La Empresa Pública de Información de Cádiz Sociedad Anónima (EPICSA), dependiente de la Diputación Provincial de Cádiz, formalizó un contrato para la implantación y soporte de una herramienta en ayuntamientos de la provincia, que incluía la recogida de datos identificativos y organizativos de trabajadores municipales usuarios de la plataforma.
Este contrato implicaba un encargo de tratamiento de datos personales a un tercero (SERMICRO), pero EPICSA no cumplimentó adecuadamente el anexo específico de tratamiento de datos que debía incorporar al contrato, omitiendo elementos esenciales exigidos por el artículo 28.3 del RGPD.

Se DECLARA la INFRACCIÓN del artículo 28 del RGPD al no formalizar adecuadamente el encargo de tratamiento con un tercero mediante contrato u otro acto jurídico con el contenido legalmente exigido.
Al tratarse de una sociedad mercantil local y no un organismo público ni entidad de derecho público, EPICSA no está sujeta al régimen sancionador especial del artículo 77 LOPDGDD, por lo que podría ser objeto de multa administrativa; sin embargo, se opta por el apercibimiento y no se impone multa administrativa considerando que el contrato no llegó a ejecutarse, no hubo perjuicio para interesados y la entidad ha cooperado con la autoridad de control.