Dada su actividad, el cumplimiento de la Ley de Protección de Datos en las asesorías es una obligación que no puede ignorarse. Asesores y gestores van a tratar con toda seguridad datos personales de sus clientes o de personas relacionadas con sus clientes, por ello es imprescindible que se adapten a la normativa de protección de datos.
En este artículo explicaremos cómo adaptar tu asesoría al RGPD y la LOPD y cumplir con la ley.
En este artículo hablamos de:
Aplicación de la Ley de Protección de Datos en asesorías
Asesorías y gestorías manejan datos personales en el desempeño de su actividad, desde datos identificativos, pasando por datos bancarios, hasta de salud. Por ello, consultorías y asesorías deben aplicar la Ley de Protección de Datos, quizás con más atención que otro tipo de negocios.
LOPD para asesores
La Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD o LOPD) es la una ley nacional, que entró en vigor en diciembre de 2018 y mediante la cual, se adapta al ordenamiento jurídico español el Reglamento europeo para la protección de datos en las empresas pequeñas y otro tipo de organizaciones privadas y públicas, además de introducir en su articulado una serie de consideraciones y garantías relacionadas con los derechos digitales de las personas.
RGPD para asesores
El RGPD (Reglamento General de Protección de Datos), que entró en vigor en mayo de 2018, es el reglamento que la UE aprobó en 2016 para garantizar la privacidad de los datos personales de los ciudadanos, estableciendo una serie de obligaciones que cualquier empresa, entidad u organismo público o privado que opere dentro de la UE debe cumplir.
Accede a nuestros servicios de protección de datos desde solo 180 euros al año.
Obligaciones para asesores LOPD y RGPD
Las asesorías fiscales, laborales y contables, trabajan con un volumen importante de datos personales, debiendo mantenerse al día en soluciones de gestión de protección de datos como una obligación ineludible. Además, la Ley de Protección de Datos para asesorías tiene una doble perspectiva en el tratamiento de datos de carácter personal.
Por una parte, como empresa que guarda, controla y procesa los datos personales de sus propios empleados y clientes, actuando en este caso como responsable del tratamiento de datos.
Pensemos, por ejemplo, en el software que utilizamos para llevar a cabo las contabilidades, hacer las nóminas, etc. En esos supuestos, los asesores actúan como Responsable del Tratamiento y la empresa propietaria del software como Encargado del mismo.
Esa relación exige que firmemos un contrato con el encargado del tratamiento, en el que se establezcan las directrices y obligaciones de ambas partes respecto del tratamiento de esos datos personales, garantizando el debido cumplimiento de la normativa.
Entre estos aspectos se encuentran: El objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.
Por otra parte, la asesoría actuará también como proveedor de sus clientes, tratando datos personales facilitados por estos, siendo en este caso encargado del tratamiento. Es lo que ocurre, por ejemplo, cuando una empresa contrata los servicios de asesores LOPD y RGPD para que le ayuden en la adaptación a la normativa de protección de datos.
En este supuesto, también deberá firmarse ese mismo contrato entre ambas partes, teniendo en cuenta que en este caso el asesor ocupa la posición opuesta al ejemplo anterior.
Esta doble posición como Responsables y Encargados del Tratamiento es precisamente la principal particularidad que tienen las asesorías y gestorías en materia de Protección de datos, y por ello es importante explicar cómo les afecta en este caso el RGPD.
Obligaciones de las asesorías cuando actúan como encargados
Entre las obligaciones de protección de datos en asesorías cuando estas actúan como encargados del tratamiento, podemos enumerar las siguientes:
- Cumplir las instrucciones del responsable del tratamiento
- El deber de confidencialidad
- Adoptar las medidas de seguridad pertinentes
- Pactar el posible régimen de la subcontratación
- Facilitar el ejercicio de los derechos de los interesados
- Colaborar en el cumplimiento de las obligaciones del responsable
- Cumplir con el destino de los datos al finalizar la prestación, que ha sido previamente pactado en el contrato
- La colaboración con el responsable para demostrar el cumplimiento de todas las medidas
En primer lugar, debe cumplir con las instrucciones de quien le encomienda un determinado servicio, respecto al correcto tratamiento de los datos personales a los que pueda tener acceso como consecuencia de la prestación de este servicio, garantizando su confidencialidad.
Por otra parte, para cumplir de manera adecuada con la normativa protección de datos, la asesoría deberá adoptar todas las medidas de seguridad necesarias, que garanticen la confidencialidad y seguridad de los datos personales a los que la asesoría ha tenido acceso.
También deberá poner a disposición del responsable, la información que sea precisa para demostrar el cumplimiento de estas medidas, e incluso permitirle realizar auditorías con esta finalidad.
En este caso, se trata de una exigencia impuesta por el Reglamento a los responsables, enmarcado en el principio de responsabilidad proactiva de estos. Y este principio de responsabilidad proactiva, se extiende también al encargado, que tiene el deber de informar al responsable, en caso de que una de las instrucciones que le sean trasladas vaya en contra de lo dispuesto por la norma aplicable.
Obligaciones cuando actúan como responsables
Por otro lado, las principales actuaciones que debe realizar una asesoría como responsable del tratamiento para adaptarse al RGPD y la LOPD son:
-
- Elaborar un Registro de actividades de tratamiento
- Llevar a cabo un análisis de riesgos
- Realizar una Evaluación de impacto (en ciertos casos, cuando en función de los datos personales tratados exista un riesgo alto)
- Firmar los contratos con terceros
- Incluir los textos legales en la página web
- Solicitar el consentimiento a los clientes
- Facilitar el ejercicio de los derechos de los usuarios (derecho de acceso, rectificación, limitación, oposición, y supresión, incluido el derecho al olvido)
- Firmar los compromisos de confidencialidad con los empleados
- Nombrar un Delegado de Protección de Datos (DPO) en ciertos casos, por ejemplo, cuando hablamos de protección de datos para asesores fiscales o para asesores que traten datos médicos de clientes y/o terceros.
Adaptación de una asesoría a la protección de datos en 2024 ¿Cómo debes hacerlo?
Protección de datos para asesorías laborales, fiscales, de compliance, de igualdad, de ciberseguridad, etc., independientemente de su área de especialización, cualquier tipo de asesoría debe cumplir con la protección de datos en el momento en que trata con datos personales.
Adapta tu asesoría a la protección de datos
Ya hemos citado las obligaciones que, como responsable o encargado del tratamiento, las asesorías deben cumplir, a continuación profundizaremos en las principales de ellas y que, con carácter general, toda asesoría debe contemplar.
Análisis de riesgos
Con carácter previo a cualquier tipo de tratamiento de datos personales (como puede ser crear una base de datos de los empleados de cada cliente de la asesoría), se debe llevar a cabo un análisis de riesgos del mismo, para poder conocer los posibles riesgos que derivados de dicho tratamiento para los derechos y libertades de los interesados (es decir, los titulares de los datos).
El análisis de riesgos nos dirá qué posibilidades hay de que una amenaza se materialice y afecta a los datos personales que maneja la asesoría, así como a los interesados (por ejemplo, si se produce un ciberataque y se exfiltran las bases de datos de clientes, qué implicaciones puede tener para estos).
De los resultados del análisis de riesgos, la asesoría obtendrá un informe que le servirá para diseñar e implementar las medidas de seguridad necesarias para garantizar la protección de datos. Estas medidas deben, por un lado, reducir la posibilidad de que las amenazas se materialicen, y, por otro, reducir el impacto sobre los derechos y libertades de los interesados, si finalmente se materializan.
Evaluación de Impacto
La evaluación de impacto en protección de datos (EIPD) es obligatoria cuando se tratan datos de categorías especiales (artículo 9 del RGPD), se tratan datos personales de manera sistemática y a gran escala o cuando del análisis de riesgos se desprende un alto nivel de impacto para los derechos y libertades de los interesados.
La EIPD es un nuevo análisis de riesgos, que servirá tanto para implementar medidas de seguridad adecuadas para evitar o reducir las posibilidades de que las amenazas se materialicen, como para descartar un tratamiento de datos, si el riesgo que este implica para los derechos y libertades de los interesados es alto.
Registro de las actividades de tratamiento
Están obligadas a llevar un registro de actividades de tratamiento las asesorías o gestorías que tengan más de 250 trabajadores, traten datos de categorías especiales o lleven a cabo un tratamiento de datos a gran escala. Aunque para tener una mayor control sobre los tratamientos de datos que se realizan, así como las categorías de datos e interesados afectados, es recomendable que cualquier asesoría o gestoría lleve este registro de actividades.
Se trata de un documento de carácter interno, en el que se registra toda la información relativa a cada tratamiento de datos personales que se realiza en la asesoría. Es fundamental que siempre esté actualizado y, aunque no hay que registrarlo en ningún organismo, sí que puede ser solicitado por la AEPD (Agencia Española de Protección de Datos) en el contexto de una investigación o inspección.
En cualquier caso, el registro de actividades de tratamiento contendrá, como mínimo, la siguiente información:
- Datos identificativos del responsable del tratamiento, el encargado del tratamiento y del DPO (si procede)
- Finalidad del tratamiento
- Legitimación jurídica
- Descripción de las categorías de datos e interesados afectados
- Descripción de las categorías de destinatarios de datos existentes o previstos
- Transferencias internacionales de datos (si procede)
- Plazo de conservación de los datos previsto
- Descripción de las medidas de seguridad implementadas (si es posible)
Contratos con terceros
Si para el desempeño de algunos de los servicios que presta la asesoría, esta debe ceder datos a un tercero, será necesario firmar con este un contrato de encargado de tratamiento, tal y como explicamos más arriba. En este caso, la asesoría tendrá el rol de responsable del tratamiento y deberá establecer la finalidad del tratamiento, las obligaciones, medidas de seguridad y plazo de conservación de los datos con el encargado del tratamiento, además de asegurarse de que este cumple con la normativa.
¿Necesitas un servicio de protección de datos para ti o para tu negocio? En Grupo Atico34 estamos aquí para ayudarte.
Contrato de confidencialidad con empleados
Es obligación de la asesoría asegurarse de que los empleados que tengan acceso a datos personales de clientes, mantendrán la debida confidencialidad de los mismos, para lo que se puede recurrir a la firma de un acuerdo de confidencialidad o una cláusula de confidencialidad en el contrato.
También se debe informar a estos empleados de las medidas de seguridad que deben respetar y poner en práctica cuando traten con datos personales y que, en ningún caso, podrán publicar, difundir o usar los datos personales a los que puedan acceder en su beneficio o el de terceros. Así como informarles de las consecuencias si no cumplen con las normas de seguridad de la asesoría en protección de datos.
Consentimiento de clientes
Es necesario recabar el consentimiento expreso de los clientes para el tratamiento de sus datos, informándoles, además, de la finalidad de dicho tratamiento, el plazo de conservación de los datos, posibles cesiones a terceros y de quién es el responsable y encargado del tratamiento, así como la vía para ejercer sus derechos.
Para recoger dicho consentimiento, se puede recurrir a una cláusula o anexo al contrato de prestación de servicios de la asesoría, que el cliente deberá firmar para su aceptación. En el caso de que la asesoría tenga una página web y utilice formularios de contacto, este consentimiento se recogerá mediante la correspondiente casilla de aceptación de la política de privacidad en el formulario (casilla que estará siempre desmarcada).
Cabe señalar que habrá algunos tratamientos de datos personales para los que la gestoría no necesitará recabar siempre el consentimiento de sus clientes, puesto que estarán legitimados en la relación contractual entre ellos y en la necesidad para cumplir dicho contrato.
Informar sobre sus derechos a los clientes
Ya los hemos citado en los puntos anteriores, pero la asesoría debe informar a sus clientes de los derechos que pueden ejercer sobre sus datos personales, los denominados derechos ARSULIPO (o ARCO):
- Acceso a sus datos personales
- Rectificación en caso de errores en los datos
- Supresión de los datos (es decir, su bloqueo o eliminación)
- Limitación del tratamiento
- Portabilidad de los datos
- Oposición
Así mismo, también los interesados tienen derecho a negarse a que sus datos personales se puedan utilizar en decisiones automatizadas, como es la elaboración de perfiles.
Notificar las brechas de seguridad
En el caso de que se produzca una brecha de seguridad que pueda poner en riesgo los datos personales de los clientes, como puede ser un ciberataque, la asesoría tiene la obligación de notificar dicho incidente tanto a la AEPD como a los interesados cuyos datos se hayan visto afectados, cuando exista un riesgo para sus derechos y libertades (por ejemplo, se filtran nombres y direcciones, números de la seguridad social o credenciales de usuarios de algún servicio).
Para notificar las brechas de seguridad, el responsable del tratamiento tiene un plazo máximo de 72 horas.
Legalidad en la página web
Es muy probable que las asesorías y gestorías cuenten con una página web para promocionar sus servicios, así como captar clientes, en cuyo caso también deben cumplir con las obligaciones que tanto el RGPD y la LOPDGDD como la LSSI-CE establecen para el tratamiento de datos personales en páginas web.
En concreto, la página web de la asesoría debe tener disponible y accesible desde cualquier página o subpágina un enlace a:
- El aviso legal, en el que aparecerá la siguiente información:
- Nombre o razón social
- NIF/CIF
- Dirección postal
- N.º de inscripción en el Registro Mercantil
- N.º de colegiado (si procede)
- Política de privacidad, en la que se suministra toda la información relativa a la gestión de los datos personales:
- Responsable del tratamiento
- Finalidad del tratamiento
- Legitimación del tratamiento
- Cómo se gestionarán los datos personales
- Tiempo de conservación de los datos
- Cesiones a terceros
- Uso de cookies
- Vía para ejercer los derechos ARSULIPO
- Política de cookies para informar sobre su tipo, finalidad, titulares, conservación, etc., además de contar con el aviso de cookies, mediante el cual el usuario podrá aceptarlas o denegarlas.
¿Necesitas asesores LOPD? Contacta ahora con un especialista
Para cumplir correctamente con las exigencias del RGPD y la LOPD en protección de datos para asesorías y gestorías, se necesita tener conocimientos sobre la materia y estar al día de modificaciones y actualizaciones de la Ley. Lo mismo ocurre con la protección de datos en despachos de abogados. Además, aparte de esta complejidad, también te quitará tiempo que podrías estar destinando a atender a tus clientes habituales o conseguir nuevos clientes.
Por estas razones, te recomendamos contactar con un especialista en protección de datos, para que tú puedas concentrarte en lo que realmente importa, tu negocio.
En Grupo Atico34 ofrecemos asesoramiento en protección de datos para asesorías y gestorías, gracias a un equipo de profesionales altamente cualificado y con experiencia demostrada en ayudar a adaptarse a la normativa de protección de datos a autónomos y empresas.
¿Necesita tu asesoría un DPO?
Si tu asesoría cumple con los requisitos para tener que llevar un registro de actividades de tratamiento, realizar una EIPD o manejas ficheros regulados en la Ley de Blanqueo de Capitales, tendrás que designar o contratar un DPO.
El DPO es un profesional experto en protección de datos, que, entre otras funciones, supervisa el cumplimiento de la normativa, asesora al responsable del tratamiento y trata con la AEPD en nombre de la asesoría. Puede designarse de manera interna o contratar los servicios de un DPO externo (más recomendable porque contará con la formación necesaria y la objetividad suficiente para llevar a cabo sus funciones de manera adecuada y de acuerdo a la ley). El nombramiento del DPO debe comunicarse siempre a la AEPD y ser público.