Marco jurídico

RGPD y contratos públicos: protección de datos en la contratación pública

¿Cómo afecta el RGPD a la contratación pública? Acuerdos de procesamiento de datos, requisitos del delegado de protección de datos, datos personales en las ofertas y la relación entre transparencia y privacidad.

10 de septiembre de 2025
Inglés Français

El Reglamento General de Protección de Datos (RGPD) afecta a los contratos públicos en varios niveles. Desde el tratamiento de datos personales en las ofertas hasta el acuerdo de procesamiento en los contratos de TI, y desde la tensión entre la transparencia y la privacidad hasta el papel del delegado de protección de datos, el cumplimiento del RGPD se ha convertido en una parte integral del proceso de licitación.

¿En qué medida afecta el RGPD a la contratación pública?

Datos personales en presupuestos

Cada oferta contiene datos personales: nombres de personas de contacto, currículos del personal propuesto, referencias con datos de contacto de los clientes, certificados a nombre. El licitador procesa estos datos al evaluar las ofertas.

El fundamento jurídico para este tratamiento suele ser el interés legítimo (artículo 6.1.f del RGPD) o la necesidad de realizar una tarea de interés público (artículo 6.1.e del RGPD) por parte del contratante. El licitador que comparta datos personales de sus empleados deberá informar a estos de que sus datos se facilitan en el marco de una oferta.

Contrato de procesamiento en los contratos de servicios

En los contratos en los que el contratista procesa datos personales en nombre del contratante —por ejemplo, servicios informáticos, administración de recursos humanos, alojamiento en la nube, gestión de instalaciones—, es obligatorio celebrar un acuerdo de procesamiento (artículo 28 del RGPD). Cada vez es más frecuente que el pliego de condiciones incluya como anexo un borrador de acuerdo de procesamiento.

El contrato de procesamiento regula, entre otras cosas:

  • El objeto y la duración del tratamiento.
  • La naturaleza y la finalidad del tratamiento.
  • El tipo de datos personales y las categorías de interesados.
  • Las obligaciones y derechos del responsable del tratamiento.
  • Medidas de seguridad que debe adoptar el encargado del tratamiento.
  • Normas sobre subcontratistas (subcontratistas que también tratan datos personales).
  • La devolución o destrucción de los datos al finalizar el contrato.

Transparencia frente a privacidad

Los contratos públicos están sujetos a obligaciones de transparencia: la decisión de adjudicación debe estar motivada y comunicarse, los precios de las ofertas deben hacerse públicos y el público tiene derecho a recibir información sobre el gasto de los fondos públicos. Al mismo tiempo, el RGPD protege los datos personales que se tratan en este proceso.

El balance es el siguiente:

  • Los nombres de los administradores o gerentes de las empresas que se inscriben suelen considerarse información pública, ya que se publican en el Boletín Oficial de Bélgica y en la KBO.
  • Los currículos, los datos de contacto de los empleados y la información detallada sobre referencias no son públicos y están protegidos por las normas de confidencialidad del artículo 13 de la Ley de 17 de junio de 2016.
  • En caso de una solicitud de acceso a la información pública (Ley de Transparencia Administrativa), el contratante sopesa el interés de la transparencia frente al derecho a la privacidad.

Requisitos del RGPD en el pliego de condiciones

Requisitos de la DPO

En los contratos que implican un tratamiento significativo de datos personales, el pliego de condiciones puede exigir que el licitador cuente con un delegado de protección de datos (DPO). Esto es especialmente habitual en los siguientes casos:

  • Tareas informáticas relacionadas con el tratamiento de datos sanitarios.
  • Tareas relacionadas con el procesamiento de datos o el análisis.
  • Servicios en la nube en los que se almacenan grandes cantidades de datos personales.

Las certificaciones como criterio de adjudicación

El RGPD prevé la posibilidad de mecanismos de certificación (artículo 42 del RGPD). Aunque aún no están ampliamente disponibles, las certificaciones relacionadas se utilizan cada vez más como criterio de selección o adjudicación:

  • ISO 27001 (seguridad de la información) como prueba de medidas de seguridad adecuadas.
  • ISO 27701 (gestión de la información sobre privacidad) como complemento de la norma ISO 27001.
  • SOC 2 para proveedores de servicios de TI y en la nube.

Evaluación de impacto relativa a la protección de datos (DPIA)

En los contratos que entrañen un alto riesgo para los derechos y libertades de los interesados —por ejemplo, el tratamiento a gran escala de categorías especiales de datos personales—, el poder adjudicador podrá exigir una evaluación del impacto en la protección de datos. En tal caso, el licitador deberá demostrar en su oferta cómo mitiga los riesgos.

Dimensión internacional

Transferencia fuera del EEE

En los encargos con un componente internacional (servicios en la nube con servidores fuera del EEE, subcontratistas internacionales, proveedores multinacionales de TI), la transferencia de datos personales fuera del Espacio Económico Europeo es un aspecto crítico que debe tenerse en cuenta.

Tras la sentencia Schrems II (2020) del Tribunal de Justicia y el posterior Marco de Protección de Datos UE-EE. UU. (2023), el contratante debe verificar:

  • Si la transferencia se realiza a un país con una decisión de adecuación.
  • Si existen garantías adecuadas (cláusulas contractuales tipo, normas corporativas vinculantes).
  • Si se ha realizado una evaluación de riesgos adicional (Evaluación del Impacto de la Transferencia).

Las especificaciones exigen cada vez más que los datos se procesen exclusivamente dentro del EEE.

Atención: los errores relacionados con el RGPD en los pliegos de condiciones son muy frecuentes. No prever un contrato de encargado del tratamiento cuando se tratan datos personales constituye una infracción. Solicitar datos excesivos (datos médicos, copias innecesarias de documentos de identidad) viola el principio de minimización de datos. Comprueba tus tratamientos de datos y haz preguntas si el pliego de condiciones solicita una cantidad desproporcionada de información.

Sin plazos de conservación. El contratante conserva las ofertas y los datos personales correspondientes de forma ilimitada, sin política de destrucción tras la expiración del plazo de conservación.

No adaptar los requisitos del RGPD al riesgo. Un pedido de mobiliario de oficina tiene requisitos del RGPD diferentes a los de un pedido de alojamiento en la nube de historiales de pacientes. Las especificaciones deben ser proporcionales.

Consejos

Lea el contrato de procesamiento. Como licitador, compruebe el borrador del contrato de procesamiento en el pliego de condiciones antes de presentar su oferta. Las cláusulas poco realistas o unilaterales (responsabilidad ilimitada, notificación inmediata de cualquier incidente) son negociables, así que plantee sus preguntas a tiempo.

Informa a tus empleados. Si incluyes currículos y datos personales de empleados en una oferta, infórmales sobre el tratamiento de datos de conformidad con los artículos 13 y 14 del RGPD.

Ofrezca el cumplimiento del RGPD como ventaja competitiva. En los contratos de TI y prestación de servicios, el cumplimiento demostrable del RGPD es un factor diferenciador. La certificación ISO 27001/27701, un delegado de protección de datos designado y una organización de privacidad madura causan una buena impresión.

Prepara un registro de actividades de tratamiento. Un registro actualizado de las actividades de tratamiento (artículo 30 del RGPD) demuestra que te tomas en serio el RGPD y agiliza la evaluación de tu oferta.

Fuentes

¿Te ha resultado útil este artículo?