Esto de la protección de datos es una locura, ya lo sé.

Eso le dije a una amiga que tiene una asesoría y no sabe por dónde empezar para cumplir con esta normativa.

En esta guía te doy información clara acerca de los aspectos del RGPD que más te afectan, además de cómo afectará esto a la forma que tienes de trabajar con tus clientes.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos son:

¿Cómo deben cumplir las asesorías el RGPD?

Las asesorías y gestorías tienen en sus manos datos bancarios, financieros o de crédito de sus clientes, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Este tipo de entidades manejan una gran cantidad de datos de clientes. Cada vez que un cliente contrata el asesoramiento fiscal, laboral o contable están manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debe realizar una asesoría para adaptarse al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los clientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

Pero no te preocupes, te explico paso por paso todo lo que debes hacer.
como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en las asesorias

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos se manejan y qué cantidad. La empresa debe responder a preguntas como:

  • Tipo de datos que recopilamos
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedemos esos datos o los transferimos fuera de nuestro país
  • Medios de tratamiento

Para ello es necesario realizar un registro de actividades de tratamiento que debe mantenerse actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

2. Análisis de riesgos

La asesoría debe también realizar un análisis del riesgo en el que valore las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos:
    • ¿Identificativos?
    • ¿Financieros y de crédito?
    • ¿Bancarios?
  • el número de interesados afectados:
    • ¿1.000?
    • ¿5.000?
    • ¿50.000?

Una vez realizado este análisis, debes aplicar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

3. Evaluación de impacto

Agárrate a la silla!

Aquí viene lo complicado.

Si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

¿Te has quedado igual?

Te lo explico:

En la asesoría, al manejar datos relativos a rentas, impuestos o patrimonio de tus clientes, debes hacer esa Evaluación de impacto. Se trata de un informe en el que se indican los riesgos que pueden existir en ese tratamiento y las medidas y controles a aplicar para evitar esos riesgos.

4. Contratos con terceros

Las gestorías y asesorías se relacionan también con terceros que disponen de algunos de los datos de los usuarios.

No me digas que tú no cedes datos a terceros porque no me lo creo.

¿Tienes una empresa informática que realiza el mantenimiento de los equipos o la página web?

Entonces sí cedes datos a terceros.

Numerosas asesorías que administran datos financieros y personales en nombre de sus clientes recurren con regularidad al software de contabilidad. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

Por ello, los asesores y contables deben aclarar con sus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Un cuestionario o una lista de verificación exhaustivos ayudarán a comprender los flujos de datos, así como a identificar posibles vulnerabilidades.

Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos estás recopilando a través de las páginas web de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

5. Página web

Si ofreces los servicios de asesoramiento a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debe incluirse:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nª de inscripción en el Registro Mercantil

Debe ponerse un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante que revises la política de privacidad de la asesoría y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario habrá que informar expresamente de

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Consentimiento de clientes

Además de actualizar la política de privacidad, la asesoría debe tener el consentimiento expreso de todos sus clientes para poder tratar sus datos. Este consentimiento puede solicitarse de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debes incluir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en la oficina, tienes que darle a firmar un documento en el que le informes sobre:
    • responsable del tratamiento,
    • finalidad para la que se van a usar los datos,
    • si se van a ceder a terceros y
    • el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

7. Derechos de los usuarios

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos. Estos son los derechos que pueden ejercer los interesados:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Las asesorías deben proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Por ejemplo, si una empresa trabaja con tu asesoría, pero decide cambiar a otra, puede llevarse consigo cualquier dato en
posesión de aquella. Así pues, debes almacenar y administrar los datos personales en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

8. Contratos con empleados

Los empleados tienen acceso a toda la información que manejas en la asesoría y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En una asesoría, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

9. Notificar brechas de seguridad

¡Ojo con esto! No debes olvidarlo.

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se produzca un ataque informático o una infracción en la asesoría, debéis estar prevenidos con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

10. Nombrar un DPD

¿Que quién es esta persona?

¿Cómo puedes saber si necesitas tenerlo en tu gestoría?

Puedes informarte leyendo este post que redacté hace unos meses sobre las empresas obligadas a tener un Delegado de Protección de Datos.

Puede ser necesario que la asesoría o gestoría, por el volumen de datos que trate, designe a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Preguntas frecuentes

Aquí tienes algunas respuestas que te ayudarán a resolver tus dudas en este tema.

¿Cómo puedo demostrar que mi asesoría cumple el RGPD?

Puedes demostrar el cumplimiento de las siguientes formas:

  • Estableciendo políticas internas de protección de datos.
  • Adoptando códigos de conducta aprobados por asociaciones y otros organismos que representan categorías de responsables y encargados del tratamiento.
  • Obteniendo certificaciones de protección de datos por parte de organismos de certificación acreditados.
  • Ejecutando las directrices dadas por el Consejo Europeo de Protección de Datos.
  • Cumpliendo las indicaciones específicas dadas por un Delegado de Protección de datos.

¿Necesito el consentimiento de mis clientes si son empresas?

En el caso de empresas no es necesario el consentimiento para tratar sus datos. La normativa de Protección de Datos solo afecta a datos de personas físicas, las personas jurídicas están excluidas de la aplicación de dicha ley ya que se considera que sus datos son accesibles al público.

¿Cuánto tiempo puedo conservar los datos de los clientes?

Dependerá del tipo de dato y su finalidad.

Muchos de los datos personales que profesionalmente tratas están sujetos a una relación contractual con el cliente y, por tanto, el plazo deberá extenderse hasta el final de la relación contractual. Pero, finalizada esta, legalmente tienes que conservar la facturas durante 5 años.

Un currículum no tiene sentido conservarlo más de un año desde el final del proceso de selección. Este sería un plazo razonable.

Otras veces, por ley, la conservación de datos está limitada. Las imágenes de las cámaras de vigilancia está prohibido conservarlas más de un mes, salvo que se necesiten para un caso concreto.

¿Puedo comunicarme con mis clientes a través de WhatsApp?

No puedes hacerlo si no tienes el consentimiento expreso de los clientes para ello. Con el RGPD los autónomos y empresas que utilicen WhatsApp con sus clientes podrían ser multados al ser éstos los responsables del tratamiento de los datos de sus clientes, sobre todo si no se ha requerido el consentimiento del afectado de forma libre, informado y específico. Es decir, hay que advertir que WhatsApp puede compartir sus datos con la red social de forma clara para que el usuario consienta dicho traspaso de información.

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu asesoría a la normativa de Protección de Datos.

Sanciones

Si tienes una inspección o denuncia y no cumples con la normativa te enfrentas a importantes sanciones.

Y no hay excusa que valga.

Las sanciones por el incumplimiento del RGPD son duras y podrían ascender al 4% de la facturación anual a nivel mundial o a 20 millones de euros (la cuantía que sea mayor). La sanción puede imponerse aunque no haya pérdida de datos en sí. Cabe destacar que no existen exclusiones ni excepciones para las pequeñas empresas.

A continuación puedes ver algunos ejemplos de sanciones impuestas por la AEPD a gestorías.

No destruir documentos con información personal de forma segura

Si vas a destruir documentos que contengan información personal debes utilizar mecanismos seguros para evitar que personas no autorizadas puedan acceder a esa información. Lo recomendable es utilizar una trituradora de papel o contratar una empresa especializada en la destrucción de documentos. Lo que nunca debes hacer es tirar esos documentos a la basura.

Enviar emails a varios destinatarios sin copia oculta

En caso de enviar emails a varios destinatarios debes enviarlos con copia oculta para evitar que cada destinatario tenga acceso a los correos electrónicos de los demás sin su consentimiento. Esto puede ser objeto de denuncia y puedes ser sancionado. Resolución AEPD E/02769/2010

¿Sabes todo lo que debes hacer para adaptar tu gestoría al RGPD? Pues empieza cuanto antes.

¿Necesitas cumplir el RGPD?

Protección de datos para Asesorías
4.7 (93.85%) 13 votos