RGPD

Guía para asesorías

y despachos
profesionales

www.sage.com/es-es/asesorias-y-despachos/
RGPD: Guía para asesorías y despachos profesionales 1
Índice

3 Introducción

4 RGPD: la visión de Sage

5 RGPD: la visión de un asesor

6 ¿Qué es el RGPD?

8 El RGPD en resumen

12 RGPD: ¿qué supone para tu negocio?

20 RGPD: ¿qué supone para tus clientes?

24 El compromiso de Sage con el RGPD

2 RGPD: Guía para asesorías y despachos profesionales

Introducción

Un estudio reciente de Sage1 ha

puesto de manifiesto que el 52 % de
las empresas españolas no ha oído
hablar del Reglamento General de
Protección de Datos (RGPD), mientras
que el 37 % desconoce las implicaciones
de esta normativa para su negocio.
Dado que el RGPD deberá aplicarse
en tan solo unos meses, ha llegado
el momento de poner en práctica un
plan de preparación factible para
adherirse a la nueva regulación a
partir del 25 de mayo de 2018.
En Sage somos conscientes de que existe
incertidumbre entre los asesores y su cartera de
clientes, compuesta por pequeñas y medianas
empresas. Esto puede deberse a que ciertos
procedimientos todavía no estén a punto para
afrontar la implementación del RGPD.

En esta guía se proporciona información clara

acerca de los aspectos del RGPD que más te
afectan, además de cómo influirá esto en la
forma que tienes de trabajar con tus clientes.
Aclararemos las consideraciones clave sobre el
RGPD mediante un proceso orientativo, práctico
y útil que te ayudará a prepararte para el RGPD
y para asesorar correctamente a tus clientes.

1. Encuesta a los clientes de Sage sobre el RGPD en 2017, España (154 encuestados)
RGPD: Guía para asesorías y despachos profesionales 3
RGPD: la visión de Sage
Adam Prince, vicepresidente de
Gestión de Producto Global
Sage trabaja en aras del cumplimiento del RGPD Asimismo, tenemos en
en toda su gama de productos, y la ayuda que pone marcha un programa
a disposición de los asesores para su adaptación externo donde
forma parte de este compromiso. Hemos desarrollado compartimos nuestro
sólidos procedimientos de gestión para implementar saber y experiencia con
el RGPD en todo nuestro tejido empresarial, cumplir los asesores. Nuestros
nuestras obligaciones y garantizar que estemos paquetes de formación,
preparados con antelación a la aplicación del que incluyen seminarios web, eventos en Sage o la
reglamento europeo el 25 de mayo de 2018. colaboración conjunta en iniciativas de formación de
clientes, se han diseñado para ayudarte en tu adaptación
al RGPD y para que puedas aconsejar de manera fiable.

Cameron John, director global de Asesorías y Despachos

El RGPD representa un cambio significativo en la a la transformación
forma en que los asesores llevan a cabo su actividad digital. El uso de software
y trabajan con los clientes. Al ser considerados un de contabilidad en
recurso de asesoramiento y orientación de confianza, la nube por parte de
en particular para las pequeñas y medianas empresas, tus clientes supone
estos profesionales tienen la oportunidad de guiar a otra gran oportunidad
sus clientes en el proceso de adaptación al RGPD. para tu actividad,
pues conseguirás
La incertidumbre que conllevan los cambios una mayor eficiencia
legislativos sustanciales también pone de manifiesto y ampliarás tu gama de servicios para
lagunas en el conocimiento y en la comprensión, ofrecer valor añadido a los clientes.
lo que repercute en el asesoramiento ofrecido. En
Sage, nos centramos en trabajar con los asesores En Sage recurrimos a herramientas innovadoras,
para aclarar todas las dudas a través de medidas como esta guía, eventos y materiales de formación,
y consejos prácticos relativos al RGPD. para compartir nuestra experiencia contigo y que
puedas atender a tus clientes de la mejor forma
Nuestro objetivo también consiste en que conozcas tu posible. Si trabajamos juntos, podremos hacer del
potencial y en que tu empresa alcance el éxito gracias desafío que supone el RGPD una oportunidad.

4 RGPD: Guía para asesorías y despachos profesionales

RGPD: la visión de un asesor
Chris Downing, socio de Inteligencia Empresarial,
Milsted Langdon LLP
Como asesores, a menudo nos regimos por
procesos y métodos estandarizados. Si bien en
esta disciplina gozamos de una atención al detalle
exquisita, es posible que nos quedemos atascados
en los procedimientos y en las maneras de trabajar.
Esta sensación se tiene cuando los datos son el
“quid” de tu profesión, sobre todo en lo referente
a la responsabilidad a la hora de recabarlos,
almacenarlos y utilizarlos de forma adecuada,
ya sea para nosotros o para nuestros clientes.
La implementación del RGPD representa un
momento ideal para replantearnos cómo
interpretamos los datos personales, además del
impacto de su uso. El hecho de querer servir a
nuestros clientes de la manera que mejor funcione
para ellos, mientras casamos esto con nuestras
propias preferencias empresariales, ha dado lugar
a todo un mosaico de herramientas con las que
recopilamos, administramos y distribuimos los
datos: archivos impresos, hojas de cálculo de Excel,
paquetes de software, sistemas de tramitación
digital, etc. Sin embargo, como profesionales,
debemos estar listos para hacer borrón y cuenta
nueva, y el RGPD es una buena oportunidad
para remodelar nuestros procesos de trabajo.
Aquí, en Milsted Langdon, asumimos el cambio
legislativo que implica el RGPD como una ocasión
idónea para colaborar con nuestros clientes y
transferir a sus negocios nuestra experiencia
como asesores de confianza; y todo ello sin dejar
de brindarles los servicios que necesitan a diario.
En nuestro proceso de adaptación al RGPD,
queremos que todos entiendan perfectamente
nuestras responsabilidades como asesores, por
lo que estamos involucrando a todo el equipo.
Esto incluye iniciativas como las siguientes:
• Identificar
personas clave
en todos los
departamentos
para averiguar qué
datos estamos
procesando
en nuestro día a día.
• Entender el tipo de software que utilizamos,
determinar cuál es local y cuál está basado en
la nube, así como estudiar las implicaciones
técnicas que cada uno conlleva.
• Revisar los acuerdos con los proveedores
externos en el caso de los servicios
subcontratados para asegurarnos
de que se sigue la normativa en el
tratamiento de los datos.
Esta estrategia nos ha permitido construir una
comunidad que asume su responsabilidad
en nuestro camino hacia el RGPD, pues
combina sus habilidades y experiencia y busca
asesoramiento externo cuando es necesario.
En el caso de otras empresas que quieran
estar preparadas para la aplicación del RGPD,
resulta esencial entender lo que las novedades
legislativas significan para ellas desde el punto
de vista práctico. Se trata de saber qué tiene que
cambiar a la hora de procesar los datos personales
a diario y cuál es la solución adecuada para
conseguir que el negocio cumpla el reglamento.
En esta guía de Sage encontrarás información
detallada desde un punto de vista práctico.
RGPD: Guía para asesorías y despachos profesionales 5
¿Qué es el RGPD?
El RGPD constituye el nuevo marco
jurídico relativo a los datos personales
que será de obligada aplicación a partir
del 25 de mayo de 2018 en la Unión
Europea (UE). Los reglamentos de la
UE tienen efecto directo en todos sus
Estados miembros, por lo que el RGPD
tendrá prioridad sobre las legislaciones
nacionales. No existe periodo de gracia.
El objetivo del RGPD es la protección de los
datos personales; es decir, los relativos a las
personas físicas. De hecho, el RGPD es una de las
mayores reestructuraciones de cómo debería ser
el tratamiento de los datos personales y puede
llegar a afectar no solo a las empresas, sino a
cualquier persona, entidad, autoridad pública,
servicio u otro organismo que procese datos
personales de quienes residan en la UE —aquí
se incluyen proveedores a los que una empresa
encargue el tratamiento de datos personales—.
6 RGPD: Guía para asesorías y despachos profesionales
Su ámbito de aplicación es sorprendentemente
amplio: todos los Estados miembros de la Unión
Europea. A diferencia de la directiva europea 95/46
sobre la protección de datos, el RGPD también
afecta a las empresas de fuera de la UE que
ofrezcan bienes o servicios a residentes europeos
o que controlen su comportamiento dentro de
la Unión. Por ejemplo, incumbe directamente a
las empresas estadounidenses que alojen sitios
web accesibles para las personas de la UE.
El RGPD tiene enormes implicaciones para todos
los departamentos de numerosas empresas
de todo el mundo. En algunos casos, incluso,
tendrán que contratar o designar un Delegado
de Protección de Datos. Casi todas deberán
aplicar procedimientos y garantías adicionales.
Se recomienda encarecidamente que alguien con
la formación adecuada lleve a cabo una auditoría y
que, ante la posibilidad de incurrir en una sanción de
hasta el 4 % de la facturación anual o de 20 millones
de euros (la que sea de mayor cuantía), se considere
requisito imprescindible conocer el RGPD.

Derechos del individuo
Amplía considerablemente los
derechos de las personas físicas
y la información que deben recibir
sobre el tratamiento de sus datos.
Consentimiento
Debe ser una declaración
u otra acción afirmativa clara.
Delegado de Protección de Datos
Debe estar especializado en la
legislación de protección de datos.

Reglamento General
Sanciones
de Protección de Datos Privacidad de principio a fin
Pueden llegar al 4 % de la facturación (RGPD) La privacidad debe tenerse en
anual mundial o 20 millones de euros, cuenta en todo y solo pueden
lo que sea mayor. usarse los datos estrictamente
necesarios para el fin estipulado.

Portabilidad de datos
Ámbito de aplicación mayor
Las personas tienen ahora el derecho
a mover, copiar o transferir sus datos, Afecta a tu empresa y a quienes se
incluso a una empresa de la competencia. encarguen del tratamiento de tus
datos, incluso fuera de la UE.

Comunicación obligatoria de las

violaciones de la seguridad
Los responsables de los datos deben
informar a la autoridad de control
en el plazo de 72 horas.

RGPD: Guía para asesorías y despachos profesionales 7

El RGPD
en resumen
Principales áreas del RGPD con
respecto a la actual directiva europea
95/46 (en adelante, “la directiva”)

8 RGPD: Guía para asesorías y despachos profesionales

Derechos del individuo y cómo informar sobre ellos
En la directiva, se otorga a las personas
físicas derechos sobre sus datos
personales y se describe el tipo de
información que éstas deben recibir
de las empresas cuando la soliciten,
además de los fines con los que se
iban a utilizar dichos datos. Antes, esto
se hacía a través de declaraciones
de privacidad o notificaciones
proporcionadas en un sitio web.
En este sentido, el RGPD amplía la
protección considerablemente, pues
concede derechos adicionales que
deben comunicarse a los interesados. En
concreto, debe informárseles de que tienen
los siguientes derechos (entre otros):
a) A presentar reclamaciones ante
las autoridades de control.
b) A solicitar la retirada del
consentimiento al tratamiento de sus
datos personales (véase más abajo).
c) A acceder a sus datos personales,
así como a solicitar su rectificación o
Consentimiento
Si la recopilación de datos se realiza
a partir del consentimiento de los
interesados, aunque la legislación
de la UE siempre ha requerido que el
consentimiento para la recogida de
datos sea libre, específico e informado,
el RGPD exige que sea confirmado
mediante una declaración u otra acción
afirmativa clara. Es decir, las casillas ya
marcadas en los sitios web, el silencio
o la inacción del interesado después de
leer una declaración de privacidad no
constituyen consentimiento alguno.
Además, el consentimiento no puede ser
genérico, por lo que un consentimiento
otorgado por una persona a una
empresa para cierta gestión no puede
servir para otros tipos de tratamiento
de datos personales. Para operaciones
de tratamiento diferentes se necesitan
consentimientos independientes.
supresión (“el derecho al olvido”) por
parte de la empresa y por terceros
que hayan tenido acceso a ellos.
d) A ser informados de cualquier
tratamiento automatizado de
los datos personales (incluida
la elaboración de perfiles).
e) A oponerse a ciertos tipos de
tratamiento como, por ejemplo, el
marketing directo o las decisiones
basadas únicamente en un
tratamiento automatizado.
f) A ser informados de cuánto tiempo se
conservarán los datos personales.
g) A conocer los datos de contacto de
los Delegados de Protección de Datos
designados (véase más abajo).
Además, las personas físicas tienen
derecho a que organizaciones sin
ánimo de lucro tutelen sus derechos y
presenten reclamaciones en su nombre
(al estilo de las demandas colectivas
del derecho estadounidense).
Por último, no solo es necesario informar
a las personas de que tienen derecho a
retirar su consentimiento en cualquier
momento, sino que debe ser tan fácil
retirarlo como darlo.
Los consentimientos ya otorgados deben
revisarse para verificar que cumplen
los requisitos del RGPD. En caso de
conflicto o ambigüedad, las empresas
deberán establecer una nueva base
jurídica para el tratamiento de los datos
personales (por ejemplo, si es necesario
para la formalización de un contrato),
obtener un nuevo consentimiento o cesar
en el tratamiento de dichos datos.
RGPD: Guía para asesorías y despachos profesionales 9
 Derecho a mover o transferir los datos personales
(portabilidad de datos)
En los casos en que el interesado haya
proporcionado sus datos personales a
un responsable mediante un contrato
o consentimiento, dicho interesado
ahora tiene derecho a mover, copiar o
transferir sus datos personales de un
lugar a otro, incluso a proporcionarlos
a una empresa de la competencia.
Por ejemplo, si una empresa trabaja con
una asesoría, pero decide cambiar a otra,
puede llevarse consigo cualquier dato en
Amplio ámbito de aplicación
En pocas palabras, el RGPD hace
responsable de las violaciones de la
seguridad de los datos personales no
solo a la empresa que los recaba, sino
también a cualquier tercero que los
procese en nombre de ella. No obstante,
esto no implica que una empresa pueda
limitarse a transmitir los datos personales
a un tercero y desentenderse; debe
asegurarse de que el tercero también
cumpla el RGPD. Esto supone un
riesgo potencial para los asesores, que
suelen trabajar con datos personales
de sus clientes (como encargado), así
como propios (como responsable).
Prueba de cumplimiento
No basta con simplemente cumplir el
RGPD; las empresas deben demostrar que
lo hacen de acuerdo con el requisito de
“responsabilidad proactiva”, que conlleva
cumplir algunas obligaciones bastante
onerosas en materia de llevanza de
registros. En concreto, deben mantenerse
registros que detallen las actividades de
tratamiento*, las solicitudes de acceso
de los interesados, las violaciones de
seguridad, la forma de obtención de los
consentimientos y las evaluaciones de
10 RGPD: Guía para asesorías y despachos profesionales
posesión de aquella. Así pues, los datos
personales deben ser almacenados y
administrados en un formato estructurado,
de uso común y lectura mecánica para
que sean fáciles de utilizar y compartir.
Es probable que el requisito de que otros
puedan usar y transferir los datos de
forma sencilla obligue a realizar ajustes
significativos en los sistemas informáticos,
con los costes que esto conlleva.
Además, el ámbito territorial de aplicación
se extiende más allá de la UE a cualquier
empresa o a cualquier tercero que procese
datos personales en su nombre. Dado que
la UE tiene socios comerciales en casi
todo el mundo, la ampliación del ámbito de
aplicación del RGPD afecta a numerosas
empresas a nivel mundial y, en la práctica,
se les obligará a cumplirlo si desean operar
en los Estados miembros de la UE, ya sea
directamente o prestando servicios a otros.
impacto relativas a la protección de datos.
Este requisito también afecta a los terceros
que procesen datos personales en nombre
de una empresa, si bien la especificación
no es tan detallada al respecto.
* Es aplicable a empresas con más de 250
trabajadores o a empresas con menos trabajadores
donde el tratamiento pueda entrañar un riesgo para
los derechos y las libertades de los interesados,
no sea ocasional o incluya categorías especiales
de datos, tales como información sobre la
salud, la religión o la orientación sexual.
Privacidad de principio a fin
Durante toda la vida útil de los datos
personales —desde la recopilación
hasta el tratamiento o el cese definitivo
de su uso— deben tomarse medidas
técnicas y organizativas de acuerdo
con las expectativas de privacidad del
interesado. Esto es lo que se denomina
“protección de datos desde el diseño”
e implica que las consideraciones
de privacidad estén presentes en
todos los aspectos del proceso.
Asimismo, solo deberían tratarse los datos
Comunicación obligatoria de las violaciones de la seguridad
En caso de producirse violaciones del RGPD
que puedan suponer un riesgo para los
derechos y libertades de los interesados,
las empresas que recaban datos personales
deben informar a la autoridad de control
competente en un plazo de 72 horas. Por
su parte, los terceros que procesen datos
personales en nombre de otras empresas
Delegado de Protección de Datos
Según el RGPD, las empresas que procesan
datos personales —tanto en calidad
de responsable como de encargado en
nombre de un responsable— deben
designar un Delegado de Protección de
Datos siempre que: (i) sean un organismo
público; (ii) las actividades principales de
la empresa consistan en la observación de
personas a gran escala o en el tratamiento
a gran escala de categorías especiales de
datos personales, incluida la información
Sanciones
Las sanciones por el incumplimiento
del RGPD son duras y podrían ascender
al 4 % de la facturación anual a nivel
mundial o a 20 millones de euros (la
cuantía que sea mayor). La sanción puede
imponerse aunque no haya pérdida
de datos en sí. Cabe destacar que no
personales estrictamente necesarios
para el fin buscado; lo que se conoce
como “protección de datos por defecto”.
Aplicar la protección de datos desde
el diseño y por defecto implicará una
formación continua, la realización de
auditorías periódicas, la minimización de
los datos recogidos, el acceso a los datos
personales solo cuando sea necesario
y la aplicación de medidas de seguridad
técnicas y organizativas pertinentes,
como la seudonimización o el cifrado.
deben avisarlas, de inmediato, de cualquier
violación de la seguridad de los datos.
Si esta entraña un alto riesgo para los
interesados, las empresas también deberán
notificarlo a los afectados sin dilación
indebida.
relativa a condenas o infracciones penales.
El Delegado de Protección de Datos debe
tener conocimientos especializados de
la legislación en materia de protección
de datos, aunque no es imprescindible
que sea empleado directo, sino que
puede desempeñar esta función en el
marco de un contrato de servicio. Los
datos de contacto del Delegado de
Protección de Datos deben comunicarse
a la autoridad de control competente.
existen exclusiones ni excepciones para
las pequeñas empresas. Además, las
personas físicas tienen la posibilidad
de presentar una demanda colectiva
solicitando una investigación formal
si una empresa no cumple el RGPD.
RGPD: Guía para asesorías y despachos profesionales 11
RGPD: ¿qué
supone para
tu negocio?

12 RGPD: Guía para asesorías y despachos profesionales

Distinción entre roles
Es esencial entender el papel que desempeñas
como asesor en el contexto del RGPD. Tanto
los asesores como los contables desarrollan
actividades relacionadas con el tratamiento de
datos personales desde dos perspectivas:
1. Como empresario que guarda, controla y
procesa los datos personales de sus empleados.
2. Como proveedor tercero de sus clientes.
En ambos casos, cumplir el RGPD requiere
una idea y un replanteamiento claros en lo
referente a la administración, almacenamiento
y uso de los datos personales.
En el RGPD se identifican dos roles que determinan
cómo deben tratarse los datos personales:
Responsable del tratamiento
La persona física o jurídica, autoridad pública,
servicio u otro organismo que, solo o junto
con otros, determine los fines y medios del
tratamiento. Si recopilas datos personales para
tu propio fin, eres responsable de los datos,
así como de cumplir el RGPD en su totalidad,
incluidos todos aspectos de seguridad.
Encargado del tratamiento
La persona física o jurídica, autoridad pública,
servicio u otro organismo que trate datos personales
por cuenta del responsable del tratamiento. Si estás
procesando datos personales en nombre de otra
organización, eres encargado y solo puedes actuar
conforme a las instrucciones de la organización
responsable del tratamiento. No obstante, la
responsabilidad de cumplir las obligaciones que el
RGPD impone a los encargados también recae en ti;
como asesor o contable, tu papel puede
ser también el de responsable, al igual que
tus clientes, pues debes determinar qué
información obtener y procesar para completar
el trabajo que se te ha asignado. Esto va más
allá del rol de un encargado, pues este tan solo
actúa en nombre de un responsable como,
por ejemplo, procesando una nómina.
Cuando a asesores y contables se les reconoce
como responsables del tratamiento de los
datos del cliente (a través de un acuerdo de
intercambio de datos recogido en los términos
y condiciones acordados), el RGPD estipula
que no es necesario justificar el tratamiento
imparcial en aquellos casos en los que la
información deba permanecer confidencial
debido a obligaciones de secreto profesional.
Esto puede implicar que no sea necesario
notificar a los interesados ​​si se pone en riesgo la
idoneidad o la confidencialidad de la práctica.  
Recientemente, el Grupo Europeo
de Protección de Datos ha aclarado
ciertos aspectos en este sentido:
El papel de los asesores puede variar en
función del contexto. Cuando un asesor
proporciona servicios al público general
y a pequeñas empresas partiendo de
instrucciones muy genéricas (como
“hazme la declaración de la renta”), este
será responsable del tratamiento, como
sucede con los abogados que desempeñan
su labor en circunstancias similares y con
motivos parecidos. No obstante, cuando
una empresa contrata los servicios de un
asesor externo y este queda sujeto a las
instrucciones del asesor en plantilla en
casos como, por ejemplo, las auditorías,
entonces aquel será considerado encargado
del tratamiento, pues las instrucciones
recibidas son claras y, por tanto, el margen de
maniobra queda limitado. Esto está sujeto a
una salvedad importante: cuando se detecte
una negligencia, que debe notificarse,
entonces, debido a las obligaciones
profesionales a las que están sujetos, los
asesores actúan de forma independiente
como responsable del tratamiento.
RGPD: Guía para asesorías y despachos profesionales 13
14 RGPD: Guía para asesorías y despachos profesionales
Claridad en las responsabilidades
en materia de datos personales
El RGPD establece los requisitos mínimos para
el tratamiento de todos los datos personales.
Los datos personales se definen como cualquier
información que identifique a una persona
directa o indirectamente, entre la que se incluye
la apariencia física o los datos biométricos.
La mayoría de las empresas recaban datos
personales desde el momento en que interactúan
con un individuo y, en algunos casos, puede que
este ni siquiera sea consciente de ello. Por ejemplo,
la recopilación de datos personales puede ser
muy elemental, como las cookies de seguimiento
que identifican a un usuario en un sitio web, o
conllevar un elevado nivel de detalle, como podría
ser un registro personal en una base de datos de
gestión de relación con los clientes. Es posible
que los datos personales se recaben o procesen
exclusivamente en beneficio del interesado, pero
este aspecto sigue siendo competencia del RGPD.
Por todo lo anterior, las asesorías tendrán que
replantearse la forma en que recopilan, administran
y tratan los datos personales tanto en su propio
ejercicio como en el de sus clientes. Debido al
alcance de los cambios recogidos en el RGPD, es
poco probable que haya empresas que cumplan esta
normativa sin realizar, al menos, algunos ajustes
en sus procesos y procedimientos. De hecho, en
la mayor parte de los casos, posiblemente los
métodos de trabajo deban someterse a importantes
modificaciones, más que pequeños retoques.
Tratamiento de datos del cliente
En el RGPD constan seis bases jurídicas que
regulan el tratamiento y uso de los datos:
1. Intereses legítimos: este es un aspecto
subjetivo. En el ejercicio profesional, resulta
necesario equilibrar el derecho como empresa
a usar los datos de una persona y el derecho
de dicha persona a que sus datos no se
utilicen. Las empresas deben contar con
una circunstancia clara y convincente que
justifique el uso de los datos de un individuo.
Asimismo, una buena práctica sería documentar
los motivos que respaldan esta decisión.
Este principio también se aplica cuando se
utilizan datos con fines de marketing.
2. Consentimiento: el consentimiento debe
darse libremente, ser informativo e inequívoco
y puede materializarse en varios formatos
—por ejemplo, a través de una casilla de
verificación en un sitio web o al responder
“sí” en una llamada telefónica—Además, es
necesario guardar un registro del mismo.
3. Contrato: este aspecto, que no cambia con
respecto a la normativa de protección de
datos personales actual, está relacionado
con el procesamiento necesario de los datos
para un contrato, donde el interesado es
parte firmante, o para la aplicación a petición
de este de medidas precontractuales.
4. Obligación legal: esto es de particular
importancia para las asesorías que tienen la
obligación legal de conservar datos personales;
por ejemplo, como parte de los requisitos de la
Agencia Tributaria o con el objetivo de evitar
fraudes en virtud de las regulaciones financieras.
5. Intereses vitales: con el propósito de proteger
los intereses vitales del interesado, está
permitido que una organización procese los
datos personales de este. Básicamente, esto está
relacionado con cuestiones de vida o muerte.
6. Interés público: este aspecto es aplicable
cuando los datos personales deben procesarse
en aras del interés público como, por ejemplo,
en casos relacionados con el desempeño de las
funciones de una autoridad pública. En el ámbito
de las prácticas contables, esto puede estar
relacionado con el tratamiento de la información
relativa a los salarios de los empleados
o de los clientes por parte de la Agencia
Tributaria para realizar los cálculos fiscales.
RGPD: Guía para asesorías y despachos profesionales 15
16 RGPD: Guía para asesorías y despachos profesionales
Consideraciones relativas
al software
Numerosas empresas que administran datos
financieros y personales en nombre de sus
clientes recurren con regularidad al software
de contabilidad. En el marco del cumplimiento
del RGPD, resulta esencial tener en cuenta
aspectos técnicos sobre cómo y dónde el software
seleccionado procesa y aloja los datos personales,
especialmente si está basado en la nube.
Por ello, los asesores y contables deben aclarar
con sus proveedores de TI y de software de qué
manera estos sistemas se adaptarán para la
implementación del RGPD. Un cuestionario o
una lista de verificación exhaustivos ayudarán
a comprender los flujos de datos, así como a
identificar posibles vulnerabilidades antes de la
fecha límite de aplicación del RGPD. Esto debe
abarcar todo lo relacionado con la forma en la que
el software interactúa con los datos personales,
incluido, aunque no limitado a, lo siguiente:
• Especificaciones técnicas de la plataforma
• Separación de datos
• Uso de técnicas de seudonimización y cifrado
• Seguridad, también en los dispositivos móviles
• Desactivación de datos
• Subcontratación
• Procedimientos de copia de seguridad
y recuperación de desastres
Datos de marketing
El consentimiento y los intereses legítimos
constituyen consideraciones clave a la hora de
evaluar el uso de datos personales con fines de
marketing. ¿Dispones del consentimiento necesario
para contactar con una persona? ¿Lo haces
respetando el propósito para el que ha brindado
dicho consentimiento? El interés legítimo debe
estar respaldado por una circunstancia clara
para poder entrar en contacto con una persona
si la razón esgrimida está fuera de los motivos
incluidos en el consentimiento. Por ejemplo, los
intereses legítimos pueden abarcar el hecho de
informar a tus clientes sobre un nuevo servicio que
ofrece tu empresa, pues esto es de su interés.
Información de posibles clientes
En contabilidad, es común llevar un registro de
las consultas de clientes potenciales donde se
suelen incluir los detalles de contacto, el tipo la
consulta, etc. Esto podría impulsar nuevas iniciativas
empresariales con el objetivo de captar clientes.
A raíz del RGPD, las empresas tendrán que revisar
la base jurídica por la que necesitan retener estos
datos, así como el acuerdo sobre su uso, tanto si
parte de un consentimiento, de un contrato o de otro
interés legítimo. Para muchos asesores y contables,
esto supondrá un cambio en los procedimientos
como parte del plan de adaptación al RGPD.
RGPD: Guía para asesorías y despachos profesionales 17
Datos de proveedores
Aunque es muy importante replantearse la forma
en que tratas los datos personales de tus clientes
y empleados, no podemos olvidarnos de los
proveedores, cuya información puede llegar a
tus manos durante tu actividad empresarial. Por
este motivo, es necesario que goce del mismo
nivel de protección que en los otros casos.
Además, si dichos proveedores tienen que procesar
datos personales en tu nombre, recuerda que el
RGPD requiere la inclusión de ciertas cláusulas
obligatorias en los acuerdos escritos que formalices
con ellos. Cuando la situación es la contraria
—si actúas como encargado en nombre de otra
organización— se te pedirá que aceptes nuevas
condiciones en materia de tratamiento de datos.
Contratación y datos de empleados
El RGPD amplía los derechos de los empleados
en calidad de interesados. Estos incluyen:
• El derecho a estar informados, lo que incluye
la obligación de los empresarios a mantener
un sistema de uso de datos personales
transparente.
• El acceso a los datos, que abarca las solicitudes
de acceso de los interesados.
• La rectificación de datos imprecisos o
incompletos.
• El derecho al olvido (bajo determinadas
circunstancias).
• La petición de bloquear o suprimir el
tratamiento de datos personales.
• La portabilidad de datos, que permite a los
empleados obtener y reutilizar sus datos
18 RGPD: Guía para asesorías y despachos profesionales
personales para sus propios fines, como
pasar a trabajar con otra empresa y solicitar
que se transfieran sus datos personales.
Otro aspecto relevante en el ámbito de la
contabilidad está relacionado con la contratación:
antes de que entrara en vigor el RGPD, era habitual
que las empresas guardaran copias de los CV una
vez que se cubría una vacante por si algún candidato
pudiera ser apto para otro puesto. En el marco del
RGPD, sin embargo, esto no será posible, a menos
que se pida y conceda consentimiento explícito,
en cuyo caso los datos deberán almacenarse y
tratarse según las regulaciones del RGPD.
Gastos asociados al
cumplimiento normativo
Las asesorías deben identificar y planificar los costes
relacionados con la implementación de nuevos
sistemas, procesos y recursos para cumplir el RGPD.
Esto puede incluir una migración de un método
de llevanza de registros manual y en papel a una
solución de software, que conllevaría tanto invertir
en el sistema como formar a empleados y clientes.
Confianza profesional
Los asesores son un punto de apoyo valioso
y de confianza para los clientes. Para cumplir
sus expectativas, es necesario asesorarles
correctamente sobre la legislación clave y
compartir conocimientos con ellos. Por lo tanto,
este es el momento de analizar y comprender
el impacto que probablemente tendrá el RGPD
en tu actividad empresarial y en tus clientes.
Garantía de los derechos de
privacidad de los datos personales
La protección de los datos personales en el RGPD
será mucho más rigurosa, sobre todo en lo referente
a la forma en que se recaban los datos en los sitios
web. Por ejemplo, una vez se aplique el RGPD, el
consentimiento deberá pedirse de manera explícita
cuando el usuario lo acepte por medio de casillas
de verificación en formularios de contacto. También
habrá que explicar con claridad a qué corresponden
dichas casillas. Cualquier mal uso de los datos
personales que implique que una persona reciba
comunicaciones que no ha solicitado y para las
que no dio su consentimiento se denunciará
como una violación de la protección de datos.
Intercambio de datos de clientes
A la hora de prepararse para la adopción del
RGPD, no solo resulta esencial entender cómo y
hasta qué punto administras los datos personales,
sino también cómo los intercambias con los
clientes. Según el RGPD, los clientes tienen
derecho a auditar a terceros que actúen como
encargados de datos con el fin de garantizar el
cumplimiento en toda su cadena de suministro.
En el RGPD se incluyen requisitos preceptivos
relacionados con el acuerdo de intercambio de
datos entre los responsables y encargados de
datos. Por ejemplo, ahora los encargados tienen
que cumplir las siguientes obligaciones:
• Llevar un registro de todas las actividades
de tratamiento efectuadas por cuenta de
un responsable si la empresa emplea a 250
personas o más, a menos que el tratamiento
que realice pueda entrañar un riesgo para
los derechos y libertades de los interesados,
no sea ocasional o incluya categorías
especiales de datos o datos personales
relativos a condenas e infracciones penales.
• Obtener el consentimiento del responsable
para nombrar a otro encargado.
• Trabajar con el responsable en el
desempeño de sus obligaciones según el
RGPD e informarle de las violaciones de
la seguridad de los datos sin dilación.
El impacto que lo anterior tendrá en las asesorías
es que los clientes —en calidad de responsables
del tratamiento— quieran revisar los contratos
actuales y futuros para garantizar la observancia
de estos requisitos. A la hora de elaborar un
acuerdo en materia de uso compartido de datos,
cuando tu empresa actúe como responsable,
al igual que tus clientes, será necesario
plantearse los siguientes puntos clave:
• Con qué fin van a compartirse los datos.
• Qué datos se compartirán.
• Cuáles serán las bases de los
datos compartidos.
• Cuáles son las limitaciones para los
destinatarios de los datos.
• Cuál es el nivel de calidad, seguridad
y retención de los datos.
• Cómo se gestionará el proceso.
RGPD: Guía para asesorías y despachos profesionales 19
RGPD: ¿qué
supone para
tus clientes?

20 RGPD: Guía para asesores y contables

A menudo, los propietarios de pequeñas
y medianas empresas se centran en
garantizar que su negocio sea estable y
tenga éxito, lo que significa que dependen
en gran medida del asesoramiento y la
orientación de su entorno empresarial. Tu
papel como asesor ocupa un destacado
lugar en este ámbito, pues compartes
conocimiento y experiencia con los
clientes para ayudarles a adaptarse
a los cambios legislativos clave,
como es la aplicación del RGPD.

Si utilizas una metodología sencilla y paso a

paso, tus clientes entenderán el impacto que
tendrá este reglamento en sus negocios y serán
capaces de convertir desafíos en oportunidades.

En primer lugar, es aconsejable comenzar con

preguntas básicas y bien definidas para poder
establecer puntos de discusión y definir su nivel
de comprensión. De esta forma, sabrás cuánto
apoyo necesitarán desde el punto de vista
empresarial, financiero y jurídico. A continuación,
tienes algunas de las preguntas sobre el
RGPD que puedes plantear a tus clientes:

• ¿Qué sabes del RGPD?

• ¿En qué medida se han preparado los procesos
empresariales donde se maneja información
personal? ¿Hasta qué punto es completo
el inventario de datos personales? ¿Los
registros se almacenan localmente? ¿Qué
información se guarda digitalmente y cuál en
papel? ¿Quién tiene acceso a estos datos?
• ¿Qué medidas inmediatas deben ponerse en
marcha para rectificar cualquier problema
relacionado con la información almacenada?
¿Cómo se guarda y quién es el responsable
de ello? Aquí habría que centrarse en
los aspectos que no siguen el RGPD.
• ¿Cómo te aseguras de que tus socios y
proveedores cumplan el reglamento?
¿Y en el caso de sus asesores?
• ¿Cómo transferirás la responsabilidad de
velar por el cumplimiento en la empresa?
¿Cómo garantizas que todos los empleados
conozcan el RGPD y se adhieran a él?

RGPD: Guía para asesorías y despachos profesionales 21

Crear un plan de preparación para el RGPD con
tus clientes les proporciona medidas y consejos
prácticos para garantizar el cumplimiento del
reglamento. Para ti, además, esto supone una
oportunidad para ofrecer otros servicios y consolidar
la presencia de tu actividad en su empresa.
1. Grado de preparación de clientes con respecto
al RGPD
Abordar esta cuestión ayuda a tus clientes
a evaluar la madurez actual de su negocio
con respecto al cumplimiento del RGPD y a
reflexionar sobre qué aspectos del RGPD, y de
la privacidad en general, son los más relevantes
para ellos. No se trata de un mero proceso de
verificación, sino de un ejercicio pragmático
cuyo objetivo debe ser el de entender en
profundidad el nivel de exposición de los clientes
a los riesgos de privacidad recogidos en el RGPD.
2. Definición de una estrategia de datos
Este aspecto es crucial para comprender qué
tipo de datos necesitan tener sus clientes (y
sobre quién), cómo se procesarán de acuerdo
con el RGPD y qué inversión se necesita realizar
para llevar a cabo esta estrategia. Asimismo,
cabe replantearse la “externalización” de los
datos mediante el uso de software basado en la
nube y la colaboración con proveedores externos
con el fin de garantizar el cumplimiento en todos
los ámbitos.
3. Claves del éxito
Lo que se pretende con el RGPD es desarrollar
una solución de protección de datos apropiada
para una determinada empresa. Esto se
consigue gracias a la aplicación de un enfoque
pragmático y a la puesta en marcha de un plan
realista que se puede desglosar en las siguientes
áreas clave:
• Gestión: comprender qué datos personales
están en posesión de los clientes y
cómo planean administrarlos.
• Derechos de los individuos: estar al tanto
de lo que los interesados pueden solicitar,
así como de sus derechos. Tendrás que
personalizar los procesos según cada caso.
• Mecanismos para notificar infracciones:
22 RGPD: Guía para asesorías y despachos profesionales
instaurar sólidos procedimientos de gestión
de incidencias para informar a la autoridad
de control competente sobre posibles
violaciones de seguridad de los datos en un
plazo de 72 horas y conforme al RGPD.
• Rol de terceros: se requiere que los
responsables de tratamiento conozcan cómo se
manejan los datos en su cadena de suministro.
Para ello, es necesario elaborar contratos con
las cláusulas pertinentes, así como con detalles
acerca de los periodos de conservación de datos
y los informes de auditorías, para que todo esté
a punto en el momento de aplicar el RGPD.
• Formación: identificar el nivel de formación
que necesita cada empleado para entender
los requisitos del RGPD. Es posible que en los
departamentos más expuestos al cumplimiento
del RGPD, como RR. HH. y Marketing, convenga
implementar un sistema de formación y
asesoramiento más elaborado.
4. Normalización
El cumplimiento del RGPD implica algo más
que estar preparado para la fecha límite de su
aplicación, el 25 de mayo de 2018; a partir de
ese momento, tus clientes deberán demostrar
que sus procedimientos de recopilación, uso,
conservación, divulgación y supresión de datos
personales se adhieren a los requisitos del
RGPD. Esto puede suponer una transformación
significativa de los procesos y métodos de
trabajo actuales con el fin de reflejar el principio
de responsabilidad proactiva del RGPD, que
exige lo siguiente:
• Las empresas deben contar con un marco de
gestión del riesgo claro y documentado.
• Los datos personales deben mantenerse
actualizados y accesibles en caso de
solicitud de datos por parte del interesado.
• Los puestos y las responsabilidades
relacionados con la privacidad de los datos
deben estar definidos con precisión, así como
someterse a auditorías con regularidad.
• Las políticas, los procesos y los procedimientos
deben estar bien gestionados y ser
relevantes para el fin que tienen asignado.
• Los terceros deben hacer uso de
los datos con transparencia.
RGPD: Guía para asesorías y despachos profesionales 23
Al día con Sage
El compromiso de Sage con el RGPD
Sage lleva más de 30 años ayudando a asesores
y contables a preparase para regulaciones de
cumplimiento clave como uno de sus principales
compromisos, y la llegada del RGPD no supone
menos. Nuestros expertos están aquí para
apoyarte y asesorarte de manera práctica, imparcial
y útil en lo relativo a cómo el cumplimiento
del RGPD influirá en tu empresa y clientes.
Seguimos comprometidos con compartir el
conocimiento y la experiencia que tanto tú como
tus clientes necesitáis para adaptaros al RGPD.
Estamos elaborando documentación sobre las
actualizaciones de nuestra gama de soluciones
de software para que la implementación del RGPD
te resulte sencilla. Además, nuestro programa de
formación está diseñado para que tus clientes
y tú superéis el desafío que supone prepararse
para el RGPD. Así, aportamos varias opciones de
formación para asesores, gratuitas y de pago, que
incluyen sesiones prácticas para tus clientes.
Al adoptar nuevas prácticas de trabajo, no solo te
preparas para el RGPD, sino que también ganas en
eficiencia gracias a la gestión integrada de datos
personales. Además, esto te ubicará en una posición
ideal para asesorar a tus clientes acerca de las
principales regulaciones que afectarán a su negocio.
24 RGPD: Guía para asesorías y despachos profesionales
Opciones de formación sobre
el RGPD
Aquí, en Sage, nos comprometemos a
ayudarte a dar el siguiente paso en tu viaje
empresarial a medida que te enfrentas a nuevos
y complejos requisitos de cumplimiento.
A través de la inversión que hacemos en nuestra
tecnología, ponemos a tu disposición las soluciones
que tanto tus clientes como tú necesitáis para
adaptaros a cambios de legislación como el RGPD.
Nuestro equipo de servicios de aprendizaje brinda
educación, capacitación y formación de calidad.
Para obtener más información acerca de nuestras
opciones de formación sobre el RGPD, visita https://
www.sage.com/es-es/rgpd/. También puedes
ponerte en contacto con tu contacto comercial
de Sage si necesitas información detallada de las
sesiones de formación para clientes, sesiones
prácticas o seminarios web sobre el RGPD.
Aviso legal de Sage
La información contenida en esta guía es meramente orientativa. Ni está pensada como asesoramiento legal
ni debe tomarse como tal. Nos gustaría resaltar que los clientes deben llevar a cabo su propia investigación
minuciosa o buscar asesoramiento legal si no están seguros de las implicaciones del RGPD para sus empresas.

Si bien hemos intentado que la información facilitada en esta guía sea correcta y esté al día, Sage no garantiza
su precisión o exhaustividad y la proporciona “tal cual”, sin ningún tipo de garantía, ni explícita ni implícita.
Sage no aceptará ninguna responsabilidad por los posibles errores u omisiones ni por los daños (incluidos,
sin limitación, las pérdidas de actividad o el lucro cesante) producidos dentro o fuera de un contrato o por el
uso o confianza en esta información o por alguna acción o decisión tomada como resultado del uso de esta
información.

RGPD: Guía para asesorías y despachos profesionales 25

Con Sage como socio, tu empresa y tus clientes tendréis a vuestra
disposición el mejor apoyo posible en cada etapa de vuestro viaje.

Para obtener más información, visita

www.sage.com/es-es/rgpd/

© 2018, The Sage Group plc o sus licenciantes. Todos los derechos reservados. Sage, los logotipos de Sage y los nombres
de los productos y servicios de Sage aquí mencionados son marcas comerciales de The Sage Group plc o de sus
licenciantes. Todas las demás marcas comerciales son propiedad de sus respectivos dueños.
26 RGPD: Guía para asesorías y despachos profesionales