LA PROTECCIÓN DE DATOS PERSONALES COMO ELEMENTO DECORATIVO EN LA CONTRATACIÓN PÚBLICA

Hay situaciones en las que la protección de datos es esencial. Compete a la Administración implantar las medidas necesarias para conseguir el nivel de protección legalmente exigible.

Por Emilio Sánchez, Delegado de Protección de Datos de la Consejería de la Presidencia, Administración Pública e Interior.

 

Una gran parte de los contratos públicos que se publican diariamente en el Perfil del Contratante de la Junta de Andalucía incumplen de forma diáfana el Reglamento General de Protección de Datos (RGPD), ya que aparecen con el  Anexo XXIII «Tratamiento de datos personales» completamente vacío.

Los modelos tipo de Pliegos de Cláusulas Administrativas Particulares (PCAP) incorporan, desde octubre de 2018, el apartado 12.3.2 y el denominado Anexo XXIII «Tratamiento de datos personales» con la finalidad de cumplir con las obligaciones impuestas a los órganos de contratación por el art. 28 del RGPD respecto a los encargados del tratamiento.

Los encargados del tratamiento son los proveedores de servicios a los que los órganos de contratación de la Administración encomiendan trabajos o servicios que implican que van a tratar datos personales por cuenta de esta.

Por ejemplo, si un menor tutelado por la Junta de Andalucía va a ser asignado a un centro de menores de titularidad privada está claro que ese centro de menores va a tener que manejar, por encargo nuestro, todo tipo de datos personales extremadamente sensibles sobre el menor tutelado. De nada sirve que la Administración custodie celosísimamente el expediente de ese menor con todas las garantías de confidencialidad si al centro de menores contratado le permitimos que trate sus datos personales de cualquier forma. Las consecuencias para la intimidad, el desarrollo emocional y el futuro de nuestro menor podrían ser irreparables.

Para evitar esto el artículo 28 del RGPD exige que la Administración imponga a los contratistas y subcontratistas una lista de condiciones y exigencias a través de un contrato u otro acto jurídico vinculante.

Entre esas exigencias, una de las más importantes es la de que el contratista adopte una serie de medidas de seguridad, acordes con el riesgo del tratamiento, que en el caso de la Administración deben ser conformes con el Esquema Nacional de Seguridad (artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público).

Para explicar el vacío absoluto de muchos Anexos XXIII de los PCAP se puede argumentar que no todos los contratos implican un encargo de tratamiento de datos personales, lo cual es cierto. Cuando se da esta circunstancia en sus propios contratos, la Agencia Española de Protección de Datos, cuyo modelo de PCAP hemos imitado en este sentido, cumplimenta este Anexo declarando que el contrato no implica ningún encargo de tratamiento, lo que evita la  inseguridad jurídica que produce ese vacío.

¿Cuáles son los riesgos de no exigir a los contratistas sus obligaciones en materia de protección de datos?

El más importante es que aumenta exponencialmente la probabilidad de que haya un problema como puede ser una filtración que cause daños irreparables a los interesados y a la imagen de la Junta de Andalucía. En el ejemplo anterior, si se filtra que ese menor tutelado ha recibido abusos sexuales de un familiar, ¿se imaginan cómo puede afectar eso a su infancia en su colegio o en su barrio rodeado de otros menores y otras personas que conocen ese dato?.

Pero también, desde un punto de vista puramente cínico o pragmático, puede haber enormes consecuencias para la Administración y sus miembros, a saber:

– Encargar el tratamiento de datos a un tercero sin formalizar un contrato con todo el contenido exigido por el artículo 28 del RGPD constituye una infracción sancionable de carácter grave, de acuerdo con el artículo 73.k) de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de derechos digitales.

–  La póliza de seguro de Responsabilidad Civil / Patrimonial de la Junta de Andalucía, sus Agencias o Entidades instrumentales, así como del personal a su servicio actualmente en vigor cubre el concepto “Responsabilidad por protección de datos” con una suma asegurada de 13’5 millones de euros.

Esto es consecuencia de que toda persona afectada podrían reclamar a la Administración una indemnización por responsabilidad patrimonial si, debido a una infracción de la normativa de protección de datos, se le produjera un daño material o inmaterial de acuerdo con el art. 82 del RGPD. 

Esta posibilidad a día de hoy pocas veces se materializa debido a que todavía no es muy conocida ni entre la ciudadanía, ni entre los bufetes de abogados especializados en demandas por responsabilidad. Pero no siempre será así.

¿Qué indemnización podrá pedir un paciente si a consecuencia de la alteración accidental o pérdida de parte de su historial médico se le diagnostica equivocadamente?. No es un problema de negligencia médica si el personal médico hizo el diagnóstico correcto en función de la información incompleta de que disponía. El problema sería que no habríamos guardado sus datos personales como es debido porque, por poner un ejemplo, la empresa informática a la que hemos contratado para su mantenimiento no lo ha hecho con las debidas garantías.

– Hay una nueva causa de nulidad de derecho administrativo de los contratos que consiste en la no inclusión de la finalidad para la que se “cederán” datos personales a los contratistas, en caso de haberla, y de la obligación de presentar una declaración sobre en qué país estarán ubicados los servidores, entre otros extremos. Esta novedad ha sido introducida recientemente en el artículo 39.2.h) de la Ley 9/2017 de contratos del sector público por el Real Decreto Ley 14/2019, de 31 de octubre. Novedad que, aparentemente, todavía no ha sido reflejada en los modelos tipo de PCAP de la Junta de Andalucía.

– En caso de que hubiera un problema, la Junta de Andalucía no podrá demostrar que dio al proveedor todas las instrucciones necesarias de acuerdo con su obligación de responsabilidad proactiva en la protección de datos personales. Por tanto, incluso aunque la culpa fuera del proveedor y no de la Junta de Andalucía, ésta seguiría teniendo parte de la culpa por no haberle dado dichas instrucciones.  Y este podría alegar, con razón o sin ella, el clásico “yo no sabía nada”.

Y  también se deja al proveedor en la total inseguridad jurídica ya que no puede demostrar qué medidas ha aplicado siguiendo las instrucciones de la Administración y cuáles son las que ha adoptado por propia iniciativa.

¿Cuáles son las posibles causas de este problema?

No parece que los distintos mecanismos existentes para garantizar la legalidad jurídica y presupuestaria del contrato exijan de manera unánime y uniforme la cumplimentación del Anexo XXIII de los modelos tipo de PCAP, a pesar de que esta afecta gravemente a la legalidad del contrato.

Apenas existen formación específica ni sensibilización dirigida a los distintos actores internos que contribuyen a la contratación pública. No hay una formación especializada dirigida a los servicios de contratación, los órganos directivos proponentes, las personas que dirigen el expediente, ni las distintas figuras encargadas de controlar la legalidad del contrato. Como consecuencia de ello no hay conciencia de la relevancia del asunto y sus posibles consecuencias.

Por otro lado, nadie ha dictado criterios generales al respecto para toda la Junta de Andalucía. Por ejemplo, nadie con autoridad ha dicho cómo se rellena el Anexo XXIII cuando el contrato no supone un encargo de tratamiento de datos.

En armonía con lo anterior, nadie ha propuesto modelos tipo de clausulado y/o anexo para toda la Junta de Andalucía en orden a aplicar las previsiones del artículo 28 del RGPD al resto de actos jurídicos que deberían incorporarlos. Me refiero a todas las relaciones jurídicas que pueden suponer un encargo de tratamiento de datos personales pero no llevan PCAP como contratos menores, encargos a medios propios, encomiendas de gestión,  convenios administrativos, en algún caso, e incluso, en ciertas circunstancias, subvenciones.

¿Cómo estamos exigiendo a los contratistas garantías de que están en condiciones de aplicar  las medidas que exige el RGPD? Con el silencio.

La otra gran exigencia artículo 28.1 del RGPD es la de que la Administración responsable solo puede elegir encargados de tratamiento que ofrezcan garantías de poder aplicar las medidas técnicas y organizativas que exige el RGPD.

En contratación pública esto solo se puede prever a priori en los pliegos y lo lógico es que se traduzca en términos de solvencia técnica. Ni el clausulado, ni el Anexo XXIII introducidos hasta ahora en los modelos tipos de PCAP permiten cumplir con esta obligación. Tampoco ningún órgano competente ha dictado instrucciones para toda la Junta de Andalucía sobre cómo reflejar esto en la solvencia técnica.

Si la implantación en la Junta de Andalucía del uso del Anexo XXIII de los PCAP está siendo titubeante y embrionaria, en la exigencia de garantías de solvencia técnica de estar en condiciones de cumplir con el RGPD encontramos un silencio atronador.

Es cierto que su aplicación es jurídicamente complicada, pues no es fácil definir criterios objetivos para acreditar dichas garantías, que no excluyan a las PYMES y que, al mismo tiempo, permitan excluir con total seguridad jurídica a un licitador que no las ofrezca. Pero es perfectamente posible hacerlo. 

Un ejemplo de que se puede hacer lo encontramos en la resolución del Tribunal Administrativo de Recursos Contractuales de Castilla y León de 1 de agosto de 2019 en relación al Recurso especial en materia de contratación n.º 112/2019.

El recurso fue interpuesto por una empresa contra los pliegos de la licitación del Servicio de Prevención de Riesgos Laborales para la Administración de Castilla y León. Uno de los motivos alegados por la recurrente era que en el apartado solvencia técnica se exigía un certificado en gestión de la seguridad de la información conforme a la norma ISO 27001 o certificación equivalente, como elemento de garantía de poder aplicar las medidas exigidas por el RGPD. La empresa consideraba esto desproporcionado y discriminatorio. 

El Tribunal Administrativo de Recursos Contractuales de Castilla y León consideró este requisito de solvencia técnica se ajustaba plenamente a derecho como medio para garantizar la calidad de los trabajos y el cumplimiento del artículo 28 del RGPD.

También en la Junta de Andalucía encontramos honrosos ejemplos como, por ejemplo, en  la Fundación Pública Andaluza Centro de Estudios Andaluces, como se puede ver en su perfil del contratante.

La Fundación está empezando a exigir en sus contrataciones que impliquen encargo de tratamiento de datos personales que los licitadores presenten documentación  acreditativa de disponer de Registro de Actividades de Tratamiento de datos personales y de Delegado de Protección de Datos o bien justificación de que, en su caso, no resulta legalmente exigible. Evidentemente es una condición fácilmente “soslayable” presentando documentos “inventados” en el último minuto. Pero transmite a los posibles licitadores un mensaje claro: aquí la protección de datos personales importa y se aplica. Es un comienzo y, desde luego, un importante avance respecto a la nada absoluta.

Dos posibles desenlaces

La importancia y gravedad de esta cuestión se pondrá de manifiesto tarde o temprano de dos posibles modos:

1º Que ocurra, tarde o temprano, un problema grave que perjudique seriamente a la ciudadanía y a la imagen de la Junta de Andalucía y provoque importantes pérdidas económicas. Por ejemplo, un grave fallo en la aplicación Lexnet del Ministerio de Justicia provocó la filtración de decenas de miles de documentos judiciales de la ciudadanía, la sanción de la Agencia Española de Protección de Datos, la comparecencia del Ministro en el Congreso de los Diputados y el desembolso de 60 millones de euros para arreglar una aplicación informática que ya había costado una millonada. En tal caso nos enteraremos por los periódicos.

2º Que se empiece a trabajar en serio sobre este tema, se adopten criterios y modelos comunes, se impartan instrucciones para toda la Junta de Andalucía y se forme adecuadamente al personal. En ese caso se minimizará la probabilidad de los problemas y, felizmente, solo nos enteraremos leyendo la revista EnRed@2.0

 

Si te ha gustado este artículo, encontrarás más contenidos interesantes en nuestra sección  Monografías.

Y no dejes de ver qué tenemos publicado en los distintos números de EnRed@2.0.