NCS Contabilidad - Estimación Directa

Gestione los libros obligatorios y amortizaciones que deben llevar los profesionales y los pequeños empresarios sujetos al régimen de Estimación Directa Simplificada y Estimación Objetiva

NCS Clock

El módulo de NCS Laboral que automatiza las nóminas de los clientes del asesor. Incluye «Portal del empleado» para el envío y notificación de nóminas, contratos y prórrogas.

Protección de datos y la relación entre cliente, asesoría y NCS. ¿A qué obliga la normativa?

Mar 9, 2021 | Legal, Opinion NCS, RGPD

Aunque es un tema que ya no nos resulta desconocido, por su importancia vamos a revisar la normativa vigente y de obligado cumplimiento sobre protección de datos personales que afecta a la relación comercial que mantiene una asesoría con sus clientes y con NCS.

El Reglamento 2016/679 del Parlamento Europeo y del Consejo (en adelante, RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD) dan respuesta a las cuestiones que nos plantea este asunto.

1.- ¿Qué obligaciones tienen asesor y cliente?

Como sabemos, el despacho asesor presta servicio a:

  • personas físicas, actuando la asesoría como responsable del tratamiento de sus datos personales y,
  • a pymes, siendo en este caso la asesoría encargada del tratamiento de los datos personales que le facilitan y estas responsables de los mismos, debiendo existir un contrato previo y por escrito entre ambos.

Lo encontramos en el artículo 28.3 a) RGPD.

“Art. 28. Encargado del tratamiento.

3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico […] que vincule al encargado respecto del responsable […]. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable […].”

2.- ¿Y cuál es la obligación de NCS en este caso?

La asesoría presta su servicio al cliente utilizando un software de NCS. Y cuando NCS realiza el servicio de soporte de dicho programa informático (por ejemplo, para arreglar un fichero), tiene acceso a los datos personales de los clientes del asesor. Así, NCS pasa a ser encargado del tratamiento de la asesoría y encargado del tratamiento segundo de sus pymes.

Lo recoge el art. 28.4. del RGPD.

“Art. 28. Encargado del tratamiento.

4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato […], las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado […]«.

Por lo tanto, para poder prestar el servicio de soporte de forma legal, se debe firmar un contrato de encargado del tratamiento asesoría-NCS con el contenido del art. 28 RGPD.

Y, además, como es encargado del tratamiento segundo, NCS debe cumplir también el contenido del contrato suscrito entre asesoría-pyme. Obviamente, para poder cumplirlo, debe conocerlo, y de esta forma poder tratar los datos personales siguiendo las instrucciones del responsable pyme (que están incluidas en ese contrato).

Los artículos 28.3 a) (ya visto en el apartado 1) y 29 RGPD hacen referencia a ello:

“Art. 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento.

El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable […]”.

3.- ¿Qué sucede si no existe ese contrato de encargado del tratamiento o no cumple los requisitos establecidos?

Si no hay contrato, evidentemente, no existen las “instrucciones documentadas” legalmente necesarias que deben seguir los encargados del tratamiento primero (asesoría) y segundo (NCS), y como consecuencia,

  • La asesoría se convierte en responsable del tratamiento y en cesionario de datos, sin informar a los interesados de la pyme (art. 14 RGPD).
  • La pyme se convierte en cedente de datos (a asesoría y NCS), sin pedir el consentimiento a los interesados (art. 6 RGPD).
  • NCS, por su parte, le estaría prestando el servicio de soporte como responsable con relación a las pymes que carecieran de contrato y tratando los datos personales sin informar a los interesados (art. 14 RGPD).

El artículo 28.10 RGPD hace alusión a ello:

Art. 28.10.  “Encargado del tratamiento.

10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.”

4.- ¿Existe alguna consecuencia prevista legalmente?

Sí, asesor, pyme y NCS pueden ser considerados infractores de la normativa (art. 73.l) y m) LOPDGDD:

“Art. 73. Infracciones consideradas graves.

l) la contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable […].”

m) La infracción por un encargado del tratamiento de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica, al determinar los fines y los medios del tratamiento, conforme a lo dispuesto en el artículo 28.10 del citado reglamento.”

Y, en consecuencia, puede imponérseles la sanción contenida en el art. 83.4 a) RGPD: “multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.

5.- ¿Qué tipo de responsabilidad hay si un interesado solicita indemnización por incumplimiento del RGPD o LOPDGDD?

Según prevé el artículo 82.4 RGPD, es solidaria entre los responsables y encargados del tratamiento (PYME, asesoría y NCS).

NCS Datos

El único software RGPD online que analiza los riesgos de su despacho y de sus clientes cumpliendo con los requisitos y obligaciones del nuevo RGPD

Otros contenidos de nuestro blog

Ley 13/2023, ¿qué novedades trae en la Ley General Tributaria?

Ley 13/2023, ¿qué novedades trae en la Ley General Tributaria?

En este artículo abordamos las novedades que trae consigo la Ley 13/2023 en la Ley General Tributaria. La Ley 13/2023, de 24 de mayo, se ha publicado en el BOE de 25 de mayo y está en vigor desde el día siguiente, salvo algunas excepciones. Con ella se transponen...

Share This