En una frase. Una asesoría o gestoría actúa como encargado del tratamiento cuando gestiona nóminas, contabilidad o fiscalidad por cuenta de sus clientes (necesita un contrato del art. 28 con cada uno), y como responsable respecto de sus propios datos de clientes y personal; distinguir ambos roles y conservar solo lo necesario es el núcleo de su cumplimiento RGPD.
Puntos clave
- Doble rol: encargado del tratamiento de los datos que trata por cuenta del cliente; responsable de sus propios ficheros.
- Cada cliente exige un contrato de encargado del art. 28 RGPD, firmado y con las cláusulas mínimas.
- Las nóminas contienen datos de terceros (los empleados del cliente), no del cliente: el asesor los trata como encargado.
- Subcontratación (software cloud, gestor documental): requiere autorización del cliente y contrato en cadena.
- Plazos de conservación marcados por la normativa mercantil, fiscal y laboral, no por la comodidad del despacho.
1. El problema de fondo: dos roles a la vez
La confusión entre responsable y encargado del tratamiento es el error estructural de las asesorías y gestorías. Un despacho maneja datos en dos posiciones jurídicas distintas y simultáneas, y las obligaciones cambian en cada una. Aclararlo no es un tecnicismo: determina quién firma qué, quién responde ante la AEPD y quién atiende los derechos de las personas.
| Rol | Ejemplos de datos | Documento clave |
|---|---|---|
| Responsable | Datos de contacto de sus clientes, su propio personal, prospección comercial | Cláusulas informativas propias |
| Encargado | Nóminas de los empleados del cliente, contabilidad, declaraciones fiscales, altas en Seguridad Social | Contrato del art. 28 con el cliente |
El responsable del tratamiento decide el porqué y el cómo; el encargado ejecuta siguiendo sus instrucciones. Las diferencias entre LOPDGDD y RGPD no alteran esta arquitectura, pero sí añaden obligaciones españolas que el despacho debe conocer para asesorar bien a sus clientes.
2. La asesoría como encargado del tratamiento
Cuando el despacho lleva las nóminas, la contabilidad o los impuestos de una empresa cliente, no decide sobre esos datos: los trata por cuenta y bajo las instrucciones del cliente, que es el responsable. Esto convierte al despacho en encargado del tratamiento y activa el art. 28 RGPD. Consecuencias prácticas:
- El despacho no puede usar esos datos para finalidades propias (por ejemplo, prospección a los empleados del cliente).
- Debe atender las peticiones del responsable y asistirle en el ejercicio de derechos de los interesados.
- Debe aplicar las medidas de seguridad del art. 32 y notificar al responsable cualquier brecha sin dilación.
- Al terminar el encargo, devuelve o suprime los datos, según lo pactado.
Nuestra guía de obligaciones del artículo 28 RGPD recoge las cláusulas mínimas que no pueden faltar en el contrato con cada cliente.
3. Nóminas: datos de terceros, no del cliente
Un matiz que muchos despachos pasan por alto: cuando gestionan la nómina de una empresa, los datos personales que tratan son los de los empleados de esa empresa, terceros con los que el despacho no tiene relación directa. El responsable de esos datos es el empleador (el cliente), no el despacho ni el propio trabajador. Por tanto:
- El trabajador que quiere ejercer sus derechos ARCO lo hace frente a su empleador, que puede pedir asistencia al despacho como encargado. Ver derechos ARCO RGPD.
- Las nóminas pueden contener datos de categoría especial de forma indirecta (retenciones por discapacidad, cuotas sindicales, embargos): exigen especial cuidado.
- El despacho no puede reutilizar esa información para nada ajeno al encargo.
4. Subcontratación: la cadena de encargados
Casi ningún despacho trabaja sin software de terceros: programas de nóminas y contabilidad en la nube, gestores documentales, plataformas de firma electrónica, correo. Cada uno de esos proveedores es un subencargado. El art. 28.2 y 28.4 exige:
- Autorización del responsable (el cliente) para subcontratar, general o específica.
- Contrato en cadena que traslade al subencargado las mismas obligaciones.
- Información al cliente sobre altas y bajas de subencargados, con posibilidad de oponerse.
Si algún proveedor aloja datos fuera del EEE (correo, cloud estadounidense), procede analizar las transferencias internacionales de datos y aplicar garantías del art. 46.
5. La asesoría como responsable de sus propios datos
Respecto de sus clientes (personas de contacto, facturación), su personal interno y su prospección comercial, el despacho es responsable del tratamiento. Aquí debe:
- Publicar sus propias cláusulas informativas (art. 13) y su política de privacidad.
- Mantener el registro de actividades con sus tratamientos propios.
- Aplicar las reglas laborales de los arts. 87-91 LOPDGDD a su plantilla (control horario, videovigilancia, desconexión).
- Gestionar su marketing con base jurídica válida.
6. Secreto profesional y confidencialidad reforzada
Los despachos manejan información económica, fiscal y laboral especialmente sensible. Además del deber de confidencialidad del art. 5.1.f RGPD, aplican deberes de secreto profesional y sigilo fiscal. En la práctica, esto exige control de accesos por empleado, cláusulas de confidencialidad en los contratos laborales del despacho y medidas de seguridad proporcionales al volumen de datos gestionado, alineadas con estándares como ISO 27001.
7. Plazos de conservación
Los plazos no los decide el despacho por comodidad, sino la normativa aplicable a cada tipo de documento:
| Documento | Plazo orientativo | Norma |
|---|---|---|
| Libros y documentación contable | 6 años | Código de Comercio (art. 30) |
| Documentación fiscal | 4 años (prescripción), a veces más | LGT |
| Nóminas y cotizaciones | 4 años | Infracciones de orden social |
| Documentación mercantil de sociedades | 6 años | Código de Comercio |
| Datos de clientes tras fin de relación | Prescripción de acciones (hasta 5 años civiles) | Código Civil |
| Prospección comercial | Hasta retirada del consentimiento | RGPD |
Superado el plazo y la finalidad, procede la supresión o el bloqueo. La limitación de la conservación es una de las áreas más sancionadas por la AEPD, junto con la falta de base jurídica.
8. Brechas de seguridad en el despacho
El sector es objetivo de phishing y ransomware por la concentración de datos económicos. Como encargado, el despacho debe notificar al cliente responsable cualquier brecha sin dilación indebida; como responsable de sus datos propios, notifica a la AEPD en 72 horas si hay riesgo. El protocolo está en nuestra guía de brecha de seguridad RGPD. Conviene tener claro quién notifica qué en cada rol antes de que ocurra el incidente.
9. Cómo cumplir el RGPD en una asesoría o gestoría
- Inventario de clientes y firma de un contrato del art. 28 con cada uno.
- Doble registro de actividades: como responsable y como encargado.
- Autorización de subcontratación y contratos en cadena con el software cloud.
- Control de accesos por empleado y cláusulas de confidencialidad internas.
- Política de retención por tipo de documento, conforme a la normativa mercantil, fiscal y laboral.
- Procedimiento de asistencia al cliente para derechos y brechas.
- Auditoría RGPD periódica y checklist RGPD España como base operativa.
Gestionar decenas de contratos de encargado, dos registros de actividades y los plazos por documento es precisamente el trabajo repetitivo que una plataforma como Legiscope automatiza, liberando al despacho para asesorar. Para comparar opciones, ver software de cumplimiento RGPD.
10. Comunicaciones con la Administración: AEAT y Seguridad Social
Una duda recurrente en los despachos: ¿presentar declaraciones o altas ante la AEAT y la Tesorería General de la Seguridad Social es una cesión de datos que exige consentimiento? No. Se trata del cumplimiento de una obligación legal (art. 6.1.c RGPD), no de una cesión voluntaria, y no requiere el consentimiento del interesado. Lo que sí debe reflejarse es la existencia de estos destinatarios en el registro de actividades y en la información que el cliente responsable facilita a sus empleados. Distinto es enviar datos a un tercero no obligatorio —una entidad financiera para una operación, una aseguradora, un proveedor de software de valor añadido—: ahí hay que valorar la base jurídica y, según el caso, recabar consentimiento o firmar el contrato de encargado correspondiente. Confundir la obligación legal con la cesión voluntaria genera consentimientos innecesarios que no aportan seguridad jurídica y ensucian la trazabilidad del tratamiento.
Véase también: canal de denuncias (Ley 2/2023).
Preguntas frecuentes
¿La gestoría es responsable o encargada de las nóminas de mi empresa?
Encargada. Trata los datos de tus empleados por tu cuenta y bajo tus instrucciones; el responsable eres tú, el empleador. Por eso necesitáis firmar un contrato del art. 28 RGPD.
¿Necesito un contrato de encargado con cada cliente?
Sí. El art. 28 exige un contrato escrito por cada relación de encargo. Un contrato marco reutilizable ahorra tiempo, pero debe firmarse individualmente con cada cliente y reflejar los tratamientos concretos.
¿Puede la asesoría usar los datos de los empleados de mis clientes para ofrecerles servicios?
No. Como encargado, solo puede tratar esos datos para el encargo. Usarlos para prospección propia sería un tratamiento sin base jurídica y una infracción del art. 28.
¿Cuánto tiempo debe conservar una gestoría la documentación contable?
La documentación contable se conserva 6 años según el Código de Comercio; la fiscal, al menos durante el plazo de prescripción de 4 años, a veces ampliado. Cada tipo de documento sigue su propia norma.
Conclusión
El cumplimiento RGPD de una asesoría o gestoría se articula sobre una distinción que debe estar clara antes de tratar el primer dato: cuándo es encargado (nóminas, contabilidad, fiscalidad de clientes) y cuándo responsable (sus propios ficheros). De ahí se derivan los contratos del art. 28 con cada cliente, la cadena de subencargados con el software cloud, los plazos marcados por la ley y no por el despacho, y un control de accesos acorde al secreto profesional. Un despacho que domina esta arquitectura no solo cumple: se convierte en un asesor creíble para sus propios clientes en materia de protección de datos.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial