La Agencia Española de Protección de Datos apercibe al Ministerio de Cultura y Deporte (en adelante MCD) por no haber formalizado con la entidad adjudicataria del contrato implementación de la plataforma de préstamo de libros y app actuales, un contrato de encargo del tratamiento u otro acto jurídico que regule el acceso a los datos personales y por no facilitar, como responsable del tratamiento de los datos, la información exigida legalmente, a los usuarios de la plataforma "eBiblio". Se trata de un servicio gratuito de préstamo de libros electrónicos en línea ofrecido a través de las bibliotecas públicas españolas, está coordinado e impulsado por el MCD en colaboración con los servicios de bibliotecas de las Comunidades Autónomas. El Ministerio adquirió la plataforma de gestión del servicio "eBiblio" y rencargó el tratamiento de los datos a la entidad que resultó adjudicataria de la licitación.
El problema es denunciado por un particular por el irregular tratamiento de los datos que conlleva la utilización de esta plataforma “eBiblio”, que no alcanza a las bases de datos de las bibliotecas públicas.
Partiendo de este esquema, el MCD no solo decidió, a iniciativa propia, la adquisición y puesta en marcha de la plataforma de gestión del servicio "eBiblio" y la aplicación para dispositivos móviles, sino que, además, determina los fines y los medios del tratamiento de forma autónoma. Precisamente por ser quién decide los medios y los fines del tratamiento de datos, el MCD es el responsable del cumplimiento de las normas de protección de datos personales, y en particular es quién debe facilitar información a las personas interesadas sobre cuáles van a ser sus derechos, quién va a ser responsable en caso de violación de la seguridad de los datos personales, y demás cuestiones.
En definitiva, el responsable del tratamiento es quien tiene la obligación de garantizar la aplicación de la normativa de protección de datos y la protección de los derechos de los interesados, y en el caso, el responsable es el MCD; y el encargado del tratamiento solo puede realizar tratamientos sobre las instrucciones documentadas del responsable.
Destaca la Agencia que no consta que el MCD haya dispuesto la formalización de un contrato de encargo del tratamiento o acto jurídico que regule el acceso a los datos personales de los usuarios de "eBiblio" por parte de la adjudicataria a efectos de poder contar con una correcta y específica definición de los roles. Tal omisión del contrato de encargo constituye una infracción tipificada en el apartado 4.a) del artículo 83 del RGPD (LA LEY 6637/2016).
Y no solo comete el MCD esta infracción, sino también incumple su deber de informar a los usuarios de la plataforma "eBiblio", al haber permitido que la única información en materia de protección de datos personales se facilite por la entidad encargada del tratamiento, que además incurre en varias deficiencias, en relación con el contenido mínimo de la información. En particular, la información sobre la identidad del responsable es deficiente y confusa, y no se facilitan sus datos de contacto (se indican los de la entidad encargada del tratamiento y no los del MCD); no se facilitan los datos de contacto del delegado de protección de datos, y la base jurídica del tratamiento de datos no es clara.
Especial mención hace la Agencia a la deficiente información reseñada en materia de "Almacenaje y Seguridad" porque informa que los datos personales se almacenan en servidores "generalmente" ubicados en Europa, si bien se advierte que "los datos recopilados o compartidos con terceros, incluidos, entre otros, Google Analytics y, en algunos casos, su biblioteca, pueden almacenarse en servidores ubicados fuera de Europa, especialmente en los Estados Unidos o Canadá, pero omite las garantías adecuadas y los medios para obtener una copia y los posibles riesgos para el interesado.
Por todo ello, la Agencia apercibe al Ministerio de Cultura y Deporte para establecer una nueva Política de Privacidad en la que deberán corregirse todas las irregularidades detectadas, especialmente, la correcta identificación de la entidad responsable de los tratamientos de datos personales, el detalle de los distintos tratamientos de datos que se realizan, las bases jurídicas respectivas que los legitiman y sus finalidades, y las garantías en cuanto a las transferencias internacionales de datos.