Tratamiento lícito de datos personales del interesado

Como sabemos, la relación entre pyme – asesor – NCS con respecto al tratamiento de los datos personales del interesado, es de responsable – encargado primero– encargado segundo.

Y, ¿qué sucede si no se ha firmado contrato de encargado del tratamiento entre ellos o este no cumple los requisitos fijados? Pues que, obviamente, no existen las “instrucciones documentadas” (art. 28.3a) RGPD) que deben seguir los encargados del tratamiento primero (asesoría) y segundo (NCS) y, por consiguiente,

• El despacho asesor se convierte en responsable del tratamiento, cesionario de datos y también cedente a NCS, sin realizar la preceptiva información a los interesados de la pyme (arts. 28.10 y 14 RGPD).
• NCS presta el servicio de soporte como responsable de los datos que le comunican el asesor y la pyme y trata los datos personales sin llevar a cabo la obligatoria información a los interesados, siendo cesionario de datos (arts. 28.10 y 14 RGPD).
• La pyme se convierte en cedente de datos (a asesoría y NCS), sin pedir el consentimiento a los interesados, imprescindible en este caso para que el tratamiento sea lícito (art. 6 RGPD).

No debemos olvidar que los datos personales han de ser respetados escrupulosamente por entidades y empresas, entendiéndose en este caso respeto como cumplimiento de las condiciones para que el tratamiento de los datos esté dentro de la legalidad, como sucede si se firma contrato de encargado del tratamiento. Ya la Constitución ampara el derecho de los ciudadanos a salvaguardar su intimidad.

Una ilícita utilización de los datos del interesado le legitima, como perjudicado, para reclamar no solo mediante recursos administrativos ante, por ejemplo, la Agencia Española de Protección de Datos sino, además, ante los Tribunales de justicia (arts. 79 y 82.1 RGPD), facultándole para exigir una indemnización a responsables y encargados. Quienes, por otra parte, son responsables solidarios ante ello (art. 82.4 RGPD).