La relación comercial que mantiene una asesoría con sus clientes y con NCS se ve afectada por la normativa sobre protección de datos, concretamente por el Reglamento 2016/679 del Parlamento Europeo y del Consejo (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
¿Cuáles son sus obligaciones?
Recordemos que el asesor presta servicio a:
- personas físicas, y en este caso la asesoría es responsable del tratamiento de sus datos personales y,
- a pymes: la asesoría es encargada del tratamiento de los datos que le proporcionan y las pymes responsables, siendo necesario un contrato previo y por escrito entre ambos.
Así lo prevé el artículo 28.3 a) RGPD.
“Art. 28. Encargado del tratamiento.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico […] que vincule al encargado respecto del responsable […]. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable […].”
Y cuando NCS realiza el servicio de soporte del programa informático (por ejemplo, para arreglar ficheros), tiene acceso a los datos personales de los clientes del asesor, de forma que NCS es encargado del tratamiento del asesor y encargado del tratamiento segundo de sus pymes.
El art. 28.4. del RGPD trata de ello: “Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato […], las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado […]
Por consiguiente, para que el servicio de soporte se preste legalmente, debe firmarse un contrato de encargado del tratamiento asesoría-NCS con el contenido del art. 28 RGPD.
Pero no solo tiene esta obligación, sino que al ser encargado del tratamiento segundo, NCS debe cumplir también el contenido del contrato firmado entre asesoría-pyme. Y para ello, tiene que conocerlo, y así tratar los datos personales de acuerdo con las instrucciones del responsable pyme, contenidas en dicho contrato (art. 28.3a) y 29 RGPD).
¿Y si no hay contrato?
Si no hay contrato o no cumple los requisitos, no existen las “instrucciones documentadas” que deben seguir los encargados del tratamiento primero (asesoría) y segundo (NCS), por lo que, según el art. 28.10 RGPD:
- La asesoría sería responsable del tratamiento y cesionario de datos, sin informar a los interesados de la pyme (art. 14 RGPD).
- La pyme sería en cedente de datos (a asesoría y NCS), sin pedir el consentimiento a los interesados (art. 6 RGPD).
- Y NCS prestaría el servicio de soporte como responsable con relación a las pymes que no tuvieran contrato y trataría los datos personales sin informar a los interesados (art. 14 RGPD).
Se infringiría la normativa (art. 73.l) y m) LGPDGPP y estarían expuestos a sanciones (art. 83.4a) RGPD, de los que responden de forma solidaria (art. 82.4 RGPD).
