NCS Contabilidad - Estimación Directa

Gestione los libros obligatorios y amortizaciones que deben llevar los profesionales y los pequeños empresarios sujetos al régimen de Estimación Directa Simplificada y Estimación Objetiva

NCS Clock

El módulo de NCS Laboral que automatiza las nóminas de los clientes del asesor. Incluye «Portal del empleado» para el envío y notificación de nóminas, contratos y prórrogas.

Protección de datos y la relación entre cliente, asesoría y NCS. ¿A qué obliga la normativa?

Mar 9, 2021 | Legal, Opinion NCS, RGPD

Aunque es un tema que ya no nos resulta desconocido, por su importancia vamos a revisar la normativa vigente y de obligado cumplimiento sobre protección de datos personales que afecta a la relación comercial que mantiene una asesoría con sus clientes y con NCS.

El Reglamento 2016/679 del Parlamento Europeo y del Consejo (en adelante, RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD) dan respuesta a las cuestiones que nos plantea este asunto.

1.- ¿Qué obligaciones tienen asesor y cliente?

Como sabemos, el despacho asesor presta servicio a:

  • personas físicas, actuando la asesoría como responsable del tratamiento de sus datos personales y,
  • a pymes, siendo en este caso la asesoría encargada del tratamiento de los datos personales que le facilitan y estas responsables de los mismos, debiendo existir un contrato previo y por escrito entre ambos.

Lo encontramos en el artículo 28.3 a) RGPD.

“Art. 28. Encargado del tratamiento.

3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico […] que vincule al encargado respecto del responsable […]. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable […].”

2.- ¿Y cuál es la obligación de NCS en este caso?

La asesoría presta su servicio al cliente utilizando un software de NCS. Y cuando NCS realiza el servicio de soporte de dicho programa informático (por ejemplo, para arreglar un fichero), tiene acceso a los datos personales de los clientes del asesor. Así, NCS pasa a ser encargado del tratamiento de la asesoría y encargado del tratamiento segundo de sus pymes.

Lo recoge el art. 28.4. del RGPD.

“Art. 28. Encargado del tratamiento.

4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato […], las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado […]«.

Por lo tanto, para poder prestar el servicio de soporte de forma legal, se debe firmar un contrato de encargado del tratamiento asesoría-NCS con el contenido del art. 28 RGPD.

Y, además, como es encargado del tratamiento segundo, NCS debe cumplir también el contenido del contrato suscrito entre asesoría-pyme. Obviamente, para poder cumplirlo, debe conocerlo, y de esta forma poder tratar los datos personales siguiendo las instrucciones del responsable pyme (que están incluidas en ese contrato).

Los artículos 28.3 a) (ya visto en el apartado 1) y 29 RGPD hacen referencia a ello:

“Art. 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento.

El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable […]”.

3.- ¿Qué sucede si no existe ese contrato de encargado del tratamiento o no cumple los requisitos establecidos?

Si no hay contrato, evidentemente, no existen las “instrucciones documentadas” legalmente necesarias que deben seguir los encargados del tratamiento primero (asesoría) y segundo (NCS), y como consecuencia,

  • La asesoría se convierte en responsable del tratamiento y en cesionario de datos, sin informar a los interesados de la pyme (art. 14 RGPD).
  • La pyme se convierte en cedente de datos (a asesoría y NCS), sin pedir el consentimiento a los interesados (art. 6 RGPD).
  • NCS, por su parte, le estaría prestando el servicio de soporte como responsable con relación a las pymes que carecieran de contrato y tratando los datos personales sin informar a los interesados (art. 14 RGPD).

El artículo 28.10 RGPD hace alusión a ello:

Art. 28.10.  “Encargado del tratamiento.

10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.”

4.- ¿Existe alguna consecuencia prevista legalmente?

Sí, asesor, pyme y NCS pueden ser considerados infractores de la normativa (art. 73.l) y m) LOPDGDD:

“Art. 73. Infracciones consideradas graves.

l) la contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable […].”

m) La infracción por un encargado del tratamiento de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica, al determinar los fines y los medios del tratamiento, conforme a lo dispuesto en el artículo 28.10 del citado reglamento.”

Y, en consecuencia, puede imponérseles la sanción contenida en el art. 83.4 a) RGPD: “multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.

5.- ¿Qué tipo de responsabilidad hay si un interesado solicita indemnización por incumplimiento del RGPD o LOPDGDD?

Según prevé el artículo 82.4 RGPD, es solidaria entre los responsables y encargados del tratamiento (PYME, asesoría y NCS).

NCS Datos

El único software RGPD online que analiza los riesgos de su despacho y de sus clientes cumpliendo con los requisitos y obligaciones del nuevo RGPD

Otros contenidos de nuestro blog

La obsesión de NCS Software

La obsesión de NCS Software

En NCS Software llevamos más de 40 años desarrollando aplicaciones para la empresa y el asesor. Desde que en 1991 comenzamos a desarrollar la aplicación “Control Avanzado”, hoy rebautizada como “Fiscal”, hemos procurado que nuestro software fuera más allá de ser una...

Reforma de la Ley Concursal, ¿cuáles son las novedades?

Reforma de la Ley Concursal, ¿cuáles son las novedades?

El pasado 6 de septiembre se ha publicado en el BOE la Ley 16/2022, de 5 de septiembre, de reforma del texto refundido de la Ley Concursal. Entrará en vigor el 26 de septiembre de 2022. La iniciativa es una trasposición al ordenamiento jurídico español de la Directiva...

Share This