L'Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a DYNAMIC EXPRESS COURIER S.L. amb 15.000 euros per incompliments de l'article 28 del RGPD en el marc d'un servei de recollida documental per a ING. La resolució ofereix una lliçó clara per a qualsevol organització que actuï com a encarregat del tractament i recorri a tercers en la prestació del servei.
Més enllà de l'extraviament de documentació bancària amb dades altament sensibles, el focus de l'AEPD se situa en una cosa estructural: la gestió de la cadena de subcontractació i el compliment formal—i material—de les exigències de l'article 28 RGPD.
Els fets: una cadena de subencàrrecs sense control efectiu
ING, com a responsable del tractament, va contractar a DYNAMIC com a encarregat per a la recollida de documentació de clients. Durant la vigència del contracte (1 de setembre de 2022 a 28 de febrer de 2023), DYNAMIC va recórrer a SENDING com subencarregat.
Al seu torn, SENDING va subcontractar a AUTORADIO per a executar materialment la recollida de la documentació. El problema no va ser només operatiu (la documentació mai va arribar a destí), sinó jurídic:
- No constava autorització prèvia i per escrit d'ING per a comptar amb SENDING com a subencarregat.
- Tampoc es va acreditar que ING hagués estat informada de la intervenció d’AUTORADIO.
- Els contractes de subencàrrec aportats no complien plenament amb les exigències del RGPD.
L'AEPD declara provat que DYNAMIC tenia coneixement de la intervenció d’AUTORADIO i que no ho va comunicar al responsable.
Article 28.2 RGPD: l'autorització no és un formalisme
L'article 28.2 RGPD estableix que l'encarregat no podrà recórrer a un altre encarregat sense l'autorització prèvia, específica o general, del responsable.
En aquest cas, el contracte entre ING i DYNAMIC exigia autorització prèvia i expressa per a subcontractar. No obstant això, no constava autorització per a SENDING ni comunicació relativa a AUTORADIO.
L'AEPD aprecia dues infraccions de l'article 28.2 RGPD:
- Subencarregar sense autorització prèvia i per escrit.
- No informar el responsable sobre canvis en la cadena de subcontractació.
El missatge és clar: el responsable ha de poder conèixer, controlar i, si és el cas, oposar-se als subencarregats que intervenen en el tractament.
Article 28.4 RGPD: el contracte de subencargo ha de ser adequat
La resolució també analitza l'article 28.4 RGPD, que exigeix que el subencarregat assumeixi les mateixes obligacions en matèria de protecció de dades que les establertes entre responsable i encarregat.
Els contractes entre DYNAMIC i SENDING presentaven deficiències rellevants: no identificaven correctament al responsable (ING) i no reflectien adequadament el marc contractual específic.
L'AEPD conclou que no n'hi ha prou amb tenir «algun contracte» de protecció de dades. El contingut ha d'ajustar-se al RGPD i a les instruccions concretes del responsable.
La sanció: tres infraccions, 15.000 euros
Finalment, l'AEPD imposa:
- 5.000 € per subencarregar a SENDING sense autorització (art. 28.2 RGPD).
- 5.000 € per no informar sobre la intervenció d’AUTORADIO (art. 28.2 RGPD).
- 5.000 € per no comptar amb un contracte de subencàrrec vàlid amb SENDING (art. 28.4 RGPD).
Total: 15.000 euros.
Conclusió: la responsabilitat en cadena també és responsabilitat jurídica
Aquesta resolució recorda que l'article 28 RGPD no és una clàusula estàndard que es copia i enganxa en els contractes. És un mecanisme essencial per a garantir que els drets dels interessats es preservin al llarg de tota la cadena de tractament.
Per a responsables i encarregats, la lliçó és evident:
- Identificar i documentar tots els subencarregats.
- Exigir autorització prèvia quan així s'estableixi.
- Formalitzar contractes plenament alineats amb el RGPD.
- Mantenir traçabilitat i control real sobre la cadena de proveïdors.
En protecció de dades, delegar la prestació del servei no implica delegar la responsabilitat. I quan el control es dilueix en la cadena de subcontractació, el risc—jurídic i reputacional—es multiplica.
Com sempre, cuideu les dades i cuideu-vos!
Per llegir la resolució, feu clic aquí.
