Inicio
Resoluciones
Resolución de la Agencia ...yo de 2023

Última revisión
01/09/2023

Resolución de la Agencia Española de Protección de Datos PS-00244-2022 de 08 de mayo de 2023

nuevo

GPT Iberley IA

Copiloto jurídico

Relacionados:

Tiempo de lectura: 25 min

Órgano: Agencia Española de Protección de Datos

Fecha: 08/05/2023

Num. Resolución: PS-00244-2022

Cuestión

1 / 11

Expediente N.º: PS/00244/2022

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : A.A.A. (en adelante, la parte reclamante) con fecha 18/05/2021 interpuso...

Contestacion

1/11

? Expediente N.º: PS/00244/2022

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 18/05/2021 interpuso

reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige

contra CONSEJERÍA DE EDUCACIÓN, CULTURA, DEPORTE Y JUVENTUD, de la

CCAA de la RIOJA con NIF S3333001J (en adelante, la parte reclamada). Los motivos

en que basa la reclamación son que ha solicitado, por transparencia informativa, el

acceso a los contratos firmados por la reclamada en materia de educación con

MICROSOFT y se le ha dado una respuesta genérica. Relata la respuesta a su petición

de información pública obtenida el 17/05/2021 de la que deduce los hechos.

Aporta copia de:

- Respuesta de la reclamada a su solicitud de 22/04/2021 en que solicitaba: ?copia

electrónica o enlace a los contratos, convenios/actos jurídicos firmados por la

Comunidad con Microsoft para ofrecer sus productos a docentes y estudiantes, que

deben incluir todos los aspectos relativos a RGPD, ya que Microsoft pasa a ser

responsable del tratamiento y puede ser usado por menores.?, de conformidad con el

artículo 11 de la Ley 3/2014, de 11/09, de Transparencia y Buen Gobierno de La Rioja.?

En el cuerpo de la respuesta figura: ?El consumo de los servicios online de Microsoft a

los que se hace referencia son los servicios que ofrece esta entidad de forma gratuita y

cuyas condiciones de uso se pueden observar en:

https://www.microsoft.com/es-xl/licensing/product-licensing/products.

Los acuerdos de uso se aplican en el mismo momento de la creación del tenant, bajo la

denominación ON LINE SERVICES. Adicionalmente, dentro del acuerdo de uso descrito

en el ON LINE SERVICES, se hace referencia al DPA (ADDENDUM DE PROTECCIÓN

DE DATOS), en el que se recoge toda la información relacionada con el uso y

tratamiento de los datos.?

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5/12 de

Protección de Datos Personales y garantía de los derechos digitales (en adelante

LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada el 7/06/2021,

para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de

las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa

de protección de datos. En concreto se le solicitaba:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/11

?1. La decisión adoptada a propósito de esta reclamación.

2. En el supuesto de ejercicio de los derechos regulados en los artículos 15 a 22

del RGPD, acreditación de la respuesta facilitada al reclamante.

3. Informe sobre las causas que han motivado la incidencia que ha originado la

reclamación.

4. Informe sobre las medidas adoptadas para evitar que se produzcan

incidencias similares, fechas de implantación y controles efectuados para

comprobar su eficacia.

5. Cualquier otra que considere relevante.?

Con fecha 22/06/2021, se recibe en esta Agencia escrito de respuesta en la que

manifiesta:

1) No considera el desacuerdo del reclamante como cuestión de protección de datos,

sino con el contenido de la respuesta a su petición en el derecho de acceso a la

información pública proporcionada. Lo que procedería sería aplicar el régimen de la

reclamación contra dicha cuestión.

2) Considera que no hay indicios de incumplimiento en la normativa de protección de

datos que afecte al tratamiento de sus datos personales y que tampoco se está

ejercitando algún derecho de los reconocidos en los artículos 15 a 22 del RGPD.

3) ?Se ha podido comprobar que en el Anexo de protección de datos de servicios

online (DPA) al que se accede desde la dirección electrónica facilitada en la respuesta

que se dio al reclamante, se contiene la información relativa a las obligaciones que

asumen las partes con respecto al tratamiento y la seguridad de los Datos del Cliente y

los Datos Personales en relación con los Servicios Online. Entre otros, se recogen en

dicha información los siguientes aspectos: El alcance de la Adenda de Protección de

Datos, la naturaleza del tratamiento, la titularidad de los datos, cómo se producirá la

revelación de los mismos, los roles y responsabilidades como responsable y encargado

del tratamiento, el reconocimiento de los derechos así como cuestiones de seguridad de

los datos (notificación de incidentes de seguridad, realización de auditorías de

cumplimiento, conservación y eliminación de datos?)

TERCERO: Con fecha 5/08/2021, la reclamación fue admitida a trámite.

CUARTO: La Subdirección General de Inspección de Datos procedió a la realización de

actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión,

en virtud de las funciones asignadas a las autoridades de control en el artículo 57.1 y de

los poderes otorgados en el artículo 58.1 del Reglamento (UE) 2016/679 (Reglamento

General de Protección de Datos, en adelante RGPD), y de conformidad con lo

establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD, teniendo

conocimiento de los siguientes extremos:

Con fecha de 3/02/2022, se solicita a la reclamada:

?Copia del contrato, convenio o documento equivalente en derecho, suscrito por la

Comunidad de la Rioja con Microsoft con objeto de ofrecer sus productos a docentes y

estudiantes.?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/11

Figura la entrega en el envío electrónico, el 4/02/2022, sin obtenerse respuesta,

reiterando la petición, siendo recogido el envío el 22/04/2022. Con fecha 26/04/2022, la

reclamada manifiesta:

- ?El Gobierno de La Rioja no realizó contratación alguna, puesto que se utilizan los

servicios en Educación que Microsoft ofrece de forma gratuita (licencia A1). Todos los

servicios online de Microsoft llevan implícitos la aceptación de los acuerdos de uso en el

mismo momento de la creación del tenant, denominados ON LINE SERVICES. Dichos

acuerdos pueden consultarse en los portales de dicho proveedor, (figura el link):

?Términos de licencia | Programa de licencias por volumen de Microsoft?.

Adicionalmente, dentro del acuerdo de uso descrito en el ?ON LINE SERVICES?, se

hace referencia al DPA (Addendum de Protección de Datos), donde se puede recoger

toda la información relacionada con el uso y tratamiento de los datos.?

-?Se ha podido comprobar que en el Anexo de protección de datos de servicios online

(DPA) al que se accede desde la dirección electrónica facilitada en la respuesta que se

dio al reclamante se contiene la información relativa a las obligaciones que asumen las

partes con respecto al tratamiento y la seguridad de los Datos del Cliente y los Datos

Personales en relación con los Servicios Online. Entre otros, se recogen en dicha

información los siguientes aspectos:

El alcance de la Adenda de Protección de Datos, la naturaleza del tratamiento, la

titularidad de los datos, cómo se producirá la revelación de los mismos, los roles y

responsabilidades como responsable y encargado del tratamiento, el reconocimiento de

los derechos, así como cuestiones de seguridad de los datos (notificación de incidentes

de seguridad, realización de auditorías de cumplimiento, conservación y eliminación de

datos?)?

QUINTO: Con fecha 7/07/2022, la Directora de la AEPD acordó:

?INICIAR PROCEDIMIENTO SANCIONADOR a CONSEJERÍA DE EDUCACIÓN,

CULTURA, DEPORTE Y JUVENTUD, de la CCAA de la RIOJA, con NIF S2633001J,

por la presunta infracción del artículo 28.3 del RGPD, tipificada en el artículo 83.4 a) del

RGPD y a efectos de prescripción en el artículo 73.k) de la LOPDGDD. ?

?a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1/10, del Procedimiento

Administrativo Común de las Administraciones Públicas, (LPCAP) la sanción que

pudiera corresponder sería de apercibimiento, sin perjuicio de lo que resulte de la

instrucción.?

SEXTO: Con fecha 21/07/2022, la reclamada aporta:

1) Documento de ?addenda de Protección de Datos? de los productos y servicios de

Microsoft, DPA última actualización 15/09/2021. Se trata de las condiciones generales

que establece las obligaciones con respecto al tratamiento y la seguridad de los datos

del cliente, los datos de servicios profesionales, y los datos personales en relación con

los productos y servicios. Se puede destacar:

? ? Naturaleza del tratamiento de datos ; titularidad Microsoft utilizará y tratará los Datos

del Cliente, los Datos de Servicios Profesionales y los Datos Personales únicamente

según se describe a continuación, incluyendo las limitaciones indicadas, (a) para

proporcionar los Productos y Servicios al Cliente de acuerdo con las instrucciones

documentadas del Cliente.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/11

Por lo que respecta a las partes, el Cliente conserva todos los derechos, la titularidad y

los intereses sobre los Datos del Cliente y los Datos de Servicios Profesionales.

Microsoft no adquiere ningún derecho sobre los Datos del Cliente o los Datos de

Servicios Profesionales, salvo por los derechos que el Cliente le concede a Microsoft en

esta sección. Este párrafo no afecta los derechos de Microsoft sobre el software o los

servicios que Microsoft licencia al Cliente.

? Tratamiento de datos para proporcionar los Productos y Servicios al Cliente

A los efectos de este DPA, ?proporcionar? (también ?prestar? o ?proveer?) un

Producto consiste en:

- Proporcionar las capacidades funcionales que se licencien, se configuren y se

utilicen por parte del Cliente y sus usuarios, lo cual incluye proporcionar experiencias de

usuario personalizadas;

- Solucionar problemas (prevención, detección y reparación de problemas); y

- Mejora continua (instalación de las actualizaciones más recientes e

implementación de mejoras a la productividad del usuario, confiabilidad, eficacia,

calidad y seguridad).

A los efectos de este DPA, ?proporcionar? (también ?prestar? o ?proveer?) Servicios

Profesionales consiste en:

- Prestar los Servicios Profesionales, que incluyen servicios de soporte técnico,

planificación profesional, asesoría, asistencia, migración de datos, despliegue, y

desarrollo de soluciones/software.

- Solucionar problemas (prevención, detección, investigación, mitigación y

reparación de problemas, incluidos los Incidentes de Seguridad y problemas

identificados en los Servicios Profesionales o en el Producto (o Productos) durante la

prestación de los Servicios Profesionales); y

- Mejora continua (mejora de la ejecución, eficacia, calidad y seguridad de los

Servicios Profesionales y del Producto (o Productos) subyacente(s) en función de los

problemas identificados durante la prestación de los Servicios Profesionales, incluida la

instalación de las últimas actualizaciones y la reparación de defectos de software).

Al proporcionar los Productos y Servicios, Microsoft no utilizará ni tratará los Datos del

Cliente, los Datos de Servicios Profesionales o los Datos Personales para: (a) la

elaboración de perfiles de usuarios, (b) publicidad o fines comerciales similares, o (c)

investigación de mercado dirigida a crear nuevas funcionalidades, servicios o productos,

ni para ninguna otra finalidad, salvo que dicho uso o tratamiento se realice de acuerdo

con las instrucciones documentadas del Cliente.?

Existen otros apartados como:

-Tratamiento de Datos Personales; RGPD que contienen:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/11

? Roles y responsabilidades como responsable y encargado del tratamiento

? Detalles del tratamiento

? Derechos de los interesados: asistencia con las solicitudes

-Seguridad de los datos, que se divide en:

? prácticas y políticas de seguridad,

? Cifrado de datos

? Acceso a datos

? responsabilidades del cliente

? Auditoría del cumplimiento

? Notificación de incidentes de seguridad

-Transferencia y ubicación de datos

-Conservación y eliminación de datos

-Compromiso de confidencialidad como encargado de tratamiento

-De notificaciones y controles sobre el uso de su encargados

-Se distinguen los siguientes apéndices:

? A medidas de seguridad

? B Interesados y categorías de datos personales

? C addendum de garantías adicionales

-ANEXO 1 cláusulas contractuales tipo adicional a las cláusulas contractuales tipo de

2021.

Figuran firmado las ?cláusulas contractuales tipo, el apéndice 1 y el apéndice 2, en

nombre del importador de datos?, MICROSOFT.

-ANEXO 2 Términos de conformidad con el RGPD, en el que se comprende:

? Obligaciones pertinentes con arreglo al RGPD: artículos 28, 32 y 33

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/11

2) Copia de Nota de prensa de Microsoft de la página de Microsoft, que refleja una nota

de prensa de 6/06/2014, indicando que ?la AEPD confirma las garantías de los servicios

corporativos de Microsoft en la nube para la exportación de datos, indicando que la

Agencia ratifica que los contratos de Microsoft ofrecen garantías adecuadas para los

clientes que confían sus datos personales a Microsoft en el marco de los servicios corporativos

de Office 365, Dynamics CRM online y Microsoft AZURE para la transferencia

internacional de datos. ?

Indica que la AEPD, ?ha analizado los modelos de contratos de la compañía para servicios

de cloud corporativa al amparo de la LOPD?. ?La AEPD considera adecuada las garantías

de Microsoft como importador de datos? El marco contractual de Microsoft para

la exportación de datos se fundamenta desde hace años en las cláusulas contractuales

tipo con el objeto de regular la exportación de datos de clientes europeos a proveedores

de servicios establecidos fuera de la Unión Europea. Incluye un link que supuestamente

conduce a la resolución de 9/05/2014, TI 32/2014.

3) Copias de partes de actas de reuniones de la Consejería con centros escolares

desde 6/06/2014 en que se hacen referencias a montaje de infraestructuras para

trabajar con las TICs en las aulas, y la implantación del software de la suite Microsoft

que se integrará en RACIMA y la creación de nuevos portales bajo demandad delos

centros. También de reuniones en octubre de 2014 sobre formación TIC.

4) Copia de un documento de MICROSOFT, consistente en un e mail de 8/07/2014 a

una persona de la Consejería, dando la bienvenida al centro de servicio de licencia por

volumen de MICROSOFT (VLSC). Para obtener acceso a VLSC con los permisos que

se han asignado, primero debe registrarse y validar la dirección de correo electrónico

profesional que se proporcionó a Microsoft para VLSC.

5) Copia del número de licencia de MICROSOFT donde figura estampada la firma de

31/07/2014, del Gobierno de la Rioja. Contrato ?campus School. Enrollment for

Education Solutions. Azure only enrollment.?

6) Copia de un correo electrónico desde centro de servicio de licencias por volumen de

microsoft, de 8/08/ 2014 a una persona responsable, de una Dirección General de

Tecnologías de la información y la comunicación de la Consejería, con el número de

contrato de cliente, y el número de inscripción con aceptación de la inscripción de

?Microsoft enrollment for Education Solutions? y mención a la activación de ?online

services? que se enviaran a la persona designada en la inscripción como administrador

?online services?.

7) Copia de una agenda de una reunión de 15/10/2014, de personal docente y de la

Consejería en la que en la agenda figura la implantación de formación presencial y

virtual de diciembre a marzo sobre la suite 365 de Office.

8) Copia de factura, importe 0, de Microsoft, del mes febrero de 2015 de Microsoft al

Gobierno de La Rioja, Consejería de Administraciones Públicas y Hacienda -elemento:

Office 365 ámbito educativo e- 1 para estudiantes y para profesores, protección

Exchange online para estudiantes, y docentes

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/11

9) Copia de dos hojas impresas de 25/02/2015 del portal office.com con Office 365,

iniciar la versión de prueba gratuita con la configuración de la cuenta, en la que figura el

correo electrónico edu@larioja.org, con los datos de una persona responsable de la

Consejería de Educación, figurando ?Office 365 educación E 3 para profesores y para

estudiantes?.

10) Copia de contrato de servicio de mantenimiento de desarrollo de la plataforma

RACIMA para los centros sostenidos con fondos públicos de educación del Gobierno de

La Rioja de 30/06/2022.

SÉPTIMO: Con fecha 21/02/2023, se emitió la siguiente propuesta de resolución:

?Que por la Directora de la Agencia Española de Protección de Datos se archive la

infracción del artículo 28.3 del RGPD, de conformidad con el artículo 83.4.a) del RGPD,

y a efectos de prescripción en el artículo 73. k) de la LOPDGDD, imputada a la

CONSEJERÍA DE EDUCACIÓN, CULTURA, DEPORTE Y JUVENTUD, de la CCAA de

la RIOJA con NIF S3333001J.?

Frente a la misma, no se reciben alegaciones.

OCTAVO: De las actuaciones practicadas en el presente procedimiento y de la

documentación obrante en el expediente, han quedado acreditados los siguientes:

HECHOS PROBADOS

PRIMERO: El reclamante en fecha 22/04/2021, solicita a la reclamada ?copia

electrónica o enlace a los contratos/convenios/actos jurídicos firmados con

MICROSOFT para ofrecer sus productos a docentes y estudiantes? de conformidad con

el artículo 11 de la Ley 3/2014, de 11/09 de Transparencia y Buen Gobierno de La Rioja.

En la respuesta obtenida, fechada el 17/05/2021, la reclamada, le indica un link en el

que figura información de los servicios online de MICROSOFT en el que se puede

obtener información sobre los programas de licencias y le Informa que ?los acuerdos de

uso se aplican en el mismo momento de la creación del tenant bajo la denominación ON

LINE SERVICES?. Dentro del acuerdo se hace referencia al DPA-adenda de protección

de datos- en el que se recoge toda la información relacionada con el uso y tratamiento

de los datos. La página informa ?Cuando se suscribe a un servicio online bajo los

términos y condiciones del producto, el procesamiento de datos y los términos de

seguridad se definen en el Anexo de protección de datos de servicios online (DPA). El

DPA es un anexo de los términos y condiciones del producto (anteriormente, OST). No

conforme con lo entregado, por la respuesta genérica, y no incluir el contrato de encargo

de tratamiento, el reclamante interpone reclamación a esta AEPD, que también lo

solicita en actuaciones previas, y no fue aportado.

SEGUNDO: En las alegaciones al acuerdo de inicio la reclamada ha aportado copia del

contrato de cliente MICROSOFT OFFICE 365 EDUCACIÓN E-3, para profesores y

estudiantes, Versión gratuita firmado el 31/07/2014.

El contrato de Microsoft se suscribe online y llevan implícita la aceptación de los

acuerdos de uso denominados ?on line services? , adicionalmente figura en los acuerdos

de uso un Addendum de protección de datos-DPA-que recoge la información

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/11

relacionada con el uso y tratamiento de datos y se actualiza en sus versiones. En dicho

Addendum se incluyen las condiciones del tratamiento de datos. Además, se incluyen

Apéndices y anexos.

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679

(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada

autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía

de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y

resolver este procedimiento la Directora de la Agencia Española de Protección de

Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto

en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos."

II

En cuanto a los sujetos intervinientes relacionados con el tratamiento de datos, hay que

acudir al concepto de responsable y encargado del tratamiento de datos personales en

el artículo 4.7 y 8. del RGPD:

?7) responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad

pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios

del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los

fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos

para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados

miembros;?

8)encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública

, servicio u otro organismo que trate datos personales por cuenta del responsable

del tratamiento?

Que el acuerdo de licencia de la plataforma suscrito sea gratuito o no, no es óbice para

que en todo caso la funcionalidad del software y las aplicaciones de uso de MICROSOFT

precisen la introducción de datos personales, de profesores o/y de alumnos, con una

finalidad o la creación de una cuenta para configurar el servicio en el seno de unos términos

generales del contrato. En tal sentido, la remisión en abstracto a las condiciones

generales del acuerdo que se exponen en la web de MICROSOFT pueden ser accesibles

por cualquiera a través de Internet, y no constituía lo solicitado por el reclamante, ni

lo que ha reiteradamente se pidió por esta AEPD.

Uno de los principios del RGPD es el de cumplir la normativa y acreditar documentalmente

que se está cumpliendo.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/11

El artículo 5.1 a) y .2 señala:

1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud,

lealtad y transparencia»);

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en

el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

La reclamada no aportó antes del acuerdo de inicio, a pesar de solicitarse expresamente,

la copia de la adhesión al contrato o cualquier otro acto jurídico escrito que le vinculase

con MICROSOFT. Las personas y entidades que para prestar los servicios educativos utilizan

una plataforma de aprendizaje con el uso de una licencia de software educativa, tratan

los datos de carácter personal de los alumnos y profesores, responsabilidad de la reclamada.

Este responsable se caracteriza, de acuerdo con el artículo 4.7 del RGPD porque:

-Es el que establece el propósito o resultado del tratamiento, fines del mismo y de los medios

del tratamiento, extensión y alcance de las herramientas a utilizar.

-Establece sobre que individuos se tratan los datos.

-Se toman decisiones como parte o resultado del tratamiento.

Las empresas que realizan este tipo de servicios (Cloud Computing, plataformas educativas

, alojamiento de datos) ofertan a los centros educativos aplicaciones informáticas

estructuradas como ?plataforma de aprendizaje? accesibles a través de Internet que

pueden estar compuestas por distintos tipos de software. Por tanto, en este caso, la esencia

del uso de la aplicación es la de consideración del prestador del servicio encargado

de tratamiento por cuenta del responsable.

Como datos que son tratados a través del software de una aplicación, se imputaba inicialmente

a la reclamada una infracción del artículo 28 del RGPD, que indica:

?1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del

tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes

para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento

sea conforme con los requisitos del presente Reglamento y garantice la protección de

los derechos del interesado.

2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización

previa por escrito, específica o general, del responsable. En este último caso, el

encargado informará al responsable de cualquier cambio previsto en la incorporación o

sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a

dichos cambios.

3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/11

arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado

respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad

del tratamiento, el tipo de datos personales y categorías de interesados, y las

obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en

particular, que el encargado:

a) tratará los datos personales únicamente siguiendo instrucciones documentadas del

responsable, inclusive con respecto a las transferencias de datos personales a un tercer

país o una organización internacional, salvo que esté obligado a ello en virtud del

Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal

caso, el encargado informará al responsable de esa exigencia legal previa al

tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés

público;

b) garantizará que las personas autorizadas para tratar datos personales se hayan

comprometido a respetar la confidencialidad o estén sujetas a una obligación de

confidencialidad de naturaleza estatutaria;

c) tomará todas las medidas necesarias de conformidad con el artículo 32;

d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro

encargado del tratamiento;

e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de

medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este

pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el

ejercicio de los derechos de los interesados establecidos en el capítulo III

f) ayudará al responsable a garantizar el cumplimiento de las obligaciones

establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y

la información a disposición del encargado;

g) a elección del responsable, suprimirá o devolverá todos los datos personales una

vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias

existentes a menos que se requiera la conservación de los datos personales en virtud

del Derecho de la Unión o de los Estados miembros;

h) pondrá a disposición del responsable toda la información necesaria para demostrar

el cumplimiento de las obligaciones establecidas en el presente artículo, así como para

permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del

responsable o de otro auditor autorizado por dicho responsable.

En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará

inmediatamente al responsable si, en su opinión, una instrucción infringe el presente

Reglamento u otras disposiciones en materia de protección de datos de la Unión o de

los Estados miembros.

9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por

escrito, inclusive en formato electrónico.?

Habiendo aportado la copia del contrato para el tratamiento de datos de fecha

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/11

31/07/2014, verificándose el proceso que llevó al mismo, y siendo de fecha precedente

a la entrada de la reclamación y también de la petición del reclamante de la copia a la

Consejería, procede archivar la infracción imputada. Si bien inicialmente se podía

pensar que carecía de ella, y que fue lo que motivó la incoación del procedimiento, se

ha aportado finalmente.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: ARCHIVAR la infracción del artículo 28.3 del RGPD imputada a la

CONSEJERÍA DE EDUCACIÓN, CULTURA, DEPORTE Y JUVENTUD, de la CCAA

de la RIOJA con NIF S3333001J,

SEGUNDO: NOTIFICAR la presente resolución a CONSEJERÍA DE EDUCACIÓN,

CULTURA, DEPORTE Y JUVENTUD, de la CCAA de la RIOJA con NIF S3333001J

TERCERO: De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la

presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la

LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los

interesados podrán interponer, potestativamente, recurso de reposición ante la

Directora de la Agencia Española de Protección de Datos en el plazo de un mes a

contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se

podrá suspender cautelarmente la resolución firme en vía administrativa si el

interesado manifiesta su intención de interponer recurso contencioso-administrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante

escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través

del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb

/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la

citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la

documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.

Si la Agencia no tuviese conocimiento de la interposición del recurso

contencioso-administrativo en el plazo de dos meses desde el día siguiente a la

notificación de la presente resolución, daría por finalizada la suspensión cautelar.

938-181022

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es