¿Qué especialidades tiene la protección de datos en la Ley de Contratos del Sector Público?

La disposición adicional vigésimo quinta de la Ley de Contratos del Sector Público (LCSP) determina que los contratos regulados en la misma que impliquen el tratamiento de datos personales tendrán que cumplir en su integridad con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)  y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).

En el supuesto de que la contratación, en base a la LCSP, implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, aquel será considerado encargado del tratamiento, y no se convierte nunca en responsable, aunque establezca relaciones con las personas a cuyos datos ha accedido en virtud de la prestación del servicio (art. 33.2 de la LCSP).

A TENER EN CUENTA. Los órganos y organismos del sector público mantendrán el control sobre los datos personales de los usuarios de los servicios públicos, aunque haya finalizado la vigencia del contrato de concesión de servicios.

CUESTIÓN

¿Qué se entiende por «encargado del tratamiento»?

Es definido por el artículo 4.8 del RGPD como «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».

El acceso por parte de un encargado del tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos, siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la LOPDGDD y en sus normas de desarrollo.

Una vez finalizada la prestación de servicios del encargado, el responsable del tratamiento determinará los datos personales que deban ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.

A TENER EN CUENTA. No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista.

El encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.

Para el caso de que un tercero trate datos personales por cuenta del contratista (encargado del tratamiento), es decir, que un encargado del tratamiento recurra a otro encargado, se necesitará la autorización previa por escrito, específica o general, del responsable del tratamiento (entidad contratante). En estos casos, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3 del artículo 28 del RGPD, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del RGPD.

Artículo 28. Encargado del tratamiento

«(....)

3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;

b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal;

c) tomará todas las medidas necesarias de conformidad con el artículo 32;

d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;

e) asistirá al responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;

f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;

g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;

h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros».

Como vemos el tratamiento de datos por el encargado (o encargado del encargado) ser regirá por un contrato (u otro acto jurídico) en el que se establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Además, el encargado (contratista) deberá seguir las instrucciones documentadas por el responsable (entidad contratante).

Además, el encargado (contratista) deberá:

• Garantizar el deber de respetar la confidencialidad en el tratamiento de datos.
• Tomar las medidas necesarias respecto a la seguridad del tratamiento.
• Respetar las condiciones que le imponga el responsable (entidad contratante) respecto de recurrir a otro encargado de tratamiento.
• Asistir al responsable siempre que sea posible.
• Ayudar al responsable al cumplimiento de las obligaciones de seguridad de los datos personales, de evaluación del impacto y consulta previa.
• Suprimir o devolver (a elección del responsable) todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimir las copias existentes salvo que se requiera su conservación.
• Poner a disposición del responsable toda la información necesaria en el cumplimiento de sus obligaciones como encargado.

Por lo tanto, de acuerdo con todo lo anterior y, según lo estipulado por el artículo 73 de la LOPDGDD, serán consideradas infracciones graves:

• La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el capítulo IV del RGPD.
• Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del RGPD.
• La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.
• El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.

Por la comisión de estas infracciones, según lo establecido por el artículo 83.4 del RGPD, se podrá sancionar con multas administrativas de hasta 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al dos por ciento como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.