Cada día nos encontramos con grandes retos para las organizaciones en esta era digital. Actualmente, no basta con firmar un contrato con un proveedor tecnológico ni con cumplir formalmente lo que exige el Reglamento General de Protección de Datos (RGPD). Las autoridades reclaman un esfuerzo mayor: que responsables y encargados del tratamiento sean capaces de demostrar que las medidas implantadas son eficaces y que responden a los riesgos reales a los que se enfrentan los datos.
Una reciente resolución de la Agencia Española de Protección de Datos (AEPD), que culminó con una sanción de 180.000 euros a una gran entidad financiera tras un ciberataque sufrido por su proveedor, refuerza esta idea. La multa, inicialmente de 300.000 euros y reducida gracias al reconocimiento de responsabilidad y al pago voluntario, nos recuerda que la responsabilidad última siempre recae en el responsable del tratamiento.
El incidente: una brecha con dos protagonistas
El caso comenzó en agosto de 2023, cuando un proveedor tecnológico notificó a la AEPD un ataque de ransomware que había afectado a varios de sus clientes. Poco después, la entidad responsable del tratamiento presentó también su propia notificación, confirmando que entre los datos comprometidos se encontraba información de su titularidad.
La brecha impactó en dos dimensiones: la confidencialidad y la disponibilidad. Los atacantes lograron acceder a datos personales, entre ellos información identificativa de antiguos empleados, con especial mención a números de DNI. Aunque los datos no llegaron a difundirse en abierto, quedó acreditado que los ciberdelincuentes accedieron a parte de ellos, lo que basta para considerar que la confidencialidad se había visto comprometida. Conviene subrayar que, conforme al artículo 4.12 del RGPD, no es necesaria la publicación masiva de la información para que exista una violación de seguridad. El simple acceso indebido o la pérdida temporal de disponibilidad son suficientes para configurar una brecha.
Las carencias detectadas
El análisis de la AEPD sacó a la luz dos tipos de incumplimiento especialmente relevantes. El primero afectaba directamente al principio de integridad y confidencialidad. Las medidas aplicadas por la organización no eran suficientes para evitar el incidente ni para mitigar sus efectos. Algunas de las mejoras que se presentaron como prueba fueron implantadas solo después del ataque, lo que evidenció la ausencia de una estrategia preventiva eficaz y la existencia de fallos en la configuración y el control de los sistemas que facilitaron la intrusión.
El segundo incumplimiento estaba relacionado con la gestión de la relación con el proveedor. El contrato de encargo del tratamiento incluía cláusulas demasiado genéricas y no detallaba instrucciones claras ni medidas de seguridad concretas. Tampoco incorporaba previsiones adecuadas sobre los plazos de conservación de los datos, lo que generó un problema añadido: información de antiguos empleados, algunos desvinculados desde hacía casi una década, seguía almacenada en los sistemas del encargado de tratamiento. Esta acumulación de datos obsoletos multiplicó el impacto de la brecha y reveló la falta de una política efectiva de depuración.
La Agencia insistió en que el responsable del tratamiento no puede limitarse a firmar un documento y desligarse. Es imprescindible supervisar, auditar y comprobar que el proveedor cumple con lo pactado, porque la responsabilidad de fondo nunca desaparece.
En el supuesto aquí analizado no ha dado debido cumplimiento al artículo 28 del RGPD, puesto que los plazos de conservación de los datos personales deben ser aplicados con independencia de por quién se realice materialmente el tratamiento, sea este el responsable o el encargado. El contrato de encargo tiene que incorporar y estar adaptado a los plazos de conservación del tratamiento. A este respecto, carece de sentido que el responsable suprima los datos cuando proceda en aplicación del principio del artículo 5.1.d) del RGPD mientras que el encargado los mantuviera indefinidamente hasta la finalización del contrato (que podría tener una duración superior a la de la conservación de los datos).
El análisis jurídico de la AEPD
El procedimiento sancionador se fundamentó en dos disposiciones clave del RGPD. El artículo 5.1.f, que recoge el principio de integridad y confidencialidad, obliga a tratar los datos con una seguridad adecuada que evite accesos indebidos, pérdidas o daños accidentales. Por su parte, el artículo 28 regula la relación con los encargados y exige que el contrato establezca con claridad el objeto, la duración, la naturaleza y la finalidad del tratamiento, además de detallar las medidas de seguridad y los plazos de conservación aplicables.
La Agencia recalcó que no es necesario que exista intención dolosa para que se configure una infracción. Basta con que las medidas resulten insuficientes en relación con el riesgo. En este caso, la falta de concreción contractual y la conservación innecesaria de datos antiguos constituían infracciones evidentes del RGPD.
La sanción y sus consecuencias
La AEPD fijó inicialmente una sanción de 300.000 euros, de los que 250.000 correspondían a la vulneración del principio de integridad y confidencialidad y 50.000 a las deficiencias en la relación con el encargado. Finalmente, tras el reconocimiento de responsabilidad y el pago voluntario, la cifra quedó en 180.000 euros. Sin embargo, la rebaja económica no exime de la obligación de aplicar las medidas correctoras exigidas.
La entidad deberá demostrar en un plazo de tres meses que ha reforzado sus mecanismos de seguridad, garantizando la confidencialidad y la integridad de los datos, y que ha formalizado un contrato de encargo conforme a lo dispuesto en el artículo 28 del RGPD, con cláusulas específicas sobre plazos de conservación y medidas de protección. De este modo, la Agencia deja claro que su actuación no se limita a sancionar, sino que busca que las organizaciones corrijan sus deficiencias y alcancen un nivel de cumplimiento real y efectivo.
Reflexiones finales
La resolución analizada muestra con claridad que una brecha de seguridad no solo compromete la información, sino que también pone a prueba la solidez de las relaciones contractuales y de la gobernanza de los datos dentro de una organización. Firmar un contrato estándar no es suficiente: la clave está en que exista un control constante, instrucciones precisas y medidas técnicas adaptadas al riesgo.
El caso pone de relieve la importancia de contar con políticas activas de conservación y supresión de información, de supervisar de manera real a los proveedores y de reforzar la protección de datos. Todo ello responde a una idea central: la responsabilidad es intransferible y siempre recae en el responsable del tratamiento, aunque el origen del fallo se encuentre en un tercero.
En un contexto donde los ciberataques son inevitables, las organizaciones deben asumir que la pregunta no es si sufrirán un incidente, sino cuándo. La diferencia estará en la preparación: prevenir con medidas sólidas, supervisar de forma constante y eliminar datos innecesarios. Solo así se protege no solo el cumplimiento normativo, sino la confianza de clientes, empleados y la sociedad en general.
Si quieres conocer más sobre contratos de encargados de tratamiento, puedes consultar otras entradas de nuestro blog pinchando aquí.
