fbpx

A juicio del autor auditores de cuentas, contables externos y asesores fiscales no están obligados a contar con la figura de un Delegado de Protección de Datos.

Sobre la obligatoriedad de contar con un Delegado de Protección de Datos para auditores de cuentas, contables externos y asesores fiscales

Tribuna Málaga
Protección de Datos

El Reglamento (UE) 2016/679 del Parlamento Europeo, de 27 de abril de 2016, y posteriormente la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los derechos digitales (LOPDGDD), han introducido la obligación de contar con un Delegado de Protección de Datos (DPD) para una pluralidad de entidades públicas y privadas.

Algunas figuras, entre las que se encuentran auditores de cuentas, contables externos y asesores fiscales son susceptibles de presentar dudas sobre la obligatoriedad de contar con un DPD. Ello deviene de la vinculación de estos profesionales con la obligatoriedad de cumplimiento de la Prevención de blanqueo de capitales. Son dos los preceptos en los que se fundamenta la posible obligatoriedad del DPD.

El artículo 34.1.j. La Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos preceptúa que obligatoriamente, deben nombrar un DPD: “Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo”.

El anterior precepto hay que relacionarlo con el artículo 2-m) de la Ley 10/2010 de Prevención del Blanqueo de Capitales y Financiación del Terrorismo establece como sujetos obligados “m) Los auditores de cuentas, contables externos o asesores fiscales”.

En esta tesitura, planteamos consulta a la Agencia de Protección de Datos. La misma se realizó en nuestra condición de DPD de los Colegios de Economistas de Granada y Córdoba, y para hacerla extensible a otros colegios profesionales.

Con fecha 22 de noviembre de 2019, la AEPD emitió su dictamen. Y, desgraciadamente, hemos de decir que no quedó nada aclarado, no existe un pronunciamiento expreso sobre la cuestión planteada. La falta de esta concreta orientación para los profesionales puede deberse tanto a una buscada ambigüedad, como al hecho de la nueva posición anglosajona del Reglamento. En efecto, ya no se trata en la nueva normativa de proporcionar una guía de actuaciones que, una vez cumplidas, eximan de responsabilidad. Ahora, el criterio es la proactividad; deberá hacerse “lo necesario” en cada momento.

Vamos al escrito de la AEPD. Tras una cita de preceptos genéricos, señala literalmente: “En consecuencia y en interpretación de este precepto,  respecto a la obligación de nombramiento de un DPD en los términos previstos en el artículo 34.1.j) de la LOPDGDD, alcanzará a los gestores o entidades responsables de sistemas que fueren creados, de acuerdo con lo previsto en la normativa vigente en materia de protección de datos de carácter personal, por entidades privadas con la finalidad de prevención del fraude en el sistema financiero (artículo 33.3 de la Ley 10/2010), es decir del fichero común de intercambio de información circunscrito a las entidades que tengan la consideración de sujetos obligados de  conformidad con lo previsto por la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo (artículo 2)”.

Parece ser que el concepto se circunscribe a entidades privadas creadas con esa finalidad. A partir de aquí, tenemos que volver al concepto de los ficheros, que deben ser objeto de tratamiento específico y por tanto dar lugar a la obligatoriedad del DPD. Se trata (art. 34.1.j), de los “ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude”.

Para una mejor identificación de estos ficheros nos remitimos al artículo 61 del Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. Este se ocupa de los “Ficheros comunes para el cumplimiento de las obligaciones en materia de prevención”. En el se contiene el desarrollo sobre los mismos, pero vamos a referirnos a los requisitos

Dichos sistemas deberán cumplir, al menos, los siguientes requisitos necesarios que se encuentran en su punto 2. Y son tres:

  1. a) Sólo podrá incorporarse al fichero información relacionada con operaciones que hubieran sido previamente objeto de comunicación por indicio al Servicio Ejecutivo de la Comisión, sin que se haya producido su devolución por este último, cuando, una vez rechazadas por el sujeto obligado comunicante, dichas operaciones fueran susceptibles de intentarse ante otros sujetos obligados.
  2. b) El tratamiento de los datos contenidos en el fichero únicamente podrá llevarse a cabo con la finalidad de prevenir o impedir operaciones relacionadas con el blanqueo de capitales o la financiación del terrorismo.
  3. c) El acceso a los datos contenidos en los ficheros quedará exclusivamente limitado a aquéllos sujetos obligados ante los que pudiera reiterarse la operativa a la que se refiera la información.
  4. d) Únicamente podrá tener acceso al fichero quienes integren los órganos de control interno a los que se refiere el artículo 35 de este reglamento.

Ciertamente, ninguno de los requisitos anteriores constituye el objeto de actividad de asesores fiscales y profesionales similares. Por tanto, a nuestro juicio, estos profesionales no están obligados a contar con la figura de un Delegado de Protección de Datos. Ello sin perjuicio de que debemos estar al desarrollo normativo o reglamentario de una normativa de tal reciente creación.

Ya lo dice la propia Agencia, cuando señala literalmente en su dictamen: “Ello, no obstante, muchos sujetos obligados deberían contar con un DPD como consecuencia de la aplicación del artículo 37.1 del RGPD”. Este mismo criterio es el recogido en el Grupo de trabajo sobre protección de datos del artículo 29, cuando señala que “A menos que resulte obvio que a una organización no se le requiere la designación de un DPD, el Grupo de Trabajo del artículo 29 recomienda que los responsables y encargados del tratamiento documenten el análisis interno realizado para determinar si debe nombrarse o no un DPD, a fin de poder demostrar que se han tenido en cuenta debidamente los factores pertinentes”.