LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

16/07/2024. 09:20:47

LegalToday

Por y para profesionales del Derecho

¿Están protegidos los datos personales de los contratistas en la contratación pública?

Foto carnet de Antonio Berning

profesor investigador de Derecho administrativo en la Universidad Pablo de Olavide de Sevilla

La constante evolución de los medios electrónicos, informáticos y telemáticos (tecnológicos, en general) que permiten el tratamiento masivo de datos de carácter personal dieron lugar a la Directiva 95/46/CE de 24 de octubre de 1995, del Parlamento Europeo y del Consejo, que obligó a los Estados Miembros a adaptar sus normativas internas a las previsiones que la misma contenía en materia de protección de datos. En España fue la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (LOPDCP, en adelante) la que adaptó nuestro ordenamiento a lo dispuesto por dicha Directiva relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, derogando a su vez la hasta entonces vigente Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de datos de carácter personal.

Saliendo números de una pantalla de ordenador

El art. 1 LOPDCP establece que la misma tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal. Comprende, por tanto, el tratamiento automatizado y el no automatizado de los datos de carácter personal. Las previsiones de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico y de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, así como las circunstancias acaecidas, hicieron necesario un desarrollo reglamentario, con la peculiaridad de que ambas normas se ordenan a la tutela no sólo de los derechos de las personas físicas, sino también de las jurídicas. A esta exigencia responde el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal.

En este sentido, y en el ámbito de la contratación pública, también se hace necesaria cierta regulación de esta materia, pues es claro y evidente el tratamiento de datos de carácter personal que realizan las distintas Administraciones Públicas en los distintos procedimientos de contratación. Supone un gran avance en la regulación de la contratación pública, pues no era común la inclusión de tales previsiones, a pesar de las cuantiosas sanciones económicas que impone la Agencia Española de Protección de Datos ante incumplimientos en materia de protección de datos.

Según el art. 3.1 LOPDCP en relación con el 5.1 f) del Reglamento, un dato de carácter personal es cualquier información concerniente a personas físicas identificadas o identificables, concretamente cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo. Para considerar un dato de carácter personal la jurisprudencia ha establecido que no es requisito imprescindible que exista plena coincidencia entre dato y persona, sino que es suficiente que tal identificación pueda realizarse sin grandes esfuerzos.

En materia de contratación pública, en relación con la protección de datos de carácter personal, la principal regulación normativa se encuentra en la Ley 30/2007, de Contratos del Sector Público, concretamente en su Disposición Adicional 31ª. A tenor de su primer apartado, todo contrato público que implique el tratamiento de datos de carácter personal deberán respetar en su integridad la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo. En este sentido, el art. 3 c) LOPDCP establece que el tratamiento de datos consiste en las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. De su tenor literal en relación con la LCSP se desprende que durante todas las fases de la contratación administrativa se efectúa un tratamiento de datos de carácter personal de los contratistas por parte de los poderes adjudicatarios.

Además, en caso de que la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, aquél tendrá la consideración de encargado del tratamiento de datos de carácter personal. En este sentido, deben diferenciarse dos conceptos: el responsable del fichero o tratamiento y el encargado del tratamiento. El primero, ex art. 3 d) LOPDCP es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. El segundo, ex art. 3 g) LOPDCP es la persona física o jurídica, autoridad pública, servicio o cualquier organismo que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del fichero. En este caso, la Administración Pública puede contratar (a través de la figura del contrato de gestión de servicio público del art. 8 LCSP) con un tercero las  notificaciones a los administrados (y contratistas), o cualquier aspecto de su propia competencia, de manera que la Administración Pública sería considerada responsable del fichero y el tercero encomendado sería el encargado del tratamiento de los datos, a los solos efectos de prestar el servicio encomendado.

Así, en el caso de que un tercero trate datos personales por cuenta del contratista, encargado del tratamiento, deberán de cumplirse los siguientes requisitos, además de producirse el efecto de ser considerado también el tercero como encargado del tratamiento (apartado 3 DA 31ª LCSP):

  1. Que dicho tratamiento se haya especificado en el contrato firmado por la entidad contratante y el contratista.
  2. Que el tratamiento de datos de carácter personal se ajuste a las instrucciones del responsable del tratamiento.
  3. Que el contratista encargado del tratamiento y el tercero formalicen el contrato en los términos previstos en el artículo 12.2 de la Ley Orgánica 15/1999, de 13 de diciembre.

Sin embargo, el acceso a datos de carácter personal no tendrá la consideración de comunicación de datos siempre que:

  1. La realización de tratamientos por cuenta de terceros esté regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, y en el que se establezca expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas (art. 12.2 LOPDCP).
  2. Una vez cumplida la prestación contractual, los datos de carácter personal serán destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

En el caso de que el encargado del tratamiento (la Administración Pública contratante o sus organismos de ella dependientes) destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente (art. 12.4 LOPDCP).     

En estos casos, es posible que un tercero sea el encargado del tratamiento de los datos de carácter personal, por designación por parte de la Administración contratante, caso en el que cuando finalice la prestación contractual los datos de carácter personal deben ser destruidos o devueltos a la entidad contratante responsable, o al encargado de tratamiento que ésta hubiese designado (apartado 2 in fine DA 31ª LCSP).

El tercero encargado del tratamiento conservará además, como medida preventiva adoptada por la LCSP, debidamente bloqueados los datos en tanto pudieran derivarse responsabilidades de su relación con la entidad responsable del tratamiento.

La Administración Pública debe cumplir con los deberes impuestos por el art. 5.1 LOPDCP cuando trate datos personales en el ámbito de la contratación pública, deberes de información expresa que se concretan en:

  1. Existencia de fichero o tratamiento de datos de carácter personal, finalidad y destinatarios de dicha información.
  2. Carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas.
  3. De las consecuencias de la negativa a suministrar datos o de la obtención de ellos.
  4. Posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  5. Identidad y dirección del responsable del tratamiento o su representante.

Todos estos deberes de información deben quedar plasmados en los pliegos de cláusulas administrativas, sean generales o particulares.

Es preciso, además, que los datos objeto de tratamiento por parte del órgano adjudicatario respeten los principios contemplados en el art. 4.1 LOPDCP, que concretamente establece que los datos de carácter personal sólo podrán recogerse para su tratamiento y someterlos al mismo cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y finalidades determinadas, explícitas y legítimas para las que se hayan obtenido, sin que puedan usarse para finalidades incompatibles con aquéllas para las que hubieren sido recogidos, salvo el tratamiento posterior para fines estadísticos, históricos o científicos. En todo caso dichos datos deberán responder fielmente al principio de veracidad y exactitud, para no provocar alteraciones ilegítimas de la realidad de los mismos en relación con la persona a la que hagan referencia. La Administración Pública que pretenda hacer un uso adecuado de los datos de carácter personal debe ser competente para proceder a dicho tratamiento, para el cumplimiento de lo previsto en dicho artículo.

Junto al tratamiento aparece otro aspecto de relevante importancia, el cual es el fichero propiamente dicho, ya que a la vez que prevé el tratamiento, la Administración contratante deberá crear el fichero y notificarlo una vez creado al Registro General de Protección de Datos. Dicho fichero, de titularidad pública, se creará conforme a lo establecido en el art. 20 LOPDCP, que establece que la creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrá hacerse por medio de disposición general publicada en el Boletín Oficial del Estado o diario oficial que corresponda, debiendo contener, en todo caso, los siguientes extremos ex art. 20.2 LOPDCP:

  1. Finalidad del fichero y usos previstos para el mismo.
  2. Personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos.
  3. Procedimiento de recogida de los datos de carácter personal.
  4. Estructura básica del fichero y descripción de los tipos de datos incluidos en el mismo.
  5. Cesiones de datos de carácter personal y transferencia de datos que se prevean a países terceros.
  6. Los órganos de las Administraciones Públicas responsables del fichero.
  7. Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición.
  8. Medidas de seguridad, con indicación del nivel básico, medio o alto exigible.

Debe señalarse que el art. 9 LOPDCP establece que el responsable del fichero y  encargado del mismo, si existe, deberán adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, evitando así su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, naturaleza de los datos almacenados y riesgos a los que están expuestos, ya provengan de la acción humana, del medio físico o natural. Una vez concluida la actividad para la que fueron obtenidos los datos, será preceptiva la destrucción de los mismos, en aras al principio de seguridad y protección de los datos de carácter personal, que llevará a cabo el responsable del fichero.

No debe obviarse hacer referencia a que el Reglamento establece (art. 80) diversos niveles de seguridad en cuanto a los datos de carácter personal, según su grado de protección, que dependerá de la naturaleza de los mismos, garantizando así una mayor o menor confidencialidad e integridad de los mismos. A la clasificación de los diferentes tipos de datos de carácter personal se dedica el art. 81, según el cual todos los sistemas de tratamiento de datos deberán respetar el nivel básico, debiendo implantar sistemas de protección de nivel medio en caso de tratarse de materias relacionadas con infracciones administrativas o penales, potestades tributarias, servicios financieros, Seguridad Social o que ofrezcan datos de los cuales puedan vislumbrarse características o relativos a la personalidad de los ciudadanos o su comportamiento. Además, se aplicarán las medidas de seguridad de nivel alto (además de las de nivel básico y medio) en caso de datos de carácter personal relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud, sexo, antecedentes policiales o relativos a violencia de género.

Así, en materia de contratación administrativa, si sólo se incluyen datos como el nombre o profesión tendrán que observar los niveles de seguridad básico, mientras que si se concierta cualquier tipo de seguro de accidentes o se incluyen datos relativos a la salud o similares, requerirán del órgano de contratación o responsable del fichero o tratamiento un nivel de seguridad alto, además del básico y medio. En todo caso, la casuística puede ser muy variada y habrá que estudiar caso a caso en qué nivel concreto de seguridad se encuentran los datos.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.