Esquema contratación sector público
Publicado el

Modificaciones a tener en cuenta en la contratación pública tras la publicación del RD-LEY 14/2019

El pasado 5 de noviembre de  2019 se publicó en el BOE el Real Decreto-ley 14/2019, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Entró en vigor al día siguiente de su publicación e incorpora novedades que deben ser tenidas en cuenta por las administraciones públicas a la hora de contratar servicios a entidades que tratarán datos personales y a no trabajar con servidores ubicados fuera de la UE.

Introduce diversas modificaciones en la Ley de Contratos del Sector Público, que deben tenerse en cuenta en futuras contrataciones:

  1. – Los contratos públicos que a partir de ahora se suscriban deberán incorporar la referencia expresa al sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos (esencialmente Ley Orgánica 3/2018 y Reglamento (UE) 2016/679, General de Protección de Datos).
  2. Los pliegos deberán incluir diversas menciones cuya omisión determinará la nulidad del contrato. Entre ellas:
  • La obligación general del contratista de respetar la normativa en materia de protección de datos
  • Cuando se le cedan datos personales para ejecutar el contrato, la finalidad para la cual se le cederán tales datos
  • La obligación de dicho contratista de mantener a la Administración contratante al corriente de la ubicación de los servidores en los que se alojarán los datos cedidos con motivo de la ejecución del contrato, y desde dónde se van a prestar los servicios asociados a los mismos.
  1. – Se añade una nueva prohibición de contratar con el sector público. Así, cuando una empresa haya sido sancionada con la resolución de un contrato público por incumplir las normas sobre protección de datos, dicha empresa no podrá temporalmente volver a contratar con la Administración.
  2. – En caso de que se recurra a la subcontratación, el contratista principal será quien asuma la total responsabilidad de la ejecución del contrato frente a la Administración, también en lo que respecta a este ámbito de la protección de datos

Recuerda firmar los contratos de encargado del tratamiento con los proveedores de servicio con acceso a datos personales y ser diligente a la hora de seleccionar a esos proveedores teniendo en cuenta estas novedades.

by Sandra Pérez (DPO)

18/11/2019

Tratamiento de datos de violencia de género
Publicado el

Tratamiento de datos sobre violencia de género en los Ayuntamientos

Como DPO de varios Ayuntamientos (y también por mi condición de mujer) me han resultado muy interesantes varios informes que la Agencia Española de Protección de Datos ha publicado en relación al ejercicio de competencias dentro de los servicios sociales en violencia de género.

Desde que en 2003 se empezaron a contabilizar los datos, son 972 las víctimas de violencia de género, unos asesinatos que han arrebatado también la vida a otros 27 menores hasta el pasado 2018. A nadie se le escapa que estamos ante un problema muy grave en el que participan de forma muy activa los órganos de los Servicios Sociales de la Administración Pública Local y que incluso alguno de ellos (según mi experiencia) han habilitado una oficina específica a la que la mujer se puede dirigir en busca de ayuda y apoyo.

Esto supone un tratamiento de datos «muy sensibles» por parte de los Ayuntamientos. Voy a intentar aclarar algunos puntos que plantean ciertas dudas a los profesionales que gestionan toda la información que se genera y que pueden ser bastante comunes en los Servicios Sociales de los Ayuntamientos encargados de estos temas.

¿Qué medidas de seguridad se deben adoptar?

El Nuevo Reglamento Europeo (RGPD) no recoge un listado concreto de medidas de seguridad tanto técnicas como organizativas como hacía la antigua LOPD. El RGPD deja que sea el Responsable del Tratamiento (en este caso el Ayuntamiento) junto con del Delegado de Protección de Datos (DPO) quienes determinen las medidas necesarias para mantener la seguridad y confidencialidad de los datos manejados teniendo en cuenta lo indicado en el artículo 32 RGPD. En cada Ayuntamiento concreto estas medidas serán distintas en función de como se traten los datos y de las medidas que ya se hayan adoptado pero a mi entender son comunes:

1. Minimización de datos : Los datos recogidos en los formularios, informes o fichas son particularmente sensibles (datos del agresor, víctima, lesiones o situaciones p.e. de discapacidad…). No deben recogerse datos que no sean necesarios en relación con los fines para los que van a ser tratados. Debe cumplirse con el principio de «minimización».

2- Comunicaciones vía email cifradas: Normalmente algunos de los datos, informes, etc. se van a transmitir vía email a otras administraciones públicas y/o profesionales implicadas en el proceso. Deben aplicarse medidas tanto técnicas como organizativas para evitar el acceso no autorizado y mantener la confidencialidad e integridad de los datos. Deben aplicarse como mínimo técnicas de cifrado.

3- Reducir al mínimo necesario las cesiones: En cuanto al recorrido que realizan estos datos a otros órganos y/o profesionales deben reducirse los escalones a seguir en esos envíos reduciendo así también el riesgo de dispersión de los mismos.

¿Se pueden ceder esos datos a otros profesionales y/o administraciones?

Cuando un juez dictamina que se deben adoptar medidas de protección (de seguridad o de asistencia social, jurídicas, sanitarias, psicológicas o de cualquier índole) se establece un sistema integrado de coordinación administrativa que agilice y garantice las comunicaciones entre los diferentes profesionales implicados.

Por lo tanto esta cesión de datos es necesaria por razón de interés público esencial y existe una base legitimadora según el artículo 6.1.e) del RGPD para realizar estas comunicaciones de datos.

¿Y si piden los datos recogidos por los sistemas de seguimiento telemático?

A veces las Fuerzas y Cuerpos de Seguridad del Estado solicitan al centro de control del sistema (COMETA) datos de los usuarios (víctimas o inculpados) recogidos por los sistemas de seguimiento telemático (pulseras con gps, etc.)

Estos requerimientos deben atenderse pero cumpliendo los siguientes criterios:

1- Solicitud de datos concretos, específicos y motivados: Las solicitud debe ser para un caso concreto y debe resultar necesaria para:

  • Prevención de un peligro real y grave las la seguridad pública

ó

  • Para la represión de infracciones penales

2- Absolutamente necesarios: Al tratarse de datos «especialmente protegidos» deben comunicarse sólo los absolutamente necesarios para los fines de la investigación concreta.

3- Conservación: Los datos deberán ser cancelados cuando no fueran necesarios para la averiguación que motivó su petición

4- Mejor por escrito: No es requisito imprescindible que la petición sea por escrito (a veces la urgencia puede impedirlo y se hace por teléfono con la dificultad seguramente de necesitar grabar esa solicitud de información y no poder hacerlo) pero siempre será, desde el punto de vista de la prudencia valorativa y probatoria, la mejor forma.

¿Y qué pasa con el derecho de acceso?

No se deben facilitar datos que puedan afectar negativamente a los derechos y libertades de otros. Por lo tanto (al menos en la mayoría de los casos) NO se podrán facilitar copias de los datos.

by Sandra Pérez (DPO)

11/07/2019