La Agencia de Protección de Datos (AEPD) ha publicado una resolución en un procedimiento sancionador por infracción del artículo 26 del Reglamento General de Protección de Datos (RGPD) sobre corresponsabilidad.
En el procedimiento sancionador iniciado por la AEPD, consta que la Consellería de Política Social e Igualdad gallega cedía a GADISA, propietaria de los supermercados Gadis, datos personales de titulares del carné de familia numerosa para enviar a dichos titulares cheques regalos en base a compras realizadas anteriormente en los establecimientos de GADISA.
Tras la labor de investigación de la AEPD y los argumentos ofrecidos por la Consellería, los hechos que quedaron probados son:
• Existencia de acuerdo de colaboración entre la Consellería y GADISA para que los titulares del carné de familia numerosa pudieran beneficiarse de descuentos aplicados en función del volumen de compras en los establecimientos de GADISA. La Consellería debía, para ello, remitir datos personales de los mencionados titulares;
• La Consellería facilita datos personales de personas que posean el Título oficial de familia numerosa a la entidad GADISA, previo consentimiento de las personas interesadas;
• En virtud de dicho acuerdo, GADISA es encargada del tratamiento y la Consellería responsable del tratamiento.
La AEPD resuelve que la relación entre las partes no es de encargo de tratamiento sino queexiste corresponsabilidad puesto que el acuerdo de colaboración se realiza en interés de la consecución de un objetivo, alineado con los fines de cada una de ellas, complementándose entre ambas para lograrlo y, todo ello, expuesto en un acuerdo de colaboración en el que cada parte asume unas obligaciones y operaciones de tratamiento. Además, señala que, el hecho de que una de las partes no tenga acceso a los datos tratados no excluye la corresponsabilidad y que esta no implica una responsabilidad idéntica de los participantes en el tratamiento de datos.
Una vez determinada la existencia de corresponsabilidad, la AEPD procede a comprobar si se han cumplido las obligaciones inherentes a la misma. Resuelve que se incumplen obligaciones del artículo 26 RGPD relativo a la corresponsabilidad puesto que, en el acuerdo de colaboración entre las partes, no se definen adecuadamente las funciones de cada parte, no se especifica cómo se atenderán los derechos de los interesados y no se establece la forma de comunicación entre los corresponsables y las autoridades de protección de datos.
Finalmente, la AEPD estima que la Consellería ha infringido el artículo 26 RGPD y le impone unplazo máximo de 6 meses para cumplir con dicho precepto y poner a disposición de los interesados los aspectos esenciales del acuerdo de corresponsabilidad.