Como sabemos, el despacho asesor presta servicio a:
- personas físicas, actuando la asesoría como responsable del tratamiento de sus datos personales y,
- a pymes, siendo en este caso la asesoría encargada del tratamiento de los datos personales que le facilitan, y estas, responsables de los mismos.
Esa relación debe estar documentada en un “contrato de encargado del tratamiento” previo y por escrito. Así obliga a ello el artículo 28.3 a) del RGPD:
“Art. 28. Encargado del tratamiento.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico […] que vincule al encargado respecto del responsable […]. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable […].”
NCS Datos
El único software RGPD online que analiza los riesgos de su despacho y de sus clientes cumpliendo con los requisitos y obligaciones del nuevo RGPD
¿Y qué sucede cuando el asesor presta servicio al cliente utilizando un software de NCS?
Pues que cuando NCS realiza el servicio de soporte del programa informático (por ejemplo, para arreglar un fichero), tiene acceso a los datos personales de los clientes del asesor. Así, NCS pasa a ser encargado del tratamiento de la asesoría y encargado del tratamiento segundo de sus pymes.
Podemos verlo en el art. 28.4. del RGPD.
“Art. 28. Encargado del tratamiento.
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato […], las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado […]
Por lo tanto, para poder prestar el servicio de soporte de forma legal, se debe firmar un contrato de encargado del tratamiento asesoría-NCS con el contenido del art. 28 RGPD.
Y, además, como es encargado del tratamiento segundo, NCS debe cumplir también el contenido del contrato suscrito entre asesoría-pyme. Obviamente, para poder cumplirlo, debe conocerlo, y de esta forma poder tratar los datos personales siguiendo las instrucciones del responsable pyme (que están incluidas en ese contrato).
El RGPD, en el artículo 28.3 a), que ya conocemos, hace referencia a ello, y también en el art. 29:
“Art. 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento.
El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable […]”.