Ley de Contratos del Sector Público: claves RGPD para licitar

Si deseas presentar tu empresa a un concurso público en España, debes cumplir con ciertos requisitos de protección de datos personales establecidos por el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y la Ley de Contratos del Sector Público (LCSP).

Hay elementos de protección de datos personales que todas las empresas deben cumplir sí o sí al participar en una licitación pública en España. Sin embargo, también puede haber requisitos específicos que dependen de la naturaleza de la licitación o del organismo convocante.

¡Descubre ya las 5 obligaciones clave en protección de datos para licitar en España!

Obligaciones recogidas en la Ley de Contratos del Sector Público (LCSP)

La Ley de Contratos del Sector Público (Ley 9/2017, de 8 de noviembre), en consonancia con el RGPD y la LOPDGDD, establece las siguientes obligaciones en materia de protección de datos para la ejecución de contratos públicos:

1. Cláusulas específicas

El artículo 122 de la LCSP afirma que todos los pliegos públicos deberán mencionar expresamente la obligación del futuro contratista de respetar la normativa vigente (nacional y europea) en materia de protección de datos.

El artículo 202 de la LCSP obliga a incluir condiciones especiales de ejecución en los contratos públicos, lo que incluye cláusulas que garanticen el cumplimiento del RGPD. Las Guías de la AEPD sugieren detallar la finalidad del tratamiento, medidas de seguridad y obligaciones del encargado.

En algunas licitaciones públicas, se requiere acreditar que tu empresa cumple con las normativas de protección de datos. Esto puede incluir:

• Declaraciones de cumplimiento.
• ISO 27001 (seguridad de la información).
• Cumplimiento del Esquema Nacional de Seguridad (ENS), obligatorio si tratas datos públicos sensibles.

2. Obligaciones del encargado de tratamiento

Según el artículo 28 del RGPD, el encargado de tratamiento debe:

• Tratar los datos personales únicamente bajo las instrucciones del responsable del tratamiento (la Administración Pública).
• Firmar un acuerdo de encargado del tratamiento, indicando claramente las finalidades y medidas de seguridad.
• Informar de cualquier brecha de seguridad en un plazo de 72 horas (artículo 33 del RGPD).

Del mismo modo, y según el artículo 215 de la Ley de Contratos del Sector Público (LCSP), el encargado de tratamiento no puede subcontratar servicios de tratamiento de datos sin la autorización expresa del órgano de contratación. Este punto está reforzado por el artículo 28.2 del RGPD.

Si recibes autorización, las subcontratas que impliquen el tratamiento de datos (por ejemplo, almacenamiento en la nube, gestorías o software) requieren de contratos con los proveedores que incluyan cláusulas específicas contempladas en el RGPD.

3. Supervisión según la Ley de Contratos del Sector Público

El órgano de contratación tiene derecho a supervisar el cumplimiento del RGPD y las cláusulas incluidas en el contrato (artículo 201 de la LCSP). Las guías de la AEPD recomiendan establecer mecanismos para auditar regularmente las medidas de seguridad.

En este sentido, tu empresa debe implementar medidas de seguridad RGPD para garantizar la confidencialidad, integridad y disponibilidad de los datos. Según el tipo de datos que trates:

• Técnicas: Uso de cifrado, contraseñas seguras, etc.
• Organizativas: Formación, control de acceso, políticas internas, auditorías periódicas…
• Realiza una Evaluación de Impacto (EIPD) si manejas datos sensibles o existe un alto riesgo para los derechos de los interesados.

4. Responsabilidades por incumplimiento

El artículo 211 de la LCSP permite la rescisión del contrato en caso de incumplimiento grave de las cláusulas relacionadas con la protección de datos. Adicionalmente, la LOPDGDD (artículo 71 hasta 78) y el RGPD establecen sanciones económicas.

Para evitar incumplimientos, no solo debes implementar medidas de seguridad RGPD, sino también poner en marcha protocolos para detectar, notificar y documentar brechas de seguridad. Como ya se ha comentado, debes informar a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas tras detectar la brecha.

5. Confidencialidad en la Ley de Contratos del Sector Público

Según el artículo 122 de la Ley de Contratos del Sector Público (LCSP), el encargado de tratamiento y sus empleados deben garantizar la confidencialidad de los datos personales tratados tanto durante como después de la ejecución del contrato.

Tu empresa debe verificar que cuenta con una base legal válida para el tratamiento de datos:

• Consentimiento explícito en los casos necesarios.
• Ejecución de un contrato o cumplimiento de una obligación legal.
• Interés legítimo (estadísticas, por ejemplo).

Recomendaciones RGPD para licitar en España

Cumplir la ley no solo es una obligación para licitar, sino que también es un factor clave de competitividad. Evitarás sanciones y ganarás la confianza de tus clientes gracias a un compromiso claro con su privacidad. Por ello, antes de participar en un concurso público, asegúrate de auditar tus procesos y documentos para garantizar el cumplimiento normativo. Aquí tienes algunas recomendaciones:

Registro de Actividades de Tratamiento (RAT)

Si quieres licitar en España, tu empresa debe contar con un Registro de Actividades de Tratamiento (RAT) donde se detalle cómo se gestionan los datos personales relacionados con la actividad de tu organización. Esto incluye:

• Categoría de datos que procesas (ej., datos de empleados, clientes, etc.).
• Transferencia de datos a terceros.
• Descripción de las medidas de seguridad y plazos de conservación.
• Finalidades del tratamiento (ej., gestión administrativa o comercial).
• Destinatarios de los datos, si corresponde.

Política de privacidad y aviso legal

Para cumplir con la obligación de información, debes contar también con una política de privacidad actualizada y disponible para todos los interesados (empleados, proveedores, clientes, etc.). En este documento se debe informar claramente:

• Quién es el responsable del tratamiento.
• Finalidades y base legal para el tratamiento.
• Derechos de los interesados (acceso, rectificación, supresión, etc.).
• Destinatarios de los datos, transferencias internacionales y plazos de conservación.

Delegado de Protección de Datos (DPO)

Algunos concursos exigen contar con un Delegado de Protección de Datos (DPO). Para saber si necesitas uno, evalúa en qué casos es obligatorio nombrarlo:

• La actividad de tu empresa aparece en el artículo 34 de la LOPDGDD.
• Tratas datos a gran escala de forma habitual y sistemática.
• Tratas categorías especiales de datos personales (religión, salud, biométricos…).

Derechos de los interesados

Tu empresa debe contar con mecanismos para que cualquier usuario pueda ejercer sus derechos ARSULIPO:

• Acceso. Acceder y consultar los datos personales.
• Rectificación. Modificar datos incorrectos.
• Supresión. Eliminar o desindexar los datos personales.
• Limitación. Restringir temporalmente o limitar el uso de datos personales.
• Portabilidad. Recibir los datos y transmitirlos a otro responsable
• Oposición. Oponerse al tratamiento de datos personales.

Formación RGPD

Cuando licitas, es probable que tu empresa sea considerada como encargada de tratamiento. Esto significa que vas a tratar datos personales para la entidad pública. Según el artículo 28 del RGPD, un encargado de tratamiento debe asegurar la confidencialidad y las buenas prácticas en protección de datos de su personal autorizado.

Por tanto, y de manera indirecta, otra de las obligaciones de los concursos públicos es la de impartir formación RGPD. El artículo 39 establece que será responsabilidad del DPO sensibilizar y formar al personal de la empresa sobre las disposiciones del reglamento.

Esta obligación tiene el objetivo de garantizar que todos los empleados, independientemente de su rol dentro de la organización, tengan un conocimiento adecuado sobre los principios del RGPD y sepan cómo deben manejar la información personal.

¡Actecil te ayuda a cumplir la Ley de Contratos del Sector Público!

¿Quieres ganar licitaciones en España? Sin RGPD, no hay contrato. Si participas en concursos públicos, necesitas cumplir con la Ley de Contratos del Sector Público (LCSP) y el RGPD.

Desde 2007, Actecil ha estado a la vanguardia, ofreciendo asesoramiento jurídico y técnico en protección de datos a más de 5.000 empresas públicas y privadas de todo el mundo. ¡Confía en Actecil y gana tu licitación!

 Nuestra solución 360º es única en el mercado:

• Consultoría RGPD. Un equipo especializado en protección de datos te dará todas las claves para cumplir eficazmente con las leyes locales e internacionales de protección de datos.
• DPO externo. Un consultor titulado en protección de datos responderá todas tus dudas y te ayudará a cumplir con tus obligaciones en Europa.
• Formación. Conviértete en un auténtico especialista en protección de datos con nuestros cursos obligatorios y sensibilizaciones RGPD. 
• Software RGPD. Gracias a los últimos softwares del mercado, los datos que recojas quedarán documentados, serán accesibles y cumplirán con las leyes europeas.
• E-Assistance. Nuestros expertos estarán ahí cuando más los necesites: gestión de crisis, ciberataques, asesoramiento jurídico… ¡Acompañamiento 100% personalizado!
• Misión internacional. Hablamos más de 10 idiomas y todos nuestros consultores son DPO titulados ante las autoridades europeas.

ACTECIL, expertos en cumplimiento RGPD, ayudará a tu empresa a licitar con las máximas garantías de éxito.

🚀 ¿Listo para ganar el concurso público? 🚀

Artículos similares

Événement

¿Qué es el RGPD? Claves para cumplir en tu empresa

Leer más

Événement

¿Qué es el derecho de limitación? Guía RGPD para empresas

Leer más