Multa de la Agencia Española de Protección de Datos a un encargado del tratamiento por recurrir a otro sin autorización del responsable del tratamiento

La Agencia Española de Protección de Datos (AEPD) ha sancionado a un encargado de tratamiento por vulnerar los artículos 28.2 y 58.1 del Reglamento General de Protección de Datos (RGPD) al recurrir a otro encargado de tratamiento sin informar ni obtener la autorización previa del responsable de tratamiento. El infractor tampoco proporcionó a la AEPD los documentos que le fueron requeridos durante la inspección.

A través de la resolución de procedimiento sancionador PS/00668/2022, publicada con fecha 30 de mayo de 2022, la AEPD impuso una multa de 10.000 euros a un encargado del tratamiento por contratar a otro (considerado como “subencargado” según la terminología utilizada en protección de datos). Con dicha resolución, la AEPD resuelve la reclamación interpuesta contra una empresa de suministro de energía por una llamada telefónica realizada por una de sus comercializadoras, que actuaba como encargado del tratamiento al tratar datos personales por cuenta de aquella.

En este caso hay que prestar atención a que el encargado del tratamiento que tenía encomendados, entre otros servicios, la realización de acciones de venta telefónica, debía recabar la autorización “expresa, previa y escrita” del responsable del tratamiento para poder subcontratar a otra empresa. En concreto, en los documentos firmados entre ambas entidades, entre los que se incluía un “Contrato de Encargado del Tratamiento”, se indicaba expresamente que el encargado no podía subcontratar “aquellos derechos y obligaciones derivadas del contrato” sin la autorización ya citada. Además, se preveía que el encargado del tratamiento tenía la obligación de comunicar con una antelación mínima de un mes el concreto servicio cuya subcontratación se pretendía, así como los datos de aquel tercero con el que se pretendía subcontratar -ello con el fin de que el responsable del tratamiento tuviera la oportunidad de oponerse a tales cambios-. Esta cláusula cumplía con la previsión contenida en el artículo 28.3 d) del RGPD por cuanto establecía que el encargado debía “[respetar] las condiciones indicadas en los apartados 2 y 4 [del art. 28 RGPD] para recurrir a otro encargado del tratamiento”.

Resulta que el encargado del tratamiento recurrió a otro encargado (el “subencargado”), sin disponer de autorización -ni específica ni general- previa y por escrito del responsable del tratamiento.

La actuación llevada a cabo por el encargado implicaba tanto un incumplimiento del “Contrato de Servicios” y del “Contrato de Encargo del Tratamiento” celebrados con la empresa suministradora, como una infracción del artículo 28 del RGPD, que en su apartado segundo establece que “el encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios”. El incumplimiento de esta disposición se encuentra tipificado como infracción en el artículo 83.4 a) del RGPD, que debe ponerse en relación con los artículos 71 y 73 de la LOPDGDD. A partir de este último artículo se extrae que la infracción es grave y prescribe a los dos años¹.  

A esta infracción hay que añadir otra más: la del artículo 58.1 del RGPD, ya que, durante la inspección llevada a cabo por la AEPD, la encargada del tratamiento no facilitó la información que le fue requerida mediante escritos debidamente notificados en dos ocasiones por los Servicios de Inspección. El citado artículo atribuye una serie de poderes de investigación a las autoridades de protección de datos, entre los que se encuentra (apartado a) “ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones”. Esta infracción se encuentra tipificada en el artículo 83.5 e) del RGPD, que debe ser puesto en relación con el artículo 72.1.ñ) de la LOPDGDD, y en el que la conducta tipificada se califica de muy grave² , prescribiendo la infracción a los tres años.

Como consecuencia de ambas infracciones, la sanción impuesta a la encargada del tratamiento asciende a 10.000 euros de multa por la infracción consistente en la vulneración del artículo 28 del RGPD, en los términos ya expuestos, y otra sanción de 5.000 euros por desatender las solicitudes de los Servicios de Inspección de la AEPD.

Aunque el encargado del tratamiento interpuso recurso de reposición contra la resolución dictada por la Directora de la AEPD, este fue desestimado porque se consideró que “la parte recurrente no [aportó] nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada”. Contra esta última resolución el encargado del tratamiento podría interponer recurso contencioso-administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.

En cualquier caso, se trata de una nueva resolución de la AEPD que impone una multa a un encargado del tratamiento por el incumplimiento de sus obligaciones, siendo recomendable que, como ocurrió en este caso, el responsable del tratamiento adopte medidas para establecer claramente por vía contractual qué puede o no hacer el encargado del tratamiento.

^[1] Artículo 73 LOPDGDD: “En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes: (…) l) La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles. (…)”.

^[2] Artículo 72.1 de la LOPDGDD: ““ñ) No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación. o) La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente”.