Sanción pionera de la Agencia Española de Protección de Datos por corresponsabilidad del RGPD
La Agencia Española de Protección de Datos (AEPD) publica resolución sobre violación al artículo 26 del RGPD sobre corresponsabilidad. El caso está relacionada a una denuncia de una posible cesión de datos del carné de familia numerosa a una cadena de supermercados para el envío por correo postal de cheques regalo.
La Conselleria de la Política Social y Juventud, órgano administrativo de la Xunta de Galicia, tiene entre sus competencias la promoción y desarrollo de políticas públicas orientadas a la asistencia y apoyo de las familias. Para promover esta actuación, creó en 2001 el programa Carné familiar galego, que facilita acceso a las familias numerosas a beneficios y descuentos, tal como en GADISA, red de supermercados GADIS.
En 2014 se suscribió entre la empresa y la Conselleria un acuerdo de colaboración, con el objetivo que los titulares del carné, una vez se hubiera identificado como tales al realizar una compra, podrían beneficiarse de descuentos en forma de cheques. Dicho acuerdo determina que GADISA actuará como encargado del tratamiento de los datos de personas titulares del carné familiar gallego, y la Conselleria como Responsable.
En el presente caso, la AEPD determina que existe un interés por ambas partes en alcanzar los objetivos del mencionado acuerdo: la Conselleria para el desarrollo de sus competencias de apoyo a la familia, y GADISA para la consecución de su objetivo de colaboración con la prestación de determinados servicios sociales a la comunidad colaborando con entidades públicas. Aunque cada entidad tenga su interés, ambas participan en el proyecto para la consecución de esos objetivos individuales, y participan en la determinación del fin: desarrollo del programa Carné Familiar Galego.
Además, para el alcance de la actividad, el titular se identifica en la compra, y la Conselleria remite a GADISA determinados datos personales de los mencionados titulares, existiendo flujos para ese cumplimiento y determinando en conjunto el tipo de datos tratados, la duración del tratamiento y la categoría de los interesados.
En resumen, ambas las entidades tienen objetivos que convergen y se complementan y, para conseguirlos, articulan una colaboración que implica el tratamiento de datos en la que cada parte asume obligaciones y operaciones de tratamiento.
Refuerza la Autoridad, de cualquier manera, que la corresponsabilidad no implica necesariamente una responsabilidad idéntica de los distintas participantes involucrado en el tratamiento de datos.
Tras los hechos, la AEPD requiere que la Conselleria, en el plazo de seis meses, a contar desde la fecha de ejecutividad de la resolución, adopte el acuerdo exigido por el art. 26 del RGPD, en los términos y con el contenido que se establecen en dicho precepto y poniendo a disposición de los interesados los aspectos esenciales de dicho acuerdo.