La subcontratación de un servicio no exime al responsable del tratamiento de atender los derechos de sus clientes

Viernes, 03 Julio 2020 13:26
Publicado en Blog
Escrito por  Visto 161 veces
Valora este artículo
(1 Voto)

El pasado 15 de junio el Tribunal Supremo dictaba sentencia que confirma la Resolución de La Agencia Española de Protección de Datos (AEPD) en el procedimiento PS/00290/2015, en el cual se interponía una multa de 40.001€ a la Mutua Madrileña, por incumplimiento de los preceptos recogidos en la normativa en materia de protección de datos, confirmando la no exoneración de la responsabilidad del responsable de tratamiento (en este caso, de la Mutua) al no haber atendido correctamente al derecho de oposición de envío de publicidad de uno de sus clientes ante una tercera empresa con la cual la Mutua había contratado la publicidad de sus productos.

La Mutua, por su parte, entiende que, en virtud del artículo 48 del vigente Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD), no se verían obligados a facilitar a la empresa contratista los datos de aquellos clientes que hubiesen ejercitado su derecho de oposición al envío de publicidad ante la propia Mutua. El citado artículo indica que “los responsables a los que el afectado haya manifestado su negativa a recibir publicidad podrán conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad”.

Por consiguiente, la Mutua declara no haber lugar a infracción del artículo 44.3 e) de la derogada Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal,  que actualmente se corresponde con el artículo 72.1 k) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que considera como infracción muy grave “el impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679” (RGPD).

Cabe recordar, que el RGPD recoge en su artículo 21 el derecho de oposición, pudiendo ser ejercido en cualquier momento por el interesado, siempre y cuando los datos objeto de tratamiento afecten a la licitud del mismo, en concreto en lo relativo al tratamiento en cumplimiento de una misión realizada en interés público o para satisfacer intereses legítimos perseguidos por el responsable o un tercero, conforme a lo dispuesto en los artículos 6.1 e) y f) RGPD.

El RDLOPD establece en su artículo 35.3, con relación a este ejercicio del derecho de oposición que, en todo caso y en el plazo máximo de 10 días a contar desde la recepción de la solicitud, “el responsable del fichero o tratamiento deberá excluir del tratamiento los datos relativos al afectado que ejercite su derecho de oposición o denegar motivadamente la solicitud del interesado en el plazo previsto”.

A tenor de lo expuesto, observamos que la principal cuestión que debe establecer el citado Tribunal es si la Mutua está o no obligada a hacer efectivo el derecho de oposición de su cliente, que así se lo solicitó expresamente, ante la entidad tercera contratante.

Por su parte, la Mutua alega que, de haber procedido a la comunicación a la entidad contratante de aquellos clientes que le solicitaron expresamente la oposición al envío de publicidad, se estaría produciendo una cesión no consentida de datos, en base a que el propio artículo 48 RDLOPD no contempla la cesión de datos a terceras entidades de los ficheros de exclusión.

A este respecto, el Tribunal confirma lo establecido por la AEPD en relación con esta posible “cesión inconsentida” de datos personales. La AEPD es clara en este sentido, entendiendo que la Mutua no estaría cediendo datos de manera ilícita a su empresa contratante de publicidad, al entender que “toda vez que la información que afecta al derecho de oposición se encuadra en una prestación de servicios que tiene por objeto, precisamente, la realización de publicidad a favor de MM, tratamiento no autorizado por los afectados al manifestar a la entidad de la que son clientes su negativa al mismo, tal y como ocurrió en el caso del denunciante al comunicar su negativa a este tipo de tratamiento publicitario de sus datos personales”. 

Continúa indicando la AEPD que dicha excepción a la necesidad del consentimiento para la cesión de datos de la Mutua ante la tercera entidad contratante de publicidad se vería amparada en el artículo 11.2 c) de la ya derogada LOPD 15/1999, al existir una relación jurídica entre ambas entidades, lo cual exime a la Mutua de la obligación de recabar consentimiento para tal cesión, tal y como se indica en el artículo 11.1 LOPD 15/1999.

En lo que respeta a nuestra legislación actual en materia de protección de datos y atendiendo a este supuesto en concreto, podríamos encontrar un amparo equivalente en el RGPD cuando en su artículo 6.1 b) recoge que el tratamiento (entendiendo por tratamiento también la comunicación de datos) será lícito, siempre y cuando sea necesario para la ejecución de un contrato en el que el interesado sea parte.

Atendiendo a la Resolución de la AEPD, así como a la sentencia del propio Tribunal, entendemos que la Mutua estaría actuando como responsable de tratamiento, ostentando la empresa contratante la figura de encargado de tratamiento, ambas figuras recogidas en los artículos 24 y 28 RPGD. Además, la Mutua considera que dicha obligación de hacer cumplir el derecho de oposición de su cliente ante la empresa contratante no se le puede hacer extensible, sin embargo, el Tribunal entiende que el hecho de que dicha empresa sea un encargado de tratamiento, “en absoluto exime de responsabilidad a la entidad Mutua Madrileña”.

A tenor de lo dispuesto, señala la sentencia expresamente que ”se desprende de todo lo anterior que la concurrencia, en el presente supuesto, de un encargado del tratamiento en absoluto exime de responsabilidad a la entidad Mutua Madrileña ahora recurrente (…) en cuanto los datos personales tratados lo fueron con la finalidad de llevar a cabo una campaña publicitaria respecto de seguros de coche y moto que comercializaba la Mutua Madrileña, en definitiva en beneficio de dicha MM, siendo tal entidad actora la que, en último término, determina los fines y medios del repetido tratamiento de datos, por lo que la misma no puede ser exonerada de responsabilidad.

Asimismo, tal y como se recoge en el artículo 82.2 RGPD en lo relativo al derecho de indemnización y responsabilidad de responsables y encargados, cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.”

Confirma el Tribunal que la Mutua no adoptó a este respecto ninguna medida destinada a cumplir con el derecho de oposición de su cliente con relación al envío de publicidad por parte de la empresa contratante, al haber requerido expresamente el denunciante ante la propia Mutua la oposición al tratamiento de sus datos a toda compañía con la que contratasen sus servicios de publicidad, incoándoles que consultasen la Lista Robinson y que procedieran a no enviarle ningún correo a las dos direcciones que incluyó en la Lista. En lo relativo al envío de las comunicaciones comerciales realizadas a través de medios electrónicos, a pesar de no hacer la citada sentencia alusión directa a ello, debemos recordar que la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico establece en su artículo 21.1 la prohibición del “envío de las comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

A mayor abundamiento, el artículo 51.1 RLOPD establece el derecho de los interesados a oponerse a los datos que le conciernan, “en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud”. Por su parte, el artículo 51.4 RDLOPD recoge con relación con el derecho de oposición en el marco de actividades publicitarias que, “si el derecho de oposición se ejercitase ante una entidad que hubiera encomendado a un tercero la realización de una campaña publicitaria, aquélla estará obligada, en el plazo de diez días, desde la recepción de la comunicación de la solicitud de ejercicio de derechos del afectado, a comunicar la solicitud al responsable del fichero a fin de que el mismo atienda el derecho del afectado en el plazo de diez días desde la recepción de la comunicación, dando cuenta de ello al afectado.

Por todo ello, el Tribunal declara no haber lugar al recurso de casación interpuesto por la Mutua, confirmando así la resolución de la AEPD, en la que no le exonera de la responsabilidad de cumplir con el derecho de oposición solicitado por su cliente, impidiendo y obstaculizando la efectividad del mismo.

Por último, no querríamos pasar por alto una cuestión que indica asimismo el Alto Tribunal, con relación a la prescripción de las infracciones.

A este respecto, la Mutua alegaba prescripción de la sanción interpuesta, puesto que, desde el momento en el que el denunciante ejerció su derecho de oposición, hasta que se inició el expediente sancionador, habían transcurrido más de dos años, plazo que la LOPD 15/1999 establecía para la prescripción de las acciones catalogadas como graves.

El Tribunal entiende que, al haberse producido una clara inactividad por parte de la Mutua en lo referido al cumplimiento efectivo del derecho de oposición de su cliente ante la empresa contratada por ésta para el envío de publicidad de sus productos, ello se correspondería con una omisión que da lugar a una “infracción permanente”, ante lo cual, la fecha de inicio del cómputo del plazo de prescripción no opera a partir del comienzo de la conducta típica, sino desde la finalización de la misma. Tal y como recoge el Tribunal en Sentencia de 4 de noviembre de 2013 (recurso 251/2011), la infracción permanente “no requiere un concurso de ilícitos, sino una única acción de carácter duradero, cuyo contenido antijurídico se prolongue a lo largo del tiempo, en tanto el sujeto activo (en nuestro caso, la Mutua), no decida cesar en la ejecución de su conducta.

A modo de conclusión, y en relación con este último apartado, entendemos que es de especial relevancia el criterio que señala el Tribunal y que ha de ser tenido en especial consideración, de cara a la necesidad de demostrar el cumplimiento normativo en materia de protección de datos. al determinar que los plazos de prescripción no gozan de carácter absoluto.

Inicia sesión para enviar comentarios

Modificado por última vez en Martes, 07 Julio 2020 08:29

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal