Tu asesoría con el doble rol resuelto.
Eres responsable de tus propios datos Y encargada de los datos de toda tu cartera de clientes. Es la peculiaridad del sector y la fuente de la mayoría de las sanciones: contratos de encargo genéricos, subencargos de software sin autorización, transferencias internacionales del cloud, datos que no se devuelven al terminar. ÆGIS razona sobre el Art. 28 RGPD, te separa el RAT de responsable del de encargado, y te da una vista de cartera para llevar el cumplimiento de todos tus clientes desde un único panel.
AEPD: 4,7 M€ agregados en 2024 por la relación responsable-encargado
Sanciones documentadas: 15.000 € a 300.000 € · El encargado SÍ es sancionable directamente (Art. 83.4: hasta 10 M€ o 2% facturación)
Entidad sancionada con 300.000 € por dos infracciones en su relación con un proveedor encargado: 250.000 € por Art. 5.1.f (no garantizar seguridad frente a accesos no autorizados) y 50.000 € por Art. 28 (contrato de encargo genérico que solo reproducía el articulado del RGPD sin concretar medidas de seguridad, mecanismos de supervisión ni plazos de conservación). Sin evidencia de instrucciones específicas ni auditorías. Conducta negligente.
Encargado del tratamiento sancionado con 15.000 € por subcontratar parte del servicio (que prestaba como encargado: asesoría y apoyo comercial, venta telefónica) sin la autorización expresa, previa y escrita del responsable, infringiendo la prohibición contractual y el Art. 28.2 RGPD. El responsable revocó todos los accesos y puso fin a la relación.
Componente Art. 28 de la sanción por contrato de encargo genérico: 50.000 € exclusivamente por no concretar en el DPA las medidas de seguridad aplicables, las instrucciones documentadas del responsable, los plazos de conservación ni los mecanismos de supervisión. Un DPA de dos páginas que copia el RGPD no cumple.
Casos AEPD en que el encargado (empresa de servicios informáticos / asesoría) no devolvió ni suprimió los datos del responsable al finalizar la prestación, reteniendo equipos o información. Infracción del Art. 28.3.g (suprimir o devolver datos a elección del responsable al fin del servicio). Frecuente cuando hay disputa por facturas: retener datos como medida de presión es ilícito.
La AEPD impuso en 2024 sanciones por un total agregado de 4,7 millones de euros por infracciones relacionadas con la relación responsable-encargado: ausencia de contrato de encargo, autorización irregular de subencargados y deficiencias en la supervisión. Para una asesoría con decenas o cientos de clientes, el riesgo se multiplica por cada relación de encargo mal regulada.
Los 6 problemas reales, ya resueltos.
Cliente nuevo: empezar a llevar las nóminas sin contrato de encargo firmado
Nos entra una PYME nueva, nos pasa por email los datos de sus 12 empleados para que llevemos las nóminas, y empezamos a trabajar. El contrato de encargo lo firmamos 'cuando tengamos un rato'. ¿Pasa algo?
Art. 28.3 RGPD: el contrato de encargo (DPA) es obligatorio y debe ser PREVIO al tratamiento. El email con los datos de los 12 empleados ya es un tratamiento. Sin DPA, hay infracción tanto del cliente-responsable (eligió encargado sin regular la relación) como de la asesoría-encargada.
El agente te dice que NO trates ningún dato sin el DPA firmado, y que NO valga un genérico de dos páginas (la AEPD sancionó eso con 50.000 €). Te genera un contrato de encargo que concreta medidas de seguridad, instrucciones, plazos de conservación, subencargos autorizados y procedimiento de devolución. Lo guardas en tu panel de cumplimiento por cada cliente.
Software de nóminas en la nube de EE.UU. para toda la cartera
Usamos un software SaaS de nóminas buenísimo, pero los servidores están en EE.UU. Lo usamos para todos nuestros clientes. Nunca hemos pedido permiso a nadie ni lo hemos puesto en ningún contrato.
Doble problema: subencargo no autorizado (Art. 28.2) + transferencia internacional (Capítulo V RGPD). Cada cliente es responsable y debe autorizar el subencargo; el proveedor necesita garantías de transferencia (EU-US Data Privacy Framework o SCC actualizadas).
El agente identifica los dos problemas, te indica verificar la adhesión del proveedor al Data Privacy Framework, obtener autorización de los clientes (general con derecho de oposición), reflejar el subencargado en el DPA y en el RAT, e informar a los clientes de la cadena. Precedente: 15.000 € por subencargo no autorizado.
Doble RAT: mezclar tratamientos propios y de clientes en un solo registro
Tenemos un RAT donde está todo: nuestras propias nóminas, los datos de nuestros clientes, las nóminas que llevamos de los clientes... todo junto. ¿Está bien así?
No. La asesoría tiene DOBLE ROL y necesita DOS registros: el RAT como RESPONSABLE (Art. 30.1) de sus tratamientos propios, y el RAT como ENCARGADO (Art. 30.2) con las categorías de tratamientos por cuenta de cada cliente. Mezclarlos impide acreditar cada rol ante una inspección.
El agente te explica el doble rol y te ayuda a separar los dos registros. ÆGIS te genera el RAT como responsable (tus empleados, cartera comercial, web, videovigilancia) y, en la vista de cartera, el registro como encargado por cada cliente. Los guardas separados en tu panel.
Ransomware: el software de la asesoría cifra las nóminas de todos los clientes
Hemos tenido un ataque de ransomware. Han cifrado el servidor donde están las nóminas de todos nuestros clientes. ¿Tenemos que notificar nosotros a la AEPD en 72 horas?
Sobre los datos de los clientes, la asesoría es ENCARGADA: NO notifica directamente a la AEPD. Debe notificar a cada cliente-responsable SIN DILACIÓN INDEBIDA (Art. 33.2) para que cada uno valore y notifique en su plazo de 72h. Sobre los datos propios (sus empleados), la asesoría SÍ es responsable y notifica ella si hay riesgo.
El agente distingue los dos roles en la misma brecha, te da el protocolo de comunicación inmediata a clientes, y usa la herramienta de Brecha 72h de ÆGIS para evaluar el riesgo y generar el registro Art. 33.5 en ambas vertientes.
Cliente que se marcha y pide toda su documentación
Un cliente se va a otra asesoría y nos pide que le devolvamos todo. Tenemos una factura suya impagada. ¿Podemos retener sus datos hasta que pague?
No. Art. 28.3.g: a elección del responsable, suprimir o devolver todos los datos al fin del servicio, salvo los que haya que conservar por obligación legal (soportes fiscales: 4 años de prescripción tributaria; libros contables: 6 años Código de Comercio). Retener datos como presión por impago es apropiación ilícita (la AEPD lo ha sancionado).
El agente te indica devolver/suprimir según la elección del cliente, documentarlo en un acta, conservar solo lo legalmente obligatorio por el plazo estricto, y gestionar el impago por la vía contractual, NUNCA reteniendo los datos. Te facilita el acta de devolución/supresión.
La propia web y oficina de la asesoría
Tenemos web con formulario de contacto, banner de cookies y cámaras en la oficina. ¿Eso también es de los clientes o es nuestro?
En todo eso la asesoría es RESPONSABLE (de sus propios datos): banner de cookies conforme Guía AEPD enero 2024, cláusula informativa Art. 13 en el formulario, videovigilancia con cartel Art. 22 LOPDGDD y conservación máx. 30 días, política de privacidad propia. Van en el RAT como responsable.
El agente te aclara que esto es tu rol de responsable, no de encargado. ÆGIS te genera el banner de cookies conforme (con el botón rechazar al mismo nivel), la cláusula del formulario y la entrada del RAT como responsable.
8 plantillas listas para usar.
Generadas a partir del caso real de cada cliente. Documentos editables, con su base legal.
Contrato de encargo del tratamiento (DPA) Art. 28
Contrato de encargo completo que concreta medidas de seguridad, instrucciones documentadas, plazos de conservación, subencargos autorizados y procedimiento de devolución. No genérico.
Autorización de subencargo (software cloud, DPO externo)
Modelo de autorización general de subencargo con derecho de oposición e información sobre transferencias internacionales.
RAT como responsable del tratamiento
Registro de actividades de los tratamientos propios de la asesoría: empleados, cartera comercial, web, videovigilancia.
RAT como encargado del tratamiento
Registro de las categorías de tratamientos efectuados por cuenta de cada cliente-responsable.
Acuerdo de confidencialidad del personal
Compromiso de confidencialidad para empleados con acceso a datos de clientes, con formación y consecuencias del incumplimiento.
Acta de devolución/supresión al fin del servicio
Documento que acredita la devolución o supresión de los datos al terminar la relación con un cliente, indicando lo conservado por obligación legal.
Protocolo de brecha con doble rol
Procedimiento que distingue la notificación al cliente (datos como encargado) de la notificación a la AEPD (datos propios como responsable).
Protocolo de custodia de certificados digitales
Medidas de seguridad, autorización de uso y trazabilidad para los certificados digitales de clientes custodiados por la asesoría.
~70.000 asesorías y gestorías en España · cada una gestiona decenas de PYMEs. Modelo CANAL: una asesoría adopta ÆGIS y lo extiende a toda su cartera de clientes.
Una de las muchas carteras que tu asesoría puede atender con AIM ÆGIS.
Ofrece esto a tus clientes de asesorías.
Te enseñamos en 30 minutos cómo AIM ÆGIS razona sobre este sector y cómo quedaría bajo tu marca. Sin compromiso.
Solicita una demo