- La protección de datos desde el diseño es una exigencia de la Ley de Contratos del Sector Público.
- Su cumplimiento evita costes de rediseño y garantiza la privacidad desde la concepción de los proyectos.
- La responsabilidad proactiva del RGPD obliga a establecer medidas técnicas y organizativas desde el inicio.
- Las Administraciones Públicas deben liderar con el ejemplo, promoviendo la innovación tecnológica segura.
La protección de datos desde el diseño como exigencia legal
La protección de datos desde el diseño es un principio clave que deben cumplir las Administraciones Públicas en sus contratos, según el artículo 211.1.f) de la Ley de Contratos del Sector Público (LCSP). Este cumplimiento no se limita a incluir cláusulas genéricas sobre el Reglamento General de Protección de Datos (RGPD), sino que requiere una integración efectiva desde la fase de concepción de cualquier proyecto que implique el tratamiento de datos personales.
Este principio, establecido en el artículo 25 del RGPD, exige que las medidas de protección sean proactivas y no solo reactivas, garantizando que la privacidad sea un factor esencial en el desarrollo de soluciones tecnológicas o administrativas que manejen información personal.
La evaluación de impacto y su relevancia en los contratos públicos
Para implementar la protección de datos desde el diseño, se debe realizar una evaluación de impacto normativo. Según el Tribunal de Justicia de la Unión Europea (TJUE), cualquier operación de tratamiento de datos prevista por la legislación implica una limitación de derechos fundamentales, por lo que debe analizarse en detalle.
De este análisis surgen medidas de protección desde el diseño y por defecto que minimicen los riesgos. Dichas medidas deben incluirse en los pliegos de contratación como prescripciones técnicas, garantizando su cumplimiento en cualquier contrato público que implique el tratamiento de datos personales.
La protección de datos en licitaciones públicas
El considerando 78 del RGPD subraya que los principios de protección de datos desde el diseño y por defecto deben aplicarse en los contratos públicos. El Comité Europeo de Protección de Datos (EDPB) refuerza esta idea en sus Directrices 4/2019, donde insta a las Administraciones Públicas a adoptar estos principios y liderar con el ejemplo en la gestión de datos personales.
Más allá de una obligación legal recogida en los artículos 122.2 y 211.1.f) de la LCSP, la protección de datos desde el diseño es un elemento clave dentro del principio de responsabilidad proactiva del RGPD. Esto implica que las Administraciones Públicas deben anticiparse a los riesgos, minimizando el impacto sobre los derechos de los ciudadanos y garantizando que la protección de datos sea una parte integral de su estructura organizativa.
Responsabilidad del tratamiento y medidas obligatorias
El responsable del tratamiento debe asegurarse de que todas las operaciones de tratamiento de datos cumplan con las medidas necesarias para mitigar riesgos. Según el artículo 28.1 del RGPD, la selección de un encargado del tratamiento debe basarse en la capacidad de este para aplicar medidas técnicas y organizativas adecuadas.
Sin embargo, en la práctica, los pliegos de licitación suelen incluir únicamente referencias generales a las obligaciones del artículo 28.3, sin especificar medidas concretas. Esto contradice lo establecido en el artículo 211 de la LCSP, que exige que las obligaciones esenciales se describan de manera precisa, clara e inequívoca.
La protección de datos como proceso continuo
La protección de datos desde el diseño no es un acto puntual, sino un proceso continuo de gestión del riesgo. El artículo 25 del RGPD establece que el responsable del tratamiento debe aplicar medidas en todas las fases del ciclo de vida de los datos personales, considerando factores como:
- Estado de la técnica y viabilidad de implementación.
- Coste de aplicación de las medidas de seguridad.
- Naturaleza, contexto y fines del tratamiento.
- Riesgos potenciales para los derechos y libertades de los ciudadanos.
Además, el RGPD enfatiza que las medidas deben garantizar que solo se traten los datos estrictamente necesarios, limitando su recopilación, tratamiento y conservación.
La Administración Pública como impulsora de innovación en privacidad
Las Administraciones Públicas no solo deben cumplir con la normativa, sino que también pueden impulsar la innovación tecnológica asegurando la protección de datos desde el diseño y por defecto. Un enfoque proactivo en privacidad facilita la creación de soluciones tecnológicas seguras y promueve estándares elevados en la protección de la información.
Al establecer requisitos claros en las licitaciones públicas y fomentar proyectos piloto con medidas avanzadas de protección de datos, las Administraciones pueden contribuir al desarrollo de un ecosistema tecnológico respetuoso con la privacidad.
Un marco de contratación más exigente y responsable
Las Administraciones Públicas, como principales responsables del tratamiento de datos personales en el sector público, deben garantizar que los contratos de encargo de tratamiento reflejen de manera detallada los requisitos de protección de datos desde el diseño.
Esto implica:
- Evitar referencias generales al RGPD en los pliegos de contratación.
- Concretar obligaciones esenciales de protección de datos en las licitaciones.
- Exigir a los encargados del tratamiento medidas específicas y verificables.
- Garantizar que la protección de datos se integre en todas las fases del tratamiento.
Si las decisiones sobre requisitos de diseño quedan exclusivamente en manos del encargado del tratamiento, el responsable del tratamiento no podrá demostrar cumplimiento, lo que podría comprometer los derechos y libertades de los ciudadanos.
Por ello, la protección de datos desde el diseño en licitaciones públicas no solo debe entenderse como una exigencia legal, sino como un compromiso con la transparencia, la seguridad y la innovación tecnológica responsable.
