Sanción AEPD: El Responsable del Fichero “también” responde del incumplimiento del Encargado
En esta ocasión queremos hablaros de una sanción que la Agencia Española de Protección de Datos (AEPD) ha impuesto a dos empresas, una que actuaba como responsable de fichero y otra como encargada de tratamiento de la anterior. El motivo de la sanción es el incumplimiento del deber de información regulado en el art. 5 de la Ley de Protección de datos (LOPD).
La primera de ellas, responsable del fichero, encomendó a la segunda, encargada de tratamiento, la gestión de los servicios de “Call Center” de ésta.
En su defensa inicial, el responsable del fichero y el encargado de tratamiento alegaron que la LOPD no les es aplicable porque tratan datos de entidades jurídicas, y en su caso, de las personas que trabajen para estas entidades, por lo que les sería de aplicación la excepción del art. 2.2 del Reglamento que desarrolla la LOPD (RDLOPD). Pero a lo largo del procedimiento se ha demostrado que se trataban datos de otras personas como familiares o cualquier persona que llamase al “Call Center” con motivo de la relación con la responsable del fichero y se atendían llamadas por personas interesadas en adquirir vehículos de ocasión, siendo desestimada dicha excepción del art. 2.2 del RDLOPD
El origen de la denuncia
Partió del representante sindical que denunció que si bien las llamadas recibidas por el “Call Center” se grababan por acuerdo entre las partes, posteriormente el encargado de tratamiento, y por su cuenta envió un correo electrónico a los coordinadores del servicio diciendo a sus empleados que no se debía informar a los llamantes de que las conversaciones eran grabadas.
La AEPD resuelve que existe corresponsabilidad de ambas entidades
La resolución pone de manifiesto que: “Es al responsable del fichero y tratamiento, a quien corresponde adoptar las cautelas para el cumplimiento de los mandatos de la LOPD y su inobservancia le hace responsable del tratamiento de datos objeto de de la denuncia, con independencia de la actuación del encargado del tratamiento” añadiendo que “no ha aportado elementos de juicio suficientes que permitan entender que dio instrucciones precisas al respecto y no había previsto ningún mecanismo ni establecido ningún control al respecto, ni una obligación cierta, expresa y determinada”
Esta corresponsabilidad, viene marcada en la sentencia que establece: “Sobre este particular decir que interpreta el art. 12.4 de la LOPD la sentencia de 14/03/2007 Recurso 280/2005, que haciéndose eco de la anterior Sentencia de 13/04/2005 Rec.241/2003, establece que lo que determina la LOPD en el mismo es que si el encargado del tratamiento destina los datos a una finalidad distinta a la indicada, los comunica o los utiliza incumplido las estipulaciones del contrato “… “será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.
“El término “también” deja claro que no se establece allí un mecanismo de sustitución ni de derivación de responsabilidades sino de agregación, pues el responsable del tratamiento no pierde su condición de tal, ni queda exonerado de responsabilidad por el hecho de que al encargado del tratamiento, que incumpla lo estipulado, se le atribuya “también” la consideración de responsable del tratamiento…”
Pese al incumplimiento del encargo del Responsable del Fichero, ambos fueron sancionados con 2.300€
En definitiva, aunque el encargado de tratamiento por propia iniciativa es responsable de haber dado instrucciones específicas y expresas a sus trabajadores para que no informen sobre las grabaciones, el responsable del fichero o tratamiento responderá de las infracciones cometidos con motivo del encargo, aunque el encargado del tratamiento haya incumplido sus instrucciones, por no vigilar que esté cumpliendo con la normativa sobre protección de datos.
¿Qué conclusiones podemos extraer de todo lo expuesto?:
- El deber de información del art. 5 de la LOPD, debe ofrecerse siempre, aunque se haga de forma telefónica, incluso teniendo el consentimiento del titular de los datos para tratar los mismos, por ejemplo por motivo de un contrato previo.
- Cuando se traten datos de empresas o sus empleados, se hará siempre cumpliendo con la finalidad para los que se recabaron los mismos. Los datos de los empleados que están excluidos de la norma son nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
- Debe existir siempre un contrato, entre el responsable de fichero y el encargado de tratamiento, conforme al 12 de la LOPD, que regule la situación del tratamiento de datos por cuenta del responsable del fichero, en el que se darán instrucciones precisas de cómo se debe actuar por parte del encargado de tratamiento.
- El incumplimiento de dicho contrato, o de la normativa sobre protección de datos por parte del encargado de tratamiento, con motivo de esta relación, le convierte en responsable de tratamiento, y por tanto se le podrá sancionar. Pudiendo sancionar también al responsable del fichero por no vigilar que el encargado cumpliendo con la normativa sobre protección de datos.
Si queréis más información sobre este procedimiento lo podéis consultar en este enlace.
Desde Eurovima, recomendamos a las empresas regular muy bien las relaciones con los terceros con los que contratamos nuestros servicios y que traten/accedan a datos personales de los que somos responsables, como puedan ser asesores, hosting, informáticos, “Call Center”… y sobre todo que seamos “diligentes” a la hora de elegirlos, cuestión que genera controversia en materia LOPD, al ser un argumento que ha empleado en distintas ocasiones y sobre el que ya hemos hablado: “Nube” o Cloud Computing. Seamos diligentes…
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!