info@ecija.com

Sala de Prensa

17 febrero, 2022
twitter linkedIn

Sanción AEPD 00267/2020: A falta de habilitación legal, no cabe acudir a otras bases legales para legitimar el tratamiento de datos relativos a condenas e infracciones penales

Madrid,17 de febrero 2022.

 

El objeto de la presente nota es el análisis de los criterios jurídicos apreciados por la Agencia Española de Protección de Datos (en adelante, “AEPD”) en el Procedimiento Sancionador 00267/2020 para la imposición de una sanción de dos millones de euros, por infracción del Art. 6.1 del Reglamento General de Protección de Datos (en adelante, “RGPD”), en relación con el Art. 10 RGPD y el Art. 10 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPDGDD) a la entidad reclamada, que proporciona servicios de logística y distribución; por solicitar, para la contratación de transportistas autónomos como prestadores de servicios: (i) un certificado de ausencia de antecedentes penales y (ii) su consentimiento para llevar a cabo transferencias de datos de carácter personal a dos entidades fuera del EEE que le prestan soporte.

 

  • Sobre el tratamiento efectuado al solicitar el certificado de antecedentes penales

El certificado de antecedentes penales es el documento público que acredita la carencia o existencia de antecedentes penales que constan inscritos en el Registro Central de Penados. Dicha información constituye un dato personal a la luz de la definición del Art. 4.1 del RGPD: “ información sobre una persona física identificada”.

Sobre la categoría de los datos, indica la AEPD que se trata de la relativa a las condenas penales de las que haya podido ser objeto una persona en concreto, por lo que la información que se está tratando es el dato relativo a las condenas penales, inclusive la ausencia de éstas, a tenor de los Arts. 10 del RGPD, 10 de la LOPDGDD y el Considerando 75 del RGPD.

Acude la AEPD, así mismo, al precepto 136.4 de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, que establece que las inscripciones del Registro Central de Penados no serán públicas, emitiéndose certificados únicamente en los casos previstos por ley. Dado lo anterior, el certificado de antecedentes penales supone una información sujeta a las especiales garantías del Art. 10 del RGPD y 10 de la LOPDGDD. Estos preceptos confieren su tratamiento a los poderes públicos, restringiéndolo a los particulares, salvo en aquellos casos en que una norma de derecho europeo o nacional con rango de ley lo habilite.

Atendiendo a la normativa sectorial de transporte terrestre, sólo sería posible solicitar información sobre la ausencia antecedentes penales por la administración competente para conceder la correspondiente autorización de transporte, que deberá, para ello, atenerse a los datos que figuren en los registros sectoriales.

En este sentido, la AEPD concluye que no existe una norma que permita llevar a cabo el tratamiento del certificado de antecedentes penales efectuado por la reclamada, y que, a falta de habilitación legal, no cabe acudir a otras bases legales para legitimar el tratamiento de datos personales relativos a condenas e infracciones penales.

La entidad indicaba en sus alegaciones que las bases legitimadoras eran la ejecución del contrato con el transportista autónomo, su consentimiento y el interés legítimo de la entidad en proteger la confianza de sus clientes, así como su reputación. La AEPD determina que ninguna de estas bases jurídicas podría legitimar el tratamiento realizado, en tanto el mismo sólo se permite en la medida en la que es exigido por norma con rango de ley, considerando así acreditada la culpabilidad de la reclamada en la comisión de una infracción del Art.6 del RGPD.

 

  • Sobre la posición jurídica de las entidades de soporte y la realización de transferencias internacionales

A priori la AEPD considera, que, presuntamente, se produce una indefinición sobre la condición en la que intervienen dichas entidades, teniendo lugar transferencias internacionales que no cumplen con las garantías impuestas por el RGPD.

  • No obstante, a tenor de la aportación por la reclamada de los contratos de encargo del tratamiento suscritos, se considera acreditado que las empresas de soporte prestan servicios a la reclamada como encargados del tratamiento, no pudiendo ser consideradas como terceros, y no siendo necesaria la solicitud del consentimiento. La reclamada se configura como responsable del tratamiento, en línea con lo establecido en los Arts. 4.7, 24 y 28 del RGPD y se concluye, así, que los hechos que determinaron la apertura del procedimiento, en relación con el acceso y tratamiento de los datos por parte de las dos empresas de soporte, no son constitutivos de una infracción del Art. 7 del RGPD.

 

  • La reclamada aporta, además de los contratos de encargo, las cláusulas tipo suscritos y las medidas que deben implementarse. Dichas cláusulas se corresponden con las aprobadas por la Comisión Europea mediante la Decisión 2010/87/UE. En consecuencia, las transferencias internacionales tampoco precisan que los interesados presten su consentimiento, concluyendo, en línea con el párrafo precedente, que los hechos no son constitutivos de una infracción del Art. 49.1 del RGPD.

 

Quedamos a su disposición para cualquier duda o cuestión que pudiera surgir.

Reciba un cordial un saludo,

Área de Privacidad de ECIJA

info@ecija.com