La novedad, además de la importante cuantía de la multa, es la orden a Vodafone para que, en el plazo de seis meses a contar desde la notificación de la Resolución, acredite que ha ajustado a lo dispuesto en el RGPD y LOPDGDD todas las operaciones de tratamiento analizadas en el procedimiento sancionador.
Con ello la AEPD pretende evitar, a futuro, conductas que venían siendo, según ella misma manifiesta, un patrón de conducta de la empresa sancionada:
“…de las reclamaciones presentadas se infiere un patrón de conducta en el tratamiento de los datos personales en relación con las operaciones de marketing de Vodafone (que incluye la negligencia grave en su actuación y la inacción) que impacta directamente, y de manera general e indiscriminada, en los derechos y libertades de los ciudadanos.”
Varias son las cuestiones relevantes que destacamos de una primera lectura:
El concepto de responsable del tratamiento.
Es importante identificar adecuadamente los roles en las operaciones de tratamiento de datos.
En la resolución que comentamos Vodafone asigna el rol de responsable de tratamiento a las empresas propietarias de las bases de datos con las que se efectúa la actividad de mercadotecnia.
Dice la AEPD, que
“Los conceptos de responsable y encargado de tratamiento no son formales, sino funcionales y deben atender al caso concreto. La denominación por parte de Vodafone de “responsables del tratamiento” a sus colaboradores, no les confiere automáticamente la condición.”
Vodafone alega que “no puede ser responsable del tratamiento de la práctica totalidad de los datos personales objeto de análisis en el presente procedimiento, en tanto no es la entidad que facilita las bases de datos en cuestión, no pone los medios a los colaboradores para realizar el tratamiento de los datos, ni tampoco decide, ni fija en modo alguno, los parámetros identificativos de los destinatarios de la acción comercial, siendo esta realizada de forma completamente independiente, y a su mejor criterio, por parte de los colaboradores”.
Sin embargo, según la AEPD, sí está determinando los medios del tratamiento cuando elige que los colaboradores utilicen sus propias bases de datos, especialmente elaborados para Vodafone, y les permite cierto margen de actuación respecto de los parámetros identificativos de los destinatarios de la acción comercial. Aunque las bases de datos no sean de Vodafone, si cuentan con su aprobación y se elaboran por los colaboradores específicamente para ella después de pasar diversos filtros.
En la resolución la AEPD considera que, pese a que las bases de datos no sean propiedad de Vodafone, ésta es la responsable del tratamiento y sobre ella recaen las acciones de asegurar el cumplimiento del RGPD y el deber de acreditar su responsabilidad proactiva aportando documentos que tengan plena validez jurídica (arts. 1254, 1258 y 1261 del Código Civil).
El contrato entre el responsable y el encargado de tratamiento
Es importante la interpretación que se hace de la Disposición transitoria 5ª de la LOPDGDD relativa a que los contratos con los encargados de tratamientos que se encontraran en vigor antes del 25 de mayo de 2018 mantienen su vigencia hasta el 25 de mayo de 2022.
La AEPD aclara que dicha vigencia se mantendrá siempre y cuando su contenido se ajuste a los principios dispuestos en el RGPD y la LOPDGDD, pues la DT 5ª sólo hace referencia a la conformidad del contrato con el artículo 28 del RGPD.
De aquí extraemos una conclusión importante: Revisemos los contratos con los encargados de tratamiento que estén en vigor y sean anteriores al 25 de mayo de 2018 pues podríamos estar incurriendo en un incumplimiento del Reglamento si no se recogen en ellos los principios del propio RGPD.
La relación entre responsable y encargado de tratamiento no termina con la firma del contrato de tratamiento, sino que es necesario un seguimiento durante toda la vida del mismo, verificando las posibles deficiencias e imponiendo medidas correctoras. Exigir la corrección y ajuste de las medidas técnicas y organizativas es una labor del Responsable de tratamiento. Y esta labor no puede quedar en un correo electrónico donde se informe a los encargados de tratamiento de sus obligaciones.
El contrato con el encargado de tratamiento obliga a una verificación previa y efectiva pero las obligaciones no terminan en el momento de celebrar el contrato y la AEPD insta a los responsables a verificar las garantías del proveedor en intervalos apropiados.
“Los correos electrónicos qué Vodafone envía a algunos de sus encargados de tratamiento recordándoles sus obligaciones en materia de Protección de Datos son insuficientes en el marco de la responsabilidad proactiva. Resulta claramente perceptible la insuficiencia de las “medidas” adoptadas por el hecho indubitado de que la problemática examinada en este procedimiento sancionador se sigue produciendo sin solución de continuidad”.
Dice la AEPD que si los encargados del tratamiento hubieran incumplido cualquiera de los términos que constituyen el núcleo duro del objeto del contrato (campañas de mercadotecnia) Vodafone no se hubiera limitado a enviar correos recordatorios de que tienen que ejecutar el contrato, sino que hubiera impuesto penalidades o incluso procedido a la resolución del contrato. La misma diligencia es la que tiene que aplicarse respecto de la responsabilidad proactiva y la Protección de Datos. En consecuencia, procede rechazar la alegación al hacer quedado acreditado la falta de diligencia debida por el responsable (Vodafone) en el seguimiento y monitoreo de los tratamientos de datos objeto de encargo.
El incumplimiento por parte del encargado del tratamiento del contrato suscrito con el Responsable de tratamiento debería de haber tenido consecuencias y no las tuvo.
Destacamos este punto de la resolución pues pareciera que la AEPD invita a los responsables a verificar el cumplimiento del encargado e incluso a penalizar los incumplimientos como forma de demostrar la responsabilidad proactiva.
La figura del subencargado del tratamiento y las obligaciones del responsable respecto aquel.
También es fundamental verificar el cumplimiento del contrato a los subencargados del tratamiento.
Vodafone incluye como obligación contractual genérica que se trasladen las instrucciones a los subencargados del tratamiento por cuenta de Vodafone para que se realicen las acciones de mercadotecnia en los términos indicados por Vodafone, pero sin garantías para acreditar su cumplimiento.
Vodafone no conoce con anterioridad la cualificación técnica y organizativa de las entidades subcontratadas ni su capacidad para el cumplimiento de la normativa vigente.
Se discute si la necesidad de autorización por parte del Responsable de los subencargados de tratamiento tiene que ser o no previa a la contratación.
Recuerda la AEPD que el artículo 28.2 del RGPD señala que
“El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios”.
Esto implica que se requerirá autorización previa y por escrito para que el encargado del tratamiento pueda recurrir a otro encargado. Y que dicha autorización puede ser específica (con indicación de la entidad subcontratada) o general. Sólo en este último supuesto, ya existiendo autorización general por parte del responsable del tratamiento, es cuando se ha de informar de cambios en la incorporación o sustitución de otros encargados, respecto de la cual, además, puede oponerse el Responsable del tratamiento (por ejemplo, si no reúne las medidas técnicas u organizativas que se fijaron en la autorización general). De lo anterior, se concluye que la autorización previa siempre es obligatoria.
La autorización previa a la subcontratación de encargados debe evaluar, en todo caso y entre otras cuestiones, las condiciones técnicas y organizativas con las que cuenta el encargado del tratamiento para llevar a cabo el contrato. Tal y como está configurada en el artículo 28.2 del RGPD no es una simple comunicación de índole formal, sino que constituye un verdadero requisito material de cumplimiento del RGPD.
Es evidente que es necesario controlar a los subencargados de tratamiento.
Transferencias internacionales de datos de los subencargados de tratamiento.
La AEPD localiza en sus diligencias de actuación un listado de subencargados de tratamiento entre los que se encuentra una empresa que ubica el tratamiento en Perú sin que conste acreditado que se disponga de un contrato que contenga las preceptivas clausulas contractuales tipo para las transferencias de datos a terceros países.
El responsable de la transferencia sin las medidas adecuadas es, a juicio de la AEPD, Vodafone y no el encargado, con arreglo al articulo 28.3.a) del RGPD.
Ello conlleva el incumplimiento del articulo 44 del RGPD y la aplicación del articulo 83.5.c) del RGPD y la consideración de infracción muy grave a efectos de prescripción en el articulo 72.I) de la LOPDGDD.
Es importante señalar que la infracción del Artículo 28 del RGPD (Encargado de tratamiento) en relación con el artículo 24 del RGPD (Responsable de tratamiento), tipificada conforme al artículo 83.4.a) del RGPD se sanciona en este procedimiento con una sanción administrativa de cuantía cuatro millones de euros (4.000.000 €). Y la infracción del artículo 44 del RGPD (Principios generales de las transferencias de datos a terceros países) tipificada conforme al artículo 83.5.c) del RGPD, se sanciona con sanción administrativa de cuantía dos millones de euros (2.000.000 €).
Seguiremos analizando esta importante resolución…
Delegado de Protección de Datos acreditado por AEC.
©Legal Compliance, S.L.
