¿A qué obliga la normativa sobre protección de datos? El RGPD y la LOPDGDD dan respuesta a las cuestiones que nos plantea este asunto.
¿Qué obligaciones tienen asesor y cliente?
Como sabemos, el despacho asesor presta servicio a:
- personas físicas, actuando la asesoría como responsable del tratamiento de sus datos personales y,
- a pymes, siendo en este caso la asesoría encargada del tratamiento de los datos personales que le facilitan y estas responsables de los mismos, debiendo existir un contrato previo y por escrito entre ambos.
Lo encontramos en el artículo 28.3 a) RGPD.
¿Y cuál es la obligación de NCS en este caso?
La asesoría presta su servicio al cliente utilizando un software de NCS. Y cuando NCS realiza el servicio de soporte de dicho programa informático (por ejemplo, para arreglar un fichero), tiene acceso a los datos personales de los clientes del asesor. Así, NCS pasa a ser encargado del tratamiento de la asesoría y encargado del tratamiento segundo de sus pymes. Lo recoge el art. 28.4. del RGPD.
Por lo tanto, para poder prestar el servicio de soporte de forma legal, se debe firmar un contrato de encargado del tratamiento asesoría-NCS con el contenido del art. 28 RGPD.
Y, además, como es encargado del tratamiento segundo, NCS debe cumplir también el CONTENIDO del contrato suscrito entre asesoría-pyme. Obviamente, para poder cumplirlo, debe conocerlo, y de esta forma poder tratar los datos personales siguiendo las INSTRUCCIONES del responsable pyme (que están incluidas en ese contrato).
Los artículos 28.3 a) y 29 RGPD hacen referencia a ello.
¿Qué sucede si no existe ese contrato de encargado del tratamiento o no cumple los requisitos establecidos?
Si no hay contrato, evidentemente, no existen las “instrucciones documentadas” legalmente necesarias que deben seguir los encargados del tratamiento primero (asesoría) y segundo (NCS), y como consecuencia,
- La asesoría se convierte en responsable del tratamiento y en cesionario de datos, sin informar a los interesados de la pyme (art. 14 RGPD).
- La pyme se convierte en cedente de datos (a asesoría y NCS), sin pedir el consentimiento a los interesados (art. 6 RGPD).
- NCS, por su parte, le estaría prestando el servicio de soporte como responsable con relación a las pymes que carecieran de contrato y tratando los datos personales sin informar a los interesados (art. 14 RGPD).
El artículo 28.10 RGPD hace alusión a ello.
¿Existe alguna consecuencia prevista legalmente?
Sí, asesor, pyme y NCS pueden ser considerados infractores de la normativa (art. 73.l) y m) LOPDGDD.
Y, en consecuencia, puede imponérseles la sanción contenida en el art. 83.4 a) RGPD: “multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.
¿Qué tipo de responsabilidad hay si un interesado solicita indemnización por incumplimiento del RGPD o LOPDGDD?
Según prevé el artículo 82.4 RGPD, es SOLIDARIA entre los responsables y encargados del tratamiento (PYME, asesoría y NCS).
