Contratos públicos y protección de datos
El Global
El empleo de las nuevas tecnologías sigue una tendencia creciente imparable, y las Administraciones Públicas no son ajenas a este fenómeno. Buena prueba de ello es la potenciación de la llamada administración electrónica. Ahora bien, este proceso de transformación digital plantea riesgos evidentes tanto en la seguridad pública como en la propia privacidad de todos nosotros. Con el objetivo de minimizar tales riesgos, este pasado 5 de noviembre se acaba de publicar en el BOE el Real Decreto-ley 14/2019, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
Si bien dicho Real Decreto-ley regula medidas en ámbitos diversos, aquí sólo nos referiremos a las que establece en materia de contratación pública. Tales medidas están principalmente dirigidas a reforzar en todas las fases de la contratación (expediente de contratación, licitación y ejecución del contrato) el cumplimiento, por parte de quienes contraten con las Administraciones Públicas, de la normativa sobre protección de datos personales. Esto es aún más trascendente en aquellos casos en los que al futuro contratista se le vayan a ceder datos personales (en ocasiones datos especialmente sensibles, como pueden ser los datos de salud) necesarios para poder ejecutar el contrato. Pensemos, por ejemplo, en el sector farmacéutico o sanitario, en aquellos contratos públicos para el suministro de medicamentos o la prestación de determinados servicios de asistencia sanitaria a pacientes. A tal fin, dicha norma introduce diversas modificaciones en la Ley de Contratos del Sector Público, a las que a continuación nos referimos resumidamente.
En primer lugar, los contratos públicos que a partir de ahora se suscriban deberán incorporar la referencia expresa al sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos (esencialmente Ley Orgánica 3/2018 y Reglamento (UE) 2016/679, General de Protección de Datos).
En segundo lugar, los pliegos deberán incluir diversas menciones cuya omisión determinará la nulidad del contrato. Entre ellas, la obligación general del contratista de respetar la normativa en materia de protección de datos o, cuando se le cedan datos personales para ejecutar el contrato, la finalidad para la cual se le cederán tales datos, o la obligación de dicho contratista de mantener a la Administración contratante al corriente de la ubicación de los servidores en los que se alojarán los datos cedidos con motivo de la ejecución del contrato, y desde dónde se van a prestar los servicios asociados a los mismos.
En tercer lugar, se añade una nueva prohibición de contratar con el sector público. Así, cuando una empresa haya sido sancionada con la resolución de un contrato público por incumplir las normas sobre protección de datos, dicha empresa no podrá temporalmente volver a contratar con la Administración.
Por último, caso de que se recurra a la subcontratación, el contratista principal será quien asuma la total responsabilidad de la ejecución del contrato frente a la Administración, también en lo que respecta a este ámbito de la protección de datos.