El CIS se saltó normas de protección de datos en su sondeo especial sobre Covid

El Centro de Investigaciones Sociológicas (CIS) vulneró el Reglamento General de Protección de Datos (RGPD) en la contratación del 'Barómetro especial de opinión abril 2020. Coronavirus Covid-19', una licitación que se llevó a cabo por procedimiento de emergencia -debido a la situación de pandemia-, con un presupuesto de 74.000 euros y que recayó en la empresa de estudios de mercado Intercampo. Así consta en una resolución del pasado 21 de enero de la Agencia Española de Protección de Datos (AEPC), a la que ha tenido acceso La Información, en la que el organismo adscrito al Ministerio de Presidencia es amonestado -sanción de apercibimiento-, si bien elude una multa que podría haber alcanzado diez millones de euros, precisamente por su consideración de entidad pública.

La empresa adjudicataria, que realizó la encuesta llamando a números de teléfono de forma aleatoria, almacenó temporalmente datos personales de identificación -teléfono y nombre de pila del entrevistado-, datos sociodemográficos -código postal, edad y sexo del entrevistado-, datos de investigación -las respuestas de las preguntas planteadas- y el audio generado. La encuestadora hizo llegar al CIS los datos personales anonimizados (borrado absoluto), como contempla la normativa, que da seis meses para eliminarlos, y según se destaca el objeto de tratar el dato de nombre de pila "fue exclusivamente para favorecer un trato cordial y confortable entre el entrevistador y el entrevistado".

La fórmula de la entrevista, similar a como la realizan habitualmente el CIS fue: "Buenos días/tardes. Soy------------ de (nombre de la empresa). Estamos realizando una encuesta para el Centro de Investigaciones Sociológicas sobre temas de interés general, por teletrabajo. Por este motivo solicitamos su colaboración y se la agradecemos anticipadamente. Este teléfono ha sido seleccionado al azar mediante métodos aleatorios. Le garantizamos el absoluto anonimato y secreto de sus respuestas en el más estricto cumplimiento de las leyes sobre secreto estadístico y protección de datos personales".

El departamento presidido por José Félix Tezanos, debido a la situación de pandemia y la imposibilidad de llevar a cabo por sí mismo, ante la ausencia de medios técnicos, un estudio especial con 3.000 entrevistas, optó por acudir a la contratación externa solicitando cuatro propuestas. El CIS seleccionó la oferta que consideró más ventajosa, teniendo en cuenta para ello entre otras razones, la adhesión de la empresa que la había facilitado al Código de Conducta para el Tratamiento de Datos de Carácter Personal, según reconoce el organismo. La contratación se llevó a cabo por el procedimiento de emergencia, que permite la contratación verbal, formalizándose el contrato con fecha 11 de mayo de 2020.

Sin embargo, según destaca la AEPD, el documento de formalización del contrato no contenía las estipulaciones obligatorias exigidas por el artículo 28.3 del RGPD, ni se aportaron documentos con carácter vinculante para el encargado respecto del responsable que las contemplasen. Por su parte, el CIS alega que entendía que, en esta situación excepcional, al no tener obligación ni siquiera de formalizar un contrato por escrito, no tenía la obligación de introducir las cláusulas de protección de datos que habitualmente figuran en todos Pliegos de Cláusulas Administrativas (PCAP), "ya que ni siquiera se elaboran tales pliegos". 

La directora de la Agencia Española de Protección de Datos, Mar España Martí, advierte que el RGPD en su artículo 28 no regula ninguna excepción a la obligación de formalizar por escrito el contrato o acto jurídico vinculante para el encargado respecto del responsable. Además, avisa que tampoco supone una excusa que no se contemplasen pliegos, porque eso no impide haber hecho figurar las especificaciones exigidas por el Reglamento en cualquier otro documento, siempre que el mismo tuviera carácter vinculante, y que en ningún caso supone un error de forma, tal y como alega el CIS de manera reiterada.

La resolución, que pone fin a la vía administrativa y deja la puerta abierta al CIS a presentar un recurso en la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, se destaca que la Ley de Protección de Datos considera una infracción grave "encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679". Dicha infracción se sanciona con multas administrativas de diez millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Pese a todo, la AEPD limita su 'castigo' a una sanción de apercibimiento, ya que según el Reglamento, cada Estado miembro puede establecer normas sobre si se puede, y en qué medida, imponer multas administrativas autoridades y organismos públicos establecidos en el país.

La Ley de Protección de Datos establece en su artículo 77 prevé un régimen sancionador especial para las administraciones y organismos, que en el caso de cometer infracciones graves, "la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento... Sin perjuicio de que la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación".