Protección de Datos desde el diseño en los contratos de la Administración Pública

19 de Febrero de 2025

La protección de datos desde el diseño fomenta el desarrollo de tratamientos cumpliendo con la normativa de protección de datos desde el primer momento de su concepción y eliminando posibles costes de rediseño dando, de esta forma, cumplimiento a lo exigido en la Ley de Contratos del Sector Público en relación con el respeto de la normativa vigente en materia de protección de datos.

Foto de John Schnobrich en Unsplash.

La protección de datos desde el diseño es una obligación esencial que las Administraciones Públicas deben tener en cuenta en sus contratos, tal y como exige el artículo 211.1.f) de la Ley de Contratos del Sector Público (LCSP), y que no se cumple simplemente incluyendo cláusulas generales referidas al Reglamento General de Protección de Datos (RGPD).

En el marco de la gestión de una organización, la protección de datos desde el diseño emerge como un pilar fundamental en la salvaguarda de los derechos y libertades de las personas físicas. Este requisito, consagrado en el RGPD en su artículo 25, exige considerar medidas de protección de los derechos fundamentales con una visión proactiva, integrando la protección de datos desde la misma concepción de cualquier proyecto que involucre o pueda involucrar un tratamiento de datos personales por una institución pública.

Para alcanzar los objetivos de protección de datos desde el diseño en un tratamiento se requiere una posición reflexiva durante el diseño, no ya del tratamiento que se precise llevar a cabo, sino desde el diseño de la propia medida legislativa que hace necesario el tratamiento de datos. Así lo establece el TJUE (asuntos acumulados C-293/12 y C-594/12) al considerar que cualquier operación de tratamiento de datos prevista por la legislación supone una limitación del derecho a la protección de los datos personales, independientemente de que dicha limitación pueda estar justificada. Por ello, es necesario realizar una evaluación de impacto normativo cuyo resultado haría posible determinar requisitos de protección de datos desde el diseño. De este análisis surgirán, entre otros, la propuesta de medidas desde el diseño y por defecto que traten de minimizar dichos impactos y los riesgos específicos identificados con relación a la forma de llevar a la realidad el tratamiento implícito en una medida legislativa, que necesariamente deberán incorporarse a las prescripciones técnicas de los pliegos como parte del conjunto de las decisiones que el responsable del tratamiento precisará que sean abordadas en un futuro contrato de encargo de un tratamiento de datos.

En esta línea, el considerando 78 del RGPD destaca la relevancia de este enfoque en el contexto de las licitaciones públicas, citando textualmente al final del mismo que “Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos”. Este marco legal promueve que las Administraciones Públicas lideren con el ejemplo en la implementación de prácticas que velen por la protección de los datos de los ciudadanos, y es así como el Comité Europeo de Protección de Datos lo recoge en sus Directrices 4/2019 relativas al artículo 25 Protección de datos desde el diseño y por defecto:

“El considerando 78 del RGPD agrega que la protección de datos desde el diseño y por defecto debe tenerse en cuenta en el contexto de las licitaciones públicas. A pesar de que todos los responsables tienen el deber de integrar la protección de datos desde el diseño y por defecto en sus actividades de tratamiento, esta disposición fomenta la adopción de los principios de protección de datos, y en este sentido las administraciones públicas deben predicar con el ejemplo.”

De esta manera, la protección de datos desde el diseño y por defecto no solo se convierte en un requisito obligatorio, sino en un estándar ético y de calidad que debe impregnar todas las acciones de las Administraciones Públicas.

Más allá de ser una mera exigencia normativa que se incluye en la Ley de Contratos del Sector Público a través de sus artículos 122.2 y 211.1.f), la protección de datos desde el diseño es una obligación esencial del principio de responsabilidad proactiva del RGPD. Este principio implica la adopción de medidas técnicas y organizativas necesarias para garantizar la protección y privacidad de los datos de los interesados antes de llevar a cabo cualquier tratamiento de datos. En definitiva, se trata de reducir la limitación de derechos, de anticiparse a los riesgos y de establecer una cultura organizativa que promueva la protección de datos como un valor añadido e intrínseco a todas las actividades relacionadas con el tratamiento de datos personales.

El responsable del tratamiento debe asumir la responsabilidad de garantizar y demostrar que todas las operaciones de tratamiento, realizadas tanto por ellos mismos como por sus encargados y subencargados, cumplen con las medidas necesarias para mitigar o evitar la limitación de derechos y los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas atendiendo a la naturaleza, el ámbito, el contexto y los fines del tratamiento, cobrando especial relevancia las relativas a implementar las obligaciones de protección de datos desde el diseño y por defecto.

Como parte de los requisitos que debe cumplir el responsable del tratamiento al seleccionar un encargado, se establece como primera indicación que “elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas”, según el artículo 28.1 del RGPD. Sin embargo, la realidad de las cláusulas que se incluyen en los pliegos de las licitaciones públicas se limita a señalar las obligaciones generales recogidas en el artículo 28.3, sin evaluar exhaustivamente el tipo de medidas técnicas y organizativas necesarias para dar cumplimiento al RGPD en toda su extensión. En este sentido, cabe recordar que la propia LCSP establece que no son admisibles las cláusulas de tipo general a los efectos de resolución de un posible contrato, sino que es necesario que las obligaciones esenciales del mismo sean enumeradas de manera precisa, clara e inequívoca en los pliegos o en sus documentos descriptivos (artículo 211 LCSP).

Entre todas las medidas técnicas y organizativas es obligado tener en cuenta los requisitos establecidos en su artículo 25 lo que, en la práctica, implica una clara directriz: la protección de datos desde el diseño y por defecto no es simplemente una obligación legal, sino que forma parte de un proceso continuo de gestión del riesgo que constituye una de las obligaciones del responsable:

“Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas (…) concebidas para aplicar de forma efectiva los principios de protección de datos (…) e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.”
"El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. (…)”

Este enfoque reconoce que la protección de datos no es un acto puntual, sino un proceso constante en el que se deben evaluar y mitigar los riesgos desde el concepto inicial del tratamiento y a lo largo de todo su ciclo de vida. El principio de responsabilidad proactiva, que recoge la protección de datos desde el diseño y por defecto, tiene la importancia de aplicar medidas técnicas y organizativas necesarias para garantizar la protección y privacidad de los datos de los interesados antes de llevar a cabo el tratamiento de dichos datos, garantizando así que los responsables y encargados del tratamiento puedan cumplir con sus obligaciones en materia de protección de datos.

Por tanto, el marco de las licitaciones públicas, las administraciones y el sector público en general, no debe limitarse a poner una referencia genérica al cumplimiento de la normativa de protección de datos aplicable o al cumplimiento del artículo 25 del RGPD, pues dichas obligaciones existen sin necesidad de una referencia general explícita, sino que es preciso concretar y calificar en los pliegos dichos requisitos como obligaciones esenciales específicas enumeradas de manera precisa clara e inequívoca en los pliegos o en sus documentos descriptivos, implementando así de forma efectiva la protección de datos desde el diseño y por defecto de los tratamientos en los que se precise subcontratar alguna/s de sus operaciones de tratamiento.

El organismo responsable del tratamiento será quien mejor conozca el tratamiento que precisa llevar a cabo en su naturaleza, ámbito, contexto y fines y quien estará en disposición de exigir una serie de medidas concretas de diseño que deben quedar reflejadas en los pliegos como obligaciones esenciales del encargo de tratamiento; sin embargo, a su vez el encargado, en la medida que es conocedor del contexto tecnológico y de su propia organización, tiene la obligación de ayudar al responsable a conseguir los requisitos de diseño (artículo 28.3.f) del RGPD) de forma que las decisiones que impacten a los derechos y libertades de los ciudadanos no queden al margen del conocimiento del responsable del tratamiento.

La delegación por el responsable de tratamiento de las decisiones de los requisitos de diseño exclusivamente en manos del encargado del tratamiento no le eximen de hacer frente las consecuencias que se deriven de las mismas. La toma de decisiones relativas a la protección de datos desde el diseño y por defecto son una obligación del responsable que debe reflejarse en el vínculo jurídico que exige el artículo 28 del RGPD, y no hacerlo pondría en duda la capacidad del responsable de demostrar cumplimiento. Incluso podría permitir que el encargado pudiera realizar operaciones de tratamiento que pudieran no ser necesarias ni lícitas para los fines últimos del tratamiento. En este sentido, cuando el encargado del tratamiento lleva a cabo la toma decisiones más allá de lo señalado en el cumplimiento del artículo 28 del RGPD por el responsable; podría estar ejerciendo su rol de responsable al margen del propio encargo de tratamiento.

Como ya se ha señalado, la administración pública también puede y debe jugar un papel importante en la promoción de la innovación tecnológica al garantizar la protección de datos desde el diseño y por defecto. Este enfoque proactivo asegura que la privacidad se integre en todas las etapas del desarrollo de soluciones tecnológicas, fomentando un ecosistema que prioriza la protección de los derechos y libertades. Al implementar estas medidas desde el inicio, se incentiva a las empresas a desarrollar productos y servicios que cumplan con altos estándares de protección de datos. Además, las administraciones pueden liderar proyectos piloto y ofrecer marcos regulatorios flexibles que permitan la experimentación controlada, favoreciendo la creación de soluciones tecnológicas innovadoras y seguras.

En conclusión, la protección de datos desde el diseño y por defecto en el contexto de las licitaciones públicas, donde las Administraciones Públicas son las entidades que mayor volumen de datos personales tratan, adquiere una relevancia aún mayor, ya que las administraciones tienen el deber no solo de cumplir con la normativa, sino de liderar con el ejemplo y establecer los más altos estándares en la protección de datos, favoreciendo asimismo la innovación para la creación de soluciones tecnológicas respetuosas con la privacidad.

Este articulo está relacionado con algunas publicaciones de la División de Innovación Tecnológica de AEPD: