Cuando la asesoría presta servicios a sus clientes pymes, actúa como encargado del tratamiento de los datos personales que le facilitan, y estas son responsables de los mismos, debiendo existir un contrato previo y por escrito entre ambos.
¿Dónde se contiene esta obligación? En el art. 28 del Reglamento General de Protección de Datos (RGPD).
“Art. 28. Encargado del tratamiento.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico […] que vincule al encargado respecto del responsable […]. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable […].”
¿Y qué ocurre si la asesoría emplea un software de NCS al prestar servicio a sus clientes pymes?
Pues que NCS, al realizar el soporte de la aplicación informática (por ejemplo, para arreglar un fichero), tiene acceso a los datos personales que facilitan los clientes pymes del despacho asesor. Así, NCS pasa a ser encargado del tratamiento de la asesoría y encargado del tratamiento segundo de sus pymes. Lo recoge el artículo 28.4 RGPD.
“Art. 28. Encargado del tratamiento.
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato […], las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado […]
Por consiguiente, para poder prestar el servicio de soporte de forma legal, se debe firmar un contrato de encargado del tratamiento asesoría-NCS con el contenido del art. 28 RGPD.
Y además, como NCS es encargado del tratamiento segundo, debe cumplir también el contenido del contrato suscrito entre asesoría-pyme. Obviamente, para poder cumplirlo, debe conocerlo, y de esta forma poder tratar los datos personales siguiendo las instrucciones del responsable pyme (que están incluidas en ese contrato).
Todo ello está previsto legalmente en los artículos 28.3 a) (ya transcrito parcialmente) y 29 RGPD:
“Art. 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento.
El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable […]”.
