RGPD en asesorías: por qué el doble rol lo cambia todo
RGPD asesoría es el cumplimiento simultáneo de dos roles bajo el Reglamento (UE) 2016/679: responsable del tratamiento de los datos propios (empleados, proveedores, CRM comercial) y encargado del tratamiento (Art. 28 RGPD) respecto a los datos de empleados, autónomos y clientes finales que cada empresa-cliente confía al despacho para gestionar nóminas, contabilidad y obligaciones fiscales. Esta dualidad, aparentemente teórica, es lo primero que la Agencia Española de Protección de Datos (AEPD) revisa en una inspección a una asesoría laboral o gestoría fiscal, y la causa más frecuente de sanciones solidarias entre asesoría y cliente-empresa.
Una asesoría media en España gestiona entre 80 y 400 empresas-cliente. Cada una de esas empresas tiene, a su vez, entre 1 y 250 trabajadores cuyos datos personales (DNI, número de Seguridad Social, salario, situación familiar, bajas médicas, IRPF) pasan por los servidores y software del despacho cada mes. Hablamos de despachos pequeños que tratan datos de varios miles de personas físicas sin ser plenamente conscientes de ello. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y el RGPD obligan a cerrar este flujo con contratos firmados, registros documentados y medidas técnicas verificables. Cardeseo, como Groove Factory Studios SL (CIF B42915165, Mataró), opera el servicio anual de Adecuación RGPD/LOPDGDD/LSSI-CE desde 349 €/año adaptado al doble rol de las asesorías.
Responsable vs encargado: Art. 28 RGPD aplicado a tu asesoría
El Art. 4.7 RGPD define responsable como la persona física o jurídica que determina los fines y medios del tratamiento. El Art. 4.8 RGPD define encargado como quien trata datos personales por cuenta del responsable. Una asesoría laboral o fiscal opera en ambos lados según el dato concreto. Distinguir cada tratamiento por su rol es la base del Registro de Actividades del Art. 30 RGPD y la condición previa para firmar correctamente los contratos del Art. 28 RGPD con cada empresa-cliente.
La asesoría es responsable del tratamiento cuando decide ella misma la finalidad y los medios: gestión laboral interna de su plantilla (nóminas de sus propios empleados, control horario RD 8/2019), CRM comercial de leads y clientes potenciales, contabilidad propia del despacho, marketing por email a antiguos contactos. En estos tratamientos la asesoría está sola frente a la AEPD: redacta la cláusula informativa del Art. 13 RGPD, fija los plazos de conservación, define la base legitimadora y responde a las solicitudes de derechos del titular (Arts. 15-22 RGPD).
La asesoría es encargada del tratamiento cuando trata datos por cuenta de un cliente-empresa: nóminas mensuales de los trabajadores de un cliente, modelos 111 y 190 con los datos personales del retenido, alta de un trabajador en TGSS por encargo de la empresa, presentación del modelo 347 con los datos de los proveedores del cliente. En estos tratamientos el responsable es la empresa-cliente (la que paga el sueldo, la que tiene la relación laboral o comercial con el dato), y la asesoría actúa por su cuenta bajo contrato firmado.
| Tratamiento | Rol de la asesoría | Base legitimadora | Documento clave |
|---|---|---|---|
| Nóminas de empleados propios del despacho | Responsable | Art. 6.1.b contrato laboral | Cláusula informativa interna |
| Nóminas de empleados del cliente-empresa | Encargado | Decide el cliente (Art. 6.1.b) | Contrato Art. 28 RGPD con el cliente |
| CRM comercial de leads | Responsable | Art. 6.1.f interés legítimo | RAT como responsable |
| Modelo 111 con datos de retenidos del cliente | Encargado | Decide el cliente (Art. 6.1.c) | Contrato Art. 28 RGPD |
| Email marketing a antiguos clientes | Responsable | Art. 6.1.a consentimiento o Art. 21 LSSI | Doble opt-in + registro |
| Software de fichaje gestionado al cliente | Encargado | Decide el cliente (Art. 6.1.c RD 8/2019) | Contrato Art. 28 + acta de cesión |
Confundir los roles tiene consecuencias directas. Si una asesoría redacta una cláusula informativa diciéndose responsable de las nóminas de los empleados de sus clientes, está usurpando la posición del responsable real y la AEPD lo trata como tratamiento sin base legitimadora (Art. 83.5.a RGPD), con sanción potencial al despacho. Al revés, una empresa-cliente que delega en su asesoría las nóminas sin firmar contrato del Art. 28 RGPD incumple por omisión, pero la sanción solidaria también alcanza a la asesoría por aceptar el encargo sin documento.
Contrato de encargado obligatorio con cada cliente
El Art. 28.3 RGPD exige un contrato u otro acto jurídico vinculante por escrito (incluido formato electrónico) entre responsable y encargado. No es opcional, no se sustituye por un acuerdo verbal y no basta el contrato mercantil de prestación de servicios genérico del despacho. La AEPD ha sancionado de forma reiterada esta carencia. El contrato debe contener obligatoriamente, según el Art. 28.3 RGPD, los siguientes elementos: objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales y categorías de interesados, obligaciones y derechos del responsable.
Las ocho cláusulas mínimas del Art. 28.3.a-h RGPD son: (a) tratar los datos siguiendo instrucciones documentadas del responsable, incluyendo transferencias internacionales; (b) garantizar que las personas autorizadas asumen un compromiso de confidencialidad; (c) tomar todas las medidas necesarias del Art. 32 RGPD (seguridad del tratamiento); (d) respetar las condiciones para recurrir a sub-encargados; (e) asistir al responsable en la respuesta a derechos del titular (Arts. 15-22 RGPD); (f) ayudar al responsable en sus obligaciones de los Arts. 32-36 RGPD; (g) suprimir o devolver los datos al fin de la prestación, y eliminar las copias salvo conservación obligatoria por Derecho de la Unión o del Estado miembro; (h) poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento.
Cardeseo facilita en el pack documental un modelo de contrato de encargado v1.1 validado por jurista colaborador, listo para personalizar con datos de cada empresa-cliente del despacho. El modelo incluye anexo descriptivo del tratamiento (qué nóminas, qué modelos tributarios, qué frecuencia), anexo de medidas técnicas y organizativas del Art. 32 RGPD (cifrado en reposo, control de accesos por rol, registro de auditoría, política de copias de seguridad) y anexo de sub-encargados autorizados (software de gestión, servicio de envío de correos certificados, gestor documental). Una asesoría con 120 empresas-cliente firma 120 contratos al alta del servicio. Suena pesado pero es la condición mínima.
Subcontratación a otros despachos o software (Sage, A3, Holded)
El Art. 28.2 RGPD prohíbe al encargado contratar a otro encargado (sub-encargado) sin la autorización previa por escrito, específica o general, del responsable. En la realidad operativa de una asesoría española, los sub-encargados son omnipresentes: el software de gestión laboral (A3 Innuva, Sage Despachos, NominaSOL), el ERP de contabilidad (Holded, Sage 50, Contasimple), la plataforma de firma electrónica (Signaturit, Validated ID), el gestor documental en la nube (Microsoft 365, Google Workspace), el envío de notificaciones electrónicas a través de Lexnet o de la Sede Electrónica, el despacho externo al que se subcontrata una asesoría jurídica puntual.
Cada uno de esos proveedores trata datos personales de los empleados de las empresas-cliente. Cada uno necesita autorización del responsable real (la empresa-cliente) y un contrato firmado en cadena entre la asesoría y el sub-encargado. La fórmula práctica es autorización general en el contrato Art. 28 RGPD: una cláusula donde la asesoría informa al cliente de la lista de sub-encargados al momento de la firma y se obliga a notificar cualquier alta o cambio con 30 días de antelación para que el cliente pueda objetar. La AEPD ha aceptado esta fórmula expresamente en sus directrices, siempre que la lista sea exhaustiva y se mantenga actualizada.
El Art. 28.4 RGPD añade que, cuando el encargado recurre a un sub-encargado, le impone por contrato las mismas obligaciones que tiene la asesoría con el responsable original, en particular la garantía de medidas técnicas suficientes. En la práctica esto significa que A3 Innuva, Sage o Holded entregan a la asesoría su modelo de contrato de encargo (a veces llamado Data Processing Addendum, DPA) que la asesoría debe firmar y archivar como prueba. Cardeseo revisa estos DPAs como parte del servicio para verificar que cumplen el Art. 28 RGPD y no contienen cláusulas abusivas que dejen al despacho expuesto.
Conservación: 4-6 años según materia
La conservación de datos personales en una asesoría no se rige por un único plazo sino por una combinación de obligaciones legales específicas. El Art. 5.1.e RGPD impone la limitación del plazo de conservación al tiempo necesario para la finalidad. Cuando esa finalidad es cumplir una obligación legal, el plazo lo marca la norma sectorial. Una asesoría debe documentar en su política de retención al menos tres plazos diferentes y aplicar el más largo de los aplicables a cada dato concreto.
El plazo contable es el más largo. El Art. 30 del Código de Comercio obliga a conservar los libros, correspondencia, documentación y justificantes durante seis años desde el último asiento. Aplica a libros diario, mayor, balances, cuentas anuales y soportes de cualquier dato económico, incluidos los justificantes de nóminas como gasto. El plazo fiscal del Art. 66 de la Ley 58/2003 General Tributaria es de cuatro años de prescripción del derecho de la Administración a determinar la deuda y a sancionar infracciones tributarias. Aplica a modelos 111, 190, 303, 390, 347, 184 y demás obligaciones tributarias gestionadas por la asesoría para sus clientes.
El plazo laboral está en el Art. 21.5 de la Ley sobre Infracciones y Sanciones del Orden Social (LISOS, RDLeg 5/2000): cuatro años de conservación de la documentación derivada de la relación laboral (contratos, nóminas, partes de IT, justificantes de cotización, registro horario). El plazo de prescripción de infracciones del Art. 4.1 LISOS es de tres años para las muy graves, dos para las graves y un año para las leves, contado desde la fecha de la infracción. No confundir: conservación cuatro años, prescripción depende de gravedad. La obligación de conservar nóminas durante cuatro años es del Art. 21.5 LISOS, no del Art. 4.1. El registro horario del Art. 34.9 del Estatuto de los Trabajadores también es cuatro años.
En la práctica, una asesoría conserva los datos personales de los empleados de un cliente durante seis años (el plazo contable más largo) tras la baja del trabajador o el cese de la relación entre asesoría y empresa-cliente, lo que ocurra antes. Cardeseo documenta en el contrato Art. 28 RGPD que, al fin del contrato, los datos se devuelven al cliente o se destruyen, salvo los que la asesoría deba conservar por obligación legal (Art. 28.3.g RGPD), que quedarán bloqueados (Art. 32 LOPDGDD): accesibles solo para responder requerimientos de Hacienda, Inspección de Trabajo o juzgados.
Empleados de la asesoría y RGPD laboral
Los empleados propios de la asesoría son personas físicas con datos protegidos por el RGPD. La base legitimadora del tratamiento de los datos del personal (alta en TGSS, retención IRPF, cotizaciones, pago de nómina, registro horario, evaluación del desempeño) es la ejecución del contrato laboral del Art. 6.1.b RGPD, complementada por el cumplimiento de obligaciones legales del Art. 6.1.c (LGSS, Estatuto de los Trabajadores, normativa de prevención de riesgos). No se necesita el consentimiento del trabajador para tratar estos datos: pedirlo sería incorrecto e induciría a error sobre la base real.
El consentimiento solo entra cuando la asesoría procesa datos del empleado fuera de la relación laboral estricta: fotografía en la web corporativa, vídeo en redes sociales, programa de retribución flexible con datos familiares no obligatorios, beneficios sociales voluntarios. En esos casos hay que recabar consentimiento del Art. 7 RGPD, libre, específico, informado e inequívoco, y permitir la retirada en cualquier momento sin perjuicio para el trabajador.
Sobre el registro horario, la Inspección de Trabajo y Seguridad Social (ITSS) y el Ministerio de Trabajo (MoT) sancionan por la LISOS cuando hay incumplimiento. La sanción por infracción detectada en la empresa, no por trabajador ni automáticamente por centro (CT 101/2019). Esto significa que si un inspector detecta que la asesoría no lleva registro horario, la sanción es una por la empresa-asesoría, no una por cada uno de los empleados sin registro. El Art. 7.5 LISOS tipifica como infracción grave la transgresión de las normas y los límites legales o pactados en materia de jornada. Las cuantías están en el Art. 40.1.b LISOS, de 751 a 7.500 € en grado mínimo, hasta 225.018 € en grado máximo para muy graves. La conservación del registro horario es cuatro años (Art. 21.5 LISOS).
Brechas de seguridad: doble notificación responsable/encargado
El Art. 33 RGPD obliga al responsable a notificar a la autoridad de control toda violación de seguridad de los datos personales sin dilación indebida y, si es posible, dentro de las 72 horas desde que tuvo conocimiento. El Art. 33.2 RGPD obliga al encargado a notificar al responsable cualquier violación sin dilación indebida desde que tenga conocimiento. Aquí se cruza el doble rol de la asesoría con consecuencias prácticas relevantes.
Si la brecha afecta a los datos propios de la asesoría (servidor del CRM hackeado, ransomware en el ordenador donde están las nóminas del personal del despacho, pérdida de un USB con datos de los empleados internos), la asesoría es responsable y notifica directamente a la AEPD a través de la sede electrónica sedeagpd.gob.es en 72 horas. Si la brecha afecta a datos de empresas-cliente (compromiso del software de gestión laboral con nóminas de 80 empresas, robo del portátil del asesor con datos de retenidos del modelo 111), la asesoría es encargada y notifica primero al responsable real (la empresa-cliente) con la mayor urgencia posible, aportando la información necesaria para que el cliente cumpla con su Art. 33 RGPD frente a la AEPD.
La doble notificación significa que en una brecha grave la asesoría puede tener que mandar 80 comunicaciones a 80 empresas-cliente en cuestión de horas, ayudando a cada una a presentar su propia notificación AEPD. Cardeseo incluye en el contrato Art. 28 RGPD un SLA de notificación de brechas de 24 horas como compromiso ofensivo: la asesoría avisa al cliente en 24 horas desde el conocimiento, dejando margen al cliente para cumplir su 72 horas. El servicio Cardeseo facilita la plantilla de comunicación tipo y el modelo de reporte interno de brechas exigido por el Art. 33.5 RGPD (la documentación obligatoria interna de todas las brechas, incluso las que no se notifiquen).
DPD: ¿obligatorio en una asesoría?
El Art. 37.1 RGPD obliga a designar Delegado de Protección de Datos cuando el tratamiento principal consiste en operaciones que requieren observación habitual y sistemática a gran escala (Art. 37.1.b) o tratamiento a gran escala de categorías especiales del Art. 9 (Art. 37.1.c). La pregunta para una asesoría es si gestionar nóminas y obligaciones fiscales de docenas o cientos de empresas-cliente constituye tratamiento a gran escala.
Las Directrices del Grupo de Trabajo del Art. 29 sobre Delegados de Protección de Datos (WP243, adoptadas por el Comité Europeo de Protección de Datos) establecen cuatro criterios para evaluar el concepto de gran escala: número de interesados afectados en cifras absolutas o como proporción de la población relevante, volumen y variedad de datos, duración o permanencia del tratamiento, alcance geográfico. Una asesoría que trata datos de 5.000 trabajadores de 80 empresas-cliente durante años, incluyendo bajas médicas (datos de salud del Art. 9 RGPD aunque sea de forma indirecta) y datos económicos completos, cumple razonablemente los criterios.
En la práctica, la AEPD tolera asesorías pequeñas (hasta 25-30 empresas-cliente) sin DPD si documentan correctamente el análisis de proporcionalidad. Asesorías medianas y grandes deberían designar DPD interno o externo y comunicarlo a la AEPD por el formulario específico de la sede electrónica. El Art. 37.6 RGPD admite DPD compartido entre varias entidades del mismo grupo y DPD externo bajo contrato de servicios. Cardeseo no actúa como DPD designado (incompatibilidad de roles con el servicio de adecuación), pero sí orienta al despacho sobre la decisión y recomienda profesionales certificados cuando es procedente.
Sanciones AEPD orientativas para asesorías
El Art. 83 RGPD establece dos rangos máximos: hasta 10 millones de euros o el 2% del volumen anual global de negocio (Art. 83.4), y hasta 20 millones o el 4% (Art. 83.5). El Art. 76 LOPDGDD complementa con el régimen sancionador español, con plazos de prescripción de dos años para infracciones graves y tres años para muy graves. El Art. 58.2.b RGPD habilita a la AEPD a dirigir una advertencia formal cuando las operaciones previstas puedan infringir el Reglamento, sin sanción económica. Combinado con el Art. 83.2 RGPD (criterios de modulación) y el Art. 76 LOPDGDD, la advertencia es la respuesta proporcionada en infracciones de buena fe con cooperación demostrable.
Para pymes españolas, el rango sancionador habitual de la AEPD se sitúa entre 5.000 y 100.000 € según gravedad, intencionalidad, daño causado, cooperación, antecedentes y medidas adoptadas. Sanciones documentadas a asesorías por falta de contrato Art. 28 RGPD: entre 3.000 y 60.000 €. Sanciones por brechas no notificadas en plazo: entre 10.000 y 150.000 €. Sanciones por respuesta tardía o defectuosa a derechos del titular: entre 2.000 y 30.000 €. La Audiencia Nacional y el Tribunal Supremo valora positivamente, en revisión contencioso-administrativa, la existencia de pack documental completo, formación del personal certificada y póliza de responsabilidad civil específica, como factores atenuantes que pueden rebajar la sanción hasta en un 50%.
Cómo adecua Cardeseo una asesoría
Cardeseo opera el servicio anual de Adecuación RGPD/LOPDGDD/LSSI-CE adaptado al doble rol de las asesorías por 349 €/año en el tramo de despachos con hasta cinco empleados propios. El precio se ajusta progresivamente según número de empleados internos, sociedades vinculadas del propio despacho (multi-SL) y volumen de empresas-cliente gestionadas. La calculadora pública en cardeseo.com/cumplimiento-legal devuelve la cifra exacta en menos de 60 segundos sin formulario de contacto previo.
El servicio incluye pack documental personalizado con el Registro de Actividades del Art. 30 RGPD (uno por rol: como responsable y como encargado), siete documentos jurídicos firmables (alta del personal, política interna, contrato laboral con cláusula RGPD, contrato de encargado v1.1 listo para replicar con cada cliente, política de seguridad, manual de personal unificado, evaluación de impacto si procede). Incluye también auditoría inicial del cumplimiento, publicación de los textos legales en la web del despacho (aviso legal, política de privacidad, política de cookies), formación al personal y soporte continuo por email con SLA de respuesta en 24 horas. En caso de inspección AEPD o requerimiento de un cliente, Cardeseo responde directamente con la documentación correctamente firmada y archivada.
Para asesorías multi-SL (despacho con sociedad operativa más sociedad patrimonial, o varias marcas), el servicio aplica la cláusula multi-SL del contrato v1.1: una sola adecuación cubre todas las sociedades vinculadas sin coste adicional por cada CIF, siempre que compartan domicilio fiscal y plantilla. Para asesorías con bandera blanca (revenden el servicio a sus propios clientes como gestoría administrativa integral), Cardeseo ofrece programa de comisionado al 25% recurrente bajo contrato específico de colaboración comercial.
Preguntas frecuentes
¿Soy responsable o encargado de los datos de los empleados de mis clientes?
Encargado del tratamiento (Art. 28 RGPD). El responsable es la empresa-cliente que tiene la relación laboral con el trabajador y decide los fines del tratamiento. Tu asesoría procesa nóminas, modelos tributarios y altas en TGSS por cuenta del cliente bajo contrato firmado del Art. 28 RGPD. Lo confirma la AEPD en su informe sobre relaciones de encargo en asesorías y gestorías, y Cardeseo lo documenta en el RAT como dos roles diferenciados.
¿Necesito un contrato con cada empresa-cliente?
Sí, obligatoriamente (Art. 28.3 RGPD). Un contrato u otro acto jurídico vinculante por escrito (incluido formato electrónico) con cada una. Sin contrato firmado, ambas partes pueden ser sancionadas en inspección AEPD. Cardeseo incluye en el pack un modelo de contrato de encargado v1.1 validado por jurista, replicable para cada cliente con anexos personalizados de tratamiento, medidas técnicas y sub-encargados.
¿Cuánto tiempo guardo nóminas y facturas?
Aplica el plazo más largo de los que concurren. Contable: seis años desde el último asiento (Art. 30 Código de Comercio). Fiscal: cuatro años de prescripción (Art. 66 Ley General Tributaria). Laboral: cuatro años (Art. 21.5 LISOS). En la práctica, conserva las nóminas seis años desde la baja del trabajador o el cese de la relación con el cliente, lo que ocurra antes. Pasado ese plazo, bloqueo del Art. 32 LOPDGDD y destrucción definitiva.
¿Qué pasa si mi software de gestión sufre una brecha?
Como encargado, notificas al responsable (cada empresa-cliente afectada) sin dilación indebida (Art. 33.2 RGPD), aportando la información necesaria para que cumpla con su notificación a la AEPD en 72 horas. Cardeseo incluye en el contrato un SLA de 24 horas de notificación al cliente desde el conocimiento, plantilla de comunicación tipo y modelo de reporte interno exigido por el Art. 33.5 RGPD.
¿Necesito DPD si soy una asesoría pequeña?
Despachos con menos de 25-30 empresas-cliente y sin tratamiento intensivo de categorías especiales pueden documentar análisis de proporcionalidad y operar sin Delegado de Protección de Datos. A partir de ese volumen el Art. 37.1.b y c RGPD recomienda designación, según los criterios WP243 sobre el concepto de gran escala. Cardeseo orienta sobre la decisión y recomienda profesionales certificados cuando procede.
¿Puedo enviar WhatsApp a mis clientes?
Comunicaciones operativas (entrega de modelos, recordatorios de plazos, alertas de la Sede Electrónica) son ejecución del contrato del Art. 6.1.b RGPD y no necesitan consentimiento separado, pero sí información previa. Comunicaciones comerciales y promocionales (servicios adicionales, formaciones, ofertas) requieren consentimiento expreso del Art. 21 LSSI-CE recogido por doble opt-in. Cardeseo facilita la cláusula y el flujo correctos.
Próximos pasos
Si tu asesoría aún no tiene cerrado el contrato del Art. 28 RGPD con cada cliente, ni Registro de Actividades dual (responsable y encargado), ni política de retención documentada por materia, la exposición a sanción AEPD es alta. Cardeseo lo resuelve en menos de siete días desde la firma con pack documental completo, publicación web y soporte continuo. Empieza por la página del servicio en /cumplimiento-legal/ y calcula tu tarifa exacta sin formulario de contacto.
Para entender el flujo operativo del alta paso a paso (qué documentos firmamos primero, cuándo se publica la política de privacidad en tu web, cuándo entregamos el ZIP final), consulta el onboarding RGPD. Si necesitas plantillas concretas (modelo de contrato Art. 28, cláusula informativa para empleados, registro de actividades base), la sección de recursos y plantillas las tiene disponibles bajo descarga. Para repasar la base del Reglamento aplicada a una asesoría, lee la guía ¿qué es el RGPD?. Y si tras leer este artículo crees que tu volumen ya requiere Delegado de Protección de Datos, la guía sobre el DPO/Delegado de Protección de Datos te ayuda a decidir entre designación interna y externa.