La mala gestión del contrato con el proveedor puede costar caro: sanción de la AEPD
Locations
La Agencia Española de Protección de Datos («AEPD» o «Agencia») cerró, recientemente, un procedimiento sancionador que vuelve a poner el foco en uno de los temas más sensibles del cumplimiento normativo de protección de datos: la gestión de los encargados de tratamiento y la supervisión efectiva de los prestadores de servicios tecnológicos. En esta ocasión, la resolución sancionadora afecta a una entidad del sector financiero y a su proveedor tecnológico, ambos implicados en una brecha de seguridad que comprometió la confidencialidad y disponibilidad de datos personales.
Antecedentes
El caso se remonta a agosto de 2023, cuando el proveedor notificó a la AEPD un ciberataque tipo ransomware que había afectado a la confidencialidad y disponibilidad de los datos personales. El ataque provocó la pérdida temporal de acceso a la información y la posible exposición de datos personales pertenecientes a los empleados de distintas empresas clientes, entre ellas la parte reclamada. Dos meses después, esta última notificó también la brecha, confirmando que se trataba del mismo incidente y reconociendo su condición de responsable del tratamiento.
A raíz de la comunicación enviada a los afectados, un antiguo empleado presentó una reclamación ante la AEPD, lo que dio origen a una investigación que ha acabado con una sanción relevante y una serie de lecciones para las organizaciones que externalizan servicios con acceso a datos personales.
Durante su investigación, la AEPD constató que la brecha se produjo por un fallo de seguridad en los sistemas del proveedor, quien actuaba como encargado del tratamiento. Sin embargo, el análisis fue más allá de la causa técnica del incidente. La AEPD examinó también las obligaciones de la reclamada como responsable del tratamiento y encontró deficiencias significativas en su forma de gestionar la relación con dicho proveedor.
El contrato de encargo de tratamiento
El contrato de encargo del tratamiento firmado entre ambas partes, según la AEPD, se limitaba a reproducir cláusulas genéricas del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos («RGPD») sin concretar las medidas de seguridad aplicables, los mecanismos de supervisión o los plazos de conservación de los datos. Tampoco se aportaron evidencias conforme la parte reclamada hubiese emitido instrucciones específicas o realizado auditorías para verificar el cumplimiento de dichas obligaciones.
A esta falta de definición contractual se sumó otro aspecto relevante: la conservación prolongada de datos personales. La AEPD señaló que el responsable del tratamiento podía mantener información que ya no era necesaria a efectos de tratamientos de datos, y que esa ausencia de política de supresión contribuyó a que los datos se vieran afectados por el ciberataque. Según la Agencia, si se hubieran definido y aplicado correctamente los plazos de conservación, una parte de la información comprometida habría debido ser eliminada con anterioridad.
Infracciones
A partir de estos hechos, la AEPD concluyó que la reclamada vulneró dos preceptos esenciales del RGPD. En primer lugar, el artículo 5.1.f), relativo al principio de integridad y confidencialidad, al no garantizar una seguridad adecuada frente a accesos no autorizados ni adoptar medidas suficientes para preservar la disponibilidad de los datos. En segundo lugar, el artículo 28, que regula la relación entre responsables y encargados del tratamiento, al no reflejar de manera adecuada en el contrato los elementos mínimos exigidos por la normativa europea.
La falta de supervisión y el carácter genérico del contrato llevaron a la Agencia a considerar que la entidad había incurrido en una conducta negligente. Por todo ello, impuso una multa total de 300.000 euros, de los cuales 250.000 correspondían a la infracción del artículo 5.1.f) del RGPD y 50.000 al incumplimiento del artículo 28 del mismo texto normativo.
Además de la sanción económica, la AEPD ordenó a la reclamada que, en el plazo de tres meses, acreditara la implementación de medidas técnicas y organizativas adecuadas y la adaptación de sus contratos de encargo del tratamiento a los requisitos legales. De no hacerlo, advirtió, podría enfrentarse a un nuevo procedimiento sancionador.
Consideraciones finales
Más allá de la cuantía de la multa, la resolución es significativa porque reafirma un principio que a menudo se olvida: la responsabilidad del tratamiento no se delega con la firma de un contrato. Aunque el incidente se originó en los sistemas del proveedor, la AEPD recuerda que el responsable (en este caso, la parte reclamada) sigue siendo quien determina los fines y medios del tratamiento y, por tanto, quien debe garantizar que el encargado actúe conforme al RGPD.
La Agencia subraya que el cumplimiento formal, esto es, disponer de un contrato firmado, no es suficiente. El contrato debe reflejar con precisión las condiciones del tratamiento, las medidas de seguridad, las instrucciones documentadas del responsable, los procedimientos de notificación de incidentes y los plazos de conservación o supresión de datos. De igual forma, es esencial que el responsable supervise activamente al encargado, bien mediante auditorías, bien mediante revisiones periódicas o mecanismos de control interno.
El caso referenciado pone de relieve la importancia de abordar los contratos de encargo del tratamiento con un enfoque técnico-jurídico y no como un mero trámite. En un tiempo en el que la mayoría de las empresas externalizan parte de sus servicios, resulta imprescindible que cada relación con proveedores que accedan a datos personales esté definida, revisada y actualizada conforme a los estándares del RGPD.
En definitiva, esta resolución actúa como un nuevo aviso para el sector empresarial: la diligencia debida no termina con la elección de un proveedor confiable. Solo mediante una gestión contractual precisa, controles periódicos y un enfoque proactivo en materia de cumplimiento normativo se puede garantizar la verdadera protección de los datos personales.