Protección de datos para Asesorías

Guía 2021

En esta guía de protección de datos para asesorías y gestorías encontrarás toda la información que necesitas para adaptar tu negocio a la normativa de protección de datos. Descubre cómo cumplir el RGPD y la LOPDGDD.

Normativa y ley que regula la protección de datos en asesorías

Las asesorías y gestorías manejan en su actividad diaria muchos datos de carácter personal, tanto de categorías genéricas (como los identificativos, los financieros, el nivel de estudios, etc.) como de categorías especiales (de salud, raza o etnia, sexo, afiliación sindical, etc.); por este motivo deben cumplir con la normativa vigente de protección de datos, que se sustenta en dos leyes:

  • RGPD (Reglamento General de Protección de Datos): Es el marco europeo mediante el que se regula la protección de datos personales en todos los países de la UE. En España está vigente desde mayo de 2018 y en él se establecen los principios rectores de la protección de datos, las obligaciones que se deben cumplir y el régimen sancionador para las infracciones.
  • LOPDGDD (Ley Orgánica de Protección de Datos): Es la ley española, mediante la que se adaptó el RGPD a nuestro ordenamiento jurídico. En vigor desde diciembre de 2018, recoge los principios, obligaciones y sanciones articulados en el reglamento europeo y concreta aquellos aspectos más generales de acuerdo a nuestras leyes.

Obligaciones de las asesorías con el LOPDGDD y el RGPD

La Ley de Protección de Datos para asesorías y gestorías tiene una doble perspectiva, puesto que, por un lado, custodian, controlan y procesan los datos personales de sus clientes y empleados y, por tanto, son responsables del tratamiento. Y por otro lado, funcionan como proveedores de un servicio para sus clientes cuando se encargan de la gestión de diferentes aspectos de su negocio (fiscal, contable, recursos humanos, etc.), en cuyo caso son encargados del tratamiento.

Por ejemplo, imaginemos a una asesoría que almacena información sobre sus empleados o sobre sus clientes. Actuaría como responsable del tratamiento.

Ahora, imaginemos a una empresa de diseño gráfico que contrata a esa asesoría para la gestión de su negocio. La asesoría tendría acceso a datos personales de los empleados de la empresa de diseño gráfico, y a otra información confidencial, como sus ingresos, gastos, etc. En este caso, la asesoría actúa como encargado del tratamiento, y la empresa de diseño gráfico sería el responsable del tratamiento.

Esta doble perspectiva establece diferentes obligaciones a la hora de cumplir con la normativa de protección de datos.

Como encargados

Como encargados del tratamiento, las asesorías y gestorías tienen las siguientes obligaciones:

  • Seguir las directrices del responsable del tratamiento
  • Respetar el deber de confidencialidad
  • Adoptar las medidas de seguridad pertinentes para garantizar la seguridad de los datos
  • Acordar el régimen de subcontratación
  • Facilitar el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición
  • Colaborar con el responsable del tratamiento para el cumplimiento de sus obligaciones
  • Proceder según lo pactado en el contrato con el responsable en lo referente al destino de los datos una vez que ha finalizado la prestación del servicio

Como responsables

Cuando la asesoría o gestoría opera como responsable del tratamiento, debe cumplir con estas obligaciones (que desarrollaremos más en profundidad en los próximos puntos):

  • Realizar un Registro de actividades de tratamiento
  • Elaborar un análisis de riesgos
  • Realizar una Evaluación de impacto (cuando proceda)
  • Firmar los contratos con terceros
  • Incluir los textos legales en la página web
  • Solicitar el consentimiento a los clientes
  • Facilitar los derechos de los usuarios
  • Firmar los contratos de confidencialidad con los empleados
  • Nombrar un DPD (cuando proceda)

Cómo adaptar mi asesoría a la protección de datos

Protección de datos para asesores fiscales, contables, de ciberseguridad… Da igual el tipo de asesoría o gestoría que tengas y tu área de especialización, como hemos dicho en el apartado anterior, hay una serie de obligaciones que debes cumplir sí o sí si manejas datos personales de tus clientes. Algunas de esas obligaciones serán más exigentes, si los datos que tratas son, además de categorías especiales (las recogidas en el artículo 9 del RGPD).

Pasos cumplir ley lopd rgpd para asesorías y gestorías

A continuación veremos los pasos imprescindibles que tu asesoría o gestoría debe dar para adaptarse a la normativa de protección de datos.

Análisis de riesgos

Realizar actividades de tratamiento de datos personales (por ejemplo, recogerlos mediante formulario web, crear una base de datos con la información de cada cliente, tener un fichero con sus datos identificativos, etc.) puede poner en riesgo los derechos y libertades de los interesados (los titulares de los datos, tus clientes), por ese motivo, antes de realizar ningún tipo de tratamiento, es necesario llevar a cabo un análisis de riesgos del mismo.

El análisis de riesgos permite determinar la probabilidad de que una amenaza se materialice, afectando a la integridad, disponibilidad o fiabilidad de la información. En el caso de los datos personales, los mayores riesgos están en que estos puedan ser sustraídos y filtrados (ya sea de forma pública o vendiéndolos). Si bien, el análisis de riesgos debe abarcar tanto aquellos físicos como los digitales.

Los resultados del análisis permitirán diseñar las medidas de seguridad que se necesitan implantar para garantizar la salvaguarda y protección de los datos e información personal que se gestionan en la asesoría o gestoría, minimizando las posibilidades de que las amenazas se materialicen o, en caso de que se produzcan, puedan reducir el impacto negativo sobre los interesados cuyos datos se hayan podido ver afectados.

Evaluación de Impacto

Todos los tratamientos de datos implican cierto nivel de riesgo, pero cuando del análisis de riesgos se desprende que el riesgo para los derechos y libertades de los interesados es alto, especialmente porque afecta a categorías de datos especiales, será obligatorio realizar una evaluación de impacto de protección de datos (EIPD).

Si en tu asesoría o gestoría tratas alguno de los datos recogidos en el artículo 9 del RGPD o llevas a cabo tratamientos de datos a gran escala de manera sistemática (más probable en grandes asesorías y gestorías con muchos clientes), vas a tener que llevar a cabo esta EIPD.

Como el análisis de riesgos, la EIPD debe servir para determinar las posibilidades de que las amenazas que ponen en riesgo la protección de datos, se materialicen, es decir, se produzca una brecha de seguridad que deje expuestos los datos personales de los interesados, lo que podría suponer un peligro para sus derechos y libertades.

Así que la EIPD también servirá para buscar e implantar las medidas de seguridad necesarias para reducir el riesgo y sus consecuencias negativas. Incluso puede que la EIPD de un tratamiento determinado establezca que el riesgo es muy elevado y, por lo tanto, lo recomendable es no llevar a cabo dicho tratamiento.

Registro de las actividades de tratamiento

Por cada tratamiento de datos que se lleve a cabo en la asesoría o gestoría, es necesario realizar un registro de actividades de tratamiento.

Ahora, como ocurre con la EIPD, no todas las empresas están obligadas a hacerlo, pero en el caso de las asesorías o gestorías que traten datos de categorías especiales o datos a gran escala o tengan más de 250 empleados, sí que tendrán que cumplir con esta obligación.

El registro de actividades de tratamiento es un documento de carácter interno, que debe mantenerse siempre actualizado y a disposición de la AEPD (Agencia Española de Protección de Datos), que es la autoridad de control competente en España. Y debe contener la siguiente información, de manera concisa y detallada:

  • Los datos identificativos y de contacto del responsable del tratamiento y, si procede, los del corresponsable, los del encargado del tratamiento y los del Delegado de Protección de Datos (DPO)
  • La legitimación del tratamiento
  • La finalidad del tratamiento
  • Categorías de interesados y datos
  • Categorías de destinatarios (cesiones a terceros)
  • Si procede, la información relativa a las transferencias internacionales de datos
  • Descripción de las medidas de seguridad
  • Los plazos de conservación previstos

Contratos con terceros

Si la asesoría o gestoría tiene contratado algún servicio a un proveedor externo y para su gestión o uso es necesario cederle datos personales de los clientes, es necesario firmar con dicho proveedor un contrato de encargado del tratamiento (de la misma forma que la asesoría o gestorías habrá firmado este tipo de contrato con la empresa a la que le gestiona las nóminas de los empleados, por ejemplo).

En el contrato de encargado del tratamiento, el responsable del tratamiento debe establecer las instrucciones y obligaciones que el encargado debe seguir y cumplir respecto al tratamiento de datos personales que se le ha cedido, puesto que es obligación del responsable asegurarse de que el encargado cumple también con la normativa de protección de datos.

Por ejemplo, muchas asesorías que administran datos financieros y personales en nombre de sus clientes recurren con regularidad al software de contabilidad. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

Por ello, los asesores y contables deben aclarar con sus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Un cuestionario o una lista de verificación exhaustivos ayudarán a comprender los flujos de datos, así como a identificar posibles vulnerabilidades.

Además, se deberá informar a los interesados de a qué terceros se ceden los datos y con qué finalidad.

protección de datos para asesorías

Contrato de confidencialidad con empleados

Dado que muchos de los empleados de la asesoría o gestoría tendrán acceso a los datos personales de los clientes de estas, es necesario asegurarse que cumplen con el deber de confidencialidad, es decir, que no filtrarán dichos datos, permitirán el acceso no autorizado a terceros, los usarán para su propio beneficio y cumplirán con las medidas de seguridad implantadas por el responsable del tratamiento.

Para garantizar este cumplimiento de la normativa de protección de datos para asesorías y gestorías, se puede recurrir tanto a las cláusulas de confidencialidad incluidas en los contratos o a la firma del acuerdo de confidencialidad.

En cualquier caso, se trata de asegurar ese compromiso de los empleados y establecer también las posibles consecuencias de no cumplir con ello.

El consentimiento de los clientes

Desde la entrada en vigor del RGPD, es necesario recabar el consentimiento expreso de los interesados (los clientes) para poder llevar a cabo un tratamiento de datos personales.

El consentimiento expreso requiere de una acción positiva por parte del interesado, que se puede recoger tanto de forma física, a través de la firma de un documento donde se informe de todo lo relativo al tratamiento de datos que se va a hacer, como de forma digital, en web a través del botón de «acepto» o marcar el check de una casilla para aceptar la política de privacidad (teniendo un enlace a las mismas, para poder leerlas).

Esa información que mencionábamos antes debe incluir:

  • Nombre del responsable del tratamiento
  • Finalidad del tratamiento
  • Si habrá cesión de datos a terceros
  • La vía para que los interesados ejerzan sus derechos

El consentimiento hay que recabarlo por cada tratamiento, es decir, que está limitado a la finalidad o finalidades que se expusieron al interesado. Si es necesario usar los datos con otro fin distinto, habrá que volver a recabar dicho consentimiento. Lo mismo ocurre cuando finaliza el plazo de conservación.

Informa a tus clientes de sus derechos

El RGPD y la LOPDGDD confieren a los ciudadanos una serie derechos que pueden ejercer en cualquier momento respecto a sus datos personales, puesto que son los titulares de los mismos. En concreto nos referimos a los anteriormente denominados derechos ARCO, llamados ahora ARSLPO:

  • Acceso
  • Rectificación
  • Supresión
  • Limitación del tratamiento
  • Portabilidad
  • Oposición
  • Además, también tienen derecho a que sus datos personales no se empleen en procesos de decisiones automatizadas (como la elaboración de perfiles)

Para cumplir con la normativa de protección de datos, las asesorías y gestorías deben facilitar los mecanismos que permitan a los interesados ejercer estos derechos, sin obstaculizarlos y atendiendo sus solicitudes. Como hemos visto, esta información se suministra en el documento de consentimiento y la política de privacidad de la página web.

La obligación de notificar brechas de seguridad

Incluso contando con las medidas de seguridad adecuadas, todavía existirá la posibilidad de que se produzca algún incidente de seguridad, en el que los datos personales de los clientes de la asesoría o gestoría pueden verse afectados.

Si ese incidente pone en riesgo los derechos y libertades de los interesados, la normativa de protección de datos para asesorías y gestorías (y cualquier otra empresa) exige que se notifique de ello a la autoridad de control.

Por tanto, cuando se produzca una de estas brechas de seguridad, hay que notificar a la AEPD de la misma en un plazo límite de 72 horas. También hay que notificar a los interesados cuyos datos hayan podido verse afectados para que puedan tomar las medidas de seguridad correspondientes.

Textos legales para la web

A día de hoy son pocos los negocios que no cuenten ya con una página web y es probable que tu asesoría o gestoría tenga una. Tanto si esa web es meramente informativa como si a través de ellas ofertas servicios y recabas datos personales de sus visitantes, de acuerdo a la normativa de protección de datos y la LSSI-CE estás obligado a incluir los siguientes textos legales:

  • Aviso legal: Es el texto donde debe figurar todos los datos identificativos del propietario de la página web, es decir, la asesoría o gestoría:
    • Nombre o razón social
    • NIF
    • Dirección
    • Email
    • Nº de inscripción en el Registro Mercantil
  • Política de privacidad: Debe contener toda la información relativa a la gestión que se hace de los datos personales recogidos a través de la web. Como mínimo debe incluir:
    • Responsable del tratamiento
    • Finalidad del tratamiento
    • Legitimación
    • En qué forma se gestionarán los datos personales
    • Tiempo de conservación de los datos
    • Cesiones a terceros, identificando a estos
    • Vía para que los interesados ejerzan sus derechos
  • Política de cookies: Tu web genera cookies, ya sean propias o de terceros, y esto te obliga a incluir toda la información relativa a las mismas, tal y como recoge la ley de cookies (finalidad, titular, duración, etc.).

Los textos legales deben ser accesibles desde cualquier punto de la web, es decir, tanto desde la página principal como desde sus subsecciones o subpáginas (si las hay). Y han de estar redactados de forma clara y comprensible para cualquier tipo de lector.

¿Necesita tu asesoría un DPO?

Aplicando lo mismo que ya hemos explicado respecto a la EIPD y el registro de actividades de tratamiento, es posible que las asesorías y gestorías tengan que designar a un DPO.

El Delegado de Protección de Datos debe ser una persona con la formación necesaria en protección de datos, para poder dar cumplimiento a todas sus funciones y obligaciones, que incluyen la supervisión del cumplimiento normativo, el asesoramiento del responsable del tratamiento, la resolución de dudas y consultas y ser quien trate con la AEPD en nombre de la asesoría o gestoría.

Se puede nombrar DPO a un empleado interno o contratar los servicios de un profesional externos (que es lo recomendable en muchos casos, puesto que tiene una perspectiva menos subjetiva de la empresa). En cualquier caso, su nombramiento debe comunicarse a la AEPD y hacerse público.

protección de datos para asesores

Sanciones por incumplimiento

El régimen sancionador del RGPD establece las siguientes sanciones:

  • Hasta 10 millones de euros o el 2% del volumen de facturación anual (la cuantía que sea más elevada) para las infracciones graves
  • Hasta 20 millones de euros o el 4% del volumen de facturación anual (la cuantía que sea más elevada) para las infracciones muy graves

Ahora, la LOPDGDD, manteniendo esas horquillas, establece una graduación un poco más exhaustiva y concreta:

  • De 300.000 a 20 millones de euros o el 4% de la facturación anual (la cuantía que sea superior) para infracciones muy graves (artículo 72)
  • De 40.000 a 300.000 euros para infracciones graves (artículo 73)
  • Hasta 40.000 euros para infracciones leves (artículo 74)

Este régimen sancionador se aplica a todo tipo de organizaciones públicas y privadas, sin importar su tamaño y la cuantía final se determina en función de la gravedad de la infracción, el número de personas afectadas, la presencia o no de medidas de seguridad adecuadas, la negligencia o intencionalidad y la duración en el tiempo de la propia infracción.

Ejemplos

Aquí tenéis algunos ejemplos de sanciones impuestas por la AEPD a asesorías o gestorías por incumplimiento de la normativa de protección de datos:

  • Sanción de 2.000 euros a una asesoría por el envío a un cliente de un certificado reclamando una deuda que contenía los datos personales de un tercero. Infracción de los artículos 32 y 5.1.f del RGPD (Nº PS/00376/2020).
  • Sanción de 3.000 euros a una asesoría por el envío de documentación a un cliente con los datos personales de otro cliente diferente. Infracción de los artículos 32.1 y 5.1.f del RGPD (Nº PS/00483/2020).

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

Modelos

Aquí tienes todos los documentos que necesitarás para adaptar tu asesoría o gestoría a la normativa de Protección de Datos.

Preguntas frecuentes

Ahora que hemos ya hemos repasado los principales aspectos de la normativa de protección de datos para asesorías y gestorías, veamos las respuestas a algunas de las preguntas más frecuentes sobre el tema.

¿Dónde encontrar un especialista en protección de datos para asesorías?

Si necesitas encontrar un especialista en protección de datos para asesorías y gestorías, en el enlace podrás encontrar los más cercanos a ti y solicitar varios presupuestos para comparar y decidirte por aquel que te ofrezca lo que necesitas.

¿Los datos bancarios de mi cliente se consideran sensibles?

No, los datos bancarios de tus clientes no se consideran datos sensibles, es decir, no figuran entre las categorías especiales de datos del artículo 9 del RGPD, por lo que si vas a tratarlos, no es necesario llevar a cabo una EIPD, bastando con el análisis de riesgos.

Si tramito incapacidades de clientes, dispongo de datos de salud. ¿Tengo que tener especial cuidado?

A diferencia de la pregunta anterior, los datos relativos a la salud sí son de categorías especiales y tienen una protección mayor. Esto obliga a realizar una evaluación de impacto cuando se vaya a realizar un nuevo tratamiento de datos y establecer las medidas de seguridad adecuadas y efectivas para garantizar su integridad y salvaguarda.

¿Puede mi cliente exigirme medidas de seguridad para proteger sus datos?

Sí, especialmente si estás desempeñando un papel de encargado del tratamiento de datos personales de sus propios clientes, de los que él es responsable. Para ello habréis firmado el contrato de encargo de tratamiento, donde tu cliente habrá especificado las obligaciones que debes cumplir respecto al tratamiento y protección de dichos datos.

Esto ha sido todo respecto a la protección de datos para gestorías y asesorías. Si necesitas más información o quieres solicitar un presupuesto, te invitamos a ponerte en contacto con nosotros.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.