En la resolución de la AEPD https://www.aepd.es/documento/ps-00576-2021.pdf se sanciona a una empresa del sector tecnológico por no haber cumplimentado debidamente el contrato de encargado de tratamiento con su proveedor subcontratado de alojamiento en la nube.
La AEPD inició de oficio las actuaciones de investigación al recibir una notificación de una brecha de seguridad con respecto a un proveedor de servicios de hosting y almacenamiento en la nube. Los responsables del tratamiento fueron avisados por su encargado del tratamiento de la brecha de seguridad del proveedor de hosting.
La APED, solicitó a la empresa del sector tecnológico sancionada, que le facilitase el contrato de acceso a datos con el proveedor de servicios de hosting subcontratado. Puesto, que tal y como dispone el RGPD, el encargado que subcontrate el servicio prestado al responsable del tratamiento está obligado a cumplimentar un contrato de acceso a datos personales, conforme a lo dispuesto en el art. 28.3 del RGPD. La entidad sancionada no había cumplimentado el contrato en el momento de prestar el servicio a sus clientes.
Teniendo en cuenta como agravantes, que la entidad sancionada es encargada de tratamiento de numerosos responsables, la sanción ascendió a 60.000€.
IMPORTANTE
Encargar el tratamiento de datos a un tercero sin la formalización de un contrato de acceso a datos es una infracción grave.
