Es indiscutible que las nuevas tecnologías han llegado para quedarse y que su uso es imparable, tanto en el sector privado como en el sector público. En relación con este último, ello exige establecer un marco jurídico que garantice el interés general y, en particular, la seguridad pública, asegurando la adecuada prestación de los servicios públicos y, al mismo tiempo, que la administración digital se emplee para fines legítimos que no comprometan los derechos y libertades de los ciudadanos.
Con el objetivo de minimizar dichos riesgos, el 5 de noviembre de 2019 se publicó en el Boletín Oficial del Estado el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones, que fue sometido al trámite previsto en el artículo 86 de la Constitución, que exige su convalidación por el Congreso de los Diputados en el plazo de 30 días, logrando la misma.
Si bien el referido Real Decreto-ley regula diversas medidas que afectan a distintos ámbitos, me detendré únicamente en aquellas que se establecen en materia de contratación pública y en relación con la protección de datos personales.
La norma parte de la base de que los contratistas del sector público manejan, para la ejecución de los contratos, un ingente volumen de datos personales, cuyo uso inadecuado puede plantear riesgos para la seguridad pública. Por tal motivo, es necesario asegurar normativamente su sometimiento a ciertas obligaciones que garanticen tanto el cumplimiento de la normativa en materia de protección de datos personales como la protección de la seguridad pública, evitando fugas o usos indebidos que podrían comprometer infraestructuras críticas.
El Real Decreto-ley 14/2019 modifica el artículo 35 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, para incluir como contenido mínimo de los contratos una referencia expresa al sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos personales.
Por lo que respecta al régimen de invalidez de los contratos, se añade el subapartado h) al artículo 39 apartado 2 de la Ley 9/2017 para incluir como «causa de nulidad de pleno derecho» la celebración de contratos por los poderes adjudicadores cuando en los pliegos se hubieren omitido las obligaciones del futuro contratista en materia de protección de datos.
También se modifica el artículo 71.2.d) de la Ley 9/2017 para incluir, como circunstancia que impedirá a los empresarios contratar con las entidades comprendidas en el artículo 3 de dicha Ley, el haber dado lugar a la resolución firme de cualquier contrato celebrado con una de tales entidades por incumplimiento culpable de las obligaciones que los pliegos hubieren calificado como «esenciales». En el contexto de datos personales, esto abarca incumplimientos relacionados con la confidencialidad y seguridad.
Se da una nueva redacción al apartado 2 del artículo 122 de la Ley 9/2017 para imponer a la empresa adjudicataria la obligación de presentar, antes de formalizarse el contrato con la Administración, una declaración en la que ponga de manifiesto dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos, con la obligación de comunicar cualquier cambio que surja a lo largo de la vida del contrato. También se le impone a los licitadores la obligación de indicar en su oferta si tienen previsto subcontratar los servidores o servicios asociados a los mismos, indicando referencias sobre las condiciones de solvencia profesional o técnica del subcontratista. Esta medida, orientada a garantizar la soberanía de datos y la trazabilidad, se alinea con directrices europeas actuales sobre ciberseguridad.
En último lugar, se da una nueva redacción al apartado 4 del artículo 215 de la Ley 9/2017, relativo a la subcontratación, para incluir, entre las obligaciones impuestas al contratista principal, la de asumir la total responsabilidad de la ejecución del contrato frente a la Administración pública. De modo que, el contratista principal responderá frente a la Administración por el subcontratista del incumplimiento de sus obligaciones, entre las cuales se encuentra el cumplimiento de la normativa de protección de datos. Esta responsabilidad solidaria fortalece la cadena de accountability en tratamientos de datos.
Conclusión
La protección de datos personales ya no es simplemente un anexo legal en los contratos del sector público; se ha convertido en un pilar central y operativo dentro de la contratación pública. Existe una preocupación constante por la protección de estos datos, y el sector público no es ajeno a esta realidad, especialmente en un entorno marcado por amenazas cibernéticas crecientes y la integración de tecnologías como la IA, lo que subraya la vigencia y relevancia de estas medidas para salvaguardar la seguridad pública y los derechos fundamentales.
No se pierda nuestro podcast sobre el artículo
