La Resolució 172/2026 posa de manifest els límits dels criteris d’adjudicació avaluables mitjançant fórmula quan la seva aplicació es desvia dels termes dels plecs. L’anàlisi evidencia com la reinterpretació ex post de les ofertes pot desdibuixar la seva naturalesa objectiva. En aquest context, es reforça la necessitat d’alinear amb rigor el disseny dels criteris amb la seva aplicació efectiva.

El cas analitzat parteix d’una licitació en què es valorava la millora dels nivells de servei (SLA) a partir de dos paràmetres aparentment objectius: el temps de resposta i el temps de resolució. Malgrat aquesta configuració, la controvèrsia sorgeix en el moment de la seva aplicació, quan l’òrgan de contractació es veu obligat a interpretar el contingut d’una de les ofertes per poder encaixar-la dins del criteri previst.

En concret, l’oferta adjudicatària no formulava els paràmetres en els termes dels plecs, sinó mitjançant una estructura diferent basada en fases d’actuació i nivells de prioritat. Davant d’això, l’òrgan de contractació va assimilar aquests conceptes als previstos en el criteri i va atribuir la puntuació màxima.

El Tribunal considera que aquesta operació excedeix la naturalesa dels criteris automàtics. La seva funció no és interpretar o reconstruir les ofertes, sinó verificar de manera objectiva si compleixen els paràmetres definits. Quan aquesta verificació requereix una adaptació o equivalència no prevista en els plecs, s’introdueix un marge de discrecionalitat incompatible amb aquest tipus de criteris.

La resolució posa de manifest, a més, dues disfuncions especialment significatives: d’una banda, la valoració incompleta del criteri (en tant que només es puntua un dels paràmetres previstos); de l’altra, la comparació en peu d’igualtat entre una oferta ajustada als plecs i una altra que requereix una interpretació per ser considerada equivalent.

Aquest conjunt de circumstàncies condueix a l’estimació del recurs i a la retroacció de les actuacions, amb la finalitat de practicar una nova valoració estrictament ajustada als termes dels plecs.

Més enllà del cas concret, la resolució evidencia un risc recurrent en la pràctica: la flexibilització dels criteris automàtics en el moment de la seva aplicació. Aquest desplaçament desdibuixa la seva funció (reduir la discrecionalitat i garantir la comparabilitat de les ofertes) i pot comprometre els principis d’igualtat i transparència.

En definitiva, la Resolució 172/2026 reforça una idea essencial: els criteris avaluables mitjançant fórmula només compleixen la seva funció si es configuren amb precisió i s’apliquen amb rigor, sense reinterpretacions ni ajustos ex post.

En data 20 de setembre de 2023 es va presentar una reclamació davant l’AEPD pels delegats sindicals del Servei de Prevenció i Extinció d’Incendis (SPEIS) de la Diputació d’Osca, en la qual es denunciava que s’havia pogut accedir a una carpeta compartida utilitzada pel personal administratiu del SPEIS, la qual contenia informació confidencial.

Aquest procediment va portar a tractar un altre assumpte, ja que, a més de la presumpta bretxa de seguretat, es va descobrir que el Delegat de Protecció de Dades (DPD) de la Diputació d’Osca també exercia com a responsable del Sistema Intern d’Informació. Això va conduir a plantejar la idoneïtat de la concurrència d’ambdues funcions en una mateixa persona.

Sobre el primer incident, l’AEPD va resoldre que estimava la vulneració de l’article 5.1.f) del RGPD per l’error de la Diputació en preservar la confidencialitat i la integritat de les dades de les quals era responsable.

Respecte a la segona situació, l’AEPD va valorar que, si bé és cert que el DPD pot exercir altres funcions a més de les assignades al seu càrrec, cal garantir que això no donarà lloc a un conflicte d’interès, de conformitat amb l’art. 38.6 del RGPD. Procedim a analitzar aquesta interpretació:

• El DPD pot exercir altres funcions, sempre que no donin lloc a conflictes d’interessos, circumstància que ha de garantir el responsable del tractament.
• El DPD actua com a assessor i supervisor intern, de manera que no pot ser-ho algú que tingui altres funcions en les quals pugui decidir sobre l’existència de tractaments de dades o sobre com es tracten les dades.
• Per la seva part, el responsable del sistema intern d’informació haurà de desenvolupar les seves funcions de forma independent i autònoma respecte de la resta dels òrgans de l’entitat i respon del correcte funcionament del sistema (art. 8.4 i 9.1 de la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció); és a dir, pot tenir accés a les dades personals contingudes en el sistema.
• També s’estableix que tant el responsable del sistema com el DPD poden tenir accés a les dades del Sistema Intern d’Informació (art. 32.1 de la Llei 2/2023); és a dir, s’entén que són dues figures diferents.
• Per tant, es conclou que si una mateixa persona té diferents interessos es pot donar lloc a conflictes d’interès, circumstància que cal evitar perquè puguin realitzar les seves funcions amb les garanties degudes.

Finalment, l’AEPD va resoldre en data 2 de febrer de 2025 la consulta prèvia de la Diputació, concloent que no és possible assignar les funcions de responsable del sistema intern d’informació al DPD. Davant d’això, la Diputació va procedir a substituir el responsable del sistema intern d’informació.

En definitiva, davant el risc de possibles conflictes d’interès, les funcions de DPD i de responsable del sistema intern d’informació no haurien de recaure en una mateixa persona.

El judici de proporcionalitat en relació amb els recursos corporatius que poden contenir informació personal dels treballadors continua sent un focus habitual de conflicte quan una entitat necessita accedir-hi per motius operatius o de seguretat.

En aquest context, resulta especialment oportuna la nova resolució d’arxivament de la informació prèvia núm. IP 73/2024 de l’Autoritat Catalana de Protecció de Dades (APDCAT), on es torna a delimitar amb claredat els principis i criteris de justificació que permeten determinar quan un accés a mitjans corporatius pot considerar-se degut o, per contra, indegut o il·legítim, especialment quan aquests contenen dades personals dels treballadors.

El cas analitzat té com a subjecte afectat un Institut del Departament d’Educació i Formació Professional. Un docent del centre va presentar una reclamació al·legant que l’accés, per part del responsable del tractament, a un ordinador corporatiu de l’entitat havia pogut vulnerar els seus drets a la intimitat i a la protecció de la seva informació i dades personals. L’origen de l’actuació rau en les sospites de l’entitat sobre un possible accés indegut a la plataforma iEduca, identificat amb el perfil d’un professor que no es trobava físicament al centre en aquell moment.

L’entitat responsable va justificar l’accés a l’historial de l’ordinador corporatiu en dues finalitats concretes: aclarir una possible suplantació d’identitat, i garantir la seguretat del sistema informàtic del centre.

Així mateix, va sostenir que l’accés es va limitar exclusivament a aquestes finalitats i va posar de manifest l’existència de normativa sectorial aplicable i de directrius internes degudament documentades, com ara guies d’ús, manual de benvinguda, normes d’organització i funcionament, entre d’altres que es faciliten als docents del centre i que regulen els criteris d’utilització de les tecnologies de la informació i dels dispositius digitals corporatius.

Per la seva banda, la persona denunciant va considerar que l’accés havia estat indegut, atès que no s’havia sol·licitat el seu consentiment per accedir a un ordinador que, si bé no era de caràcter personal, es trobava a l’aula on impartia classe. En aquest sentit, va assenyalar que les dades afectades eren les generades per les navegacions a internet realitzades des d’una adreça IP concreta, les quals tenen la consideració de dades personals.

L’APDCAT inicia la seva anàlisi descartant el consentiment com a base jurídica adequada i considera més fonamentades altres bases de legitimació previstes a l’article 6.1.b), c) i e) del Reglament General de Protecció de Dades (RGPD), com ara la relació contractual, l’interès legítim o l’interès públic.

La valoració de l’accés i el corresponent judici de proporcionalitat es fonamenten en diversos elements clau:

En primer lloc, l’entitat pot accedir als continguts dels mitjans digitals facilitats als treballadors d’acord amb l’article 87 de la Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals (LOPDGDD). A això s’afegeix la Recomanació CM/Rec(2015)5 del Comitè de Ministres del Consell d’Europa, d’1 d’abril de 2015, relativa al tractament de dades en l’àmbit laboral, que estableix, entre d’altres principis, la possibilitat d’accedir a les comunicacions electròniques dels empleats quan aquests han estat degudament informats.

No obstant això, l’Autoritat recorda que el principi de licitud ha d’anar necessàriament vinculat al principi de minimització. En conseqüència, qualsevol control ha de constituir una resposta proporcional davant riscos potencials, ponderant adequadament el dret a la vida privada i els altres interessos legítims dels treballadors. Això implica que les dades tractades amb finalitats de revisió han de ser adequades, pertinents i no excessives en relació amb la necessitat que justifica la seva recollida.

En termes generals, qualsevol mesura de monitorització ha d’aplicar-se sota aquests criteris. Si existeix una alternativa que permeti assolir l’objectiu perseguit amb una menor intromissió en la vida privada dels treballadors, l’ocupador està obligat a valorar i, si escau, aplicar aquesta opció.

En definitiva, l’accés als mitjans corporatius s’ha de dur a terme de la manera menys invasiva possible i, en tot cas, havent informat prèviament les persones treballadores afectades. El responsable del tractament ha d’oferir una resposta proporcional als riscos que gestiona, tenint sempre en consideració la privadesa legítima i els altres interessos dels treballadors.