A la hora de proteger la privacidad de los datos personales en los contratos públicos hay que ir más allá y las Administraciones tienen que dar ejemplo. Por ello, la inclusión de cláusulas que aludan al Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) de manera genérica resulta una medida insuficiente, dado que se trata de una obligación esencial, tal como recoge la Ley de Contratos del Sector Público (LA LEY 17734/2017) (LCSP). El planteamiento ideal, por lo tanto, consiste en incluir la protección de datos desde el diseño y por defecto, lo que exige adoptar una postura reflexiva desde la misma concepción de cualquier proyecto.
La regulación sobre protección de datos personales tiene su razón de ser en la salvaguarda de los derechos y libertades de las personas, por lo que el enfoque de cumplimiento debe ser proactivo e integrarlo desde el inicio de cualquier proyecto que conlleve su tratamiento por parte de instituciones del sector público. Y así lo pone de manifiesto la Agencia Española de Protección de Datos (AEPD).
Un primer paso consiste en realizar una evaluación de impacto normativo que ayude a determinar los requisitos de protección de datos que se deben cumplir desde el diseño y que pueden ir desde medidas que desde el origen del proyecto minimicen los impactos y los riesgos específicos que surjan de los tratamientos implícito en una medida legislativa. Estas medidas deberán figurar entre las prescripciones técnicas de los pliegos. El propio RGPD lo señala y, además, subraya que las Administraciones Públicas “deben predicar con el ejemplo”, otorgándole una condición de estándar ético y de calidad.
Responsabilidad proactiva vs. realidad
La protección de datos desde el diseño no solo es una exigencia normativa, sino que está directamente relacionada con el principio de responsabilidad proactiva, que implica la adopción de medidas técnicas y organizativas que garanticen la protección y privacidad de los datos personales antes de que se ejecuten los tratamientos. El foco se debe poner en reducir la limitación de derechos, anticipar riesgos y crear una cultura organizativa que promueva la protección de datos como un valor añadido. El responsable del tratamiento debe garantizar y demostrar que todas las operaciones de tratamiento que realicen ellos mismos al igual que los encargados y subencargados cumplen con estas medidas. Y además debe ser un criterio de selección básico de los encargados del tratamiento.
Pero ¿qué ocurre en la práctica? Es muy habitual que las cláusulas de los pliegos de las licitaciones públicas señalen de manera general las obligaciones en materia de protección de datos. Y esto a pesar de que la propia LCSP (LA LEY 17734/2017) señala que no son admisibles. Al contrario, las obligaciones esenciales deben enumerarse de forma precisa, clara e inequívoca tanto en los pliegos como en sus documentos descriptivos.
El responsable del tratamiento también debe adoptar medidas y protocolos que garanticen por defecto que solo se traten los datos personales estrictamente necesarios para cada fin específico del tratamiento y esto aplica tanto a la cantidad de datos como a la extensión del tratamiento o al periodo de conservación y de accesibilidad, etc.
Un proceso continuo
De ello se deduce algo que en la práctica es fácil de ver: que la protección de datos no es un hecho puntual, sino que es un proceso continuo. En definitiva, dado que las obligaciones en materia de protección de datos existen sin necesidad de incluir una referencia general explícita, será indispensable concretar y calificar en los pliegos los requisitos para garantizar la privacidad como obligaciones esenciales específicas. El responsable del tratamiento será quien mejor conozca el tratamiento de datos personales que se debe llevar a cabo, por lo que será el responsable de exigir las medidas concretas que deben incluirse en los pliegos como obligaciones esenciales del encargo de tratamiento.
Igualmente, el encargado estará obligado a ayudar al responsable a alcanzar los requisitos de diseño, informando al responsable de las decisiones que impacten a los derechos y libertades de los ciudadanos. El responsable del tratamiento no quedará eximido de las posibles consecuencias.
Tal como señala la AEPD, la toma de decisiones relativas a la protección de datos desde el diseño y por defecto son una obligación del responsable y debe reflejarse en el vínculo jurídico. De este modo, si el encargado del tratamiento adopta decisiones más allá de lo señalado por el responsable podría estar ejerciendo su rol de responsable al margen del propio encargo de tratamiento.
Hay un hecho que sitúa a las Administraciones Públicas en un punto de liderazgo y es que son las entidades que tratan un mayor volumen de datos personales, de ahí que la protección de esta información personal desde el diseño y por defecto en el contexto de las licitaciones públicas adquiera un nivel de relevancia mucho mayor. Y es que las entidades del sector público no solo tienen el deber de cumplir con la normativa, sino que deben constituirse en un referente al establecer estándares en la protección de datos en el nivel más elevado. De esta manera, también se posicionan en una situación privilegiada cuando se trata de favorecer la innovación para la creación de soluciones tecnológicas respetuosas con la privacidad.