Tota la controvèrsia que s’exposa en el PS 315/2020, va començar amb una petició del client a l’empresa informàtica, en què li demanava resoldre el contracte vigent i recuperar tota la informació.
La raó era senzilla: el client volia gestionar a partir d’aquest moment la informació en els seus propis servidors situats en les seves oficines, en lloc de continuar amb el contracte de hosting amb l’empresa informàtica.
És a partir d’aquest moment en què l’empresa d’informàtica comença a realitzar una sèrie d’actuacions, a qual pitjor vist el resultat final, com per exemple deixar sense accés a les dades del client durant 49 dies, causant-li importants perjudicis.
L’interès d’aquesta resolució és que ens permet revisar temes de molt d’interès en una relació client-proveïdor quan es tracten dades de caràcter personal:
a.- Les dades que un client allotja en un servidor d’una empresa informàtica, són propietat del client i no de l’empresa informàtica.
b.- El client (responsable del tractament) i l’empresa d’informàtica (encarregat del tractament) estan vinculats per un contracte d’encarregat de tractament (article 28 del reglament 2016/679).
c.- L’empresa informàtica tracta dades de caràcter personal per compte del client i seguint les seves instruccions.
c.- Si o si o si, el contracte d’encarregat de tractament, ha de formalitzar-se sempre per escrit, per allò de la verba volant scripta manent.
d.- Les dades personals han de retornar-se al client quan aquest el demani i aquesta és l’explicació per la qual en aquests contractes d’encarregat de tractament, sempre existeix una clausula (com la que constava en el contracte entre client i empresa informàtica) que obligava a l’empresa informàtica a:
” … Retornar al client, una vegada conclosa la prestació de serveis objecte del contracte actual tots els documents i arxius en els quals es troben reflectits tots o algunes de les dades qualssevol que sigui el seu suport o format, així com les còpies d’aquests …”.
La multa de 100.000 euros s’explica per la infracció de l’article 28.3.g) del RGPD, d’acord amb l’article 83.4 b) del mateix text i de l’article 74.k) de la LOPDGDD, sanció totalment evitable si l’empresa d’informàtica hagués actuat, simplement, complint el contracte d’encarregat de tractament per allò del pacta sunt servanda.
Text: Clica aquí.
Per obtenir més informació podeu contactar amb: www.cudos-consultors-com
Tel: 973.450.555 Balaguer
Tel: 973 28 28 18 Lleida
Tel: 973 64 32 32 Vielha
Et pots subscriure al nostre butlletí de notícies.