¡Pide presupuesto en 2 min! ✓
ProfesionalesSectores

¿Cómo afecta el RGPD a las asesorías y gestorías?

5 Mins read

¿Cómo afecta el RGPD a las asesorías y gestorías? ¿Eres asesor fiscal, laboral o contable?

¿Tu negocio está relacionado con lo sectores de asesoría o gestoría?

Si la respuesta es sí este artículo te interesa.

Es muy importante saber la especial posición que como asesor o gestor vas a ocupar en la relación que mantienes con tus clientes y sus datos personales.

En este artículo te ayudamos a solventar las posibles dudas que te pueden surgir en este sentido.

Para empezar, debes conocer exactamente qué normativa resulta aplicable a la protección de datos puesto que recientemente han entrado en vigor tanto un Reglamento Europeo como la nueva LOPD española.

Normativa y guía para cumplir la lopd en asesorías y gestorías

La normativa actualmente aplicable en materia de protección de datos es:

  • Reglamento General de Protección de Datos (aplicable desde el 25 de mayo en todos los Estados Miembros de la UE)
  • Ley de protección de datos a nivel nacional (LOPD-GDD)

Una vez que conocemos las reglas de juego, vamos a explicar las particularidades que presentan las asesorías y gestorías para cumplir con las obligaciones que esta nueva regulación nos exige.

Doble posición como responsables y encargados del tratamiento

Las asesorías fiscales, laborales y contables, trabajan con un volumen importante de datos personales, debiendo mantenerse al día en soluciones de gestión de protección de datos como una obligación ineludible, actuando además desde una doble perspectiva en el tratamiento de esos datos de carácter personal:

Por una parte, como empresa que guarda, controla y procesa los datos personales de sus propios empleados y clientes, actuando en éste caso como responsable del tratamiento.

Pensemos por ejemplo, en el software que utilizamos para llevar a cabo las contabilidades, hacer las nóminas etc. En esos supuestos la asesoría y/o gestoría, actúa como Responsable del Tratamiento y la empresa propietaria del Software como Encargado del mismo.

Esa relación exige que firmemos un contrato con el encargado del tratamiento, en el que se establezcan las directrices y obligaciones de ambas partes respecto del tratamiento de esos datos personales, garantizando el debido cumplimiento de la normativa.

Entre estos aspectos se encuentran:

El objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

Por otra parte, la asesoría actuará también como proveedor de sus clientes, tratando datos personales facilitados por éstos, siendo en este caso encargado del tratamiento.

En este supuesto, también deberá firmarse ese mismo contrato entre ambas partes, teniendo en cuenta que en este caso el asesor ocupa la posición opuesta al ejemplo anterior.

Esta doble posición como Responsables y Encargados del Tratamiento es precisamente la principal particularidad que tienen las asesorías y Gestorías en materia de Protección de datos, y por ello es importante explicar cómo les afecta en éste caso el RGPD.

Obligaciones cuando actúan como encargados del tratamiento

Entre éstas obligaciones, podemos enumerar las siguientes:

  • Cumplir las instrucciones del responsable del tratamiento
  • El deber de confidencialidad
  • Adoptar las medidas de seguridad pertinentes
  • Pactar el posible régimen de la subcontratación
  • Facilitar el ejercicio de los derechos de los interesados
  • Colaborar en el cumplimiento de las obligaciones del responsable
  • Cumplir con el destino de los datos al finalizar la prestación, que ha sido previamente pactado en el contrato
  • La colaboración con el responsable para demostrar el cumplimiento de todas las medidas

En primer lugar, debe cumplir con las instrucciones de quien le encomienda un determinado servicio, respecto al correcto tratamiento de los datos personales a los que pueda tener acceso como consecuencia de la prestación de este servicio, garantizando su confidencialidad.

Por otra parte, deberá adoptar todas las medidas de seguridad necesarias, que garanticen la seguridad de esos datos de carácter personal a los que ha tenido acceso.

También deberá poner a disposición del responsable, la información que sea precisa para demostrar el cumplimiento de estas medidas, e incluso permitirle realizar auditorías con esta finalidad.

En este caso, se trata de una exigencia impuesta por el nuevo reglamento a los responsables, enmarcado en el principio de responsabilidad proactiva de éstos. Y este principio de responsabilidad proactiva, se extiende también al encargado, que tiene el deber de informar al responsable, en caso que una de las instrucciones que le sean trasladas vaya en contra de los dispuesto por la norma aplicable.

Obligaciones cuando actúan como responsables

Las principales actuaciones que debe realizar una asesoría como responsable del tratamiento para adaptarse al RGPD son:

  • Elaborar un Registro de actividades de tratamiento
  • Llevar a cabo un análisis de riesgos
  • Realizar una Evaluación de impacto (en ciertos casos, cuando en función de los datos personales tratados exista un riesgo alto)
  • Firmar los contratos con terceros
  • Incluir los textos legales en la página web
  • Solicitar el consentimiento a los clientes
  • Facilitar el ejercicio de los derechos de los usuarios (acceso, rectificación, limitación, oposición, y supresión, incluido el derecho al olvido)
  • Firmar los compromisos de confidencialidad con los empleados
  • Nombrar un Delegado de Protección de datos (en ciertos casos, por ejemplo cuando se tratan datos médicos de los clientes y/o terceros)

Legitimación para el tratamiento de datos de empresarios individuales y de profesionales

En este aspecto, es importante destacar, que con la entrada en vigor del RGPD, los datos de los clientes que sean autónomos o empresarios individuales, ya no están excluidos del ámbito de aplicación de la normativa de protección de datos, y actualmente sí que se consideran como datos personales.

Nótese que un buen número de clientes de asesorías y gestorías van a ser precisamente autónomos o empresario individuales.

En estos casos, podrá presumirse lícito el tratamiento de datos siempre que sea necesario para la satisfacción de los intereses legítimos del Responsable, es decir, no sería necesario obtener su consentimiento,siempre que sobre dichos intereses no prevalezcan los intereses o los derechos del interesado.

El interés legítimo en el caso de asesorías y gestorías será precisamente la prestación del servicio que ese empresario individual o autónomo ha contratado previamente con las mismas.

Preguntas frecuentes de nuestros clientes

¿Los datos bancarios de mis clientes se consideran datos sensibles que implican la necesidad de realizar una Evaluación de Impacto?

La respuesta es no. Esa clase de datos, aunque pueda parecer sorprendente, NO se consideran sensibles al contrario de lo que sucede con los datos de salud.

Entre mis funciones, está tramitar incapacidades de clientes y por ese motivo tengo acceso a sus datos de salud. ¿En este caso, qué supone a nivel de protección de datos?

Los datos de salud son precisamente el ejemplo claro e inequívoco de dato sensible.

En ese caso, es necesario realizar una evaluación de impacto, para poder determinar qué clase de riesgos pueden existir por la pérdida o destrucción de esos datos, qué deficiencias existen en mis medidas de seguridad y qué soluciones debo aplicar para subsanarlas, y cumplir las obligaciones impuestas por la normativa aplicable.

¿Mis clientes pueden exigirme que adopte medidas de seguridad para proteger adecuadamente los datos personales de sus clientes que me facilitan para prestarles mis servicios?

La respuesta es . En el contrato que suscribes con tu cliente, en el que actúas como encargado del tratamiento, se recogerán precisamente una serie de obligaciones que debes cumplir y justificar que cumples ante tu cliente; todo ello con la finalidad de que la seguridad de los datos del cliente final sea lo mejor posible y no se produzca ninguna clase de incidencia.

Si tras leer este post te queda alguna duda sobre si tu gestoría está cumplimiento con la nueva normativa ponte en contacto con nosotros en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com

Related posts
Sectores

Protección de datos de las Iglesias y entidades religiosas

7 Mins read
Con las importantes novedades introducidas en materia de Protección de datos por el RGPD y la posterior LOPDGDD, recibimos numerosas consultas sobre…
SanidadSectores

¿Quién y por qué puede ver mi historial médico?

5 Mins read
Los datos relacionados con la salud están considerados como información de carácter personal y sensible y, por tanto, están altamente protegidos por…
SanidadSectores

Pulseras E-Health y la Protección de Datos

8 Mins read
La pulsera inteligente o pulseras healthcare ha pasado desde hace algunos años, a formar parte de nuestro día a día, integrándose con naturalidad…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.