Cláusulas de indemnidad ante sanciones de protección de datos

2023-05-17T11:56:00
España
El Tribunal Supremo limita el alcance de las cláusulas de indemnidad para reclamar al encargado del tratamiento el importe de las sanciones
Cláusulas de indemnidad ante sanciones de protección de datos
17 de mayo de 2023

En su Sentencia núm. 551/2023, del pasado 19 de abril, el Tribunal Supremo analiza la cláusula de indemnidad en los contratos de encargo del tratamiento.

La Sentencia trae causa de varias sanciones impuestas por la Agencia Española de Protección de datos (AEPD) al responsable del tratamiento por diversas infracciones en materia de protección de datos cometidas durante diferentes campañas de captación de clientes en las que había intervenido un tercero proveedor de servicios. Tras ser sancionado, el responsable exigió al encargado el reembolso de las sanciones pagadas, alegando el contenido de las “cláusulas de indemnidad” incluidas en el contrato de encargo del tratamiento.

El Rol de las Cláusulas de Indemnidad en el Contrato de Tratamiento

Estas cláusulas de indemnidad establecían, entre otros puntos, que el encargado “responderá de las posibles irregularidades en el cumplimiento de las obligaciones establecidas en la LOPD [Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal] y su normativa de desarrollo para esa incorporación, y mantendrá indemne a[l responsable de tratamiento] de cualquier responsabilidad que le sea exigida”, así como que se indemnizará al responsable “por los daños y perjuicios que le pudiera ocasionar que resulten de cualquier reclamación judicial o extrajudicial y expedientes sancionadores en relación con la actividad objeto del presente Acuerdo”.

Teniendo en cuenta lo anterior, ante las sanciones impuestas por la AEPD, el responsable presentó una demanda contra el encargado exigiendo el pago de la sanción, la cual fue desestimada por el Juzgado de Primera Instancia por considerar que las sanciones no se debían a la actuación del demandado, es decir, que el responsable de las infracciones era el responsable del tratamiento.

Decisiones de las Instancias Judiciales Inferiores

La sentencia de Primera Instancia estableció que el demandante (el responsable del tratamiento) había incumplido los requisitos del consentimiento establecidos en el artículo 6 de la antigua Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Este pronunciamiento también fue confirmado por la Audiencia Provincial que, además, declaró que el responsable no había desplegado una mínima actividad diligente en la comprobación del consentimiento inequívoco del titular de los datos, lo que vulneraba el contenido del artículo 6.1 LOPD.

Pronunciamiento del Tribunal Supremo sobre la Responsabilidad en el Tratamiento de Datos

Ahora, la Sala de lo Civil del Tribunal Supremo confirma las anteriores sentencias y aclara que las cláusulas de indemnidad solo cobran sentido en el contexto del contrato del que forman parte, y que el responsable sólo podría exigir al encargado una indemnización por las sanciones que le sean impuestas por infracciones cometidas en la ejecución del contrato de encargo y cuya responsabilidad se extendiera al encargado de tratamiento.

En este sentido, indica el Tribunal Supremo en su Sentencia que “no pueden interpretarse tales cláusulas en el sentido de que [el responsable] podía exigir a [el encargado] que le indemnizara por cualquier sanción que le fuera impuesta con relación al tratamiento de datos de carácter personal realizado con motivo de la captación de clientela, con independencia de quién hubiera cometido la infracción de las normas sobre protección de datos, pues no se trataba de un seguro de responsabilidad civil con base en el cual [el encargado], mediante el cobro de una prima, asegurara la indemnidad de [el responsable] frente a las reclamaciones o sanciones relacionadas con el tratamiento de datos.”

Además, el Tribunal Supremo señala que el responsable debió adoptar e implementar las medidas de control destinadas a comprobar que contaba con el consentimiento del afectado para tratar sus datos personales, y no lo hizo. Por lo tanto, se le sancionó por un incumplimiento de carácter sistémico de sus propias obligaciones en tanto que responsable del tratamiento, las cuales en ningún caso se pueden transferir al encargado del tratamiento.

Implicaciones del Fallo para los Responsables del Tratamiento

Este fallo es particularmente relevante porque clarifica que las cláusulas de indemnidad en contratos de tratamiento de datos sólo permiten exigir indemnización por sanciones derivadas de incumplimientos del encargado del tratamiento, pero no por los propios incumplimientos del responsable. Algo que debe ser tenido en cuenta por todos aquellos responsables, ya sean públicos o privados, que tengan o se planteen firmar acuerdos similares.

17 de mayo de 2023