La Consejería de Sanidad de Valencia interpone una denuncia ante la Agencia Española de Protección de Datos (“AEPD”) contra una entidad concesionaria del departamento de Salud de Denia, con la que había suscrito un contrato de prestación de servicios de atención sanitaria. La entidad concesionaria ostentaba el rol de encargada de tratamientode la denunciante.
La denuncia se produce por la negativa del encargado de tratamiento de poner a disposición del denunciante (responsable de tratamiento) los contratos de prestación de servicios suscritos con sus subencargados.
La AEPD argumenta que el responsable del tratamiento no puede desentenderse de la posible existencia de subcontratados (en protección de datos, subencargados) que tienen acceso a datos personales. No obstante, la falta de comunicación de la existencia de subencargados por parte del encargado, impide al responsable ejercer adecuadamente sus facultades de control.
Esto es lo que ocurre en este caso, donde no consta que el denunciado, como encargadodel tratamiento, haya informado al responsable del tratamiento de los contratos de tratamiento suscritos con los nuevos subencargados, cuando conforme al art 28.2. del Reglamento General de Protección de Datos (“RGPD”): “el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios”.
Lo anterior con el agravante de que, en este supuesto, la relación subyacente al contrato de encargo es la prestación de un servicio público de asistencia sanitaria, donde lo habitual es el tratamiento de datos de categoría especial.
La AEPD considera que los hechos son constitutivos de una infracción, imputable al denunciado, por vulneración del artículo 28.2 del RGPD y resuelve imponer una multa de 500.000€.