Por qué los despachos siguen sin aplicarlo bien

Lo que pasa en la práctica: nadie dice abiertamente que el RGPD no le importe. Todo el mundo firma el Manual de Protección de Datos. Todo el mundo asiste al curso online de dos horas en septiembre. Y luego, en plena campaña, cuando el cliente manda la nómina por WeTransfer sin contraseña y el manager dice "bájatela ya que vamos con lo justo", nadie dice nada. Se marca la casilla cuando toca marcarla, y se saca adelante el encargo con lo que hay.

Esto no es un problema de conocimiento. Los socios saben lo que dice el artículo 32. El problema es estructural: la AEPD (Agencia Española de Protección de Datos) no audita despachos de auditoría de forma sistemática, la probabilidad de que una brecha salga a la luz durante el encargo es baja, y el coste de aplicar el RGPD a rajatabla (cifrado en todos los dispositivos, VPN dedicadas, pseudonimización de papeles de trabajo) recae sobre el despacho mientras el beneficio, si lo hay, recae sobre el interesado anónimo cuyo NIF aparece en la muestra de nóminas. En los despachos como el nuestro, la presión de honorarios hace el resto: el socio necesita el cliente, y nadie le va a decir al cliente que el encargo cuesta un 8% más porque hay que cifrar los portátiles. Esa es la brecha entre lo que dice el manual y lo que se hace en la práctica.

Encargado o responsable: la clasificación que casi nadie documenta

En teoría, la distinción es nítida: el cliente determina los fines del tratamiento, así que el cliente es el responsable, y tú te limitas a tratar los datos para los fines específicos de la auditoría siguiendo sus instrucciones documentadas. Eres el encargado. Fin de la discusión.

En la práctica, esto casi nunca está documentado en el expediente. Miras el papel de trabajo de planificación y hay una referencia genérica al cumplimiento del RGPD, pero la clasificación formal del rol (con el análisis de por qué eres encargado y no responsable) no aparece por ningún lado. Es un hueco que el ICAC todavía no explota en inspecciones, pero la AEPD sí podría explotarlo si hay una reclamación.

Como auditor externo actúas como encargado del tratamiento cuando: - Accedes a datos personales de empleados para realizar pruebas de nóminas - Revisas contratos que contienen información personal de terceros - Examinas sistemas que procesan datos de clientes con fines de testing

El cliente sigue siendo el responsable del tratamiento porque determina los fines y medios del procesamiento original. Según el artículo 28.3 del RGPD, como encargado debes procesar los datos personales únicamente siguiendo instrucciones documentadas del responsable, incluidas las relativas a transferencias a un tercer país o una organización internacional.

Dónde empieza el juicio profesional

Aquí es donde Socio A y Socio B discrepan legítimamente. Socio A sostiene que en auditorías legales el auditor actúa siempre como encargado, porque el cliente es quien define el alcance del encargo y los datos a los que se accede. Socio B responde que en ciertos procedimientos (revisión de calidad interna, análisis forense dentro de una investigación de fraude por ISA 240, documentación de comunicación con el comité de auditoría) el auditor determina autónomamente los fines del tratamiento, lo que le convierte en responsable para ese subconjunto de datos. Las dos posiciones tienen base en el artículo 4 del RGPD. Por lo que conozco, la práctica mayoritaria en España sigue la posición A por pura comodidad documental, pero la posición B es la que sostendría un abogado de la AEPD si el expediente llegara a inspección.

Base jurídica: lo que el artículo 6 resuelve y lo que no

La NIA-ES 200.15 te da derecho de acceso ilimitado a registros, documentación e información. Bajo el RGPD, ese acceso necesita una base jurídica válida y documentada. Para auditorías legales la base típica es el artículo 6.1.c del RGPD: cumplimiento de una obligación legal. Las empresas sujetas a auditoría tienen la obligación de proporcionar acceso completo, incluyendo registros con datos personales.

Para categorías especiales de datos (sensibles, artículo 9) hay que ir un paso más allá. La condición relevante para auditores es el artículo 9.2.f: el tratamiento es necesario para la formulación, ejercicio o defensa de reclamaciones judiciales. En nuestra experiencia, este matiz se olvida sistemáticamente cuando aparecen datos de salud en una revisión de provisiones por incapacidad o cuando la muestra de nóminas toca datos de afiliación sindical. El auditor asume que el 6.1.c le cubre todo. No le cubre los datos sensibles.

Medidas técnicas y organizativas: el artículo 32 en el trabajo de campo

El artículo 32 del RGPD exige medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. La norma es abstracta a propósito. La traducción a trabajo de campo real, no tanto.

Cifrado y acceso remoto

Los papeles de trabajo electrónicos deben estar cifrados en tránsito y en reposo. Esto incluye: - Cifrado de disco completo en todos los portátiles utilizados en el encargo - Conexiones VPN seguras cuando accedas a sistemas del cliente remotamente - Cifrado de archivos individuales para documentos con datos personales

Lo que pasa en la práctica es que el cifrado de disco completo está activado en los portátiles del despacho, pero los auditores siguen usando memorias USB sin cifrar para mover documentos del cliente, o abren los Excel de nómina en pantallas de cafetería durante la revisión remota. El cifrado del dispositivo no resuelve el problema de pantalla abierta en un AVE lleno de gente.

Para los papeles de trabajo físicos, controles de acceso físico: área de trabajo segura en las instalaciones del cliente, almacenamiento nocturno en armarios con cerradura, y política de escritorio limpio para documentos con datos personales. Nadie disfruta haciendo esto durante una campaña de 14 horas. Pero es lo que aparece en la inspección si hay una queja.

Gestión de acceso y segregación

Implementa controles de acceso basados en roles para los archivos de auditoría: - Los miembros junior solo acceden a los papeles de trabajo relevantes para sus asignaciones - Los socios revisores tienen acceso de solo lectura a datos personales, salvo que sea necesario para la revisión - Logs de acceso para todos los archivos que contienen datos personales

Pseudonimización cuando es viable

Cuando técnicamente se pueda, pseudonimiza los datos personales en los papeles de trabajo: - Reemplaza nombres de empleados por códigos identificativos en las pruebas de nóminas - Usa números de cliente en lugar de nombres en las pruebas de cuentas por cobrar - Mantén un archivo maestro separado, con acceso restringido, para la correspondencia entre códigos e identidades

La carta de encargo: el artículo 28 no admite genéricos

El artículo 28 exige que el tratamiento por parte del encargado se rija por un contrato que le vincule jurídicamente respecto del responsable. Traducción a despacho español: la carta de encargo estándar no vale. Hay que añadir cláusulas específicas de protección de datos y, lo que es más importante, hay que saber qué dice cada una.

Cláusulas obligatorias

Tu carta de encargo debe incluir como mínimo estas disposiciones:

Objeto y duración del tratamiento: El tratamiento de datos personales se limita a la realización de la auditoría de estados financieros para el período [especificar] de conformidad con las Normas Internacionales de Auditoría adoptadas por España (NIA-ES).

Naturaleza y finalidad del tratamiento: El auditor tratará datos personales únicamente con la finalidad de obtener evidencia de auditoría suficiente y adecuada para expresar una opinión sobre los estados financieros.

Tipos de datos personales: [Especificar categorías — por ejemplo: datos de identificación de empleados, información de nóminas, datos de contacto de clientes y proveedores]

Categorías de interesados: [Especificar — por ejemplo: empleados actuales y anteriores, clientes, proveedores, directivos]

Instrucciones documentadas: El auditor únicamente tratará los datos personales siguiendo las instrucciones documentadas de [nombre del cliente], incluidas las relativas a posibles transferencias de datos a terceros países en caso de revisión por parte de redes internacionales de auditoría.

Subcontratación y transferencias internacionales

Si tu firma pertenece a una red internacional que requiere revisiones de calidad, tienes que abordar las transferencias internacionales de datos. Para revisiones dentro del EEE no se requieren garantías adicionales, pero debes documentar el fundamento en el archivo. Para revisiones fuera del EEE, implementa las garantías adecuadas bajo el capítulo V del RGPD: cláusulas contractuales tipo de la Comisión Europea si el país de destino no tiene decisión de adecuación, o evaluación de transferencia bajo los criterios del EDPB si el país presenta riesgos adicionales.

Ahora bien, vaya por delante que este es el punto donde más despachos pequeños y medianos tienen el expediente flojo. La revisión de calidad externa se externaliza a un colega en Londres o Nueva York, los papeles se suben a una plataforma compartida, y nadie ha documentado que esa transferencia cumple con el capítulo V. Por lo que conozco, si la AEPD decide mirar con lupa, aquí encontraría material.

Ejemplo práctico: Manufacturas Industriales Mediterráneas S.L.

Manufacturas Industriales Mediterráneas S.L., empresa manufacturera con sede en Valencia que factura 28 millones de euros anuales, te contrata para auditar sus estados financieros del ejercicio 2024. La empresa tiene 150 empleados y mantiene una base de datos de clientes con 2.400 registros.

Paso 1: Clasificación de roles Documentación en el papel de trabajo A1-RGPD: Manufacturas Industriales Mediterráneas S.L. es el responsable del tratamiento de datos personales de empleados y clientes. Nuestra firma actúa como encargado del tratamiento únicamente para fines de auditoría según art. 28 RGPD.

Paso 2: Identificación de tipos de datos Durante la planificación identificas que accederás a: - Datos de nóminas de 150 empleados (incluyendo números de cuenta bancaria) - Base de datos de clientes con nombres, direcciones y datos de facturación - Contratos de alta dirección que incluyen información personal sensible

Documentación: Registro de tipos de datos personales a tratar, clasificados por categoría y nivel de riesgo según evaluación RGPD.

Paso 3: Aplicación de medidas técnicas Configuras cifrado AES-256 para todos los archivos de trabajo electrónicos y estableces una VPN dedicada para acceso remoto a los sistemas del cliente.

Documentación: Certificado de aplicación de medidas técnicas conforme art. 32 RGPD, incluyendo evidencia de cifrado y controles de acceso.

Paso 4: Modificación de la carta de encargo Añades una sección específica titulada "Tratamiento de datos personales" que incluye las cláusulas obligatorias del artículo 28.3, especificando que el tratamiento se limita a obtener evidencia de auditoría bajo las NIA-ES.

Documentación: Carta de encargo firmada con cláusulas RGPD específicas, archivada en sección contractual del expediente.

Paso 5: la complicación Mes y medio después, en plena revisión de nómina, detectas que el cliente tiene a dos empleados con incapacidad temporal prolongada y que las bajas médicas figuran en el sistema con el diagnóstico detallado. Es categoría especial del artículo 9. Tu carta de encargo no menciona específicamente este tipo de dato. Tu base jurídica de artículo 6.1.c no cubre datos sensibles.

¿Qué haces? Dos opciones defendibles. Puedes pedirle al cliente que pseudonimice los registros antes de darte acceso, lo que retrasa la muestra dos semanas. O puedes documentar que el acceso se hace bajo el artículo 9.2.f (defensa de reclamaciones judiciales, dado que la auditoría legal tiene esa finalidad material) y seguir adelante. El autor sugiere que aplicaría la segunda, pero documentando explícitamente el análisis de proporcionalidad y limitando el acceso al socio y al manager. La primera es más conservadora y la segunda más práctica. Ninguna es claramente correcta.

Paso 6: Procedimientos de retención y eliminación Estableces un período de retención de 6 años para los papeles de trabajo (conforme a requisitos profesionales) y procedimientos de eliminación segura al final de este período.

El expediente documenta el cumplimiento tanto con NIA-ES 230 como con obligaciones RGPD, proporcionando evidencia clara de que el manejo de datos personales cumple con ambos marcos.

Lista de verificación práctica

1. Modificar la carta de encargo estándar para incluir las cláusulas obligatorias del artículo 28.3 del RGPD, especificando tu rol como encargado del tratamiento y las instrucciones documentadas del responsable.

2. Implementar cifrado en todos los dispositivos de auditoría utilizados para almacenar o transmitir papeles de trabajo que contengan datos personales, conforme al artículo 32 del RGPD.

3. Crear un registro de tipos de datos personales que procesarás durante cada auditoría, clasificándolos por categoría de riesgo y documentando la base jurídica para el tratamiento.

4. Establecer procedimientos de acceso restringido para papeles de trabajo que contengan datos personales, limitando el acceso a miembros del equipo con necesidad legítima de conocimiento.

5. Documentar las medidas de transferencia internacional si tu firma pertenece a una red que requiere revisiones de calidad fuera del EEE, incluyendo las garantías apropiadas bajo el capítulo V.

6. Revisar la clasificación de rol (encargado vs. responsable) caso por caso, no asumir que todos los procedimientos de auditoría te colocan como encargado por defecto.

Errores frecuentes en la aplicación

- Confundir confidencialidad profesional con protección de datos. La obligación de confidencialidad bajo NIA-ES 220 no exime del cumplimiento de los requisitos específicos del RGPD para encargados del tratamiento.

- No documentar las transferencias internacionales. Enviar papeles de trabajo para revisión de calidad a oficinas fuera del EEE sin las garantías apropiadas del capítulo V es una transferencia ilegal bajo el RGPD.

- Usar la misma carta de encargo pre-RGPD. Las cartas anteriores a mayo de 2018 no incluyen las cláusulas contractuales obligatorias del artículo 28, creando una base legal deficiente para el tratamiento de datos personales.

- Dar por hecho que el artículo 6.1.c cubre todo. No cubre datos sensibles del artículo 9. Si la muestra toca datos de salud, afiliación sindical o similares, hay que documentar explícitamente el fundamento adicional del artículo 9.

Contenido relacionado

- Glosario: Datos personales en auditoría: Definición técnica de datos personales bajo el RGPD y su aplicación específica en el contexto de auditoría financiera.

- Calculadora de retención de papeles de trabajo: Herramienta para determinar los períodos apropiados de retención de datos considerando tanto requisitos profesionales como obligaciones RGPD.

- Guía: aplicación de la NIA-ES 220 Revisada: Cómo las nuevas obligaciones de gestión de calidad interactúan con los requisitos de protección de datos del RGPD.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.