My Data Solution, líder en cumplimiento del RGPD para contables públicos

• Mejorar los datos explotándolos de forma legal y cualitativa
• Aumentar la confianza de los clientes, socios y clientes potenciales a través de la transparencia,
• Fortalecer y reforzar la imagen de marca de la empresa,
• Adquirir nuevos clientes y nuevos mercados,
• Convocatorias de licitación ganadoras (los compradores públicos deben verificar el cumplimiento del RGPD por parte de los licitadores),
• Mejorar la organización interna y fortalecer la confianza de los empleados de la organización.

• Valoriser la data en exploitant les données de manière légale et qualitative
• Accroître la confiance des clients, partenaires et prospects grâce à la transparence,
• Conforter et renforcer l’image de marque du cabinet,
• Acquérir de nouveaux clients et de nouveaux marchés,
• Remporter des appels d’offre (les acheteurs publics ont l’obligation de vérifier la conformité RGPD des soumissionnaires à appel d’offres),
• Améliorer l’organisation interne et renforcer la confiance des collaborateurs de l’organisme.

En el contexto de las misiones realizadas por contadores públicos colegiados, esta cuestión requiere un análisis caso por caso. En efecto, si las empresas son en particular responsables del tratamiento que realizan de los datos personales de sus empleados; y que podemos considerar, hasta cierto punto, que las empresas preferirían ser calificadas como subcontratistas en lo que respecta a misiones relacionadas con la nómina y las misiones sociales, y como controladores de datos en lo que respecta a misiones contables y de secretaría jurídica. Sin embargo, resulta arriesgado definir misiones típicas para las cuales el responsable del tratamiento de datos es una firma de contabilidad y otros para los cuales serían subcontratistas en el sentido del RGPD.

Le recordamos que si actúa como subcontratista, es decir, si procesa o recopila datos en nombre de otra entidad (empresa, comunidad, asociación), tiene obligaciones específicas para garantizar la protección de los datos que se le confían.

Para identificar esta calificación entre responsable del tratamiento, subcontratista o corresponsable del mismo, conviene, por tanto, plantear las tres preguntas principales siguientes:

• ¿Quién determina la finalidad del tratamiento?

• ¿Quién tiene el control sobre el procesamiento de datos personales?

• ¿Quién determina los medios esenciales de tratamiento?

Si la respuesta a cada una de estas preguntas es la firma de contabilidad, entonces la firma de contabilidad es responsable de procesar los datos.

La responsabilidad de la empresa y su obligación de proporcionar información difieren según la calificación. La CSOEC también recomienda que la obligación de informar a las personas sea asumida por el cliente cuando la firma sea corresponsable del tratamiento.

Desde el 25 de mayo de 2018, cualquier organización que no respete sus obligaciones en materia de protección de datos personales (RGPD y LOPD) está expuesta a sanciones administrativas y penales.

Tras inspecciones o reclamaciones, en caso de incumplimiento de las disposiciones del RGPD o de la ley por parte de los responsables del tratamiento y de los subcontratistas, la CNIL podrá imponer sanciones a los responsables del tratamiento y/o a sus subcontratistas que no cumplan dichos textos.

Cuando se le ponga en conocimiento una infracción del RGPD o de la ley, la CNIL podrá:

• • Pronunciar un llamado al orden;

• • Orden de adecuar el tratamiento a las normas, incluso bajo pena de sanción;

• • Limitará temporal o permanentemente el tratamiento;

• • Suspender flujos de datos;

• • Ordenar el cumplimiento de las solicitudes de ejercicio de los derechos de las personas, incluso bajo pena de sanción;

• • Imponer una multa administrativa que podrá hacerse pública y cuyo monto podrá ser:

• • Hasta un 2% de la facturación global de la empresa por infracciones como la ausencia de un registro de tratamiento, la falta de notificación de una infracción detectada, la falta de realización de un estudio de impacto en la privacidad (en el caso de datos sensibles), etc.

• • Hasta un 4% del volumen de negocio global, en particular en caso de negativa a acatar requerimientos de la CNIL, tratamiento ilícito de datos, falta de consentimiento, incumplimiento de los derechos de las personas, etc.

Asimismo, cualquier persona afectada por una violación de sus datos personales por parte del responsable del tratamiento y/o de su subcontratista, y que haya sufrido daños materiales o morales como consecuencia de dicha violación, podrá obtener una indemnización por su pérdida, en particular en forma de daños y perjuicios. En caso de auditoría por parte de la CNIL, usted deberá poder garantizar la protección de los datos personales y demostrar las medidas adoptadas a tal efecto.

El cumplimiento del RGPD es necesario por varias razones.

En primer lugar, se trata de una obligación impuesta a cualquier organización, pública o privada, que procese datos personales tan pronto como esté establecida en el territorio de la Unión Europea o su actividad se dirija directamente a residentes europeos.

A continuación, las organizaciones que no cumplen con el RGPD están expuestas a riesgos importantes de sanciones, incluidas multas administrativas que pueden ascender al 2% o al 4% de la facturación global anual de la empresa.

Finalmente, más allá de ser una obligación legal y regulatoria y suponer un mayor riesgo de sanciones, el RGPD es una oportunidad real ya que nos permite:

• • Mejorar los datos explotándolos de forma legal y cualitativa

• • Aumentar la confianza de clientes, socios y clientes potenciales a través de la transparencia

• • Fortalecer y reforzar la imagen de marca de la empresa

• • Adquirir nuevos clientes y nuevos mercados

• Licitaciones ganadoras (los compradores públicos deben verificar el cumplimiento del RGPD por parte de los licitadores)

• • Mejorar la organización interna y fortalecer la confianza de los empleados de la organización

Por lo tanto, es esencial cumplir con el RGPD.

De conformidad con el artículo 155 del Decreto de 30 de marzo de 2012, relativo al ejercicio de la profesión de contador público, los contadores públicos están obligados a proporcionar información y asesoramiento a sus clientes o miembros.

Por lo tanto, en su capacidad y deber de asesoramiento, el papel del contador público es asegurar que sus clientes cumplan con el RGPD, en particular durante sus tareas de auditoría o al desarrollar propuestas de apoyo. Para evitar cualquier controversia derivada de la falta de suministro de información y asesoramiento, los contables deben, al menos, informar a sus clientes de su obligación de cumplir con el RGPD.

En 2020 se firmó una colaboración entre la CNIL y la CSOEC a este respecto, en particular para difundir una cultura de protección de datos personales entre los contables, tanto para la conformidad de su propia estructura como en su papel local ante las empresas.

De hecho, los contadores públicos certificados tienen un conocimiento profundo de los riesgos asociados con las actividades de sus clientes y son un contacto clave para satisfacer sus necesidades de cumplimiento. Por lo tanto, la CSOEC considera que «los contables son competentes en materia de protección de datos personales siempre que hayan implementado las obligaciones impuestas por el RGPD en sus empresas. Por lo tanto, pueden ofrecer una misión de apoyo a sus clientes en la implementación del RGPD».

Es en este contexto que el contador está obligado tanto a alertar a sus clientes sobre su cumplimiento del RGPD como a ofrecerles servicios relacionados con dicho cumplimiento.

El proceso de cumplimiento con el RGPD implica respetar la implementación de varias medidas, incluyendo:

• • Constituir un registro de tratamientos de datos

Esto permite al gabinete tener una visión general de los tratamientos de datos que realiza. El registro requiere proceder a una identificación de las actividades principales del gabinete que impliquen el tratamiento de datos personales, lo que se llama tratamientos. El responsable del tratamiento o el subcontratista debe crear una ficha para cada tratamiento registrado, indicando, entre otras cosas, su finalidad, es decir, el objetivo por el cual los datos son tratados por el gabinete.

Finalmente, el registro debe actualizarse regularmente, ya que los gabinetes pueden cambiar de software, evolucionar su organización interna o cambiar de subcontratistas. La protección de datos debe ser continua.

Nota: Se recomienda encarecidamente confiar la gestión del registro de tratamientos al delegado de protección de datos (DPD) que se encargará de su actualización regular.

• • Clasificar los datos

• • El gabinete debe limitarse a la recopilación de los datos estrictamente necesarios para el tratamiento. Este es el principio de minimización de datos. Así, los datos solo deben ser tratados si:

• • son necesarios para la actividad de la organización;

• • no se trata de datos considerados «sensibles», en cuyo caso es necesario asegurarse de que el gabinete tiene derecho a tratarlos;

• • los datos solo son accesibles a las personas autorizadas;

• • los datos se conservan solo durante el tiempo necesario y/o reglamentario;

• • Respetar los derechos de las personas.

El RGPD tiene como objetivo reforzar la protección de los datos de las personas. Por ello, ha otorgado a estas un número de derechos, entre ellos el derecho de acceso, rectificación, oposición, eliminación, derecho a la limitación del tratamiento, y la portabilidad. Es responsabilidad del responsable del tratamiento implementar las medidas necesarias para garantizar el respeto de estos derechos.

• • Asegurar los datos personales

El responsable del tratamiento debe tomar las medidas necesarias para garantizar la seguridad de los datos personales, reduciendo los riesgos de violaciones de datos al respetar los siguientes principios:

• • El principio de confidencialidad: los datos deben ser accesibles solo a las personas autorizadas.

• • El principio de integridad: los datos no deben ser alterados ni modificados.

• • El principio de disponibilidad: los datos deben estar disponibles en todo momento para las personas autorizadas.

Si una organización sufre una violación de datos, debe informar a la CNIL dentro de las 72 horas posteriores a la violación, si esta pudiera representar un riesgo para los derechos y libertades de las personas afectadas.

• • Respetar el principio de responsabilidad

Este principio designa la obligación de los gabinetes de implementar mecanismos y procedimientos internos que permitan demostrar el respeto de las normas relativas a la protección de los datos.

En caso de inspección de la CNIL, el gabinete debe ser capaz de demostrar su cumplimiento con el RGPD y las medidas tomadas para ello.

• • Revisión de las prácticas, contratos y carta de misión RGPD del experto contable

Como parte del proceso de cumplimiento, también es necesario modificar todos los contratos de prestación y las cartas de misión del gabinete. El Orden de los Expertos Contables recomienda revisar los contratos con los clientes, incluyendo nuevas cláusulas en las cartas de misión sobre la responsabilidad de los tratamientos de datos personales.

Además, ahora está excluido enviar recibos de nómina por correo electrónico. A partir de ahora, se debe utilizar una plataforma.

Más allá de las responsabilidades inherentes a ser responsable del tratamiento de datos, el RGPD implica nuevas responsabilidades para los contables. En primer lugar, ven reforzada su responsabilidad en materia de deber de informar y asesorar, debido a su deber de informar a sus clientes sobre la obligación de cumplir el RGPD.

Luego, el RGPD establece una lógica de rendición de cuentas para todas las partes interesadas e impone obligaciones específicas a los subcontratistas que deben ayudar a los responsables del tratamiento de datos en sus continuos esfuerzos de cumplimiento.

Por lo tanto, en cuanto una empresa actúe como subcontratista en el marco de sus misiones, deberá ofrecer a sus clientes «garantías suficientes en cuanto a la aplicación de las medidas técnicas y organizativas apropiadas para que el tratamiento cumpla los requisitos del presente reglamento y garantice la protección de los derechos del interesado» (art. 28 del RGPD).

El despacho debe por tanto asistir y asesorar a sus clientes en el cumplimiento de determinadas obligaciones previstas en el RGPD (análisis de impacto, notificación de brechas, seguridad, destrucción de datos, contribución a auditorías). Esto implica:

• • Una obligación de transparencia y trazabilidad

• • Tener en cuenta los principios de protección de datos desde el diseño y por defecto

• • Obligación de garantizar la seguridad de los datos tratados

• • Obligación de proporcionar asistencia, alertas y asesoramiento

Es en este contexto que la Orden de Censores Jurados de Cuentas recomienda, en particular, revisar los contratos de misión celebrados entre los Censores Jurados de Cuentas y sus clientes, incluyendo en las cartas de encargo nuevas cláusulas sobre la responsabilidad del tratamiento de datos.

El RGPD estableció la figura del Delegado de Protección de Datos (DPD). El artículo 37 del RGPD contempla tres situaciones en las que es obligatoria la designación de un DPD:

• • El tratamiento de datos personales lo realice una autoridad pública o un organismo público;

• • La entidad en cuestión tiene como actividad principal la realización de tratamientos de datos que, por su naturaleza, alcance y/o finalidad, requieran un seguimiento regular y sistemático de personas a gran escala;

• • La entidad en cuestión tiene como actividad principal la realización de tratamientos a gran escala de categorías especiales de datos (datos de salud, datos relativos a opiniones filosóficas o religiosas, etc.) o datos relativos a condenas o delitos penales.

Si se cumple uno de estos tres criterios, la entidad en cuestión deberá designar un DPO. Aunque el nombramiento de un DPO no es necesariamente obligatorio, en cualquier caso se recomienda encarecidamente designar al menos un representante del RGPD entre los empleados.

La AFCDP ha establecido una lista de 15 buenas razones para designar un DPO, es decir, la designación de un DPO:

• permite reducir el riesgo legal
• contribuye a la simplificación de los trámites
• permite que una organización tenga una relación privilegiada con la CNIL, con interlocutores dedicados
• permite que una organización implemente más rápidamente los tratamientos de datos personales
• mejora la imagen de marca de la organización
• contribuye a la mejora del clima social (gestión de la ciberseguridad)
• fomenta la implementación de un enfoque de calidad para la gestión de la información dentro de la organización (mapa de los tratamientos)
• contribuye a mejorar la política de seguridad informática de la organización
• contribuye a reducir los costos de procesamiento de la información (racionalización de los tratamientos, eliminación de datos obsoletos)
• contribuye a reducir los costos de gestión de clientes (ejercicio del derecho de acceso, gestión de disputas)
• permite identificar, por lo tanto controlar, los costos ya incurridos para la conformidad con la normativa de informática y libertades
• permite una mejor comprensión de las oportunidades del mercado (innovación)
• permite preparar una respuesta frente a la justicia en caso de investigación o disputa

El RGPD implica dos cambios principales en la forma en que los contables llevan a cabo sus funciones. En primer lugar, los contables ahora tienen el deber de informar a sus clientes sobre la obligación de cumplir con el RGPD. El RGPD establece una lógica de rendición de cuentas para todas las partes interesadas e impone obligaciones específicas a los subcontratistas que deben ayudar a los responsables del tratamiento de datos en su proceso de cumplimiento continuo.

Por lo tanto, en el momento en que una empresa actúa como subcontratista en el marco de sus misiones, debe, en particular, ayudar y asesorar a sus clientes en el cumplimiento de determinadas obligaciones previstas por el RGPD (análisis de impacto, notificación de infracciones, seguridad, destrucción de datos, contribución a las auditorías). Esto implica:

• • Una obligación de transparencia y trazabilidad

• • Tener en cuenta los principios de protección de datos desde el diseño y por defecto

• • Obligación de garantizar la seguridad de los datos tratados

• • Obligación de proporcionar asistencia, alertas y asesoramiento

Es en este contexto que la Orden de Censores Jurados de Cuentas recomienda, en particular, revisar los contratos de encargo celebrados entre los Censores Jurados de Cuentas y sus clientes, incluyendo en las cartas de encargo nuevas cláusulas sobre la responsabilidad por el tratamiento de datos personales.

Los gastos relacionados con el cumplimiento del RGPD se pueden contabilizar de diferentes maneras, dependiendo de su naturaleza y la estructura de la empresa. A continuación se presentan algunos ejemplos de posibles asignaciones contables: Gastos operativos: algunos gastos de cumplimiento pueden considerarse gastos operativos corrientes, como los costos de capacitación de los empleados, los costos de comunicación con las partes interesadas y los costos de actualización de la documentación legal. Inversiones: Los costos asociados con la actualización de los sistemas de TI y de seguridad pueden considerarse inversiones a largo plazo, que pueden amortizarse en varios años. Gastos excepcionales: En algunos casos, los gastos de cumplimiento pueden considerarse como gastos excepcionales, que pueden asignarse a lo largo de un período específico, como un año contable. Es importante consultar a un contador para determinar la asignación contable más adecuada para los gastos de cumplimiento del RGPD, según la estructura de la empresa y los requisitos contables locales.