El pasado 6 de noviembre, entraron en vigor las modificaciones introducidas en la Ley de Contratos del Sector Público, por el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
Esta modificación refuerza el cumplimiento de la normativa de protección de datos en el ámbito de la contratación pública.
Se trata de asegurar el cumplimiento por parte de los contratistas del sector público, de las normas en materia de protección de datos. Con este fin la reforma incorpora determinadas obligaciones y prevé graves consecuencias en caso de incumplimiento.
A partir de ahora, las entidades públicas deberán incorporar a la documentación contractual determinadas menciones sobre la normativa nacional y comunitaria europea en materia de protección de datos. Y los contratistas asumirán obligaciones específicas en esta materia.
Mención a la normativa de protección de datos
Sin perjuicio de la aplicación de las disposiciones establecidas en la normativa europea en todos los contratos con la Administración Pública española, la novedad que introduce el Real Decreto-Ley reside en que, además del contenido que por ley le corresponda, todos los contratos deberán incluir una mención expresa al sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos.
Transmisión de datos personales entre administraciones
Motivado por la extralimitación en la que estaban incurriendo determinadas Administraciones Públicas en el tratamiento de los datos personales de los ciudadanos cedidos por otras Administraciones Públicas en el legítimos desempeño de sus funciones, el Real Decreto-Ley establece que, cuando la Administración Pública cesionaria de los datos pretenda el tratamiento ulterior de los mismos para una finalidad que estime compatible con el fin inicial, deberá comunicarlo previamente a la Administración Pública cedente a los efectos de que esta pueda comprobar dicha compatibilidad.
La Administración Pública cedente podrá, en el plazo de diez días, oponerse motivadamente. Cuando la Administración cedente sea la Administración General del Estado podrá en este supuesto, excepcionalmente y de forma motivada, suspender la transmisión de datos por razones de seguridad nacional de forma cautelar por el tiempo estrictamente indispensable para su preservación.
En tanto que la Administración Pública cedente no comunique su decisión a la cesionaria ésta no podrá emplear los datos para la nueva finalidad pretendida.
Nada se dice en el texto normativo sobre la obligación de información al interesado sobre estas cesiones entre Administraciones Públicas, por lo que tal obligación de información permanecerá vigente en estos casos conforme exige el RGPD.
Obligaciones para los contratistas
La reforma introduce obligaciones específicas para los contratistas, en dos supuestos: cuando estos vayan a tratar datos personales por cuenta del responsable del tratamiento; y en los casos en los que la ejecución del contrato implique la cesión de datos por entidades del sector público al contratista.
Cuando el contrato requiera el tratamiento por el contratista de datos personales por cuenta de la Administración Pública, se impone la obligación al adjudicatario de declarar dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos, así como la de comunicar cualquier cambio que se produzca a lo largo del contrato
Además, lo licitadores deberán indicar en su oferta, si tienen previsto subcontratar los servidores o los servicios asociados a ellos, indicando, en su caso, el nombre o condiciones de solvencia del subcontratista.
En estos casos -y aquí reside una de las novedades más relevantes en materia de protección de datos introducidas por el Real Decreto-Ley-, los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, deberán ubicarse y prestarse dentro del territorio de la Unión Europea.
Además, estos datos no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España,
Esta disposición tendrá un impacto directo en los contratistas de la Administración Pública en términos de costes y gestión de sus servidores. Supone, en definitiva, la implantación de un régimen mucho más restrictivo que el previsto en el Reglamento Europeo de Protección de Datos, fundamentado jurídicamente en la necesidad de contar con mecanismos que permitan garantizar la seguridad nacional frente a posibles injerencias de terceros.
Cuando la ejecución del contrato implique la cesión de datos por entidades del sector público al contratista: el órgano de contratación indicará cuál será la finalidad del tratamiento de los datos que vayan a ser cedidos; y en los pliegos se establecerá una condición especial de ejecución que haga referencia a la obligación del contratista de someterse a la normativa nacional y de la Unión Europea en materia de protección de datos.
Consecuencias del incumplimiento de estas obligaciones
- La reforma impone severas consecuencias a los incumplimientos de las obligaciones contractuales en materia de protección de datos.
- La nulidad de pleno derecho de los contratos cuando los pliegos omitan las menciones exigidas para el supuesto de que el contratista deba hacer un tratamiento de datos personales por cuenta del responsable del tratamiento.
- La resolución del contrato por incumplimiento del contratista de las obligaciones de carácter esencial en materia de protección de datos, antes aludidas.
- Y no debe olvidarse que es una causa de prohibición de contratar con las entidades del sector público, la resolución por incumplimiento culpable del contratista de obligaciones calificadas como esenciales.
Entrada en vigor de la reforma
El Real Decreto-ley entró en vigor el día 6 de noviembre y se aplica a todos los expedientes de contratación iniciados a partir de este momento.
No obstante, se establecen determinadas reglas transitorias:
- Los expedientes de contratación iniciados antes del día 6 de noviembre se regirán por la normativa anterior y no les serán aplicables estas disposiciones sobre protección de datos. Por tanto, no será necesario realizar ninguna adaptación.
Con carácter general se entiende que el expediente se inicia con la convocatoria de la licitación y en los procedimientos negociados sin publicidad en la fecha de aprobación de los pliegos. - Los contratos basados en un acuerdo marco que requieran para su adjudicación una nueva licitación les resultará de aplicación esta reforma y consiguientemente los órganos de contratación deberán adaptar la documentación contractual.
- La nueva regulación se aplica a todas las modificaciones de contratos iniciados a partir del día 6 de noviembre.