El TS habla de la validez de las cláusulas de indemnidad en los contratos de encargo de tratamiento de datos

Comparte

Tras varias sanciones por parte de la Agencia Española de Protección de Datos (AEPD) contra Galp, este último llevó el caso al cauce judicial por el que terminó recurriendo ante el Tribunal Supremo español (TS). 

Volviendo al origen del caso, la AEPD había sancionado a Galp (responsable del tratamiento) que había contratado a Partec (encargado del tratamiento), para la prestación de servicios de “promoción comercial y fuerza de ventas”, que implicaba que, en nombre de Galp, este proveedor iría puerta a puerta llevando a cabo acciones comerciales y, en el caso de haber alguna persona interesada en los servicios de Galp, este recabaría sus datos.

Una peculiaridad del caso es que los servicios mencionados empezaron a prestarse meses antes de que se llegara a firmar un acuerdo de encargo de tratamiento entre ambas empresas. Posteriormente, sí se firmó este acuerdo, en el que se incluyeron las siguientes cláusulas o condiciones:

-Partec debía elaborar un protocolo de recogida de los datos personales de aquellas personas que estuvieran interesadas en los servicios de Galp. Este protocolo debía ser aprobado por Galp con carácter previo a la prestación de los servicios por parte de Partec.

-Cláusulas de indemnidad que establecían que Partec “mantendrá indemne a GALP ENERGIA de las posibles responsabilidades que pudieran derivarse de la recogida o tratamiento de dichos datos de carácter personal”, así como que “responderá de las posibles irregularidades en el cumplimiento de las obligaciones establecidas en la LOPD y su normativa de desarrollo para esa incorporación, y mantendrá indemne a GALP ENERGIA de cualquier responsabilidad que le sea exigida”.

Ante las sanciones de la AEPD, Galp había pretendido repercutir las multas contra Partec en virtud de estas cláusulas de indemnidad, lo cual ha sido rechazado por el TS, en base a los siguientes criterios:

-Previamente a la firma del acuerdo de encargo que incluía dichas cláusulas, los datos de los interesados se recogían sin contar con el consentimiento del titular del suministro contratado, siendo estas las instrucciones que Partec recibió de Galp. Esto constituye una conducta sancionable y que es atribuible a Galp por ser el responsable del tratamiento de estos datos, y por haber actuado con negligencia a la hora de trasladar al proveedor la forma de recabarlos, y llevar un control de su cumplimiento.

-En cuanto a los datos recabados, posteriormente a la firma del acuerdo, el TS ha considerado que, de igual forma, “las cláusulas de indemnidad permiten al responsable del fichero exigir al encargado del tratamiento de datos la indemnización por la exigencia de responsabilidad al responsable del fichero por sanciones derivadas de incumplimientos de la normativa por el encargado del tratamiento, pero no por sus propios incumplimientos”.

-En concreto, sobre las cláusulas de indemnidad, el TS establece que “No pueden interpretarse tales cláusulas en el sentido de que Galp podía exigir a Partec que le indemnizara por cualquier sanción que le fuera impuesta con relación al tratamiento de datos de carácter personal realizado con motivo de la captación de clientela, con independencia de quién hubiera cometido la infracción de las normas sobre protección de datos, pues no se trataba de un seguro de responsabilidad civil con base en el cual Partec, mediante el cobro de una prima, asegurara la indemnidad de Galp frente a las reclamaciones o sanciones relacionadas con el tratamiento de datos.”

Como los incumplimientos que se han producido se imputan a Galp, y no a Partec, las cláusulas de indemnidad no son de aplicación al caso, y Galp tiene que hacer frente a las sanciones impuestas, que le corresponden como responsable del tratamiento.

Leer más

Posts relacionados que podrían interesarte

13, julio 2023

La AEPD actualiza su guía de cookies para incluir los criterios del CEPD sobre dark patterns en redes sociales

27, enero 2022

Estados Unidos propone una ley para resumir los extensos términos y condiciones de uso de los servicios de internet

26, diciembre 2019

El TJUE determina que Airbnb no puede ser considerado como una empresa inmobiliaria.

29, abril 2021

Aprobada, por Real Decreto-ley, la transposición de múltiples directivas de la UE

19, septiembre 2019

Medios de pago Cómo te afecta la nueva Directiva de pagos digitales.

30, abril 2020

La Universidad de Cambridge busca donantes de voz para captar los sonidos del coronavirus y reconocer a personas contagiadas.