A sentencia del Tribunal de Apelación de Grenoble de 12 de enero de 2023 llama la atención porque declaró la nulidad de un contrato de licencia para operar un sitio web de una empresa, por culpa del proveedor del servicio, encargado de la instalación y el mantenimiento de este sitio, de haber informado a su cliente que el sitio estaba colocando cookies, sin información o consentimiento de los usuarios de Internet.
Esta práctica, que no se ajustaba a la normativa, había puesto a la cliente en incumplimiento de sus obligaciones como responsable del tratamiento de datos personales. No sólo se enfrentaba a una fuerte multa administrativa -de hasta 10 millones de euros o el 2% del volumen de negocios anual total mundial del ejercicio anterior, lo que sea mayor- sino también a una sanción penal - porque "el hecho, incluso por negligencia, de Realizar o haber realizado un tratamiento de datos personales sin haber cumplido las formalidades previas a su implantación legal será castigado con cinco años de prisión y 300.000 euros de multa. » (CP, art. 226-16).
Antecedentes que afectan a las bases de datos
El Tribunal de Apelación consideró que el cliente podía “esperar legítimamente que el sitio no recopilara ilegalmente” datos personales y que el proveedor del servicio no había señalado a su cliente un “elemento esencial relativo al sitio que[il] diseñado e instalado”. Por lo tanto, declaró nulo el contrato entre el cliente y el prestador de servicios por error relativo a una cualidad esencial del servicio objeto de dicho contrato y condenó al prestador de servicios a devolver al cliente las cantidades que había percibido en virtud del contrato.
El riesgo de nulidad de un contrato por incumplimiento de la normativa de protección de datos no es nuevo. Allá Tribunal de Casación Ya ha considerado que la transferencia por parte de una empresa de un expediente informatizado de cliente no declarado a la CNIL - la declaración del expediente era entonces una obligación - era ilegal porque el objeto de este contrato no era comercial y anulaba el acto de transferencia. Asimismo, en 2022, la autoridad italiana de protección de datos impuso una sanción de 1,4 millones de euros al comprador de una base de datos de clientes en el marco de una transacción de fusión y adquisiciónque no había obtenido el consentimiento de los clientes para utilizar sus datos para sus propios fines.
Proveedores de servicios en la mira
Sin embargo, aquí es por un incumplimiento por parte del subcontratista de las normas de protección de datos que se declaró la nulidad. Así, los jueces, como la CNIL, ya no dudan en sancionar a los proveedores y subcontratistas de servicios informáticos en caso de infracción del RGPD. En 2022, por primera vez, la CNIL se pronunció una sanción de 1,5 millones de euros contra un subcontratista tras una filtración de datos, en particular debido a la ausencia de un contrato que cumpla con el RGPD y a la implementación de medidas de seguridad adecuadas para garantizar la confidencialidad de los datos personales confiados. No debemos olvidar que el subcontratista también incurre en sanciones penales por no implementar dichas medidas de seguridad (CP., art. 226-17) o no notificar al responsable del tratamiento una violación de datos (CP., art. 226-17-1). ).
Tantos riesgos de sanciones que animan a los proveedores de servicios informáticos a estar atentos. Además de la obligación de garantizar la seguridad de los datos personales tratados (RGPD, art. 32), el RGPD les impone obligaciones de:
- Transparencia y trazabilidad: celebrar con cada uno de sus clientes un contrato de subcontratación que regule sus respectivas relaciones y obligaciones e incorpore toda la información enumerada en el artículo 28 del RGPD (objeto, duración, naturaleza y finalidad del tratamiento encomendado), llevar un registro de actividades de subcontratación (RGPD, art. 30), poner a disposición de su cliente toda la información necesaria para demostrar el cumplimiento de sus obligaciones...;
- Tener en cuenta los principios de protección de datos por diseño y protección de datos por defecto de las herramientas, productos, aplicaciones o servicios proporcionados;
- Asistencia, alerta y asesoramiento a sus clientes: el subcontratista debe ayudar a sus clientes a responder a cualquier solicitud de ejercicio de derechos por parte de un interesado (por ejemplo, una solicitud de acceso a los datos conservados por los clientes), a notificar cualquier violación de datos y a llevar llevar a cabo cualquier evaluación de impacto requerida en materia de protección de datos.
Finalmente, el proveedor de servicios también debe integrar el cumplimiento del RGPD durante el proceso de contratación de subcontratistas posteriores, ya que le corresponde asegurarse de que presenten garantías suficientes en términos de cumplimiento del RGPD, para obtener la autorización escrita del cliente para su intervención. y para garantizar que imponen las mismas obligaciones en materia de protección de datos que las establecidas en el contrato con su cliente. Son tantos los puntos de vigilancia que los proveedores de servicios deben integrar y anticipar.
Otras noticias que te pueden interesar