyectos de privacidad desde el diseño y por defecto; el asesoramiento corporativo en materia de privacidad; la detección de necesidades y elaboración de planes estratégicos con asistencia en la Implantación de medidas de seguridad y la implantación de Comercio Electrónico.
Colabora en la temática de Legislación y en Innovación y Tecnología.