RGPD gestorías
Guía completa RGPD para gestorías y asesorías (2026): qué te obliga la ley y cómo cumplirla
Información general sobre normativa. No sustituye el asesoramiento de un abogado ni el análisis de tu caso concreto.
Respuesta directa: el RGPD (Reglamento (UE) 2016/679) y la LOPDGDD (Ley Orgánica 3/2018) obligan a toda gestoría o asesoría española a mantener un registro de sus tratamientos de datos, firmar un contrato de encargado del tratamiento (art. 28 RGPD) con cada cliente cuyos datos gestiona, y notificar a la AEPD cualquier brecha de seguridad en un máximo de 72 horas (art. 33 RGPD). La mayoría de gestorías no necesita nombrar un delegado de protección de datos: la lista de entidades obligadas está cerrada en el art. 34.1 LOPDGDD y una asesoría no aparece en ella por el simple hecho de ser sujeto obligado de la ley contra el blanqueo de capitales. Esta guía, revisada por última vez el 16 de julio de 2026, explica cada obligación con su artículo exacto.
Este artículo es información general sobre normativa de protección de datos. No sustituye el asesoramiento de un abogado ni el análisis concreto de tu despacho: úsalo como mapa, no como dictamen jurídico.
Índice
- ¿A quién obliga el RGPD y por qué a tu gestoría le afecta dos veces?
- ¿Qué documentos tiene que tener tu despacho?
- ¿Necesitas un delegado de protección de datos?
- ¿Qué plazo tienes si hay una brecha de seguridad?
- ¿Cuánto tiempo tienes para responder a un cliente que pide sus datos?
- ¿Tu gestoría tiene alguna obligación extra por la ley contra el blanqueo de capitales?
- ¿Qué pasa si no cumples?
- Checklist: por dónde empezar
- Preguntas frecuentes
¿A quién obliga el RGPD y por qué a tu gestoría le afecta dos veces?
El RGPD se aplica a cualquier negocio, autónomo o entidad que trate datos de personas físicas en la Unión Europea, sin importar el tamaño. No hay una excepción para pymes ni para autónomos: una asesoría de dos personas y una multinacional se rigen por el mismo reglamento, aunque la cantidad de medidas concretas que necesita cada una sea distinta (art. 5 RGPD, principio de responsabilidad proactiva).
Una gestoría o asesoría es especial porque cumple dos papeles distintos que nunca se mezclan:
- Como encargada del tratamiento (art. 28 RGPD): cuando llevas la contabilidad, las nóminas o los impuestos de un cliente, tratas los datos de sus empleados, sus clientes o sus proveedores por orden de ese cliente. Él decide para qué se usan esos datos y responde de la base legal; tú firmas con él un contrato de encargado que fija qué puedes hacer, cómo proteges esos datos y qué pasa con ellos cuando termina el contrato.
- Como responsable del tratamiento: para los datos de tu propio negocio — tu plantilla, tus proveedores, tu propia facturación, tu marketing — respondes exactamente igual que cualquier otra empresa.
Si llevas la parte laboral de varios clientes, además tratas datos de salud (bajas médicas, grado de discapacidad) que aparecen en las nóminas: son datos de categoría especial (art. 9 RGPD) y requieren una obligación de confidencialidad reforzada con tu equipo, aunque la base legal para tratarlos sea la de tu cliente.
¿Qué documentos tiene que tener tu despacho?
El núcleo documental que exige el RGPD a una gestoría, con su artículo exacto:
- Registro de actividades de tratamiento (art. 30 RGPD): la lista de qué datos manejas, para qué y durante cuánto tiempo. Como encargado, tu versión del registro es más corta que la de un responsable (art. 30.2 RGPD).
- Contrato de encargado del tratamiento (art. 28 RGPD) con cada cliente cuyos datos gestionas — y con cada subcontratado si derivas parte del trabajo a otro profesional (art. 28.2 RGPD).
- Cláusulas informativas para tus propios clientes y para tu plantilla (arts. 13-14 RGPD): qué datos tratas, para qué y con qué base legal.
- Análisis de riesgos y, si procede, una evaluación de impacto (EIPD) cuando el tratamiento es probable que suponga un riesgo alto para las personas (art. 35 RGPD) — por ejemplo, si llevas el área laboral de muchos clientes a la vez y por tanto tratas datos de salud a gran escala.
- Registro de incidencias de seguridad (art. 33.5 RGPD): toda brecha se documenta internamente, se notifique o no a la AEPD.
- Política de conservación: cuánto tiempo guardas cada dato y cuándo lo borras (art. 5.1.e RGPD, principio de limitación del plazo de conservación).
- Procedimiento de derechos: cómo respondes cuando alguien pide acceder, rectificar, borrar o llevarse sus datos (arts. 12-22 RGPD).
¿Necesitas un delegado de protección de datos?
Casi seguro que no, y merece la pena explicarlo bien porque es una de las dudas que más circula entre gestorías. El art. 34.1 LOPDGDD (texto consolidado en el BOE) contiene una lista cerrada de tipos de entidad obligados a designar delegado, además de los supuestos generales del art. 37.1 RGPD (autoridades públicas, seguimiento habitual y sistemático a gran escala, o tratamiento a gran escala de datos de categoría especial).
Una asesoría o gestoría no aparece en esa lista por el hecho de prestar servicios fiscales, contables o laborales. La única letra del art. 34.1 LOPDGDD que menciona la normativa contra el blanqueo de capitales es la letra j), y se refiere a quien es responsable de un fichero común del sector (los ficheros de solvencia patrimonial o de prevención del fraude) — no a los profesionales que, como una gestoría, consultan o alimentan esos ficheros al aplicar sus obligaciones de identificación de clientes. Ser «sujeto obligado» de la Ley 10/2010 no te convierte en responsable de un fichero común.
Dicho esto, cada despacho es un caso concreto: si tu volumen de datos de salud gestionados por la parte laboral crece mucho, o si tratas datos a una escala fuera de lo habitual para el sector, revisa tu situación con un jurista. Aunque no te sea obligatorio, nombrar un delegado siempre es una opción voluntaria válida (art. 34.2 LOPDGDD) — con la salvedad de que, una vez nombrado, te sometes al mismo régimen que si fuera obligatorio.
¿Qué plazo tienes si hay una brecha de seguridad?
Si pierdes un portátil con datos, te entran en el correo o envías información a quien no tocaba, el reloj empieza a correr. El art. 33 RGPD fija un máximo de 72 horas desde que te enteraste para notificarlo a la AEPD a través de su sede electrónica, salvo que sea improbable que suponga un riesgo para los derechos de las personas afectadas. Si el riesgo es alto, además tienes que avisar directamente a las personas afectadas, sin demora y con lenguaje claro (art. 34 RGPD).
Incluso cuando decides que no hace falta notificar a la AEPD, la ley te obliga igualmente a dejar constancia interna del incidente en tu registro de incidencias (art. 33.5 RGPD): documentar todos los fallos, se notifiquen o no, es obligatorio.
¿Cuánto tiempo tienes para responder a un cliente que pide sus datos?
Cuando alguien te pide acceder a sus datos, corregirlos, que los borres o que se los entregues en un archivo para llevárselos a otro sitio, tienes un mes desde que recibes la petición para responder (art. 12.3 RGPD). Ese plazo se puede ampliar dos meses más en peticiones especialmente complejas, siempre que informes a la persona del motivo dentro del primer mes.
Si el plazo se te pasa, lo que corresponde no es ignorarlo: contesta cuanto antes, deja constancia de la fecha real de respuesta y sigue el procedimiento igualmente.
¿Tu gestoría tiene alguna obligación extra por la ley contra el blanqueo de capitales?
Si prestas asesoramiento fiscal, contable o laboral, la Ley 10/2010, de prevención del blanqueo de capitales y de la financiación del terrorismo, te convierte en «sujeto obligado» (art. 2.1) y te exige identificar a tus clientes —incluida la titularidad real de las sociedades— antes de empezar a trabajar para ellos. Esta obligación es independiente del RGPD, pero genera un tratamiento de datos propio (copia de documento de identidad, actividad económica, origen aproximado de los fondos) que también hay que documentar y proteger: acceso restringido, custodia separada del expediente fiscal ordinario.
¿Qué pasa si no cumples?
La AEPD es quien vigila el cumplimiento del RGPD en España. Puede pedir explicaciones, ordenar cambios, hacer un apercibimiento o imponer una multa. El art. 83 RGPD fija los máximos posibles en dos niveles — hasta 10 millones de euros o el 2 % de la facturación mundial anual, y hasta 20 millones o el 4 %, según la infracción, aplicándose la cifra más alta de las dos.
En la práctica, esas cifras son el techo legal, no lo habitual: la sanción se gradúa según la gravedad, el tamaño del negocio y si has colaborado con la Agencia. Según la propia AEPD, en 2025 la Agencia recibió 30.931 reclamaciones, la cifra más alta de su historia (+64 % respecto a 2024), e impuso sanciones por un total de 48.108.765 € — casi el 40 % de ese importe, por brechas de seguridad mal gestionadas. Son datos oficiales, no una amenaza: reflejan que el control se refuerza, y que la parte donde más se sanciona (brechas de seguridad) es precisamente la que se evita con un procedimiento interno claro y a tiempo.
Un negocio pequeño que tiene su documentación en orden, responde a tiempo y colabora con la Agencia no está en el escenario de las cifras máximas. Por eso conviene tener esto resuelto: no para evitar un susto puntual, sino para dejar de pensar en ello.
Checklist: por dónde empezar
Si no tienes nada preparado todavía, este es el orden razonable:
- Anota en una lista qué datos tratas por encargo de tus clientes y cuáles son tuyos propios (registro de actividades).
- Revisa que tengas firmado el contrato de encargado (art. 28 RGPD) con cada cliente activo.
- Escribe quién responde si llega una petición de derechos o una brecha de seguridad, y en qué plazo.
- Comprueba dónde están alojados tus programas y copias de seguridad: si salen de la Unión Europea, revisa las garantías de esa transferencia.
- Deja por escrito, con fecha, por qué no necesitas delegado de protección de datos (o por qué sí).
Cada uno de estos puntos tiene su propio documento modelo dentro de Tranquilia, generado a partir de las respuestas de tu wizard.
Preguntas frecuentes
¿El RGPD se aplica igual a un autónomo que a una empresa grande?
Sí. El reglamento no distingue por tamaño ni por forma jurídica (art. 5 RGPD). Lo que cambia es el volumen de medidas concretas que necesitas: una gestoría pequeña no necesita lo mismo que un gran despacho, pero ambos parten de las mismas obligaciones de base.
¿Una gestoría necesita el consentimiento de sus clientes para llevar su contabilidad?
No. La base legal para prestar el servicio contratado es la ejecución del contrato (art. 6.1.b RGPD), no el consentimiento. El consentimiento solo hace falta para lo que no es necesario para el servicio, como enviar boletines o promociones.
¿Qué diferencia hay entre responsable y encargado del tratamiento?
El responsable decide para qué se usan los datos y con qué base legal. El encargado los trata por cuenta de otro, siguiendo sus instrucciones. Una gestoría es encargada de los datos de los clientes de su cliente, y responsable de los datos de su propio negocio (art. 4.7 y 4.8 RGPD).
¿Cuánto tarda la AEPD en resolver una reclamación?
La guía no fija un plazo único de resolución para toda reclamación: depende del tipo de procedimiento. Lo que sí tiene plazo fijo es tu obligación de respuesta a las personas (un mes, art. 12.3 RGPD) y de notificación de brechas (72 horas, art. 33 RGPD).
¿Tener contratado un programa de gestoría en la nube me libera de responsabilidad?
No. El programa que usas es tu encargado del tratamiento (art. 28 RGPD): tú sigues siendo responsable de que exista un contrato con él y de elegir un proveedor que ofrezca garantías suficientes. La responsabilidad no se delega, se reparte por contrato.
¿Quieres verlo aplicado a tu propio despacho? Tranquilia genera automáticamente el registro de actividades, el contrato de encargado y el resto de documentos de esta guía a partir de un cuestionario adaptado a asesorías y gestorías. El nivel gratuito permite probarlo con hasta 2 empresas, sin tarjeta y sin límite de tiempo — visítalo en tranquilia.es.
Guía elaborada por Tranquilia by GRAC SA. Publicada el 16 de julio de 2026. Última revisión: 16 de julio de 2026. El contenido se apoya en fuentes oficiales citadas más abajo y no constituye asesoramiento jurídico individual.
Fuentes
- Reglamento (UE) 2016/679 (RGPD) — EUR-Lex
- Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) — texto consolidado, BOE
- Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales — BOE
- AEPD — Notificación de brechas de seguridad (art. 33 RGPD), Sede electrónica
- AEPD — Nota de prensa: «La Agencia recibió más de 30.000 reclamaciones en 2025, un 64% más que el año anterior» (6 de mayo de 2026)
Revisión: Tranquilia by GRAC SA — redacción asistida por IA con verificación de fuentes primarias
Pon a tus clientes en regla con el RGPD en 15 minutos.
Sin tarjeta. Sin comerciales. Dos empresas gratis, sin límite de tiempo.