La respuesta la encontramos en el artículo 28.2 RGPD.
Art. 28.2 RGPD: “Encargado del tratamiento.
2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. […].”
Como sabemos, en la relación existente entre cliente-asesor-NCS:
- “Encargado del tratamiento” = Asesor
- “Otro encargado” = NCS
- “Responsable” = Cliente pyme
¿Cómo debe llevarse a cabo esa autorización?
Mediante un contrato previo y por escrito de encargado del tratamiento. Así lo disponen los artículos 28.3a), 28.4 y 29 del RGPD.
“Art. 28. Encargado del tratamiento.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico […] que vincule al encargado respecto del responsable […]. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable […].”
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato […], las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado […].
“Art. 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento.
El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable […]”.
