Esquema contratación sector público
Publicado el

Modificaciones a tener en cuenta en la contratación pública tras la publicación del RD-LEY 14/2019

El pasado 5 de noviembre de  2019 se publicó en el BOE el Real Decreto-ley 14/2019, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Entró en vigor al día siguiente de su publicación e incorpora novedades que deben ser tenidas en cuenta por las administraciones públicas a la hora de contratar servicios a entidades que tratarán datos personales y a no trabajar con servidores ubicados fuera de la UE.

Introduce diversas modificaciones en la Ley de Contratos del Sector Público, que deben tenerse en cuenta en futuras contrataciones:

  1. – Los contratos públicos que a partir de ahora se suscriban deberán incorporar la referencia expresa al sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos (esencialmente Ley Orgánica 3/2018 y Reglamento (UE) 2016/679, General de Protección de Datos).
  2. Los pliegos deberán incluir diversas menciones cuya omisión determinará la nulidad del contrato. Entre ellas:
  • La obligación general del contratista de respetar la normativa en materia de protección de datos
  • Cuando se le cedan datos personales para ejecutar el contrato, la finalidad para la cual se le cederán tales datos
  • La obligación de dicho contratista de mantener a la Administración contratante al corriente de la ubicación de los servidores en los que se alojarán los datos cedidos con motivo de la ejecución del contrato, y desde dónde se van a prestar los servicios asociados a los mismos.
  1. – Se añade una nueva prohibición de contratar con el sector público. Así, cuando una empresa haya sido sancionada con la resolución de un contrato público por incumplir las normas sobre protección de datos, dicha empresa no podrá temporalmente volver a contratar con la Administración.
  2. – En caso de que se recurra a la subcontratación, el contratista principal será quien asuma la total responsabilidad de la ejecución del contrato frente a la Administración, también en lo que respecta a este ámbito de la protección de datos

Recuerda firmar los contratos de encargado del tratamiento con los proveedores de servicio con acceso a datos personales y ser diligente a la hora de seleccionar a esos proveedores teniendo en cuenta estas novedades.

by Sandra Pérez (DPO)

18/11/2019

Publicado el

Sentencia que invalida las imágenes de video-vigilancia en despido

Primera sentencia que se dicta en España sobre los requisitos para la validez como prueba de las grabaciones de video-vigilancia en el control empresarial de la actividad de los trabajadores, aplicando e interpretando el Reglamento Europeo de Protección de Datos y la nueva norma española, la LO 3/2018, de 5 de diciembre, sobre Protección de Datos Personales y garantía de los derechos digitales.

Ya no vale sólo con colgar el cartel de video-vigilancia

Si se pretende poder utiliza (llegado el caso), las imágenes recogidas por el sistema de video-vigilancia como prueba en un juicio por despido, no vale sólo con tener colocado en lugar visible el cartel informativo que todos estamos más o menos acostumbrados a ver.

Según se indica en la sentencia el deber informativo sobre el alcance de las medidas de video vigilancia, incluyendo la finalidad sancionadora, es una exigencia que se impone en todo casomás allá de la mera colocación del cartel informativo, conforme a la jurisprudencia del Tribunal Europeo de Derechos Humanos y el propio Reglamento General de Protección de Datos, que obligan a su aplicación y a interpretar la propia normativa nacional en los términos que exige el TEDH y que se derivan del Reglamento Europeo, dotado de eficacia directa y primacía frente a la norma nacional que contradiga su contenido, teniendo en cuenta que en dicho reglamento no se establece excepción alguna al deber de transparencia e informativo en materia de protección de datos aplicable a las relaciones laborales. Por eso, el juez español debe aplicar el reglamento europeo con preferencia a la regulación nacional .

¿Cómo debe actuar la empresa para estar cubierta?

1- Debe colgar el cartel

2- Debe informar a los empleados de forma previa, clara, precisa y concisa de la existencia de las cámaras y de la finalidad. Es decir debe informarse a los empleados de que las imágenes pueden utilizarse  para despedir o sancionar a los trabajadores cuando captan un acto ilícito -como sería no sólo un delito o una infracción administrativa, sino también un incumplimiento laboral.

Podeis leer más sobre esta interesante sentencia aquí.

by Sandra Pérez (DPO)

Publicado el

¿Cómo identificar a los interesados en anuncios y publicaciones en las Administraciones Públicas?

La AEPD, junto con el resto de órganos de control autonómicos, publica unas orientaciones destinadas a las Administraciones Públicas. Para identificar a los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos se incluye nombre, apellidos y cuatro cifras aleatorias del documento oficial de identidad. ¿Pero…qué cuatro cifras? :

  • Dado un DNI con formato 12345678X, se publicarán los dígitos que en el formato que ocupen las posiciones cuarta, quinta, sexta y séptima. En el ejemplo: *4567.
  • Dado un NIE con formato L1234567X, se publicarán los dígitos que en el formato ocupen las posiciones, evitando el primer carácter alfabético, cuarta, quinta, sexta y séptima. En el ejemplo: ***4567.
  • Dado un pasaporte con formato ABC123456, al tener sólo seis cifras, se publicarán los dígitos que en el formato ocupen las posiciones, evitando los tres caracteres alfabéticos, tercera, cuarta, quinta y sexta. En el ejemplo: *****3456

En este enlace podéis encontrar el documento completo.

by Sandra Pérez (DPO)

Publicado el

Jornada Ciberseguridad al descubierto

El jueves 14 de marzo puede asistir a una jornada organizada por Castroalonso y la Escuela Politécnica de Ingeniería de Gijón (EPI) sobre ciberseguridad, desafíos actuales y futuros. Os dejo mi punto de vista de algo que en un mes en el que se celebra el día de la mujer y la igualdad me llamó la atención.

Aula Magna EPI

«Está claro que la seguridad total no existe, es una utopía. Esto es algo que los que nos dedicamos a la seguridad de la información tenemos claro. Debemos adoptar «cultura de ciberseguridad» como forma de prevención ante la cada vez más «todopoderosa» ciberdelincuencia, a través de procesos de mejora continua, formación y concienciación. Y para esto necesitamos de toda la sociedad. Digo esto en una semana en la que no se ha parado de hablar de igualdad. Me sorprendieron dos datos hoy que quiero destacar:

  1. De las 26 personas que participaban en las jornada sólo 5 eran mujeres.
  2. Sólo el 10% de los empleos en el sector de la ciberseguridad están ocupados por mujeres.

No nos quedemos al margen y aprovechemos la oportunidad de formar parte de uno de los sectores con más futuro.»

by Sandra Pérez (DPO)