El TS habla de la validez de las cláusulas de indemnidad en los contratos de encargo de tratamiento de datos
Tras varias sanciones por parte de la Agencia Española de Protección de Datos (AEPD) contra Galp, este último llevó el caso al cauce judicial por el que terminó recurriendo ante el Tribunal Supremo español (TS).
Volviendo al origen del caso, la AEPD había sancionado a Galp (responsable del tratamiento) que había contratado a Partec (encargado del tratamiento), para la prestación de servicios de “promoción comercial y fuerza de ventas”, que implicaba que, en nombre de Galp, este proveedor iría puerta a puerta llevando a cabo acciones comerciales y, en el caso de haber alguna persona interesada en los servicios de Galp, este recabaría sus datos.
Una peculiaridad del caso es que los servicios mencionados empezaron a prestarse meses antes de que se llegara a firmar un acuerdo de encargo de tratamiento entre ambas empresas. Posteriormente, sí se firmó este acuerdo, en el que se incluyeron las siguientes cláusulas o condiciones:
-Partec debía elaborar un protocolo de recogida de los datos personales de aquellas personas que estuvieran interesadas en los servicios de Galp. Este protocolo debía ser aprobado por Galp con carácter previo a la prestación de los servicios por parte de Partec.
-Cláusulas de indemnidad que establecían que Partec “mantendrá indemne a GALP ENERGIA de las posibles responsabilidades que pudieran derivarse de la recogida o tratamiento de dichos datos de carácter personal”, así como que “responderá de las posibles irregularidades en el cumplimiento de las obligaciones establecidas en la LOPD y su normativa de desarrollo para esa incorporación, y mantendrá indemne a GALP ENERGIA de cualquier responsabilidad que le sea exigida”.
Ante las sanciones de la AEPD, Galp había pretendido repercutir las multas contra Partec en virtud de estas cláusulas de indemnidad, lo cual ha sido rechazado por el TS, en base a los siguientes criterios:
-Previamente a la firma del acuerdo de encargo que incluía dichas cláusulas, los datos de los interesados se recogían sin contar con el consentimiento del titular del suministro contratado, siendo estas las instrucciones que Partec recibió de Galp. Esto constituye una conducta sancionable y que es atribuible a Galp por ser el responsable del tratamiento de estos datos, y por haber actuado con negligencia a la hora de trasladar al proveedor la forma de recabarlos, y llevar un control de su cumplimiento.
-En cuanto a los datos recabados, posteriormente a la firma del acuerdo, el TS ha considerado que, de igual forma, “las cláusulas de indemnidad permiten al responsable del fichero exigir al encargado del tratamiento de datos la indemnización por la exigencia de responsabilidad al responsable del fichero por sanciones derivadas de incumplimientos de la normativa por el encargado del tratamiento, pero no por sus propios incumplimientos”.
-En concreto, sobre las cláusulas de indemnidad, el TS establece que “No pueden interpretarse tales cláusulas en el sentido de que Galp podía exigir a Partec que le indemnizara por cualquier sanción que le fuera impuesta con relación al tratamiento de datos de carácter personal realizado con motivo de la captación de clientela, con independencia de quién hubiera cometido la infracción de las normas sobre protección de datos, pues no se trataba de un seguro de responsabilidad civil con base en el cual Partec, mediante el cobro de una prima, asegurara la indemnidad de Galp frente a las reclamaciones o sanciones relacionadas con el tratamiento de datos.”
Como los incumplimientos que se han producido se imputan a Galp, y no a Partec, las cláusulas de indemnidad no son de aplicación al caso, y Galp tiene que hacer frente a las sanciones impuestas, que le corresponden como responsable del tratamiento.