Si no existe contrato, obviamente, tampoco las “instrucciones documentadas” que deben seguir los encargados del tratamiento primero (asesoría) y segundo (NCS), imprescindibles según lo previsto en los artículos 28.3 a) y 29 del Reglamento 2016/679 del Parlamento Europeo y del Consejo (en adelante, RGPD).
“Art. 28. Encargado del tratamiento.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico […] que vincule al encargado respecto del responsable […]. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable […].”
“Art. 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento.
El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros”.
Si el cliente pyme (responsable) no proporciona las instrucciones por escrito a través de un contrato o este no contiene todos los requisitos, realiza una cesión a su asesoría y a NCS (al prestar el servicio de soporte) de los datos personales de los que es responsable. Se convierte en cedente de datos, sin pedir el consentimiento inequívoco y explícito a sus propios interesados para que sea lícito.
En este caso, asesoría y NCS al prestarle el servicio de soporte, no actuarían como encargado y subencargado, sino como responsables y cesionarios de datos, sin informar ambos del tratamiento a los interesados de la pyme para que no sea ilícito.
NCS Datos
El único software RGPD online que analiza los riesgos de su despacho y de sus clientes cumpliendo con los requisitos y obligaciones del nuevo RGPD
Art. 28.10 RGPD:
Art. 28.10. “Encargado del tratamiento.
10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.”
La consecuencia de ello es que pyme, asesoría y NCS pueden ser considerados infractores de la normativa y ser sancionados.
Fotografía: Mari Helin
