Una asesoría contable o fiscal gestiona datos fiscales, datos bancarios, NIF de personas físicas, nóminas, información de bajas laborales y expedientes completos de decenas o cientos de clientes. Eso la convierte en encargada del tratamiento bajo el RGPD para todos esos clientes, además de responsable de sus propios datos internos. Son dos roles a la vez, con obligaciones distintas en cada uno.
La mayoría de asesorías firmaron un DPA hace años y no lo han vuelto a tocar. Con la aplicación plena del EU AI Act desde el 2 de agosto de 2026, ese documento puede haber quedado incompleto si el despacho usa cualquier herramienta de IA para procesar datos de clientes. Y el riesgo no es teórico: la AEPD puede sancionar hasta 20 millones de euros o el 4% de la facturación anual por incumplimiento del RGPD (art. 83), y el AI Act añade sanciones propias según el tipo y gravedad de la infracción.
Este tutorial explica qué revisar cada año, qué ha cambiado en 2026 y cómo sistematizar el proceso para que no consuma más de 2-3 horas anuales.
Los dos roles RGPD de una asesoría
Entender bien la diferencia entre los dos roles es el primer paso para saber qué documentos hay que tener y con quién.
| Rol | Cuándo aplica | Obligación principal |
|---|---|---|
| Responsable del tratamiento | Datos propios del despacho: empleados, proveedores, candidatos | Registro de Actividades de Tratamiento (RAT), cláusulas informativas, política de privacidad |
| Encargado del tratamiento | Datos de los clientes que gestiona: facturas, nóminas, declaraciones fiscales | Contrato DPA firmado con cada cliente (art. 28 RGPD), sub-encargados documentados si usa proveedores cloud |
El contrato DPA (Data Processing Agreement, o Acuerdo de Encargado del Tratamiento) es la pieza que más asesorías tienen sin actualizar. Si no está firmado con un cliente, la responsabilidad ante la AEPD no queda delimitada: ambas partes pueden responder solidariamente en caso de incidente, según el art. 82 del RGPD. El DPA no exonera, pero acota quién responde de qué y reduce la exposición de ambas partes.
Qué incluye la revisión RGPD anual
Una revisión anual bien hecha cubre seis puntos. No todos requieren el mismo tiempo, pero ninguno se puede saltar si se quiere tener el cumplimiento en orden.
Actualizar el Registro de Actividades de Tratamiento (RAT)
Incluir cualquier tratamiento nuevo del año: nueva herramienta de gestión documental, nuevo proveedor de email, nuevo sistema de firma digital, herramientas de IA incorporadas. El RAT no es un documento que se firma una vez y se olvida. Se actualiza cada vez que cambia algo relevante en cómo el despacho procesa datos.
Revisar y actualizar los DPA firmados con clientes
Verificar que todos los clientes activos tienen DPA firmado. Si en el año se incorporaron herramientas nuevas (OCR, IA, almacenamiento en nube), el DPA tipo puede necesitar actualizar la lista de sub-encargados. Guardar los DPA firmados con fecha y versión en la carpeta de cada cliente.
Verificar sub-encargados y proveedores cloud
Cada proveedor que accede a datos de los clientes (el servidor del software de contabilidad, el correo del despacho, el almacenamiento en nube) es un sub-encargado. Deben estar en la UE o contar con cláusulas contractuales tipo (SCCs) aprobadas por la Comisión Europea. Revisar que los contratos con cada proveedor lo cubren.
Actualizar la política de privacidad y los avisos informativos
La política del sitio web, los avisos en formularios de contacto y las cláusulas informativas de los contratos con clientes deben reflejar los tratamientos actuales. Si se incorporaron herramientas de IA durante el año, hay que mencionarlo de forma explícita en esos documentos.
Revisar el plan de respuesta a brechas de seguridad
Ante una brecha de datos, la asesoría tiene 72 horas para notificar a la AEPD. El plan debe indicar quién es el responsable interno, qué pasos seguir, cómo notificar a los clientes afectados y dónde está el formulario de notificación. Sin plan preparado, las 72 horas pasan muy deprisa.
Mapear herramientas de IA y clasificarlas por nivel de riesgo (novedad 2026)
Con el AI Act en vigor, si el despacho usa herramientas de IA para procesar datos de clientes, hay que clasificarlas según el Anexo III del Reglamento (UE) 2024/1689. Las herramientas de extracción OCR o resumen de documentos suelen ser riesgo mínimo. Los sistemas que tomen decisiones con impacto directo en personas pueden ser de alto riesgo y requerir supervisión humana documentada.
Lo que cambia con el EU AI Act desde agosto de 2026
El Reglamento (UE) 2024/1689 de Inteligencia Artificial entró en vigor en agosto de 2024 con aplicación progresiva. Desde el 2 de agosto de 2026 son aplicables los artículos relativos a sistemas de IA de propósito general y la mayoría de las obligaciones para sistemas de alto riesgo clasificados en el Anexo III.
Para la gran mayoría de asesorías, el impacto práctico es limitado: los sistemas de OCR para facturas o los asistentes de clasificación contable no están en las categorías de alto riesgo. Pero hay que verificarlo caso por caso, porque "IA que procesa datos personales" no equivale automáticamente a "sistema de alto riesgo".
Lo que sí cambia para cualquier asesoría que use IA es que el DPA con el cliente y la política interna de privacidad deben mencionar el uso de sistemas automatizados. La transparencia es uno de los principios básicos del AI Act: el cliente debe saber que sus datos son procesados por un sistema de IA y tener la posibilidad de solicitar revisión humana cuando el resultado le afecte directamente.
El error más habitual es asumir que si el proveedor de la herramienta cumple el AI Act, la asesoría también cumple automáticamente. No es así: la asesoría es quien despliega el sistema y quien debe documentar la supervisión humana cuando aplique.
Cómo sistematizar la revisión para que no consuma semanas
El mayor problema con las revisiones RGPD en asesorías no es que sean complicadas, sino que no tienen fecha fija y siempre hay algo más urgente. La solución más efectiva es convertirlo en un proceso recurrente anual con herramientas sencillas.
Paso 1: fijar la fecha. Elige un mes de baja carga del despacho (muchos eligen enero, después de la campaña de enero, o septiembre, al inicio del curso fiscal). Crea un evento recurrente anual en el calendario del equipo: "Revisión RGPD anual - 3 horas". Pon un recordatorio 15 días antes.
Paso 2: crear una carpeta compartida con todos los documentos vivos. Un único lugar (Google Drive, SharePoint, donde trabajes) con: el RAT, la plantilla DPA actualizada, la política de privacidad, el plan de brechas y la lista de sub-encargados con sus contratos. Si no existe esa carpeta, crearla es el primer paso de la primera revisión.
Paso 3: mantener un registro de DPA por cliente. Una tabla en Excel o en la intranet del despacho con tres columnas: nombre del cliente, fecha del DPA firmado, si está actualizado a la versión vigente. En la revisión anual, esa tabla es el punto de partida para ver cuántos clientes hay que actualizar.
Paso 4: delegar la ejecución del checklist. Con un checklist claro y la carpeta de documentos en orden, un técnico del despacho puede ejecutar los pasos 1 al 5 y marcar los que necesitan decisión del socio. El socio solo interviene en los puntos de firma o cambio de política. No hace falta que lo haga el socio cada año de forma personal.
Sin sistematizar
- -DPA firmado hace 3 años, nunca actualizado
- -Herramientas nuevas no mencionadas en ningún documento
- -Sin plan de brechas: si ocurre algo, improvisar en 72 horas
- -Documentos dispersos entre el servidor, emails y papel
- -La revisión RGPD se hace "cuando hay tiempo" (es decir, nunca)
Con checklist anual
- +DPA actualizado con todos los clientes activos
- +Herramientas de IA mapeadas y documentadas
- +Plan de brechas accesible en 2 minutos
- +Carpeta única con todos los documentos en versión actual
- +2-3 horas al año de revisión, el mismo mes cada año
Herramientas para el seguimiento
No hace falta software especializado para cumplir el RGPD en un despacho pequeño. Lo esencial funciona con herramientas habituales:
Para el RAT: un documento Word o Google Docs con el formato recomendado por la AEPD (disponible en su sede web), con control de versiones en el nombre del archivo. No hace falta sistema especial.
Para el seguimiento de DPA: una hoja de cálculo con cliente, fecha, versión y estado. Si el despacho usa algún CRM o herramienta de gestión de clientes, puede añadirse un campo "DPA firmado" con fecha.
Para los recordatorios automáticos: un evento de calendario recurrente anual con 15 días de antelación es suficiente para despachos pequeños. Si ya se usan herramientas de automatización como Make.com o n8n para otros procesos, puede añadirse un flujo que envíe el recordatorio al equipo y abra una tarea en el gestor del despacho.
La AEPD ofrece en su sede web plantillas de RAT y guías de cumplimiento gratuitas orientadas específicamente a despachos profesionales. Son el punto de partida más práctico si el despacho parte de cero.
Si tu despacho ya automatiza el alta de nuevos clientes, añadir la firma del DPA a ese mismo flujo es el paso natural: el cliente firma el encargo y el DPA a la vez, desde el móvil, sin trámites adicionales. Así, el cumplimiento RGPD entra en el proceso desde el primer día.
Si quieres ordenar por impacto qué procesos automatizar primero en tu despacho, estas cinco preguntas ayudan a priorizar sin dispersarse.
AutoApunte procesa datos fiscales de tus clientes con todas las garantías
Infraestructura en la UE, DPA incluido en el contrato de servicio, sin entrenar modelos con tus datos. Prueba 7 días o 100 documentos sin tarjeta ni compromiso.
Fuentes: Reglamento (UE) 2016/679 relativo a la proteccion de datos (RGPD) - BOE-DOUE - Reglamento (UE) 2024/1689 de Inteligencia Artificial (AI Act) - EUR-Lex - Agencia Española de Proteccion de Datos - aepd.es - Audidat "RGPD y AI Act en 2026: obligaciones para empresas" - audidat.com.