Responsabilidad por incumplimiento en materia de protección de datos. La Sala 1ª del TS delimita las responsabilidades por incumplimiento de la LOPD
Recientemente nuestro Alto Tribunal, en sentencia núm. 551/2023 de 19 abril se pronuncia sobre quién debe asumir las sanciones por incumplimiento de la normativa de protección de datos impuestas por la AEPD: el responsable del fichero vs el encargado del tratamiento.
En el supuesto de hecho, la empresa responsable del tratamiento de datos pretende repetir contra la empresa proveedora encargada del tratamiento una sanción impuesta por la AEPD, por entender que el incumplimiento le corresponde a esta última por ser a quien correspondía precisamente ña obligación de recabar el consentimiento de los clientes para el tratamiento de sus datos personales.
Nos recuerda la Sala la aplicación del art. 12.2 LOPD que estipula la “realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas».
Por tanto, si el encargado del fichero, responsable del tratamiento de datos contrata con un tercero proveedor quien se encargará del tratamiento de datos, deberá dar cumplimiento al art. 12.1 LOPD y el incumplimiento de esta imposición perjudicar al responsable del fichero.
Además, insiste el Tribunal en que cada parte tiene sus propias responsabilidades y que en ningún caso el responsable del tratamiento de datos puede repetir las sanciones a él impuestas contra el encargado del tratamiento, como si de un seguro de responsabilidad civil se tratara.
Cada parte deberá asumir las sanciones impuestas por sus propios incumplimientos.
