Asesorías fiscales, gestorías administrativas y despachos de abogados comparten un rasgo que los sitúa en una categoría singular dentro del marco del RGPD: en la mayor parte de su actividad no tratan datos propios, sino datos personales que pertenecen al ámbito de sus clientes. Una gestoría que tramita altas y bajas en la Seguridad Social, una asesoría laboral que prepara las nóminas de los trabajadores de una empresa o un despacho que gestiona un expediente contencioso-administrativo están operando, en términos del artículo 4.8 del Reglamento (UE) 2016/679, como encargados del tratamiento: entidades que tratan datos personales por cuenta del responsable —el cliente— y bajo sus instrucciones. Esta posición jurídica genera obligaciones propias que van mucho más allá de la mera confidencialidad profesional.
El instrumento central del régimen del encargado es el contrato de encargo del tratamiento que exige el artículo 28 del RGPD. Este contrato debe recoger el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos y las categorías de interesados, así como un catálogo de obligaciones específicas: tratar los datos únicamente según instrucciones documentadas del responsable; garantizar la confidencialidad de todo el personal autorizado; aplicar medidas de seguridad apropiadas conforme al artículo 32; no recurrir a subencargados sin autorización previa del responsable; asistir al responsable en el cumplimiento de los derechos de los interesados y en la gestión de brechas de seguridad; devolver o suprimir los datos al concluir el encargo; y facilitar toda la información necesaria para acreditar el cumplimiento ante la AEPD. La Agencia ha publicado una guía específica sobre la relación responsable-encargado que desarrolla en detalle los contenidos mínimos y los criterios de validez de estas cláusulas.
Junto a su papel de encargados frente a los clientes, asesorías y despachos actúan también como responsables del tratamiento respecto a sus propios datos: empleados del despacho, candidatos en procesos de selección, datos de facturación y contabilidad interna, videovigilancia de las instalaciones o comunicaciones comerciales. Este doble rol —encargado frente a los clientes y responsable de sus tratamientos propios— multiplica el alcance de la adecuación necesaria y obliga a mantener el Registro de Actividades en dos vertientes distintas: como responsable (artículo 30.1 RGPD) y como encargado (artículo 30.2 RGPD). Ambas vertientes exigen contenidos distintos y deben actualizarse cada vez que se incorpora un nuevo cliente, se modifica un tipo de servicio o cambia el circuito de datos con proveedores externos.
El sector de asesorías y despachos maneja con frecuencia datos de alto riesgo para los interesados: datos de salud en la tramitación de bajas laborales e incapacidades; datos relativos a infracciones penales o administrativas en despachos penalistas; datos económicos y patrimoniales de gran impacto en concursos de acreedores o reestructuraciones de deuda; datos de menores en expedientes de familia. El secreto profesional —recogido para los abogados en el artículo 542.3 de la Ley Orgánica del Poder Judicial y en el Estatuto General de la Abogacía Española, y de forma equivalente en las normas deontológicas de gestores y economistas— complementa las obligaciones del RGPD sin sustituirlas. El despacho no puede ampararse en el deber de confidencialidad para eludir la obligación de informar a los interesados conforme a los artículos 13 y 14 del RGPD, de atender sus solicitudes de derechos en el plazo de un mes, ni de notificar brechas de seguridad a la AEPD en las condiciones del artículo 33 del Reglamento.
El régimen sancionador del artículo 83 del RGPD, desarrollado en España a través de la LOPDGDD (LO 3/2018), no establece tramos distintos según el tamaño de la empresa ni el sector de actividad. Las infracciones que afectan a los principios básicos del tratamiento, los derechos de los interesados o las condiciones del consentimiento pueden suponer multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual global, aplicándose la cuantía mayor. Los incumplimientos de las obligaciones del encargado —entre ellas, la ausencia de contrato de encargo o la falta de medidas de seguridad adecuadas— pueden alcanzar hasta 10 millones de euros o el 2 % del volumen de negocio. Para la mayoría de asesorías y despachos, que son pymes o microempresas, el impacto proporcional de una sanción puede ser devastador; y el daño reputacional de una resolución pública de la AEPD resulta aún más difícil de reparar en un sector donde la confianza del cliente es el activo principal.
Desde Summum Consultoria acompañamos a asesorías, gestorías y despachos de abogados en su adecuación al RGPD con un enfoque práctico, orientado a la operativa real del sector y respetuoso con el rol supervisor de la AEPD. Realizamos el diagnóstico inicial de todos los tratamientos, elaboramos el Registro de Actividades en su doble vertiente, redactamos los contratos de encargo del tratamiento adaptados a cada tipo de servicio —fiscal, laboral, contable, jurídico—, implantamos los avisos de privacidad para clientes y empleados, definimos las medidas de seguridad técnicas y organizativas proporcionadas al riesgo y formamos al equipo en sus obligaciones cotidianas. Nuestro objetivo es que el despacho pueda acreditar ante la AEPD, en cualquier momento y sin improvisación, que gestiona los datos de sus clientes con la diligencia y la documentación que la norma exige.