Sector · Servicios profesionales · Canal

Tu asesoría
con el doble rol resuelto.

Eres responsable de tus propios datos Y encargada de los datos de toda tu cartera de clientes. Es la peculiaridad del sector y la fuente de la mayoría de las sanciones: contratos de encargo genéricos, subencargos de software sin autorización, transferencias internacionales del cloud, datos que no se devuelven al terminar. ÆGIS razona sobre el Art. 28 RGPD, te separa el RAT de responsable del de encargado, y te da una vista de cartera para llevar el cumplimiento de todos tus clientes desde un único panel.

Empezar gratis → Reservar demo (15 min)
SANCIONES AEPD DOCUMENTADAS

AEPD: 4,7 M€ agregados en 2024 por la relación responsable-encargado

Sanciones documentadas: 15.000 € a 300.000 € · El encargado SÍ es sancionable directamente (Art. 83.4: hasta 10 M€ o 2% facturación)

AEPD-CONTRATO-GENERICO-300K
300.000 €
Entidad sancionada con 300.000 € por dos infracciones en su relación con un proveedor encargado: 250.000 € por Art. 5.1.f (no garantizar seguridad frente a accesos no autorizados) y 50.000 € por Art. 28 (contrato de encargo genérico que solo reproducía el articulado del RGPD sin concretar medidas de seguridad, mecanismos de supervisión ni plazos de conservación). Sin evidencia de instrucciones específicas ni auditorías. Conducta negligente.
Causa: Contrato de encargo genérico (Art. 28) + falta de seguridad (Art. 5.1.f)
AEPD-SUBENCARGO-15K
15.000 €
Encargado del tratamiento sancionado con 15.000 € por subcontratar parte del servicio (que prestaba como encargado: asesoría y apoyo comercial, venta telefónica) sin la autorización expresa, previa y escrita del responsable, infringiendo la prohibición contractual y el Art. 28.2 RGPD. El responsable revocó todos los accesos y puso fin a la relación.
Causa: Subencargo no autorizado (Art. 28.2) · típico del software cloud sin permiso del cliente
AEPD-CONTRATO-GENERICO-50K
50.000 €
Componente Art. 28 de la sanción por contrato de encargo genérico: 50.000 € exclusivamente por no concretar en el DPA las medidas de seguridad aplicables, las instrucciones documentadas del responsable, los plazos de conservación ni los mecanismos de supervisión. Un DPA de dos páginas que copia el RGPD no cumple.
Causa: Contrato de encargo que no concreta medidas, instrucciones ni plazos (Art. 28.3)
AEPD-NO-DEVOLUCION-DATOS
0 €
Casos AEPD en que el encargado (empresa de servicios informáticos / asesoría) no devolvió ni suprimió los datos del responsable al finalizar la prestación, reteniendo equipos o información. Infracción del Art. 28.3.g (suprimir o devolver datos a elección del responsable al fin del servicio). Frecuente cuando hay disputa por facturas: retener datos como medida de presión es ilícito.
Causa: No devolución/supresión de datos al terminar el contrato (Art. 28.3.g)
AEPD-AGREGADO-2024-4.7M
4.700.000 €
La AEPD impuso en 2024 sanciones por un total agregado de 4,7 millones de euros por infracciones relacionadas con la relación responsable-encargado: ausencia de contrato de encargo, autorización irregular de subencargados y deficiencias en la supervisión. Para una asesoría con decenas o cientos de clientes, el riesgo se multiplica por cada relación de encargo mal regulada.
Causa: Magnitud agregada del incumplimiento del Art. 28 en 2024 · riesgo multiplicado por cartera
Casos del día a día

Los 6 problemas reales,
ya resueltos.

CASO 01

Cliente nuevo: empezar a llevar las nóminas sin contrato de encargo firmado

EL PROBLEMA

Nos entra una PYME nueva, nos pasa por email los datos de sus 12 empleados para que llevemos las nóminas, y empezamos a trabajar. El contrato de encargo lo firmamos 'cuando tengamos un rato'. ¿Pasa algo?

QUÉ EXIGE LA NORMATIVA

Art. 28.3 RGPD: el contrato de encargo (DPA) es obligatorio y debe ser PREVIO al tratamiento. El email con los datos de los 12 empleados ya es un tratamiento. Sin DPA, hay infracción tanto del cliente-responsable (eligió encargado sin regular la relación) como de la asesoría-encargada.

CÓMO LO RESUELVE ÆGIS

El agente te dice que NO trates ningún dato sin el DPA firmado, y que NO valga un genérico de dos páginas (la AEPD sancionó eso con 50.000 €). Te genera un contrato de encargo que concreta medidas de seguridad, instrucciones, plazos de conservación, subencargos autorizados y procedimiento de devolución. Lo guardas en tu panel de cumplimiento por cada cliente.

SANCIÓN TÍPICA SI SE INCUMPLE: 50.000 € documentado solo por el contrato genérico (componente Art. 28). Hasta 300.000 € si concurre fallo de seguridad.
CASO 02

Software de nóminas en la nube de EE.UU. para toda la cartera

EL PROBLEMA

Usamos un software SaaS de nóminas buenísimo, pero los servidores están en EE.UU. Lo usamos para todos nuestros clientes. Nunca hemos pedido permiso a nadie ni lo hemos puesto en ningún contrato.

QUÉ EXIGE LA NORMATIVA

Doble problema: subencargo no autorizado (Art. 28.2) + transferencia internacional (Capítulo V RGPD). Cada cliente es responsable y debe autorizar el subencargo; el proveedor necesita garantías de transferencia (EU-US Data Privacy Framework o SCC actualizadas).

CÓMO LO RESUELVE ÆGIS

El agente identifica los dos problemas, te indica verificar la adhesión del proveedor al Data Privacy Framework, obtener autorización de los clientes (general con derecho de oposición), reflejar el subencargado en el DPA y en el RAT, e informar a los clientes de la cadena. Precedente: 15.000 € por subencargo no autorizado.

SANCIÓN TÍPICA SI SE INCUMPLE: 15.000 € documentado por subencargo no autorizado · transferencia internacional ilegal añade exposición.
CASO 03

Doble RAT: mezclar tratamientos propios y de clientes en un solo registro

EL PROBLEMA

Tenemos un RAT donde está todo: nuestras propias nóminas, los datos de nuestros clientes, las nóminas que llevamos de los clientes... todo junto. ¿Está bien así?

QUÉ EXIGE LA NORMATIVA

No. La asesoría tiene DOBLE ROL y necesita DOS registros: el RAT como RESPONSABLE (Art. 30.1) de sus tratamientos propios, y el RAT como ENCARGADO (Art. 30.2) con las categorías de tratamientos por cuenta de cada cliente. Mezclarlos impide acreditar cada rol ante una inspección.

CÓMO LO RESUELVE ÆGIS

El agente te explica el doble rol y te ayuda a separar los dos registros. ÆGIS te genera el RAT como responsable (tus empleados, cartera comercial, web, videovigilancia) y, en la vista de cartera, el registro como encargado por cada cliente. Los guardas separados en tu panel.

SANCIÓN TÍPICA SI SE INCUMPLE: La falta de RAT o su llevanza incorrecta es infracción del Art. 30 · agravante en cualquier inspección.
CASO 04

Ransomware: el software de la asesoría cifra las nóminas de todos los clientes

EL PROBLEMA

Hemos tenido un ataque de ransomware. Han cifrado el servidor donde están las nóminas de todos nuestros clientes. ¿Tenemos que notificar nosotros a la AEPD en 72 horas?

QUÉ EXIGE LA NORMATIVA

Sobre los datos de los clientes, la asesoría es ENCARGADA: NO notifica directamente a la AEPD. Debe notificar a cada cliente-responsable SIN DILACIÓN INDEBIDA (Art. 33.2) para que cada uno valore y notifique en su plazo de 72h. Sobre los datos propios (sus empleados), la asesoría SÍ es responsable y notifica ella si hay riesgo.

CÓMO LO RESUELVE ÆGIS

El agente distingue los dos roles en la misma brecha, te da el protocolo de comunicación inmediata a clientes, y usa la herramienta de Brecha 72h de ÆGIS para evaluar el riesgo y generar el registro Art. 33.5 en ambas vertientes.

SANCIÓN TÍPICA SI SE INCUMPLE: No notificar (o notificar tarde) una brecha es infracción Art. 33 · agravante si hay datos de toda la cartera.
CASO 05

Cliente que se marcha y pide toda su documentación

EL PROBLEMA

Un cliente se va a otra asesoría y nos pide que le devolvamos todo. Tenemos una factura suya impagada. ¿Podemos retener sus datos hasta que pague?

QUÉ EXIGE LA NORMATIVA

No. Art. 28.3.g: a elección del responsable, suprimir o devolver todos los datos al fin del servicio, salvo los que haya que conservar por obligación legal (soportes fiscales: 4 años de prescripción tributaria; libros contables: 6 años Código de Comercio). Retener datos como presión por impago es apropiación ilícita (la AEPD lo ha sancionado).

CÓMO LO RESUELVE ÆGIS

El agente te indica devolver/suprimir según la elección del cliente, documentarlo en un acta, conservar solo lo legalmente obligatorio por el plazo estricto, y gestionar el impago por la vía contractual, NUNCA reteniendo los datos. Te facilita el acta de devolución/supresión.

SANCIÓN TÍPICA SI SE INCUMPLE: La apropiación de datos al fin del servicio ha sido sancionada por la AEPD (Art. 28.3.g).
CASO 06

La propia web y oficina de la asesoría

EL PROBLEMA

Tenemos web con formulario de contacto, banner de cookies y cámaras en la oficina. ¿Eso también es de los clientes o es nuestro?

QUÉ EXIGE LA NORMATIVA

En todo eso la asesoría es RESPONSABLE (de sus propios datos): banner de cookies conforme Guía AEPD enero 2024, cláusula informativa Art. 13 en el formulario, videovigilancia con cartel Art. 22 LOPDGDD y conservación máx. 30 días, política de privacidad propia. Van en el RAT como responsable.

CÓMO LO RESUELVE ÆGIS

El agente te aclara que esto es tu rol de responsable, no de encargado. ÆGIS te genera el banner de cookies conforme (con el botón rechazar al mismo nivel), la cláusula del formulario y la entrada del RAT como responsable.

SANCIÓN TÍPICA SI SE INCUMPLE: Banner de cookies no conforme: infracción muy grave Art. 72 LOPDGDD · cláusula informativa ausente: Art. 13-14.
Entregables incluidos

8 plantillas listas para usar.

Generadas a partir de tu caso real con los datos de tu administradora o comunidad. PDF y Word editables.

PLANTILLA 01

Contrato de encargo del tratamiento (DPA) Art. 28

Contrato de encargo completo que concreta medidas de seguridad, instrucciones documentadas, plazos de conservación, subencargos autorizados y procedimiento de devolución. No genérico.

BASE LEGAL: RGPD Art. 28.3 + Art. 32
FORMATO: PDF + Word editable
PLANTILLA 02

Autorización de subencargo (software cloud, DPO externo)

Modelo de autorización general de subencargo con derecho de oposición e información sobre transferencias internacionales.

BASE LEGAL: RGPD Art. 28.2 + Art. 28.4 + Capítulo V
FORMATO: PDF + Word editable
PLANTILLA 03

RAT como responsable del tratamiento

Registro de actividades de los tratamientos propios de la asesoría: empleados, cartera comercial, web, videovigilancia.

BASE LEGAL: RGPD Art. 30.1
FORMATO: PDF + Word editable
PLANTILLA 04

RAT como encargado del tratamiento

Registro de las categorías de tratamientos efectuados por cuenta de cada cliente-responsable.

BASE LEGAL: RGPD Art. 30.2
FORMATO: PDF + Word editable
PLANTILLA 05

Acuerdo de confidencialidad del personal

Compromiso de confidencialidad para empleados con acceso a datos de clientes, con formación y consecuencias del incumplimiento.

BASE LEGAL: RGPD Art. 29 + Art. 33 LOPDGDD
FORMATO: PDF + Word editable
PLANTILLA 06

Acta de devolución/supresión al fin del servicio

Documento que acredita la devolución o supresión de los datos al terminar la relación con un cliente, indicando lo conservado por obligación legal.

BASE LEGAL: RGPD Art. 28.3.g
FORMATO: PDF + Word editable
PLANTILLA 07

Protocolo de brecha con doble rol

Procedimiento que distingue la notificación al cliente (datos como encargado) de la notificación a la AEPD (datos propios como responsable).

BASE LEGAL: RGPD Art. 33-34 + Art. 33.2
FORMATO: PDF + Word editable
PLANTILLA 08

Protocolo de custodia de certificados digitales

Medidas de seguridad, autorización de uso y trazabilidad para los certificados digitales de clientes custodiados por la asesoría.

BASE LEGAL: RGPD Art. 32 + Art. 28.3
FORMATO: PDF + Word editable
Mercado

~70.000 asesorías y gestorías en España · cada una gestiona decenas de PYMEs. Modelo CANAL: una asesoría adopta ÆGIS y lo extiende a toda su cartera de clientes.

Disposición a pagar de referencia: 500-1.200 €/año para la asesoría como sujeto · modelo canal: margen por cada cliente gestionado desde la vista de cartera..

Empieza hoy

¿Listo para dormir tranquilo?

Plan Free abierto sin tarjeta. Si necesitas las plantillas operacionales y el agente razonando sobre tu sector, el plan Pro va por 29 €/mes con garantía de devolución 60 días.

Empezar gratis → Ver planes