La Agencia Española de Protección de Datos (AEPD) ha sancionado a DYNAMIC EXPRESS COURIER S.L. con 15.000 euros por incumplimientos del artículo 28 del RGPD en el marco de un servicio de recogida documental para ING. La resolución ofrece una lección clara para cualquier organización que actúe como encargado del tratamiento y recurra a terceros en la prestación del servicio.
Más allá del extravío de documentación bancaria con datos altamente sensibles, el foco de la AEPD se sitúa en algo estructural: la gestión de la cadena de subcontratación y el cumplimiento formal—y material—de las exigencias del artículo 28 RGPD.
Los hechos: una cadena de subencargos sin control efectivo
ING, como responsable del tratamiento, contrató a DYNAMIC como encargado para la recogida de documentación de clientes. Durante la vigencia del contrato (1 de septiembre de 2022 a 28 de febrero de 2023), DYNAMIC recurrió a SENDING como subencargado.
A su vez, SENDING subcontrató a AUTORADIO para ejecutar materialmente la recogida de la documentación. El problema no fue solo operativo (la documentación nunca llegó a destino), sino jurídico:
- No constaba autorización previa y por escrito de ING para contar con SENDING como subencargado.
- Tampoco se acreditó que ING hubiera sido informada de la intervención de AUTORADIO.
- Los contratos de subencargo aportados no cumplían plenamente con las exigencias del RGPD.
La AEPD declara probado que DYNAMIC tenía conocimiento de la intervención de AUTORADIO y que no lo comunicó al responsable.
Artículo 28.2 RGPD: la autorización no es un formalismo
El artículo 28.2 RGPD establece que el encargado no podrá recurrir a otro encargado sin la autorización previa, específica o general, del responsable.
En este caso, el contrato entre ING y DYNAMIC exigía autorización previa y expresa para subcontratar. Sin embargo, no constaba autorización para SENDING ni comunicación relativa a AUTORADIO.
La AEPD aprecia dos infracciones del artículo 28.2 RGPD:
- Subencargar sin autorización previa y por escrito.
- No informar al responsable sobre cambios en la cadena de subcontratación.
El mensaje es claro: el responsable debe poder conocer, controlar y, en su caso, oponerse a los subencargados que intervienen en el tratamiento.
Artículo 28.4 RGPD: el contrato de subencargo debe ser adecuado
La resolución también analiza el artículo 28.4 RGPD, que exige que el subencargado asuma las mismas obligaciones en materia de protección de datos que las establecidas entre responsable y encargado.
Los contratos entre DYNAMIC y SENDING presentaban deficiencias relevantes: no identificaban correctamente al responsable (ING) y no reflejaban adecuadamente el marco contractual específico.
La AEPD concluye que no basta con tener «algún contrato» de protección de datos. El contenido debe ajustarse al RGPD y a las instrucciones concretas del responsable.
La sanción: tres infracciones, 15.000 euros
Finalmente, la AEPD impone:
- 5.000 € por subencargar a SENDING sin autorización (art. 28.2 RGPD).
- 5.000 € por no informar sobre la intervención de AUTORADIO (art. 28.2 RGPD).
- 5.000 € por no contar con un contrato de subencargo válido con SENDING (art. 28.4 RGPD).
Total: 15.000 euros.
Conclusión: la responsabilidad en cadena también es responsabilidad jurídica
Esta resolución recuerda que el artículo 28 RGPD no es una cláusula estándar que se copia y pega en los contratos. Es un mecanismo esencial para garantizar que los derechos de los interesados se preserven a lo largo de toda la cadena de tratamiento.
Para responsables y encargados, la lección es evidente:
- Identificar y documentar todos los subencargados.
- Exigir autorización previa cuando así se establezca.
- Formalizar contratos plenamente alineados con el RGPD.
- Mantener trazabilidad y control real sobre la cadena de proveedores.
En protección de datos, delegar la prestación del servicio no implica delegar la responsabilidad. Y cuando el control se diluye en la cadena de subcontratación, el riesgo—jurídico y reputacional—se multiplica.
Como siempre, cuidad los datos y ¡cuidaos!
Para leer la resolución, haga clic aquí.
