NCS Laboral

Aplicación segura y actualizada para la gestión de nóminas, seguros sociales y ERTE. Incluye portal del empleado en la nube, régimen agrícola, del mar, artistas y empleadas de hogar.

NCS Contabilidad y NCS Gestión

El control de las finanzas, la gestión y toda la información necesaria para la toma de decisiones en su empresa

NCS Asesor

La suite de aplicaciones para el despacho asesor que cubre todas las necesidades de los profesionales, tanto para gestionar a sus clientes como a su propia empresa.

Protección de datos y la relación entre cliente, asesoría y NCS. ¿A qué obliga la normativa?

Mar 9, 2021 | Legal, Opinion NCS, RGPD

Aunque es un tema que ya no nos resulta desconocido, por su importancia vamos a revisar la normativa vigente y de obligado cumplimiento sobre protección de datos personales que afecta a la relación comercial que mantiene una asesoría con sus clientes y con NCS.

El Reglamento 2016/679 del Parlamento Europeo y del Consejo (en adelante, RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD) dan respuesta a las cuestiones que nos plantea este asunto.

1.- ¿Qué obligaciones tienen asesor y cliente?

Como sabemos, el despacho asesor presta servicio a:

  • personas físicas, actuando la asesoría como responsable del tratamiento de sus datos personales y,
  • a pymes, siendo en este caso la asesoría encargada del tratamiento de los datos personales que le facilitan y estas responsables de los mismos, debiendo existir un contrato previo y por escrito entre ambos.

Lo encontramos en el artículo 28.3 a) RGPD.

“Art. 28. Encargado del tratamiento.

3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico […] que vincule al encargado respecto del responsable […]. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable […].”

2.- ¿Y cuál es la obligación de NCS en este caso?

La asesoría presta su servicio al cliente utilizando un software de NCS. Y cuando NCS realiza el servicio de soporte de dicho programa informático (por ejemplo, para arreglar un fichero), tiene acceso a los datos personales de los clientes del asesor. Así, NCS pasa a ser encargado del tratamiento de la asesoría y encargado del tratamiento segundo de sus pymes.

Lo recoge el art. 28.4. del RGPD.

“Art. 28. Encargado del tratamiento.

4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato […], las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado […]«.

Por lo tanto, para poder prestar el servicio de soporte de forma legal, se debe firmar un contrato de encargado del tratamiento asesoría-NCS con el contenido del art. 28 RGPD.

Y, además, como es encargado del tratamiento segundo, NCS debe cumplir también el contenido del contrato suscrito entre asesoría-pyme. Obviamente, para poder cumplirlo, debe conocerlo, y de esta forma poder tratar los datos personales siguiendo las instrucciones del responsable pyme (que están incluidas en ese contrato).

Los artículos 28.3 a) (ya visto en el apartado 1) y 29 RGPD hacen referencia a ello:

“Art. 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento.

El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable […]”.

3.- ¿Qué sucede si no existe ese contrato de encargado del tratamiento o no cumple los requisitos establecidos?

Si no hay contrato, evidentemente, no existen las “instrucciones documentadas” legalmente necesarias que deben seguir los encargados del tratamiento primero (asesoría) y segundo (NCS), y como consecuencia,

  • La asesoría se convierte en responsable del tratamiento y en cesionario de datos, sin informar a los interesados de la pyme (art. 14 RGPD).
  • La pyme se convierte en cedente de datos (a asesoría y NCS), sin pedir el consentimiento a los interesados (art. 6 RGPD).
  • NCS, por su parte, le estaría prestando el servicio de soporte como responsable con relación a las pymes que carecieran de contrato y tratando los datos personales sin informar a los interesados (art. 14 RGPD).

El artículo 28.10 RGPD hace alusión a ello:

Art. 28.10.  “Encargado del tratamiento.

10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.”

4.- ¿Existe alguna consecuencia prevista legalmente?

Sí, asesor, pyme y NCS pueden ser considerados infractores de la normativa (art. 73.l) y m) LOPDGDD:

“Art. 73. Infracciones consideradas graves.

l) la contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable […].”

m) La infracción por un encargado del tratamiento de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica, al determinar los fines y los medios del tratamiento, conforme a lo dispuesto en el artículo 28.10 del citado reglamento.”

Y, en consecuencia, puede imponérseles la sanción contenida en el art. 83.4 a) RGPD: “multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.

5.- ¿Qué tipo de responsabilidad hay si un interesado solicita indemnización por incumplimiento del RGPD o LOPDGDD?

Según prevé el artículo 82.4 RGPD, es solidaria entre los responsables y encargados del tratamiento (PYME, asesoría y NCS).

NCS Datos

El único software RGPD online que analiza los riesgos de su despacho y de sus clientes cumpliendo con los requisitos y obligaciones del nuevo RGPD

Otros contenidos de nuestro blog

Casi todo lo que necesitas saber sobre el nuevo Registro Electrónico de Apoderamientos de la Seguridad Social

Casi todo lo que necesitas saber sobre el nuevo Registro Electrónico de Apoderamientos de la Seguridad Social

El pasado 2 de abril de 2021 entró en vigor el nuevo el nuevo Registro electrónico de apoderamientos de la Seguridad Social, Orden ISM/189/2021, de 3 de marzo, por la que se regula el Registro electrónico de apoderamientos de la Seguridad Social que permite a personas físicas, jurídicas o entidades sin personalidad jurídica, gestionar sus apoderamientos en el ámbito de la Administración de la Seguridad Social. Desde esa fecha ha dejado de tener efecto los poderes existentes por lo que es necesaria la formalización de nuevos apoderamientos.

Calendario del contribuyente – Abril 2021

Calendario del contribuyente – Abril 2021

Calendario fiscal que incluye: Renta y Sociedades, IVA, Impuesto sobre las Primas de Seguros, Impuestos Especiales de Fabricación, Impuesto Especial sobre la Electricidad, Impuestos Medioambientales y Renta. Desde el 7 de abril hasta el 30 de junio Renta y Patrimonio...

Share This