Portal Contratación

Junta Consultiva de Contratación Administrativa

Búsqueda de informes y recomendaciones
  • ImprimirImprimir

   < volver
Junta Consultiva de Contratación Administrativa

INFORME 6/2017, DE 5 DE OCTUBRE, SOBRE INCLUSIÓN EN LOS CONTRATOS ADMINISTRATIVOS DE PRECISIONES RELATIVAS A LA NORMATIVA SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.


 

ANTECEDENTES

 

           El Director Gerente del Consorcio de Transportes de Madrid ha dirigido escrito a la Junta Consultiva de Contratación Administrativa en los siguientes términos:

 

           El Consorcio Regional de Transportes Públicos Regulares de Madrid es un Organismo Autónomo de carácter mercantil, adscrito a la Administración Pública de la Comunidad de Madrid a través de la Consejería de Transportes, Vivienda e Infraestructuras, al que se aplica íntegramente la normativa en materia de contratación del sector público, y regulado en su actividad por su Ley de creación (Ley 5/1985, de 13 de mayo) y por la Ley 1/1984, de 13 de febrero, de la Administración institucional de la Comunidad de Madrid.

 

           En la tramitación de un conjunto de contratos administrativos, este organismo, como entidad contratante, para la prestación de los servicios requeridos y contratados, debe poner a disposición del contratista un conjunto de datos que, en muchas ocasiones, se encuentran recogidos en ficheros de datos de carácter personal; actualmente, se está suscribiendo tanto el pliego tipo de cláusulas administrativas particulares que proceda, junto con la formalización del contrato.

 

           La consulta exacta es si, a la luz de la normativa de protección de datos de carácter personal, y del contenido de la cláusula relativa a esta materia recogido en los pliegos tipo aprobados y de uso común y general en la Administración Pública de la Comunidad de Madrid, debe proceder a firmarse un contrato concreto sobre esta materia o incorporarse algún texto en el contrato a formalizar.

 

           La cláusula mencionada dispone que:

 

“Cláusula XXX. Propiedad de los trabajos y protección de datos de carácter personal.

 

           Todos los estudios y documentos elaborados en ejecución del contrato serán propiedad de la Comunidad de Madrid quien podrá reproducirlos, publicarlos y divulgarlos total o parcialmente sin que pueda oponerse a ello el adjudicatario autor de los trabajos.

 

           El adjudicatario no podrá hacer ningún uso o divulgación de los estudios y documentos elaborados con motivo de la ejecución de este contrato, bien sea en forma total o parcial, directa o extractada, sin autorización expresa del órgano de contratación.

 

           Si el contrato tiene por objeto el desarrollo y la puesta a disposición de productos protegidos por un derecho de propiedad intelectual o industrial, éste será cedido por el contratista a la Administración contratante.

 

           El contratista, como encargado del tratamiento, tal y como se define en la letra g) del artículo 3 de Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, queda obligado al cumplimiento de lo dispuesto en la citada Ley, especialmente en lo indicado en sus artículos 9, 10, 12, y en el Reglamento que la desarrolla, aprobado por Real Decreto 1720/2007, de 21 de diciembre.”

 

           Los artículos 9, 10 y 12 citados, determinan que:

 

Artículo 9. Seguridad de los datos.

 

1.        El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

 

2.        No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

 

3.        Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

 

Artículo 10. Deber de secreto.

 

           El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

 

Artículo 12. Acceso a los datos por cuenta de terceros.

 

1.        No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

 

2.        La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

 

           En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

 

3.        Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

 

4.        En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

 

           El contrato o redacción a incluir en la formalización del contrato con los adjudicatarios sería la recogida en el anexo a la presente solicitud.

 

CONSIDERACIONES

 

1.-       La consulta plantea la cuestión de si resulta preciso, conforme a la normativa de protección de datos de carácter personal y del contenido de la cláusula relativa a esta materia recogida en determinados modelos de pliegos de cláusulas administrativas particulares informados por la Junta Consultiva de Contratación Administrativa, formalizar un contrato concreto o incluirse algún texto al respecto en el documento de formalización del contrato.

 

2.-       La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) establece en su artículo 12 que la realización de tratamientos por cuenta de terceros habrá de regularse en un contrato, en el que se establezca expresamente que el encargado del tratamiento tratará los datos únicamente conforme a las instrucciones del responsable del tratamiento, que no los aplicará o usará con un fin distinto al que figure en el contrato ni los comunicará a otras personas, así como estipular las medidas de seguridad de los datos que deberá implementar, en cumplimiento del artículo 9 de dicha ley.

 

3.-       A propuesta de la desaparecida Agencia de Protección de Datos de la Comunidad de Madrid, la Junta Consultiva de Contratación Administrativa de la Comunidad de Madrid acordó, mediante Acuerdo 6/2005, de 27 de octubre, sobre adaptación de los modelos de pliegos de cláusulas administrativas particulares informados por la Junta Consultiva, la inclusión de una cláusula en los contratos que requieren un tratamiento por parte de terceros de datos de carácter personal de los ciudadanos o representantes de las empresas, con el fin de asegurar que estos contratos contienen las garantías precisas respecto de los datos recogidos en los ficheros de la Administración que establecen la LOPD y sus normas de desarrollo, actualmente el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

 

           La citada cláusula se incluyó en los modelos de pliegos de cláusulas administrativas particulares de consultoría y asistencia y de servicios (actualmente contratos de servicios), en la cláusula denominada desde entonces: “Propiedad de los trabajos y protección de datos de carácter personal”, así como en los modelos para los contratos de gestión de servicios públicos, en la cláusula relativa a las obligaciones generales del contratista.

 

           Conforme a la redacción actualizada de la citada cláusula, el contratista encargado del tratamiento de datos de carácter personal, conforme a la definición establecida en el artículo 3.g) de la LOPD, queda obligado al cumplimiento de lo dispuesto en la citada Ley, especialmente a lo indicado en sus artículos 9 (Seguridad de los datos), 10 (Deber de secreto) y 12 (Acceso a los datos por cuenta de terceros) y en el Reglamento que la desarrolla.

 

4.-       Asimismo, en la cláusula 1 (Características del contrato) de todos los modelos de pliegos de cláusulas administrativas particulares informados por la Junta Consultiva de Contratación Administrativa figura un apartado relativo a la información sobre el contrato cuyo carácter confidencial debe respetar el contratista, en el que el órgano de contratación deberá consignar la información sobre el contrato que tenga tal carácter, de conformidad con lo dispuesto en el artículo 140.2 de la Ley de Contratos del Sector Público, texto refundido aprobado por Real Decreto 3/2011, de 14 de noviembre (TRLCSP), como, por ejemplo, los ficheros de datos de carácter personal, entre otros, así como el plazo durante el cual deberá mantener el deber de respetar el carácter confidencial de la información, figurando en los modelos por defecto el plazo de 5 años establecido en el citado artículo 140.2 del TRLCSP, plazo que podrá incrementar el órgano de contratación, según lo dispuesto en dicho artículo.

 

           El incumplimiento de la obligación del contratista de guardar sigilo respecto de los datos o antecedentes que, no siendo públicos o notorios, estén relacionados con el objeto del contrato y de los que tenga conocimiento con ocasión de éste puede originar la resolución del contrato, conforme a lo dispuesto en la cláusula relativa a la resolución del contrato de todos los modelos de pliegos.

 

5.-       Por lo expuesto, la previsión del artículo 12 de la LOPD sobre la regulación de la realización de tratamientos de datos por cuenta de terceros se encuentra cumplida con la formalización del contrato administrativo para la realización del servicio o gestión de servicio público que corresponda, dado que se encuentra regulada suficientemente en los modelos de pliegos de cláusulas administrativas particulares para dichos contratos informados por la Junta Consultiva de Contratación Administrativa, los cuales forman parte integrante del contrato, que deberá ajustarse a su contenido, conforme a lo dispuesto en el artículo 115.3 del TRLCSP, por lo que no resulta precisa la formalización de un contrato concreto sobre protección de datos ni incorporar texto alguno al respecto en el contrato administrativo a formalizar.

  

CONCLUSIÓN

 

           En los contratos que requieran un tratamiento por parte de terceros de datos de carácter personal, no resulta precisa la formalización de un contrato concreto sobre protección de datos ni incorporar texto alguno al respecto en el contrato administrativo a formalizar, dado que las previsiones al respecto de la LOPD figuran en los modelos de pliegos de cláusulas administrativas particulares informados por la Junta Consultiva de Contratación Administrativa, que forman parte integrante del contrato.