Protección de datos y contratación pública: novedades introducidas con el RD-ley 14/2019

A la hora de ejecutar contratos públicos, los contratistas hacen uso de una cantidad muy importante de datos personales cuyo uso inadecuado puede plantear riesgos para la seguridad pública[1]. Siendo esto así y con la finalidad de reforzar el cumplimiento de la normativa sobre protección de datos, hace unos días el BOE publicaba el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. En esta entrada detallaremos qué novedades introduce el capítulo III, dedicado en su integridad a medidas en materia de contratación pública.

Fundamentalmente, la norma modifica la Ley de Contratos del Sector Público a fin de introducir medidas que hagan efectivo el cumplimiento de la legislación sobre protección de datos por parte de los contratistas y subcontratistas en todas las fases de la contratación, desde el expediente de licitación a la ejecución del contrato.

Dicho lo anterior, las novedades son las que se detallan a continuación.

Expediente de contratación (art. 116.1 LCSP)

Para aquellos expedientes relativos a contratos cuya ejecución precisa la cesión de datos, el órgano de contratación tendrá que especificar cuál será la finalidad de los datos que vayan a ser cedidos.

Pliegos (art. 122.2 LCSP)

Los pliegos de cláusulas administrativas tienen que mencionar expresamente la obligación del futuro contratista de respetar la normativa vigente en materia de protección de datos.

Asimismo, a los efectos de una posible resolución del contrato, los pliegos han de recoger como obligación esencial que el contratista mantenga siempre a la administración contratante al corriente de la ubicación de sus servidores. Esta obligación tiene que ver con contratos que impliquen el tratamiento de datos por parte del contratista, en cuyo caso los pliegos han de reflejar expresamente la finalidad de la cesión de datos.

Requisitos para contratar (art. 116.1 LCSP)

Entre las circunstancias que impiden contratar, se añade el incumplimiento culpable de las obligaciones que los pliegos hubieren calificado como esenciales.

Contrato (arts. 35 y 39.2 LCSP)

Los contratos tienen que hacer referencia expresa a la normativa sobre protección de datos. Es decir, ahora es contenido mínimo del contrato recoger que las partes se someten a la normativa estatal y europea sobre protección de datos.

Es muy importante tener en cuenta que la omisión de la referencia al sometimiento a la normativa sobre protección de datos es causa de nulidad. Se aprecia en esta modificación cómo el legislador ha querido otorgar suma importancia a esta cuestión ya que la consecuencia jurídica será la nulidad de pleno Derecho.

Ejecución del contrato de carácter social, ético, medioambiental o de otro orden (art. 202.1 LCSP)

Se exige que los pliegos incluyan la obligación del contratista de someterse a la normativa sobre protección de datos, como condición especial de ejecución. También en este caso esta obligación tiene el carácter de esencial.

Subcontratación (art. 215.4 LCSP)

Frente a la administración, el contratista principal asume las responsabilidades a que haya lugar también en lo relativo a la protección de datos.

[1] Exposición de motivos del RD-ley 14/2019, de 31 de octubre.

Si tienes cualquier duda con relación a este tema, contacta con nosotros.