RGPD para gestorías y asesorías: obligaciones de protección de datos del despacho

Una gestoría trata datos personales de cientos de clientes —nóminas, modelos de la AEAT, contratos, datos bancarios— y por eso es responsable del tratamiento ante el RGPD y la LOPDGDD. Sus obligaciones principales son mantener un registro de actividades de tratamiento, firmar contratos de encargado con sus proveedores, aplicar medidas de seguridad, gestionar las brechas de datos y atender los derechos de los interesados.

El despacho es responsable del tratamiento

La primera idea clave es la de los roles. La gestoría es responsable del tratamiento de los datos de sus propios trabajadores y, respecto a los datos de los clientes de sus clientes (las nóminas de la empresa a la que lleva el laboral, por ejemplo), actúa normalmente como encargada del tratamiento. Distinguir bien quién es responsable y quién encargado en cada relación es lo que ordena todas las demás obligaciones.

En la mayoría de despachos coexisten los dos papeles: eres responsable frente a tus empleados y tus contactos comerciales, y encargado cuando una empresa cliente te confía las nóminas de su plantilla o la contabilidad con datos de terceros. De ese mapa de relaciones salen los contratos que tienes que firmar (hacia arriba con tus clientes, hacia abajo con tus proveedores) y los tratamientos que debes documentar en tu registro de actividades.

El registro de actividades de tratamiento

El registro de actividades de tratamiento (RAT) es el documento donde el despacho describe qué datos trata, con qué finalidad, durante cuánto tiempo y con qué medidas de seguridad. Es obligatorio para prácticamente cualquier gestoría —la exención para empresas de menos de 250 empleados no aplica cuando se tratan datos de forma habitual o categorías especiales— y es lo primero que pide la Agencia Española de Protección de Datos en una inspección.

• Datos del responsable (y del DPD si lo hay).
• Finalidades de cada tratamiento: laboral, contable, fiscal, gestión de clientes.
• Categorías de interesados y de datos tratados, marcando si hay datos especialmente protegidos.
• Destinatarios de los datos (AEAT, Seguridad Social, mutuas, entidades bancarias).
• Plazos de conservación de cada tipo de dato.
• Descripción general de las medidas técnicas y organizativas de seguridad.

El RAT no es un trámite de una sola vez: hay que mantenerlo actualizado cuando cambian los tratamientos, los proveedores o los plazos de conservación. Tener un registro vivo y coherente es la mejor prueba de cumplimiento proactivo, que es justo el principio de responsabilidad demostrada (accountability) que exige el RGPD.

El contrato de encargado del tratamiento

Cada vez que el despacho deja datos personales en manos de un tercero —el programa de gestión, el alojamiento, la herramienta de IA, la empresa de destrucción de documentos— debe firmar un contrato de encargado del tratamiento. Ese contrato, exigido por el artículo 28 del RGPD, regula qué puede hacer el proveedor con los datos, prohíbe usarlos para otros fines y obliga a devolverlos o destruirlos al terminar la relación.

Funciona en cadena. El despacho firma como encargado hacia sus clientes empresa, y a su vez firma como responsable con cada proveedor (subencargado) que toca esos datos. Antes de contratar cualquier herramienta nueva conviene exigir el contrato por escrito, la lista de subencargados y dónde se alojan los datos. Para una gestoría española lo prudente es que la información se aloje y procese en la Unión Europea; la página de seguridad de un proveedor serio detalla justo esto.

Medidas de seguridad y deber de confidencialidad

El RGPD no impone una lista cerrada de medidas: pide aplicar las que sean adecuadas al riesgo del tratamiento. Para un despacho que maneja nóminas, datos fiscales y, a veces, categorías especiales, eso se traduce en cifrado, control de accesos por usuario, copias de seguridad, y un deber de confidencialidad expreso de todo el personal que toca esos datos, incluso después de dejar la empresa.

• Cifrado de los datos en tránsito y en reposo.
• Control de accesos: cada persona accede solo a lo que necesita, con su propio usuario.
• Copias de seguridad y un plan de recuperación ante incidentes.
• Acuerdos de confidencialidad firmados por toda la plantilla.
• Registro de quién accede a qué y cuándo (trazabilidad), clave para defenderse ante una reclamación.
• Política de mesas limpias y destrucción segura del papel con datos.

Qué hacer ante una brecha de seguridad

Una brecha de datos es cualquier incidente que comprometa la confidencialidad, integridad o disponibilidad de los datos personales: un correo enviado a quien no debía, un equipo robado, un ransomware o un acceso no autorizado. Cuando ocurre y supone un riesgo para los afectados, el responsable debe notificarla a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde que tiene constancia.

Si la brecha entraña un alto riesgo para los derechos de las personas, además hay que comunicárselo a los propios afectados. Por eso conviene tener preparado de antemano un protocolo de gestión de brechas: cómo detectarla, cómo valorar el riesgo, a quién avisar y cómo documentar todo el proceso. La trazabilidad de quién accedió a los datos es decisiva aquí: sin registro de actividad, es muy difícil saber el alcance real de un incidente y responder a tiempo.

IA y datos de clientes: qué exigir antes de usarla

Usar inteligencia artificial para extraer datos de facturas, clasificar documentos o proponer asientos no cambia las reglas del RGPD: la herramienta de IA actúa como encargada del tratamiento y el despacho sigue siendo responsable. Antes de subir un solo documento de un cliente hay que comprobar dónde se alojan los datos, si están cifrados, qué contrato de encargo firmas y, muy importante, si tus datos se usan o no para entrenar modelos.

El modelo «la IA propone, tú revisas» encaja bien con el RGPD precisamente porque deja a una persona la decisión final y registra cada validación, lo que aporta la trazabilidad que el reglamento valora. GestorIA aloja y cifra los datos en la UE, aísla cada despacho y no entrena modelos con tus datos sin consentimiento; el detalle está en la página de seguridad de GestorIA y en cómo planteamos la extracción documental con IA.

Preguntas frecuentes

¿Una gestoría es responsable o encargada del tratamiento?

Las dos cosas, según la relación. Es responsable de los datos de sus propios empleados y contactos comerciales, y encargada cuando una empresa cliente le confía datos de terceros (las nóminas de su plantilla, por ejemplo). Identificar bien el rol en cada relación es lo que determina qué contratos hay que firmar y qué tratamientos documentar en el registro de actividades.

¿Es obligatorio el registro de actividades de tratamiento?

Para casi cualquier despacho, sí. La exención prevista para empresas de menos de 250 empleados decae cuando el tratamiento es habitual o incluye categorías especiales de datos, y una gestoría trata datos a diario. El registro de actividades (RAT) es además el primer documento que solicita la Agencia Española de Protección de Datos en una inspección, así que conviene tenerlo vivo y actualizado.

¿Necesito firmar un contrato con mi software de gestión?

Sí. Cualquier proveedor que trate datos personales por cuenta del despacho —el programa de gestión, el alojamiento, la herramienta de IA— es un encargado del tratamiento y exige un contrato del artículo 28 del RGPD. Ese contrato debe regular qué hace con los datos, prohibir usarlos para otros fines, listar a los subencargados y obligar a devolverlos o destruirlos al terminar.

¿Qué plazo hay para notificar una brecha de datos?

Cuando la brecha supone un riesgo para los derechos de las personas, hay que notificarla a la Agencia Española de Protección de Datos en un máximo de 72 horas desde que el responsable tiene constancia. Si el riesgo es alto, además hay que comunicárselo a los propios afectados. Conviene tener un protocolo previo para detectar, valorar y documentar el incidente sin perder tiempo.

¿Puedo usar IA con los datos de mis clientes cumpliendo el RGPD?

Sí, siempre que la herramienta cumpla los requisitos: datos alojados y cifrados en la UE, contrato de encargado firmado, retención configurable, trazabilidad de cada acción, aislamiento entre clientes y la garantía de que tus datos no entrenan modelos sin tu consentimiento. El enfoque «la IA propone, tú revisas» ayuda, porque deja la decisión final a una persona y registra cada validación.

¿Necesita una gestoría un delegado de protección de datos (DPD)?

No siempre. El DPD es obligatorio cuando el tratamiento a gran escala de datos es la actividad principal o se tratan a gran escala categorías especiales. Muchas gestorías pequeñas no llegan a ese umbral, pero designar un DPD —o al menos un responsable interno de privacidad— es una buena práctica que ordena el cumplimiento y da una cara visible ante clientes y la autoridad de control.