Una historia de encargados del tratamiento

La resolución que voy a comentarles hoy viene muy bien para sesiones formativas en las que hay que hablar de los riesgos que implica la contratación de encargados del tratamiento en cadena. Esta vez, la multa no ha llegado a las entidades responsables (que solamente han debido notificar y gestionar una brecha de seguridad). Se ha quedado a la altura del encargado principal.

En septiembre de 2022, la Policía de Palma de Mallorca descubrió correspondencia abandonada en un solar vacío: 1.404 cartas sin abrir. En noviembre, aparecieron 5.354 más en otro punto de la ciudad. Las cartas llevaban el logo de la empresa Hispapost, una empresa que presta, entre otros, servicios de recogida, transporte y certificados con acuse de recibo. Entre sus clientes, se encuentran (o se encontraban) entidades financieras, gestores de recobros, Equifax, ayuntamientos... En fin, todo aquel que le puede enviar a usted una notificación a su domicilio.

Al parecer, Hispapost había subcontrado parte del trabajo de reparto con otra entidad llamada Correo Inteligente Postal, S.L. (CI Postal). Fueron empleados de esta compañía los que abandonaron sin más los documentos en la calle en lugar de entregarlos a los receptores. Quizás algunos recuerden esta noticia de prensa, donde se explican los motivos que pudieron tener los repartidores para actuar así o esta otra.

¿Qué hay de interesante en la resolución de la AEPD, más allá del detalle de los hechos, que es de por sí bastante jugoso?

Como podrán imaginarse, Hispapost aporta contratos de encargo del tratamiento con todos los clientes afectados por la brecha (que, como adelantaba más arriba, la notificaron a la AEPD) y la evaluación de impacto firmada por el DPD como le gusta a la Agencia Española de Protección de Datos. En casi todos los acuerdos, se establecía la obligación del encargado de comunicar cualquier brecha de seguridad que afectara a los datos del responsable en un plazo de 24 horas, plazo que no cumplió. La infracción que le imputa la AEPD a Hispapost es precisamente esta:

"Toda vez que fue en septiembre de 2022 cuando la Policía Local contacta con HISPAPOST SA para informarla del hallazgo en un solar de la correspondencia abandonada y que las notificaciones que ésta hizo a sus clientes tuvieron lugar entre el 13 y el 21 de octubre de 2023, HISPAPOST no ha cumplido con lo establecido en los correspondientes contratos de encargado suscritos con tales clientes, que son, a la postre, los responsables del tratamiento de los datos personales afectados.

De conformidad con las evidencias de las que se dispone en este acuerdo de iniciación del procedimiento sancionador, y sin perjuicio de lo que resulte de la instrucción, se considera que los hechos conocidos podrían ser constitutivos de una infracción, imputable a HISPAPOST por vulneración del 28.3 del RGPD".

Por los anteriores hechos, propone una multa de 60.000 euros, aplicando como única agravante la vinculación de la actividad del infractor con la realización de tratamientos de datos personales.

Sobre diligencia a la hora de contratar un subencargado y vigilar su actividad, no hay nada. De medidas de seguridad, tampoco. Aquí la AEPD no ha creído conveniente aplicar el binomio art. 5.1.f) y art. 32 del RGPD.... No he encontrado que haya una resolución abierta a CI Postal por estos hechos, pero seguiré buscando esta tarde.

Por supuesto, Hispapost se apresuró a acogerse a las dos reducciones posibles y pagó 36.000 euros para que se cerrara el procedimiento, que, probablemente, ha afectado a su reputación en un sector en el que los principales clientes que puede tener dan muchísima importancia a la protección de datos.

El texto completo de la resolución está aquí.