Es sobradamente conocido que la relación jurídica entre responsable de los datos (cliente pyme), encargado del tratamiento (asesor) y “otro encargado” (NCS al prestar el servicio de soporte) debe sustentarse en un contrato, que ha de constar por escrito (art. 28 RGPD).
Un deber que no es meramente “formal”, ya que el contrato es elemento fundamental en la medida en que establece y regula el amplio abanico de obligaciones a las que se somete el encargado, y define el alcance y los límites de sus actuaciones.
Se trata de un documento que, al menos, debe clarificar aspectos como «el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable»; e incluir una serie de garantías adicionales de entre las que sobresale una: la necesidad de respetar, en todo caso y salvo obligación legal (como aclara el artículo 29 del RGPD), las «instrucciones documentadas» del responsable, el cliente pyme.
Y decimos que sobresale, por las graves implicaciones que provoca su incumplimiento, que da lugar, directamente, a que cese el amparo a la libre circulación de datos entre encargado y responsable. Así lo recoge el RGPD, en el artículo 28.10.
Art. 28.10. “Encargado del tratamiento.
10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.”
Del mismo modo, el encargado (asesor) ha de asumir la obligación de no delegar parte de las actividades de tratamiento que se le hayan encomendado en «otros encargados» (NCS en este caso)a menos que cuente con una «autorización previa por escrito (…) del responsable» (artículo 28.2 del RGPD). Por tanto, la contratación de «subencargados» queda sometida al plácet del responsable.
Si la pyme no proporciona las instrucciones por escrito, realiza una cesión a la asesoría y a NCS (al prestar el servicio de soporte) de los datos personales de los que es responsable. Se convierte en cedente de datos, sin pedir el consentimiento inequívoco y explícito a sus propios interesados con el fin de que el tratamiento sea lícito.
Por consiguiente, el despacho asesor y NCS actuarían como responsables y cesionarios de datos, sin informar ambos del tratamiento a los interesados de la pyme para que no sea ilícito (art. 28.10 RGPD).
NCS Datos
El único software RGPD online que analiza los riesgos de su despacho y de sus clientes cumpliendo con los requisitos y obligaciones del nuevo RGPD
