¿Son aplicables las cláusulas de indemnidad que se incluyen en los contratos con los encargados del tratamiento?
Son relativamente habituales las cláusulas de indemnidad que los responsables del tratamiento incluyen en los contratos de encargados, o de prestación de servicios, para que, en caso de que el responsable sea sancionado por una Autoridad de Control en materia de protección de datos con una multa administrativa por una operación de tratamiento que realice el encargado en su nombre, el encargado indemnice al responsable por la cuantía de multa impuesta. Un ejemplo de estas cláusulas podría ser la siguiente: «El Encargado, en todo caso, mantendrá indemne al Responsable de las posibles responsabilidades que pudieran derivarse de los tratamientos de datos personales que son objeto del encargo».
Así, si un responsable del tratamiento fuera sancionado con una multa administrativa por las operaciones del tratamiento que ha realizado el encargado, este encargado debería indemnizar al responsable por la cuantía de la multa.
Los defensores de la efectiva aplicación de este tipo de cláusulas de indemnidad aluden a la aplicación del artículo 1091 del Código Civil («Las obligaciones que nacen de los contratos tienen fuerza de ley entre las partes contratantes, y deben cumplirse a tenor de los mismos») y a la necesaria eficacia jurídica de un contrato de naturaleza mercantil pactado libre y válidamente entre dos entidades de derecho privado.
Sin embargo, nuestro Tribunal Supremo no comparte esta opinión, ya que considera que estas cláusulas de indemnidad no pueden ser aplicables, ya que la normativa de protección de datos prevé que un responsable solo puede ser sancionado por el tratamiento de un encargado si la culpa es atribuible al propio responsable, pues de otro modo el sancionado sería el propio encargado.
Es opinión de nuestro alto Tribunal que no pueden interpretarse estas cláusulas de indemnidad en el sentido de que el responsable puede exigir al encargado que le indemnice por cualquier sanción que le fuera impuesta con relación al tratamiento de datos personales realizado con motivo del encargo, con independencia de quién hubiera cometido la infracción de las normas sobre protección de datos, pues no se trataba de un seguro de responsabilidad civil con base en el cual el encargado, mediante el cobro de una prima, asegurara la indemnidad del responsable frente a las reclamaciones o sanciones relacionadas con el tratamiento de datos. Tales cláusulas solo cobran sentido en el contexto del contrato del que forman parte. La interpretación sistemática de tales cláusulas permite concluir que, con base en las mismas, el responsable podría exigir al encargado que le indemnizara por las reclamaciones y sanciones que le fueran impuestas por infracciones cometidas por el encargado en la ejecución del contrato, cuya responsabilidad se extendiera al responsable, pero no le legitimaría para exigir tal indemnidad cuando las sanciones hubieran sido impuestas por incumplimientos o infracciones imputables al responsable o que fueran consecuencia de las instrucciones dadas por el responsable al encargado para la ejecución del contrato.
En definitiva, dado que la propia normativa de protección de datos prevé que tanto el responsable como el encargado pueden ser sancionados en virtud de a quien se atribuya la culpa de la infracción, deja «vacías» las cláusulas de indemnidad que se pacten entre las partes, tanto si son a favor del responsable como si lo son a favor del encargado.