Aunque es un tema que ya no nos resulta desconocido, por su importancia vamos a revisar la normativa vigente y de obligado cumplimiento sobre protección de datos personales que afecta a la relación comercial que mantiene una asesoría con sus clientes y con NCS.
El Reglamento 2016/679 del Parlamento Europeo y del Consejo (en adelante, RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD) dan respuesta a las cuestiones que nos plantea este asunto.
1.- ¿Qué obligaciones tienen asesor y cliente?
Como sabemos, el despacho asesor presta servicio a:
- personas físicas, actuando la asesoría como responsable del tratamiento de sus datos personales y,
- a pymes, siendo en este caso la asesoría encargada del tratamiento de los datos personales que le facilitan y estas responsables de los mismos, debiendo existir un contrato previo y por escrito entre ambos.
Lo encontramos en el artículo 28.3 a) RGPD.
“Art. 28. Encargado del tratamiento.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico […] que vincule al encargado respecto del responsable […]. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable […].”
2.- ¿Y cuál es la obligación de NCS en este caso?
La asesoría presta su servicio al cliente utilizando un software de NCS. Y cuando NCS realiza el servicio de soporte de dicho programa informático (por ejemplo, para arreglar un fichero), tiene acceso a los datos personales de los clientes del asesor. Así, NCS pasa a ser encargado del tratamiento de la asesoría y encargado del tratamiento segundo de sus pymes.
Lo recoge el art. 28.4. del RGPD.
“Art. 28. Encargado del tratamiento.
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato […], las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado […]«.
Por lo tanto, para poder prestar el servicio de soporte de forma legal, se debe firmar un contrato de encargado del tratamiento asesoría-NCS con el contenido del art. 28 RGPD.
Y, además, como es encargado del tratamiento segundo, NCS debe cumplir también el contenido del contrato suscrito entre asesoría-pyme. Obviamente, para poder cumplirlo, debe conocerlo, y de esta forma poder tratar los datos personales siguiendo las instrucciones del responsable pyme (que están incluidas en ese contrato).
Los artículos 28.3 a) (ya visto en el apartado 1) y 29 RGPD hacen referencia a ello:
“Art. 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento.
El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable […]”.
3.- ¿Qué sucede si no existe ese contrato de encargado del tratamiento o no cumple los requisitos establecidos?
Si no hay contrato, evidentemente, no existen las “instrucciones documentadas” legalmente necesarias que deben seguir los encargados del tratamiento primero (asesoría) y segundo (NCS), y como consecuencia,
- La asesoría se convierte en responsable del tratamiento y en cesionario de datos, sin informar a los interesados de la pyme (art. 14 RGPD).
- La pyme se convierte en cedente de datos (a asesoría y NCS), sin pedir el consentimiento a los interesados (art. 6 RGPD).
- NCS, por su parte, le estaría prestando el servicio de soporte como responsable con relación a las pymes que carecieran de contrato y tratando los datos personales sin informar a los interesados (art. 14 RGPD).
El artículo 28.10 RGPD hace alusión a ello:
Art. 28.10. “Encargado del tratamiento.
10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.”
4.- ¿Existe alguna consecuencia prevista legalmente?
Sí, asesor, pyme y NCS pueden ser considerados infractores de la normativa (art. 73.l) y m) LOPDGDD:
“Art. 73. Infracciones consideradas graves.
l) la contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable […].”
m) La infracción por un encargado del tratamiento de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica, al determinar los fines y los medios del tratamiento, conforme a lo dispuesto en el artículo 28.10 del citado reglamento.”
Y, en consecuencia, puede imponérseles la sanción contenida en el art. 83.4 a) RGPD: “multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.
5.- ¿Qué tipo de responsabilidad hay si un interesado solicita indemnización por incumplimiento del RGPD o LOPDGDD?
Según prevé el artículo 82.4 RGPD, es solidaria entre los responsables y encargados del tratamiento (PYME, asesoría y NCS).
NCS Datos
El único software RGPD online que analiza los riesgos de su despacho y de sus clientes cumpliendo con los requisitos y obligaciones del nuevo RGPD
