Con la aprobacion de la Ley de Contratos del Sector Publico a finales de 2007, se introducen nuevas obligaciones para los CONTRATISTAS DEL ESTADO en materia de Proteccion de Datos de Caracter Personal. La Disposicion Adicional Trigesimo Primera recoge la necesidad de aplicar la normativa de protección de datos de carácter personal a todos los contratos regulados por esta nueva norma.

Es más, en caso de que la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, aquél tendrá la consideración de encargado del tratamiento, con la extension de obligaciones y responsabilidades que ello conlleva.

La obligacion más característica que introduce la Ley de Contratos del Sector Público para los CONTRATISTAS DEL ESTADO es la necesidad de documentar por escrito a través del correspondiente contrato las relaciones contratuales que impliquen acceso a datos de carater personal. Así, la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En este contrato se deberán recoger igualmente las medidas de seguridad de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural y que el encargado del tratamiento está obligado a implementar.