Sector profesional

RGPD para asesorías, gestorías y despachos

Asesorías, gestorías y despachos de abogados tratan a diario datos personales de terceros —trabajadores, contribuyentes, partes procesales— en su papel de encargados del tratamiento según el artículo 28 del RGPD. La combinación de secreto profesional, alto volumen de datos sensibles y obligaciones contractuales frente a cada cliente hace de este sector uno de los más expuestos a la supervisión de la AEPD. Desde Summum Consultoria te acompañamos en la adecuación completa: contratos de encargo, registro de actividades en su doble vertiente, medidas de seguridad proporcionadas al riesgo y formación del equipo, sin sustituir la función supervisora del regulador.

Norma aplicableRGPD (UE) 2016/679 · LOPDGDD (LO 3/2018)
Figura jurídica claveEncargado del tratamiento (art. 28 RGPD)
Autoridad supervisoraAEPD — Agencia Española de Protección de Datos

Asesorías fiscales, gestorías administrativas y despachos de abogados comparten un rasgo que los sitúa en una categoría singular dentro del marco del RGPD: en la mayor parte de su actividad no tratan datos propios, sino datos personales que pertenecen al ámbito de sus clientes. Una gestoría que tramita altas y bajas en la Seguridad Social, una asesoría laboral que prepara las nóminas de los trabajadores de una empresa o un despacho que gestiona un expediente contencioso-administrativo están operando, en términos del artículo 4.8 del Reglamento (UE) 2016/679, como encargados del tratamiento: entidades que tratan datos personales por cuenta del responsable —el cliente— y bajo sus instrucciones. Esta posición jurídica genera obligaciones propias que van mucho más allá de la mera confidencialidad profesional.

El instrumento central del régimen del encargado es el contrato de encargo del tratamiento que exige el artículo 28 del RGPD. Este contrato debe recoger el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos y las categorías de interesados, así como un catálogo de obligaciones específicas: tratar los datos únicamente según instrucciones documentadas del responsable; garantizar la confidencialidad de todo el personal autorizado; aplicar medidas de seguridad apropiadas conforme al artículo 32; no recurrir a subencargados sin autorización previa del responsable; asistir al responsable en el cumplimiento de los derechos de los interesados y en la gestión de brechas de seguridad; devolver o suprimir los datos al concluir el encargo; y facilitar toda la información necesaria para acreditar el cumplimiento ante la AEPD. La Agencia ha publicado una guía específica sobre la relación responsable-encargado que desarrolla en detalle los contenidos mínimos y los criterios de validez de estas cláusulas.

Junto a su papel de encargados frente a los clientes, asesorías y despachos actúan también como responsables del tratamiento respecto a sus propios datos: empleados del despacho, candidatos en procesos de selección, datos de facturación y contabilidad interna, videovigilancia de las instalaciones o comunicaciones comerciales. Este doble rol —encargado frente a los clientes y responsable de sus tratamientos propios— multiplica el alcance de la adecuación necesaria y obliga a mantener el Registro de Actividades en dos vertientes distintas: como responsable (artículo 30.1 RGPD) y como encargado (artículo 30.2 RGPD). Ambas vertientes exigen contenidos distintos y deben actualizarse cada vez que se incorpora un nuevo cliente, se modifica un tipo de servicio o cambia el circuito de datos con proveedores externos.

El sector de asesorías y despachos maneja con frecuencia datos de alto riesgo para los interesados: datos de salud en la tramitación de bajas laborales e incapacidades; datos relativos a infracciones penales o administrativas en despachos penalistas; datos económicos y patrimoniales de gran impacto en concursos de acreedores o reestructuraciones de deuda; datos de menores en expedientes de familia. El secreto profesional —recogido para los abogados en el artículo 542.3 de la Ley Orgánica del Poder Judicial y en el Estatuto General de la Abogacía Española, y de forma equivalente en las normas deontológicas de gestores y economistas— complementa las obligaciones del RGPD sin sustituirlas. El despacho no puede ampararse en el deber de confidencialidad para eludir la obligación de informar a los interesados conforme a los artículos 13 y 14 del RGPD, de atender sus solicitudes de derechos en el plazo de un mes, ni de notificar brechas de seguridad a la AEPD en las condiciones del artículo 33 del Reglamento.

El régimen sancionador del artículo 83 del RGPD, desarrollado en España a través de la LOPDGDD (LO 3/2018), no establece tramos distintos según el tamaño de la empresa ni el sector de actividad. Las infracciones que afectan a los principios básicos del tratamiento, los derechos de los interesados o las condiciones del consentimiento pueden suponer multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual global, aplicándose la cuantía mayor. Los incumplimientos de las obligaciones del encargado —entre ellas, la ausencia de contrato de encargo o la falta de medidas de seguridad adecuadas— pueden alcanzar hasta 10 millones de euros o el 2 % del volumen de negocio. Para la mayoría de asesorías y despachos, que son pymes o microempresas, el impacto proporcional de una sanción puede ser devastador; y el daño reputacional de una resolución pública de la AEPD resulta aún más difícil de reparar en un sector donde la confianza del cliente es el activo principal.

Desde Summum Consultoria acompañamos a asesorías, gestorías y despachos de abogados en su adecuación al RGPD con un enfoque práctico, orientado a la operativa real del sector y respetuoso con el rol supervisor de la AEPD. Realizamos el diagnóstico inicial de todos los tratamientos, elaboramos el Registro de Actividades en su doble vertiente, redactamos los contratos de encargo del tratamiento adaptados a cada tipo de servicio —fiscal, laboral, contable, jurídico—, implantamos los avisos de privacidad para clientes y empleados, definimos las medidas de seguridad técnicas y organizativas proporcionadas al riesgo y formamos al equipo en sus obligaciones cotidianas. Nuestro objetivo es que el despacho pueda acreditar ante la AEPD, en cualquier momento y sin improvisación, que gestiona los datos de sus clientes con la diligencia y la documentación que la norma exige.

El proceso de RGPD para asesorías, gestorías y despachos.

El proceso · cuatro tiempos
01

Diagnóstico y mapa de tratamientos

Analizamos la totalidad de los tratamientos de datos personales del despacho: tanto los propios —empleados, facturación, candidatos, comunicaciones comerciales— como los que se realizan por cuenta de cada cliente. Identificamos en cada caso si el despacho actúa como responsable o como encargado, la base jurídica aplicable, las categorías de datos implicadas, los destinatarios y los plazos de conservación, y determinamos las brechas de cumplimiento prioritarias respecto al RGPD y la LOPDGDD.

02

Contratos de encargo y documentación de privacidad

Redactamos los contratos de encargo del tratamiento (art. 28 RGPD) adaptados a cada tipo de servicio que presta el despacho: asesoría laboral, fiscal, contable o jurídica. Elaboramos el Registro de Actividades en su doble vertiente —responsable (art. 30.1) y encargado (art. 30.2)—, los avisos de privacidad para clientes y empleados, la política de privacidad web y las cláusulas informativas conforme a los artículos 13 y 14 del RGPD.

03

Medidas de seguridad y formación del equipo

Implantamos las medidas de seguridad técnicas y organizativas exigidas por el artículo 32 del RGPD, proporcionadas al riesgo real del despacho: política de control de accesos a expedientes, gestión de contraseñas, cifrado de documentación sensible, protocolo de uso de dispositivos portátiles y copias de seguridad. Formamos a todo el personal con acceso a datos en sus obligaciones concretas: confidencialidad, atención a solicitudes de derechos y actuación ante incidentes de seguridad.

04

Revisión continua y atención a incidencias

La adecuación al RGPD no es un proyecto de implantación única, sino un sistema de gestión continuo. Realizamos revisiones periódicas para actualizar la documentación cuando cambian los tratamientos o la normativa, asistimos en la atención a solicitudes de derechos de los interesados, respondemos a requerimientos de la AEPD y acompañamos al despacho en la gestión de cualquier brecha de seguridad, incluyendo la evaluación del riesgo y la notificación a la Agencia en el plazo del artículo 33 del RGPD.

Qué incluye

Qué incluye RGPD para asesorías, gestorías y despachos.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Contratos de encargo del tratamiento (art. 28 RGPD)

    Redacción de los contratos entre el despacho y sus clientes cuando actúa como encargado del tratamiento: objeto, obligaciones del encargado, instrucciones del responsable, confidencialidad, seguridad, régimen de subencargos y devolución o supresión de datos al terminar el servicio.

  • Registro de Actividades en doble vertiente (art. 30 RGPD)

    Elaboración del Registro como responsable del tratamiento (art. 30.1) para los datos propios del despacho, y como encargado del tratamiento (art. 30.2) para los datos que trata por cuenta de cada cliente, con los contenidos mínimos exigidos por el Reglamento.

  • Avisos de privacidad y cláusulas informativas

    Redacción de la política de privacidad web, los avisos para clientes y empleados y las cláusulas informativas conforme a los artículos 13 y 14 del RGPD, adaptadas a la tipología de datos que gestiona el despacho en cada área de servicio.

  • Medidas de seguridad técnicas y organizativas (art. 32 RGPD)

    Evaluación y documentación de las medidas proporcionadas al riesgo: control de acceso a expedientes, política de contraseñas, cifrado de documentación sensible, gestión de dispositivos portátiles, copias de seguridad y destrucción segura de documentos con datos personales.

  • Protocolo de gestión de brechas de seguridad

    Diseño del protocolo interno para detectar, clasificar y gestionar incidentes de seguridad: criterios de notificación a la AEPD en 72 horas (art. 33 RGPD), plantillas de notificación, comunicación a afectados cuando el riesgo sea alto (art. 34) y registro de brechas (art. 33.5).

  • Formación y compromisos de confidencialidad

    Sesiones de formación práctica para el equipo —administrativos, asesores, abogados, becarios y colaboradores externos— en obligaciones de protección de datos, y redacción de compromisos individuales de confidencialidad conforme a la LOPDGDD y el RGPD.

Preguntas frecuentes sobre RGPD para asesorías, gestorías y despachos.

¿En qué casos actúa una asesoría o gestoría como encargada del tratamiento?

Una asesoría o gestoría actúa como encargada del tratamiento siempre que trate datos personales por cuenta de su cliente y siguiendo sus instrucciones. Los casos más habituales son: una asesoría laboral que gestiona nóminas, contratos y bajas de los trabajadores de una empresa cliente; una gestoría que tramita declaraciones fiscales o altas en la Seguridad Social que incluyen datos de terceros; un despacho de abogados que maneja documentación procesal con datos personales de las partes. En todos estos supuestos, el artículo 28 del RGPD exige que exista un contrato de encargo del tratamiento entre el despacho y su cliente, y que el despacho cumpla las obligaciones específicas que ese artículo impone al encargado. Sin ese contrato, tanto el despacho como el cliente están en situación de incumplimiento.

¿Qué debe incluir el contrato de encargo del tratamiento con los clientes?

El artículo 28.3 del RGPD establece los contenidos mínimos obligatorios: el objeto y la duración del tratamiento, su naturaleza y finalidad, el tipo de datos y las categorías de interesados. Además, el contrato debe recoger las obligaciones concretas del encargado: tratar los datos solo según instrucciones documentadas del responsable; garantizar la confidencialidad de todo el personal autorizado; aplicar las medidas de seguridad del artículo 32; no recurrir a subencargados sin autorización previa del responsable; asistir al responsable en el cumplimiento de los derechos de los interesados y en la gestión de brechas de seguridad; devolver o suprimir los datos al finalizar el encargo; y facilitar la información necesaria para acreditar el cumplimiento. La AEPD dispone de una guía específica sobre la relación responsable-encargado que desarrolla el contenido y la interpretación de cada una de estas cláusulas.

¿Un despacho de abogados o una gestoría tienen obligación de nombrar un DPO?

La obligación de designar un Delegado de Protección de Datos depende de las características concretas de los tratamientos. Según el artículo 37.1 del RGPD, el DPO es obligatorio cuando la actividad principal del responsable o encargado incluye el tratamiento a gran escala de categorías especiales de datos (art. 9 RGPD, como datos de salud) o el seguimiento habitual y sistemático de interesados a gran escala. Para la mayoría de despachos y gestorías de tamaño pequeño o mediano esta condición no se cumple y el DPO no es legalmente obligatorio. La LOPDGDD (LO 3/2018) añade supuestos específicos de obligatoriedad en España para determinadas entidades, pero no establece la obligación con carácter general para el sector de asesorías. Con independencia de la obligación legal, disponer de un DPO externo aporta seguridad jurídica, disponibilidad experta ante la AEPD y una supervisión continua del cumplimiento.

¿Puede el despacho compartir datos de los clientes con colaboradores externos o software en la nube?

Cuando el despacho subcontrata parte del tratamiento a un colaborador externo, un gestor asociado o un proveedor de software en la nube, ese tercero actúa como subencargado del tratamiento. El artículo 28.2 del RGPD exige que el despacho cuente con autorización previa del cliente (responsable) para recurrir a subencargados, y que el subcontrato imponga al subencargado las mismas obligaciones de seguridad y confidencialidad que el contrato principal. Si el software de gestión del despacho procesa datos de los clientes en servidores de terceros, el proveedor es un subencargado y el despacho debe verificar que dispone del contrato adecuado y que el proveedor aplica medidas de seguridad equivalentes a las exigidas por el artículo 32 del RGPD.

¿Qué sanciones puede imponer la AEPD a una asesoría o despacho que incumple el RGPD?

El artículo 83 del RGPD establece un régimen sancionador escalonado. Los incumplimientos más graves —vulnerar los principios básicos del tratamiento, los derechos de los interesados o las condiciones del consentimiento— pueden suponer multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual global, aplicándose la cifra mayor. Los incumplimientos de las obligaciones del encargado del tratamiento —como no tener formalizado el contrato del artículo 28 o no aplicar las medidas de seguridad adecuadas— pueden conllevar multas de hasta 10 millones de euros o el 2 % del volumen de negocio global. La AEPD tiene en cuenta como circunstancias atenuantes la cooperación con la Agencia, las medidas adoptadas para reducir los daños y el carácter no intencional de la infracción; la cuantía final en el caso de una pyme se pondera en función de su capacidad económica real.

¿Qué diferencia hay entre la LOPD derogada y la LOPDGDD vigente en lo que afecta a los despachos?

La Ley Orgánica 15/1999 de Protección de Datos (LOPD) fue derogada y sustituida por la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que adapta el ordenamiento español al RGPD aplicable desde el 25 de mayo de 2018. Para asesorías y despachos, las diferencias más relevantes son: la LOPDGDD regula expresamente el tratamiento de datos en el ámbito laboral y las condiciones del consentimiento de los trabajadores; amplía los derechos digitales de los empleados, como el derecho a la desconexión digital; regula la figura del DPO y sus supuestos de obligatoriedad en España; y articula el régimen sancionador conforme al artículo 83 del RGPD. Documentar los tratamientos conforme a la LOPDGDD vigente, y no a la derogada LOPD de 1999, es el estándar exigible ante la AEPD.