¿Puede imponerse una multa a un responsable en relación con tratamientos efectuados por su encargado?

En primer lugar, ha de aclararse una multa administrativa por incumplimiento de la normativa de protección de datos solo puede imponerse en la medida en que se demuestre que el responsable o el encargado del tratamiento ha cometido, de forma intencionada o negligente, una infracción indicada en el RGPD.

A sensu contrario, el RGPD no permite imponer una multa administrativa por una infracción contemplada en el RGPD sin que se demuestre que dicha infracción fue cometida de forma intencionada o negligente por el responsable del tratamiento y que, por lo tanto, la culpabilidad en la comisión de la infracción constituye un requisito para la imposición de la multa.

A este respecto, debe precisarse que un responsable del tratamiento puede ser sancionado por un comportamiento comprendido en el ámbito de aplicación del RGPD cuando no podía ignorar el carácter infractor de su conducta, tuviera o no conciencia de infringir las disposiciones del RGPD. Cuando el responsable del tratamiento sea una persona jurídica, debe precisarse además que la imposición de la multa no supone una actuación ni un conocimiento del órgano de gestión de dicha persona jurídica.

Es momento de responder a la cuestión de si puede imponerse una multa administrativa con arreglo al RGPD a un responsable del tratamiento en relación con las operaciones de tratamiento efectuadas por un encargado. Para ello, es preciso recordar que, según la definición que figura en el RGPD, se entiende por encargado del tratamiento «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».

Es criterio del Tribunal de Justicia de la Unión Europea que, dado que un responsable del tratamiento es responsable no solo por todo tratamiento de datos personales que efectúe él mismo, sino también por los tratamientos realizados por su cuenta, puede imponerse a ese responsable una multa administrativa con arreglo al RGPD en una situación en la que los datos personales son objeto de un tratamiento ilícito y en la que no es él, sino un encargado al que ha recurrido, quien ha efectuado el tratamiento por cuenta suya.

No obstante, la responsabilidad del responsable del tratamiento por el comportamiento de un encargado no puede extenderse a las situaciones en las que el encargado haya tratado datos personales para fines que le sean propios o en las que haya tratado dichos datos de manera incompatible con el marco o las modalidades del tratamiento tal como hayan sido determinados por el responsable del tratamiento o de manera que no pueda considerarse razonablemente que dicho responsable hubiera dado su consentimiento. Así, de conformidad con el RGPD, el encargado del tratamiento debe, en ese supuesto, ser considerado responsable del tratamiento con respecto a dicho tratamiento.

En definitiva, solo puede imponerse una multa administrativa si se demuestra que el responsable del tratamiento cometió, de forma intencionada o negligente, una infracción de las indicadas en el RGPD y, por otra parte, puede imponerse una multa de esta índole a un responsable del tratamiento en relación con operaciones de tratamiento de datos personales efectuadas por un encargado del tratamiento por cuenta de este, salvo que, en el marco de estas operaciones, el encargado haya tratado datos personales para fines que le sean propios o haya tratado dichos datos de manera incompatible con el marco o las modalidades del tratamiento tal como hayan sido determinados por el responsable del tratamiento o de manera que no pueda considerarse razonablemente que dicho responsable hubiera dado su consentimiento.