Protección de datos personales en la contratación pública
Publicación de los documentos seudonimizados, deber de confidencialidad y tratamiento de los datos de carácter personal por parte de la Administración contratante y de las empresas contratistas.
PUBLICACIÓN DE LOS DOCUMENTOS PDF SEUDONIMIZADOS: Dentro de la información que sobre las contrataciones se ofrece en el perfil de contratante, se incluyen documentos en formato PDF, los cuales deben publicarse seudonimizados para evitar el acceso a datos personales excesivos. Para ello es preciso hacer lo siguiente:
- Partiendo del original que contiene la/s firma/s auténtica/s, crear un nuevo documento imprimiéndolo a PDF, para que no pueda verse el número del DNI de los firmantes al verificar la firma electrónica; pero que la huella de la firma con el nombre del firmante y su fecha permanezcan como una imagen en el documento.
- En el texto de ese nuevo documento PDF ocultar los datos personales excesivos, como el DNI o equivalente que pudiera aparecer de las personas físicas y el código seguro de verificación (CSV) que permitiría acceder al original; además de añadir un cuadro de texto indicando que se han realizado esas acciones (por ejemplo: “Este documento es copia del original firmado. En aplicación de la normativa vigente, se han ocultado datos personales y los códigos que permitirían acceder al original”).
Sin embargo, deben mantenerse visibles los nombres, apellidos y cargos de los licitadores, adjudicatarios y contratistas o sus representantes, autoridades y empleados públicos contenidos en el documento.
Pueden realizarse dichas acciones utilizando distintas aplicaciones, como Adobe Acrobat Pro DC, Adobe Acrobat Standard, Adobe Reader o ABBYY PDF Transformer+, siguiendo lo indicado en el anexo de las Recomendaciones sobre la anonimización y seudonimización de datos personales, del Grupo de Trabajo para la Protección de Datos Personales de la Comunidad de Madrid, que están disponibles en la intranet corporativa.
Sin perjuicio de lo anterior, al publicar los datos de la adjudicación del contrato, debe incluirse en el sistema informático el NIF completo del adjudicatario, incluso en el caso de los empresarios individuales, especialmente porque es un dato mediante el que se realizan las búsquedas de los contratos y es un requisito técnico para que aparezcan publicados también, automáticamente, en la Plataforma de Contratación del Sector Público.
DEBER DE CONFIDENCIALIDAD: Tanto lo relativo a la información facilitada por los licitadores designada por ellos como confidencial, como lo referente a la información de carácter confidencial a la que el contratista tenga acceso con ocasión de la ejecución del contrato, debe incluirse en las correspondientes cláusulas, conforme se indica en los modelos de pliegos de cláusulas administrativas particulares recomendados por la Junta Consultiva de Contratación Administrativa de la Comunidad de Madrid.
TRATAMIENTO DE LOS DATOS PERSONALES POR PARTE DE LA ADMINISTRACIÓN CONTRATANTE: La información sobre el tratamiento de los datos de carácter personal de los licitadores, del adjudicatario y, en su caso, de sus representantes y personal, debe incluirse en la cláusula sobre “presentación de proposiciones y tratamiento de los datos personales por parte de la Administración contratante”, como se recoge en los citados modelos de pliegos.
TRATAMIENTO DE LOS DATOS PERSONALES POR PARTE DE LAS EMPRESAS CONTRATISTAS: Para todo lo relativo al tratamiento de datos personales por parte de los contratistas, debe seguirse lo indicado en los modelos de pliegos recomendados para los contratos de servicios y de concesión de servicios.
Así, en los pliegos de esos tipos de contratos, debe indicarse expresamente si el contrato conlleva o no tratamiento de datos personales por parte del contratista y, en caso afirmativo, si éste actuará como encargado o como responsable del tratamiento; así como la finalidad para la que se tratarán los datos personales.
Además, en la cláusula específica sobre la protección de datos de carácter personal se debe añadir un texto, según el contratista actúe como encargado o como responsable del tratamiento, siguiendo el modelo que corresponda de entre los dos propuestos en la Guía orientativa sobre el clausulado en materia de protección de datos personales a incluir en los pliegos de cláusulas administrativas de los contratos públicos de la Comunidad de Madrid.
Asimismo, los modelos de pliegos citados incluyen un modelo de declaración múltiple que contiene un apartado para que, si el contrato requiere que el contratista actúe como encargado del tratamiento, los licitadores declaren si tienen previsto o no subcontratar los servidores que contengan los datos personales o los servicios asociados a ellos; así como otro modelo de declaración a presentar por el adjudicatario antes de la formalización del contrato, en la que, entre otras cosas, manifieste dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a ellos.
PROTECCIÓN DE DATOS PERSONALES EN LOS CONTRATOS MENORES: En la Guía orientativa sobre el clausulado en materia de protección de datos personales a incluir en los contratos menores, se recomiendan unos anexos sobre confidencialidad y tratamiento de los datos de carácter personal a adjuntar a las solicitudes de oferta y a presentar por los licitadores junto con sus ofertas, según el contrato menor conlleve o no encargo de tratamiento de datos personales; así como, en el primer caso, el texto a incluir en la memoria justificativa del contrato menor.