Cuando el despacho asesor presta servicios a sus clientes pymes actúa como encargado del tratamiento de los datos personales que le facilitan, y estas son responsables de los mismos, debiendo existir un contrato previo y por escrito entre ambos.
Esta obligación la encontramos en el artículo 28.3 a) RGPD.
“Art. 28. Encargado del tratamiento.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico […] que vincule al encargado respecto del responsable […]. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable […].”
La asesoría, al prestar ese servicio, utiliza un software de NCS, quien, al realizar el soporte de dicho programa informático (por ejemplo, para arreglar un fichero), tiene acceso a los datos personales de los clientes del asesor. Así, NCS pasa a ser encargado del tratamiento de la asesoría y encargado del tratamiento segundo de sus pymes.
Lo recoge el art. 28.4. del RGPD.
“Art. 28. Encargado del tratamiento.
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato […], las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado […]
Por lo tanto, para poder prestar el servicio de soporte de forma legal, se debe firmar un contrato de encargado del tratamiento asesoría-NCS con el contenido del art. 28 RGPD.
NCS Datos
El único software RGPD online que analiza los riesgos de su despacho y de sus clientes cumpliendo con los requisitos y obligaciones del nuevo RGPD
Y, no solo eso, sino que como es encargado del tratamiento segundo, NCS debe cumplir también el contenido del contrato suscrito entre asesoría-pyme. Evidentemente, para poder cumplirlo, debe conocerlo, y de esta forma poder tratar los datos personales siguiendo las instrucciones del responsable pyme (que están incluidas en ese contrato).
Los artículos 28.3 a) (ya transcrito parcialmente) y 29 RGPD se refieren a ello:
“Art. 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento.
El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable […]”.
