Consulta de privacitat: el client és interessat o Encarregat del tractament

26/09/2016 | Josep Aragonés Salvat


Consulta:
Què hem de fer signar quan un client ens porta un dispositiu a reparar, o li venem un de nou?


Som una empresa de serveis tècnics (SAT) que ven i repara equips informàtics i telèfons mòbils, tant de particulars com d'empreses.

Fins ara fem signar un contracte d'Encarregat de tractament amb els clients perquè considerem que estem tractant les seves dades, però ens resulta molt molest fer-ho i en molts casos prescindim d'això per evitar tanta paperassa i desconfiança del client.

La pregunta:

Encara que suposi generar unes condicions per a les reparacions bastants més extenses que les actuals i que, en molts casos no serien d'aplicació (si l'ordinador no conté dades personals, per exemple), podríem afegir les clàusules corresponents al tractament i l'encàrrec a aquestes condicions i demanar que les signi el client i així no haver de generar els contractes?

 

Resposta


El SAT ha de tenir en compte que les reparacions es fan a un client final, per la qual cosa les fa a una persona física, o sigui, emprant el terme del GDPR, a un INTERESSAT. A l'INTERESSAT només li ha de fer signar el consentiment explícit per tractar les seves dades i guardar el document per poder demostrar-ho. L'INTERESSAT hauria de comunicar al SAT si el dispositiu conté dades personals i la categoria de les mateixes perquè li apliqui les mesures de seguretat adequades que disposa la normativa en protecció de dades.

En el cas que el client final sigui una EMPRESA, el SAT serà Encarregat del tractament d'aquesta EMPRESA, mai a l'inrevés.

L'EMPRESA, en aquest cas, serà Responsable del tractament i la responsabilitat de fer signar el contracte d'Encarregat al SAT és seva. De la mateixa manera que amb un client persona (INTERESSAT), l'EMPRESA hauria de comunicar al SAT el tipus de dades que conté el dispositiu perquè se li apliquin les mesures de seguretat corresponents. Si l'EMPRESA no li indica al SAT que va a tractar dades personals, el SAT no té perquè preveure-ho, ja que l'obligació d'informar sempre recau en el Responsable del tractament, o sigui en l'EMPRESA client.

Consell perquè tot això sigui viable:

Quan es té una relació estable amb l'EMPRESA com a client habitual del SAT, és aconsellable, si l'EMPRESA no ofereix el contracte, facilitar-li (Contracte d'Empresa Client, ja que tractem les seves dades), així amb una signatura es podran realitzar tots els serveis legalment sense tornar a signar res més.

Quan no hi ha relació habitual amb l'EMPRESA i només es realitza una reparació o venda puntual, se'ls podria considerar com a client final, o sigui, com INTERESSAT i prendre les dades de la persona a la qual li oferim el servei com a tal, això sí , signant el consentiment explícit corresponent, tot i que facturem a una empresa.

 

Consideracions sobre el consentiment explícit


Cal recordar que un consentiment signat per un interessat és suficient per tractar les seves dades de per vida mentre no ho revoqui expressament, i no cal tornar a demanar-les en cada servei, ni informar-lo del tractament si no ho demana expressament.

Per a això, el més còmode i aconsellable, és que el programa de gestió comercial contingui un ítem on informe si està o no signat el consentiment, facilitant automàticament el document de consentiment en el cas que no el tinguéssim.

Això és molt demanar, però és en el que es basa el tan anomenat "des del disseny i per defecte" de l'GDPR.

També s'hauria de programar a l'aplicació de gestió comercial una funció per permetre revocar el consentiment, ja que el Reglament disposa que ha de ser "tan fàcil retirar el consentiment com l'haver-ho donat", i si arribés el cas, imprimir el document de revocació i treure la selecció de "signat " abans descrita. "


 

Informació relacionada