La protección de datos desde el diseño es una obligación esencial que las Administraciones Públicas deben tener en cuenta en sus contratos, tal y como exige el artículo 211.1.f) de la Ley de Contratos del Sector Público (LCSP), y que no se cumple simplemente incluyendo cláusulas generales referidas al Reglamento General de Protección de Datos (RGPD).
En el marco de la gestión de una organización, la protección de datos desde el diseño emerge como un pilar fundamental en la salvaguarda de los derechos y libertades de las personas físicas. Este requisito, consagrado en el RGPD en su artículo 25, exige considerar medidas de protección de los derechos fundamentales con una visión proactiva, integrando la protección de datos desde la misma concepción de cualquier proyecto que involucre o pueda involucrar un tratamiento de datos personales por una institución pública.
Para alcanzar los objetivos de protección de datos desde el diseño en un tratamiento se requiere una posición reflexiva durante el diseño, no ya del tratamiento que se precise llevar a cabo, sino desde el diseño de la propia medida legislativa que hace necesario el tratamiento de datos. Así lo establece el TJUE (asuntos acumulados C-293/12 y C-594/12) al considerar que cualquier operación de tratamiento de datos prevista por la legislación supone una limitación del derecho a la protección de los datos personales, independientemente de que dicha limitación pueda estar justificada. Por ello, es necesario realizar una evaluación de impacto normativo cuyo resultado haría posible determinar requisitos de protección de datos desde el diseño. De este análisis surgirán, entre otros, la propuesta de medidas desde el diseño y por defecto que traten de minimizar dichos impactos y los riesgos específicos identificados con relación a la forma de llevar a la realidad el tratamiento implícito en una medida legislativa, que necesariamente deberán incorporarse a las prescripciones técnicas de los pliegos como parte del conjunto de las decisiones que el responsable del tratamiento precisará que sean abordadas en un futuro contrato de encargo de un tratamiento de datos.
En esta línea, el considerando 78 del RGPD destaca la relevancia de este enfoque en el contexto de las licitaciones públicas, citando textualmente al final del mismo que “Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos”. Este marco legal promueve que las Administraciones Públicas lideren con el ejemplo en la implementación de prácticas que velen por la protección de los datos de los ciudadanos, y es así como el Comité Europeo de Protección de Datos lo recoge en susDirectrices 4/2019 relativas al artículo 25 Protección de datos desde el diseño y por defecto:
“El considerando 78 del RGPD agrega que la protección de datos desde el diseño y por defecto debe tenerse en cuenta en el contexto de las licitaciones públicas. A pesar de que todos los responsables tienen el deber de integrar la protección de datos desde el diseño y por defecto en sus actividades de tratamiento, esta disposición fomenta la adopción de los principios de protección de datos, y en este sentido las administraciones públicas deben predicar con el ejemplo.”
Fuente: AEPD
Link aquí