| Resolución | PS-00058-2025 |
| Firmado | 2025-10-22T00:00:00Z |
| Enlace | 📋 |
La decisión sanciona a SENDING TRANSPORTE Y COMUNICACIÓN, S.A. por dos infracciones relacionadas con el tratamiento de datos personales. La primera infracción se refiere al artículo 28.2 del RGPD, que establece que un encargado del tratamiento no puede recurrir a otro encargado sin la autorización previa y por escrito del responsable del tratamiento. En este caso, SENDING subcontrató a AUTORADIO sin contar con la autorización de ING, el responsable del tratamiento. La segunda infracción se relaciona con el artículo 28.4 del RGPD, que exige que cuando un encargado del tratamiento recurra a otro encargado, se impondrán a este las mismas obligaciones de protección de datos que las estipuladas en el contrato entre el responsable y el encargado. SENDING no formalizó adecuadamente esta relación con AUTORADIO.
La denuncia se originó cuando un cliente intentó darse de alta como cotitular en una cuenta bancaria de ING y, tras varios intentos fallidos, decidió seguir las instrucciones de ING para enviar la documentación necesaria. La documentación, que incluía datos personales sensibles como el DNI y la dirección, fue recogida por AUTORADIO, subcontratado por SENDING, y posteriormente se extravió. El cliente presentó una reclamación ante ING y, finalmente, denunció el extravío de documentación ante la Guardia Civil.
SENDING alegó que desconocía la relación contractual entre DYNAMIC e ING y que cumplió con las instrucciones facilitadas por DYNAMIC. Sin embargo, la decisión subraya que SENDING, como subencargado del tratamiento, tenía la obligación de conocer la identidad del responsable del tratamiento y de contar con la autorización previa para subcontratar. Además, la documentación presentada por SENDING no cumplía con los requisitos exigidos por el RGPD para formalizar la relación con AUTORADIO.
La sanción impuesta a SENDING asciende a 80.000 euros, distribuidos en 40.000 euros por cada infracción. La decisión destaca que las infracciones afectan directamente al control que los afectados ejercen sobre sus datos personales y que, aunque el riesgo se materializó en un único afectado, las infracciones tienen como afectados potenciales a todos los clientes de ING que hubieran enviado documentación a través