La Agencia Española de Protección de Datos ha sancionado con 15.000 euros a una empresa por una infracción del art. 28 RGPD y por otra infracción del art. 58 RGPD, por haber utilizado los servicios de una entidad externa, como subcontratada, para la ejecución de los servicios que la reclamada estaba obligada a prestar a Naturgy en virtud del contrato suscrito por ambas entidades. El contrato mercantil no contemplaba la posibilidad de llevar a cabo dicha subcontratación, al menos sin una comunicación previa en un plazo establecido, sin embargo, la contratación de una entidad tercera por la reclamada se llevó a cabo sin la debida autorización de Naturgy.
En fecha, 04/04/2023 se dictó resolución (Expediente nº.: EXP202105473) por la Directora de la Agencia Española de Protección de Datos, en virtud de la cual se imponía a la reclamada una multa de 10.000 euros por una infracción del artículo 28 del RGPD, y una multa de 5.000 euros por una infracción del artículo 58.1 del RGPD.
De las actuaciones de la AEPD, quedó probado que:
La AEPD, a través de sus servicios de inspección, requirió a la reclamada en dos ocasiones, para que le suministrase la información solicitada a tenor de este procedimiento, y la misma no fue trasladada. Se determina que “con esta conducta, la potestad de investigación que el artículo 58.1 del RGPD confiere a las autoridades de control, en este caso, la AEPD, se ha visto obstaculizada”.
Por todo lo mencionado anteriormente, la AEPD, en la resolución de este procedimiento sancionador considera la existencia de una infracción del art. 83.4.a) y 83.5.e) RGPD, en relación con el 73.l) y 72.1. ñ) y o) LOPDGDD, respectivamente, lo que supuso la imposición de una multa de carácter pecuniario de 10.000€ por la primera infracción y de 5.000 € por la segunda.
En definitiva, aquellas empresas que subcontraten servicios con frecuencia en los que se traten datos de carácter personal, y que no comuniquen este hecho al responsable del tratamiento deben saber que es altamente probable que si les denuncian ante la AEPD, les sancionen. Cualquier empresa, con independencia de su tamaño, pueden evitar cualquier tipo de sanción cumpliendo con la normativa de protección de datos, si desea información para llevar a cabo una implantación y una correcta adecuación de procesos a la normativa vigente si bien, pueden contactar con nuestro equipo de técnicos y especialistas jurídicos en la materia con amplia experiencia en adaptación de empresas privadas a la normativa de protección de datos.