La reclamación contra la Diputación Provincial de Cádiz tiene origen en la ausencia de contrato o acto jurídico que recoja los requisitos del artículo 28 del RGPD en la relación entre la Diputación Provincial de Cádiz y su medio propio, EPICSA, encargada del tratamiento de datos en el marco de diversos servicios informáticos, entre ellos, el envío de notificaciones tributarias a los contribuyentes. Se constata que el encargo de tratamiento se efectuó sin recoger las estipulaciones exigidas por el artículo 28.3 RGPD, ni como parte del texto contractual ni en documentación anexa.
La resolución DECLARA la infracción cometida por la Diputación Provincial de Cádiz al vulnerar el artículo 28 del RGPD, tipificada en el 83.4.a del RGPD y calificada a efectos de prescripción como grave en el artículo 73.k) LOPDGDD. Además, se ordena la remisión de documentación que acredite la adopción de medidas técnicas u organizativas que garanticen el cumplimiento del artículo 28 RGPD en futuros encargos a su medio propio, EPICSA.