Consulta de privacidad: el cliente es un interesado o Encargado del tratamiento
28/09/2016
26/09/2016 | fs consultores sl | NEWS - GDPR - Tratamiento de datos - Responsabilidad del tratamiento
Consulta:
¿Qué hacer firmar cuando un cliente nos trae un dispositivo a reparar, o le vendemos uno nuevo?
Somos una empresa de servicios técnicos (SAT) que vende y repara equipos informáticos y teléfonos móviles, tanto de particulares como de empresas.
Hasta ahora hacemos firmar un contrato de Encargado de tratamiento con los clientes porque consideramos que estamos tratando sus datos, pero nos resulta muy engorroso hacerlo y en muchos casos prescindimos de ello para evitar tanto papeleo y desconfianza del cliente.
La pregunta:
Aunque suponga generar unas condiciones para las reparaciones bastantes más extensas que las actuales y que, en muchos casos no serían de aplicación (si el ordenador no contiene datos personales, por ejemplo), ¿podríamos añadir las cláusulas correspondientes al tratamiento y el encargo a esas condiciones y pedir que las firme el cliente y así no tener que generar los contratos?
Respuesta
El SAT debe tener en cuenta que las reparaciones se hacen a un cliente final, por lo que las hace a una persona física, o sea, empleando el término del GDPR, a un INTERESADO. Al INTERESADO solo le debe hacer firmar el consentimiento explícito para tratar sus datos y guardar el documento para poder demostrarlo. El INTERRSADO debería comunicar al SAT si el dispositivo contiene datos personales y la categoría de los mismos para que le aplique las medidas de seguridad adecuadas que dispone la normativa en protección de datos.
En el caso que el cliente final sea una EMPRESA, el SAT será Encargado del tratamiento de esta EMPRESA, nunca al revés.
La EMPRESA, en este caso, será Responsable del tratamiento y la responsabilidad de hacer firmar el contrato de Encargado al SAT es suya. De la misma manera que con un cliente persona (INTERESADO), la EMPRESA debería comunicar al SAT el tipo de datos que contiene el dispositivo para que se le apliquen las medidas de seguridad correspondientes. Si la EMPRESA no le indica al SAT que va a tratar datos personales, el SAT no tiene porque preveerlo, ya que la obligación de informar siempre recae en el Responsable del tratamiento, o sea en la EMPRESA cliente.
Consejo para que todo esto sea viable:
Cuando se tiene una relación estable con la EMPRESA como cliente habitual del SAT, es aconsejable, si la EMPRESA no ofrece el contrato, facilitárselo (Contrato de Empresa Cliente, ya que tratamos sus datos), así con una firma se podrán realizar todos los servicios legalmente sin volver a firmar nada más.
Cuando no existe relación habitual con la EMPRESA y solo se realiza una reparación o venta puntual, se les podría considerar como cliente final, o sea, como INTERESADO y tomar los datos de la persona a la cual le ofrecemos el servicio como tal, eso sí, firmando el consentimiento explícito correspondiente, aunque facturemos a una empresa.
Consideraciones sobre el consentimiento explícito
Cabe recordar que un consentimiento firmado por un interesado es suficiente para tratar sus datos de por vida mientras no lo revoque expresamente, y no es necesario volver a pedírselo en cada servicio, ni informarle del tratamiento si no lo pide expresamente.
Para ello, lo mas cómodo y aconsejable, es que el programa de gestión comercial contenga un ítem donde informe si está o no firmado el consentimiento, facilitando automáticamente el documento de consentimiento en el caso que no lo tuviésemos.
Eso es mucho pedir, pero es en lo que se basa el tan nombrado "
desde el diseño y por defecto" del GDPR.
También se debería programar en la aplicación de gestión comercial una función para permitir revocar el consentimiento, ya que el Reglamento dispone que debe ser "
tan fácil retirar el consentimiento como el haberlo dado", y si llegara el caso, imprimir el documento de revocación y quitar la selección de "firmado" antes descrita."
Josep Aragonés Salvat