Consultores y asesores

En esta guía te decimos cómo deben cumplir consultores y asesores con el RGPD y la LOPDGDD.

Obligaciones de consultores y asesores

El tratamiento de datos por parte de estos profesionales se puede entender desde una doble perspectiva, puesto que, por un lado, custodian, controlan y procesan los datos personales de sus clientes y empleados y, por tanto, son responsables del tratamiento. Y por otro lado, funcionan como proveedores de un servicio para sus clientes cuando se encargan de la gestión de diferentes aspectos de su negocio (fiscal, contable, recursos humanos, etc.), en cuyo caso son encargados del tratamiento.

Por ejemplo, imaginemos a una asesoría que almacena información sobre sus empleados o sobre sus clientes. Actuaría como responsable del tratamiento.

Ahora, imaginemos a una empresa de diseño gráfico que contrata a esa asesoría para la gestión de su negocio. La asesoría tendría acceso a datos personales de los empleados de la empresa de diseño gráfico, y a otra información confidencial, como sus ingresos, gastos, etc. En este caso, la asesoría actúa como encargado del tratamiento, y la empresa de diseño gráfico sería el responsable del tratamiento.

Esta doble perspectiva establece diferentes obligaciones a la hora de cumplir con la normativa de protección de datos.

Como encargados

Como encargados del tratamiento, las asesorías y gestorías tienen las siguientes obligaciones:

  • Seguir las directrices del responsable del tratamiento
  • Respetar el deber de confidencialidad
  • Adoptar las medidas de seguridad pertinentes para garantizar la seguridad de los datos
  • Acordar el régimen de subcontratación
  • Facilitar el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición
  • Colaborar con el responsable del tratamiento para el cumplimiento de sus obligaciones
  • Proceder según lo pactado en el contrato con el responsable en lo referente al destino de los datos una vez que ha finalizado la prestación del servicio

Como responsables

Cuando la asesoría o gestoría opera como responsable del tratamiento, debe cumplir con estas obligaciones (que desarrollaremos más en profundidad en los próximos puntos):

  • Realizar un Registro de actividades de tratamiento
  • Elaborar un análisis de riesgos
  • Realizar una Evaluación de impacto (cuando proceda)
  • Firmar los contratos con terceros
  • Incluir los textos legales en la página web
  • Solicitar el consentimiento a los clientes
  • Facilitar los derechos de los usuarios
  • Firmar los contratos de confidencialidad con los empleados
  • Nombrar un DPD (cuando proceda)

Cómo debe adaptarse un gestor o asesor a la normativa vigente

Análisis de riesgos

Realizar actividades de tratamiento de datos personales (por ejemplo, recogerlos mediante formulario web, crear una base de datos con la información de cada cliente, tener un fichero con sus datos identificativos, etc.) puede poner en riesgo los derechos y libertades de los interesados (los titulares de los datos, tus clientes), por ese motivo, antes de realizar ningún tipo de tratamiento, es necesario llevar a cabo un análisis de riesgos del mismo.

El análisis de riesgos permite determinar la probabilidad de que una amenaza se materialice, afectando a la integridad, disponibilidad o fiabilidad de la información. En el caso de los datos personales, los mayores riesgos están en que estos puedan ser sustraídos y filtrados (ya sea de forma pública o vendiéndolos). Si bien, el análisis de riesgos debe abarcar tanto aquellos físicos como los digitales.

Evaluación de Impacto

Todos los tratamientos de datos implican cierto nivel de riesgo, pero cuando del análisis de riesgos se desprende que el riesgo para los derechos y libertades de los interesados es alto, especialmente porque afecta a categorías de datos especiales, será obligatorio realizar una evaluación de impacto de protección de datos (EIPD).

Si en tu asesoría o gestoría tratas alguno de los datos recogidos en el artículo 9 del RGPD o llevas a cabo tratamientos de datos a gran escala de manera sistemática (más probable en grandes asesorías y gestorías con muchos clientes), vas a tener que llevar a cabo esta EIPD.

Registro de las actividades de tratamiento

Por cada tratamiento de datos que se realice es necesario realizar un registro de actividades de tratamiento.

Ahora, como ocurre con la EIPD, no todas las empresas están obligadas a hacerlo, pero en el caso de las asesorías o gestorías que traten datos de categorías especiales o datos a gran escala o tengan más de 250 empleados, sí que tendrán que cumplir con esta obligación.

El registro de actividades de tratamiento es un documento de carácter interno, que debe mantenerse siempre actualizado y a disposición de la AEPD (Agencia Española de Protección de Datos), que es la autoridad de control competente en España. Y debe contener la siguiente información, de manera concisa y detallada:

  • Los datos identificativos y de contacto del responsable del tratamiento y, si procede, los del corresponsable, los del encargado del tratamiento y los del Delegado de Protección de Datos (DPO)
  • La legitimación del tratamiento
  • La finalidad del tratamiento
  • Categorías de interesados y datos
  • Categorías de destinatarios (cesiones a terceros)
  • Si procede, la información relativa a las transferencias internacionales de datos
  • Descripción de las medidas de seguridad
  • Los plazos de conservación previstos

Contratos con terceros

Si la asesoría o gestoría tiene contratado algún servicio a un proveedor externo y para su gestión o uso es necesario cederle datos personales de los clientes, es necesario firmar con dicho proveedor un contrato de encargado del tratamiento (de la misma forma que la asesoría o gestorías habrá firmado este tipo de contrato con la empresa a la que le gestiona las nóminas de los empleados, por ejemplo).

En el contrato de encargado del tratamiento, el responsable del tratamiento debe establecer las instrucciones y obligaciones que el encargado debe seguir y cumplir respecto al tratamiento de datos personales que se le ha cedido, puesto que es obligación del responsable asegurarse de que el encargado cumple también con la normativa de protección de datos.

Por ejemplo, muchas asesorías que administran datos financieros y personales en nombre de sus clientes recurren con regularidad al software de contabilidad. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

Contrato de confidencialidad con empleados

Dado que muchos de los empleados de la asesoría o gestoría tendrán acceso a los datos personales de los clientes de estas, es necesario asegurarse que cumplen con el deber de confidencialidad, es decir, que no filtrarán dichos datos, permitirán el acceso no autorizado a terceros, los usarán para su propio beneficio y cumplirán con las medidas de seguridad implantadas por el responsable del tratamiento.

Para garantizar este cumplimiento de la normativa de protección de datos para asesorías y gestorías, se puede recurrir tanto a las cláusulas de confidencialidad incluidas en los contratos o a la firma del acuerdo de confidencialidad.

En cualquier caso, se trata de asegurar ese compromiso de los empleados y establecer también las posibles consecuencias de no cumplir con ello.

El consentimiento de los clientes

Desde la entrada en vigor del RGPD, es necesario recabar el consentimiento expreso de los interesados (los clientes) para poder llevar a cabo un tratamiento de datos personales.

El consentimiento expreso requiere de una acción positiva por parte del interesado, que se puede recoger tanto de forma física, a través de la firma de un documento donde se informe de todo lo relativo al tratamiento de datos que se va a hacer, como de forma digital, en web a través del botón de «acepto» o marcar el check de una casilla para aceptar la política de privacidad (teniendo un enlace a las mismas, para poder leerlas).

Esa información que mencionábamos antes debe incluir:

  • Nombre del responsable del tratamiento
  • Finalidad del tratamiento
  • Si habrá cesión de datos a terceros
  • La vía para que los interesados ejerzan sus derechos

El consentimiento hay que recabarlo por cada tratamiento, es decir, que está limitado a la finalidad o finalidades que se expusieron al interesado. Si es necesario usar los datos con otro fin distinto, habrá que volver a recabar dicho consentimiento. Lo mismo ocurre cuando finaliza el plazo de conservación.

Informa a tus clientes de sus derechos

El RGPD y la LOPDGDD confieren a los ciudadanos una serie derechos que pueden ejercer en cualquier momento respecto a sus datos personales, puesto que son los titulares de los mismos. En concreto nos referimos a los anteriormente denominados derechos ARCO, llamados ahora ARSLPO:

  • Acceso
  • Rectificación
  • Supresión
  • Limitación del tratamiento
  • Portabilidad
  • Oposición
  • Además, también tienen derecho a que sus datos personales no se empleen en procesos de decisiones automatizadas (como la elaboración de perfiles)

Para cumplir con la normativa de protección de datos, las asesorías y gestorías deben facilitar los mecanismos que permitan a los interesados ejercer estos derechos, sin obstaculizarlos y atendiendo sus solicitudes. Como hemos visto, esta información se suministra en el documento de consentimiento y la política de privacidad de la página web.

La obligación de notificar brechas de seguridad

Incluso contando con las medidas de seguridad adecuadas, todavía existirá la posibilidad de que se produzca algún incidente de seguridad, en el que los datos personales de los clientes de la asesoría o gestoría pueden verse afectados.

Si ese incidente pone en riesgo los derechos y libertades de los interesados, la normativa de protección de datos para asesorías y gestorías (y cualquier otra empresa) exige que se notifique de ello a la autoridad de control.

Por tanto, cuando se produzca una de estas brechas de seguridad, hay que notificar a la AEPD de la misma en un plazo límite de 72 horas. También hay que notificar a los interesados cuyos datos hayan podido verse afectados para que puedan tomar las medidas de seguridad correspondientes.

Textos legales para la web

A día de hoy son pocos los negocios que no cuenten ya con una página web y es probable que tu asesoría o gestoría tenga una. Tanto si esa web es meramente informativa como si a través de ellas ofertas servicios y recabas datos personales de sus visitantes, de acuerdo a la normativa de protección de datos y la LSSI-CE estás obligado a incluir los siguientes textos legales:

  • Aviso legal: Es el texto donde debe figurar todos los datos identificativos del propietario de la página web, es decir, la asesoría o gestoría:
    • Nombre o razón social
    • NIF
    • Dirección
    • Email
    • Nº de inscripción en el Registro Mercantil
  • Política de privacidad: Debe contener toda la información relativa a la gestión que se hace de los datos personales recogidos a través de la web. Como mínimo debe incluir:
    • Responsable del tratamiento
    • Finalidad del tratamiento
    • Legitimación
    • En qué forma se gestionarán los datos personales
    • Tiempo de conservación de los datos
    • Cesiones a terceros, identificando a estos
    • Vía para que los interesados ejerzan sus derechos
  • Política de cookies: Tu web genera cookies, ya sean propias o de terceros, y esto te obliga a incluir toda la información relativa a las mismas, tal y como recoge la ley de cookies (finalidad, titular, duración, etc.).

Los textos legales deben ser accesibles desde cualquier punto de la web, es decir, tanto desde la página principal como desde sus subsecciones o subpáginas (si las hay). Y han de estar redactados de forma clara y comprensible para cualquier tipo de lector.

¿Contratar un DPO?

Aplicando lo mismo que ya hemos explicado respecto a la EIPD y el registro de actividades de tratamiento, es posible que las asesorías y gestorías tengan que designar a un DPO.

El Delegado de Protección de Datos debe ser una persona con la formación necesaria en protección de datos, para poder dar cumplimiento a todas sus funciones y obligaciones, que incluyen la supervisión del cumplimiento normativo, el asesoramiento del responsable del tratamiento, la resolución de dudas y consultas y ser quien trate con la AEPD en nombre de la asesoría o gestoría.

Se puede nombrar DPO a un empleado interno o contratar los servicios de un profesional externos (que es lo recomendable en muchos casos, puesto que tiene una perspectiva menos subjetiva de la empresa). En cualquier caso, su nombramiento debe comunicarse a la AEPD y hacerse público.

Sanciones por incumplimiento

El régimen sancionador del RGPD establece las siguientes sanciones:

  • Hasta 10 millones de euros o el 2% del volumen de facturación anual (la cuantía que sea más elevada) para las infracciones graves
  • Hasta 20 millones de euros o el 4% del volumen de facturación anual (la cuantía que sea más elevada) para las infracciones muy graves

Ahora, la LOPDGDD, manteniendo esas horquillas, establece una graduación un poco más exhaustiva y concreta:

  • De 300.000 a 20 millones de euros o el 4% de la facturación anual (la cuantía que sea superior) para infracciones muy graves (artículo 72)
  • De 40.000 a 300.000 euros para infracciones graves (artículo 73)
  • Hasta 40.000 euros para infracciones leves (artículo 74)

Este régimen sancionador se aplica a todo tipo de organizaciones públicas y privadas, sin importar su tamaño y la cuantía final se determina en función de la gravedad de la infracción, el número de personas afectadas, la presencia o no de medidas de seguridad adecuadas, la negligencia o intencionalidad y la duración en el tiempo de la propia infracción.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

Modelos

Aquí tienes todos los documentos que necesitarás para adaptar tu asesoría o gestoría a la normativa de Protección de Datos.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.