En el día a día de cualquier empresa, los procesos contables, fiscales y societarios requieren el tratamiento constante de datos personales. Estos procedimientos no solo manejan información sensible sobre empleados, clientes, proveedores y socios, sino que también están sujetos a múltiples obligaciones legales y regulatorias. En este contexto, la figura del Delegado de Protección de Datos (DPO) adquiere un papel fundamental para asegurar que dicho tratamiento se lleve a cabo de forma lícita, transparente y segura. El riesgo de exposición, las responsabilidades por parte del responsable del tratamiento y la presión normativa exigen una supervisión activa y estratégica por parte del DPO. Su intervención no debe limitarse a un asesoramiento puntual, sino extenderse a la revisión estructural de los flujos de datos en estos procesos clave para el funcionamiento organizativo. Contar con un sistema de Protección de datos bien definido y permanentemente actualizado es imprescindible para garantizar que la empresa actúa conforme al Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), especialmente cuando se trata de ámbitos tan transversales como los contables, fiscales y societarios. ¿Por qué estos procesos requieren una especial atención? Los procesos contables, fiscales y societarios implican: Acceso a información identificativa y económica. Tratamiento de datos personales en nóminas, facturación, declaraciones tributarias y documentación mercantil. Conservación de datos durante largos periodos de tiempo, por exigencia legal. Cesión frecuente a terceros, como asesores, gestorías, bancos o Administraciones Públicas. Además, suelen gestionarse mediante herramientas tecnológicas que, si no están correctamente configuradas, pueden generar riesgos importantes para la seguridad y la confidencialidad de los datos. Supervisión del DPO en procesos contables En este ámbito, el DPO debe prestar especial atención a: 1. Gestión de nóminas y pagos Incluye datos personales, bancarios, fiscales y de Seguridad Social. El DPO debe verificar: Que se recogen solo los datos estrictamente necesarios. Que se informa correctamente al trabajador sobre el tratamiento. Que los encargados del tratamiento (asesorías externas, gestorías) cumplen con el RGPD y tienen contratos adecuados. 2. Registro contable de operaciones Cuando en la contabilidad figuran datos de personas físicas (por ejemplo, proveedores autónomos o clientes), el DPO debe garantizar que: Existan cláusulas informativas en los contratos y facturas. Se limite el acceso a personal autorizado. Se conserven los documentos solo por el tiempo legalmente establecido. 3. Seguridad documental El tratamiento contable implica una importante gestión de documentación física y digital. El DPO supervisa que: Existan protocolos de archivo, acceso y destrucción segura. Se eviten errores comunes como enviar nóminas a correos incorrectos. Se cifren los documentos que contengan información sensible. Supervisión del DPO en procesos fiscales Las obligaciones tributarias suponen la comunicación constante de datos personales a la Agencia Tributaria y otros organismos públicos. Las principales áreas de intervención del DPO son: 1. Declaraciones tributarias y modelos fiscales El DPO debe garantizar que: Se comunique a los interesados que sus datos serán enviados a la AEAT. Los formularios se gestionen en entornos seguros. Se conserven las declaraciones el tiempo que marca la normativa fiscal, pero no más allá. 2. Cesiones de datos y confidencialidad En procesos como la aplicación de retenciones o la declaración de operaciones con terceros, los datos personales pueden ser compartidos con varios actores. El DPO debe: Verificar que dichas cesiones se ajustan a una base legal válida. Comprobar que se identifican correctamente como cesiones en los registros de tratamiento. Revisar las cláusulas de confidencialidad y contratos con terceros. 3. Evaluación del riesgo en aplicaciones fiscales Si la empresa utiliza software de gestión tributaria en la nube o comparte datos a través de plataformas externas, el DPO debe evaluar: Las medidas técnicas implementadas. La existencia de transferencias internacionales. El cumplimiento del proveedor con el RGPD. Estos controles forman parte esencial del sistema de Protección de datos y deben estar documentados para su auditoría. Supervisión del DPO en procesos societarios La gestión societaria también implica tratamiento de datos personales, especialmente de socios, accionistas, miembros del órgano de administración y representantes legales. Las funciones del DPO en este ámbito incluyen: 1. Redacción y firma de actas y contratos El DPO debe revisar que los documentos societarios contengan solo los datos estrictamente necesarios y que: Se evite incluir información personal no relevante. Los documentos estén protegidos contra accesos no autorizados. Existan registros adecuados de conservación y eliminación. 2. Convocatorias y juntas de socios Al organizar juntas o asambleas, se suele tratar información personal en las convocatorias, listas de asistencia o delegaciones de voto. El DPO debe: Verificar que la convocatoria incluye la información legal mínima. Comprobar que se respetan los derechos de privacidad de los socios. Supervisar que no se publiquen datos personales innecesarios en el tablón o página web. 3. Gestión de libros societarios Ya sea en formato físico o electrónico, los libros societarios contienen datos personales protegidos. El DPO debe revisar que: El acceso esté restringido y controlado. Se eviten filtraciones mediante sistemas de cifrado o auditoría. Se cumpla con el plazo legal de conservación y se destruya correctamente lo que ya no sea necesario. Funciones transversales del DPO en estos procesos Más allá del contenido específico de cada proceso, el DPO debe desarrollar una supervisión estructural que abarque: Revisión periódica de los registros de actividades de tratamiento. Evaluación de la necesidad de realizar una EIPD, en caso de automatización de estos procesos o incorporación de nuevas tecnologías. Validación de bases jurídicas: el DPO debe confirmar que el tratamiento se fundamenta en la ejecución de una obligación legal o contractual. Supervisión del cumplimiento de los derechos de los interesados, especialmente cuando solicitan acceso o supresión de documentos contables o fiscales. Participación en auditorías internas o externas para valorar el grado de cumplimiento. Además, debe actuar como interlocutor ante la AEPD si se produce una brecha de seguridad o se inicia un procedimiento de investigación. Principales riesgos del incumplimiento en estas áreas No integrar al DPO en los procesos contables, fiscales y societarios puede derivar en: Sanciones por parte de la AEPD por falta de medidas adecuadas. Reclamaciones de los interesados, especialmente trabajadores y socios.

La actividad de una correduría de seguros se basa en el análisis y la gestión de grandes volúmenes de datos personales de clientes, aseguradoras y terceros. Estos datos incluyen, entre otros, información identificativa, económica, familiar y, en muchos casos, datos especialmente protegidos como los relativos a la salud. En este contexto, la figura del Delegado de Protección de Datos (DPO) se convierte en un elemento esencial para garantizar la legalidad, seguridad y transparencia en el tratamiento de la información. Lejos de ser un mero requisito formal, el DPO desempeña un papel estratégico que requiere competencias legales, organizativas y comunicativas, especialmente en entornos como las corredurías, donde el tratamiento intensivo y continuo de datos es parte estructural del modelo de negocio. Desde el inicio de la actividad hasta la resolución de siniestros, el DPO debe participar activamente en la evaluación, supervisión y mejora del cumplimiento normativo en materia de privacidad. Esta labor forma parte de un sistema de Protección de datos sólido y actualizado, imprescindible en un entorno tan regulado como el asegurador. ¿Por qué es obligatorio designar un DPO en una correduría? El Reglamento General de Protección de Datos (RGPD) establece la obligación de designar un DPO cuando el tratamiento de datos se realiza a gran escala, de forma sistemática o sobre categorías especiales de datos. En el caso de las corredurías: Se tratan datos personales de miles de clientes. Se realizan evaluaciones sistemáticas de riesgos asegurables. Se accede con frecuencia a datos sensibles (salud, discapacidad, accidentes, etc.). Estas características hacen que la designación de un DPO no sea solo recomendable, sino obligatoria en la mayoría de los casos. Funciones clave del DPO en corredurías de seguros El artículo 39 del RGPD establece las funciones mínimas que debe cumplir un DPO, pero en la práctica, su rol en una correduría debe adaptarse a las particularidades del negocio asegurador. A continuación, te explicamos en detalle las principales responsabilidades que debe asumir: 1. Informar y asesorar al responsable o encargado El DPO debe: Orientar al personal sobre sus obligaciones en protección de datos. Aconsejar sobre la elección de bases jurídicas para cada tratamiento. Supervisar la inclusión de cláusulas de privacidad adecuadas en contratos, formularios y comunicaciones. Esta función exige una comunicación constante con los departamentos de atención al cliente, marketing, siniestros y administración. 2. Supervisar el cumplimiento normativo Incluye la revisión periódica de: Registros de actividades de tratamiento: deben estar actualizados y adaptados a cada flujo de datos (cotizaciones, contratación, gestión de siniestros, reclamaciones). Políticas de privacidad: redactadas en lenguaje claro, comprensible y adaptado al canal (presencial, online, telefónico). Consentimientos recogidos: especialmente para finalidades comerciales o tratamientos no necesarios para la relación contractual. 3. Asesorar sobre Evaluaciones de Impacto (EIPD) Cuando se implanten nuevos procesos digitales (como plataformas de cotización automática) o herramientas de análisis de riesgo personal, el DPO debe: Determinar si es necesaria una EIPD. Participar activamente en su elaboración. Recomendar medidas para mitigar riesgos identificados. Esto es fundamental en corredurías que aplican inteligencia artificial o big data para personalizar ofertas. 4. Cooperar con la AEPD En caso de inspección, consulta o notificación de brechas de seguridad, el DPO actúa como punto de contacto entre la correduría y la Agencia Española de Protección de Datos. Esta función requiere: Dominio técnico de la documentación exigida. Capacidad de respuesta ágil ante requerimientos. Conocimiento profundo de los tratamientos realizados por la organización. 5. Controlar la gestión de derechos de los interesados El DPO debe establecer procedimientos eficaces para: Recibir y responder solicitudes de acceso, rectificación, supresión, oposición o limitación. Asegurar los plazos legales de respuesta (máx. 1 mes). Registrar todas las solicitudes y su resolución. Este punto es especialmente delicado en casos de discrepancias sobre indemnizaciones o información compartida con aseguradoras. Ámbitos específicos en los que el DPO debe intervenir Contratación de pólizas El DPO debe verificar que solo se soliciten datos necesarios y proporcionales a la finalidad del seguro, evitando formularios excesivos o intrusivos. Emisión de comunicaciones comerciales Si se envían ofertas de seguros o renovaciones por email, SMS o teléfono, el DPO debe: Validar el consentimiento o base jurídica aplicable. Revisar los textos informativos de las campañas. Comprobar la existencia de sistemas de oposición y baja. Relación con aseguradoras y otros terceros En muchos casos, la correduría actúa como intermediaria entre el cliente y distintas aseguradoras. El DPO debe revisar que: Existan acuerdos de corresponsabilidad o contratos de encargo según el rol de cada parte. Se limite la cesión de datos a lo estrictamente necesario. Se mantenga una trazabilidad clara del flujo de información. Estas relaciones deben documentarse en el sistema de Protección de datos, incluyendo transferencias internacionales si las hubiera. Formación del personal Todo el equipo, desde agentes comerciales hasta administrativos, debe estar formado en protección de datos. El DPO es responsable de: Definir el plan formativo anual. Evaluar el nivel de cumplimiento. Resolver dudas y casos prácticos del día a día. Requisitos del DPO en el sector asegurador Para desempeñar su función con solvencia, el DPO en una correduría debe contar con: Conocimientos jurídicos actualizados en RGPD, LOPDGDD y normativa aseguradora. Conocimiento funcional del negocio asegurador, incluyendo tipología de productos, flujos de trabajo y riesgos específicos. Habilidades de comunicación para trasladar obligaciones legales a un lenguaje operativo. Además, debe actuar con independencia, sin recibir instrucciones ni sufrir conflictos de interés. Riesgos del incumplimiento o de una función deficiente del DPO Cuando la figura del DPO es puramente simbólica o sus funciones no se ejercen de forma real, la correduría se expone a: Sanciones por parte de la AEPD (hasta 20 millones de euros o el 4 % de la facturación anual). Reclamaciones de clientes por mala gestión de sus datos. Pérdida de reputación y confianza en el servicio ofrecido. Bloqueo de actividades promocionales o digitales por falta de evaluación previa. Por tanto, la supervisión efectiva del DPO debe ser parte inherente del sistema de cumplimiento. Buenas prácticas para integrar al DPO en la correduría Incluir al DPO desde el diseño de cualquier nuevo proceso. Dar acceso al DPO a

Los procesos de contratación financiera implican el tratamiento masivo de datos personales sensibles. Tanto si hablamos de la concesión de créditos, la apertura de cuentas, la contratación de seguros o cualquier otro producto financiero, las entidades recopilan y gestionan datos que van desde la identidad y el domicilio hasta información económica y, en ocasiones, de salud. Esta realidad hace imprescindible establecer medidas rigurosas para garantizar la privacidad y el cumplimiento legal. La protección de datos en este contexto no es solo una obligación normativa, sino una cuestión estratégica que impacta en la confianza del cliente, la reputación de la entidad y la seguridad operativa. Errores en este ámbito pueden derivar en sanciones cuantiosas y pérdidas de credibilidad difíciles de recuperar. Uno de los pilares de cumplimiento en este tipo de operaciones es el marco de Protección de datos, que proporciona la estructura y las herramientas necesarias para tratar la información personal conforme al Reglamento General de Protección de Datos (RGPD) y otras normativas aplicables del sector financiero. Riesgos en la contratación financiera: ¿por qué es crucial la protección de datos? Los procesos de contratación en entidades bancarias, aseguradoras, fintechs o plataformas de crédito implican, por su propia naturaleza, altos niveles de exposición al tratamiento de datos personales. Algunos riesgos frecuentes incluyen: Robo de identidad Filtraciones por brechas de seguridad Uso no autorizado o indebido de información económica Cesiones ilegales de datos a terceros Evaluaciones automatizadas sin transparencia ni garantías Estas situaciones no solo afectan a los derechos de los interesados, sino que pueden derivar en responsabilidades administrativas y judiciales. Además, en un entorno cada vez más digitalizado, el volumen de datos tratados aumenta exponencialmente, lo que eleva la complejidad de su gestión y protección. Fundamentos legales del tratamiento de datos en el sector financiero Según el RGPD, toda actividad de tratamiento debe basarse en una base jurídica válida, respetar los principios de minimización, exactitud, limitación del plazo de conservación, integridad y confidencialidad. En los procesos de contratación financiera, las bases más habituales son: Ejecución de un contrato: cuando el tratamiento es necesario para formalizar una relación contractual. Obligación legal: por normativa contable, fiscal, prevención del blanqueo de capitales, etc. Interés legítimo: por ejemplo, en el caso de controles de solvencia previos a la concesión de crédito. El consentimiento solo será requerido en circunstancias específicas, como en el uso de datos para finalidades comerciales no relacionadas directamente con la contratación. Claves para proteger los datos personales durante la contratación financiera Te contamos cómo garantizar una gestión segura y conforme a la normativa en todas las fases del proceso: 1. Información clara y accesible Uno de los principios básicos del RGPD es la transparencia. Antes de recabar cualquier dato, las entidades deben proporcionar al cliente información clara sobre: Finalidades del tratamiento Responsable y DPO Base jurídica Destinatarios y transferencias internacionales Derechos del interesado Plazos de conservación Esta información debe estar disponible de forma comprensible y sin lenguaje técnico excesivo. 2. Registro de actividades y análisis de riesgos Toda organización financiera debe contar con un registro de actividades de tratamiento que documente los procesos de contratación, junto con un análisis de riesgos que identifique posibles amenazas para los derechos de los interesados. Cuando el tratamiento entrañe un alto riesgo, se requiere una Evaluación de Impacto en Protección de Datos (EIPD). 3. Seguridad desde el diseño y por defecto Aplicar el principio de “privacy by design and by default” implica: Recoger solo los datos estrictamente necesarios Incorporar medidas técnicas desde el inicio del proceso (por ejemplo, cifrado o seudonimización) Limitar el acceso solo a personal autorizado Definir políticas claras de conservación y eliminación 4. Verificación de proveedores y encargados del tratamiento Las entidades financieras suelen apoyarse en terceros para gestionar determinados procesos, como la verificación de identidad, la evaluación de riesgos o la digitalización documental. Es esencial: Firmar contratos conforme al art. 28 del RGPD Evaluar las medidas técnicas y organizativas del proveedor Supervisar regularmente el cumplimiento Estas tareas forman parte esencial del sistema de Protección de datos y deben estar centralizadas por el responsable de tratamiento con el asesoramiento del DPO. 5. Prevención de brechas de seguridad La protección efectiva exige la implementación de un plan de gestión de incidentes que permita: Detectar brechas con rapidez Evaluar su impacto real Notificar a la AEPD y a los afectados si es necesario Documentar el proceso para auditoría En este sentido, la formación periódica del personal es clave para minimizar errores humanos, una de las principales causas de incidentes de seguridad en este ámbito. 6. Protección frente a decisiones automatizadas Muchas plataformas financieras utilizan algoritmos para evaluar la solvencia de los clientes. El RGPD exige: Informar al cliente si se toma una decisión automatizada sin intervención humana significativa Permitirle impugnar la decisión Ofrecer una explicación comprensible del criterio aplicado Ignorar esta obligación puede considerarse una infracción grave del principio de transparencia. Errores comunes en la protección de datos en contratación financiera Entre las prácticas que más frecuentemente vulneran el RGPD destacan: Uso genérico de cláusulas informativas sin adaptar a cada producto Solicitud excesiva de datos no necesarios para la finalidad Ausencia de medidas de cifrado o control de accesos Cesión de datos a terceros sin base legal ni contrato adecuado Eliminación incorrecta de documentos y contratos vencidos Corregir estas deficiencias requiere una revisión integral del sistema de cumplimiento, que debe gestionarse de forma continuada y estratégica. Casos reales: consecuencias del incumplimiento Multas por cláusulas opacas: varias entidades han sido sancionadas por la AEPD por no informar correctamente sobre la base jurídica y finalidades del tratamiento en sus procesos de contratación online. Brechas por errores humanos: la exposición de contratos por envío erróneo de emails ha generado sanciones por no aplicar medidas preventivas adecuadas. Transferencias sin garantías: algunas entidades han sido objeto de investigación por transferir datos a países sin nivel adecuado de protección, sin aplicar cláusulas contractuales tipo. Estos ejemplos demuestran que no se trata de una cuestión menor o hipotética, sino de una realidad regulada y fiscalizada activamente por las autoridades. Soluciones aplicables

En los sectores farmacéutico y sanitario, los procesos de farmacovigilancia y los ensayos clínicos implican un tratamiento exhaustivo y sensible de datos personales, especialmente datos relativos a la salud. La figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés) es crucial para garantizar que estas actividades se desarrollen conforme al marco normativo aplicable, evitando sanciones y asegurando los derechos de los interesados. El papel del DPO no se limita a la supervisión técnica: conlleva una responsabilidad activa y estratégica que requiere una comprensión profunda tanto del Reglamento General de Protección de Datos (RGPD) como de la normativa específica en el ámbito biomédico. Uno de los elementos fundamentales que el DPO debe tener en su radar es la correcta implementación de medidas de cumplimiento normativo a lo largo de todo el ciclo de vida del dato, desde la recogida en la fase inicial del ensayo hasta su almacenamiento y eliminación. Este análisis, asociado al servicio de Protección de datos, resulta indispensable en un sector donde la privacidad, la transparencia y la seguridad deben estar garantizadas con el máximo rigor. ¿Qué implica la farmacovigilancia desde el punto de vista del RGPD? La farmacovigilancia consiste en la monitorización continua de la seguridad de los medicamentos una vez han sido comercializados. Este proceso implica la recopilación, evaluación y prevención de efectos adversos, lo que conlleva inevitablemente el tratamiento de datos personales de pacientes, profesionales sanitarios y otros informantes. Claves normativas a considerar Base jurídica: el tratamiento se basa principalmente en el cumplimiento de una obligación legal o en el interés público (art. 6.1.c y 6.1.e del RGPD), y cuando se tratan categorías especiales de datos (como los relativos a la salud), en el art. 9.2.i. Finalidad limitada: los datos deben usarse únicamente para los fines de seguridad y vigilancia del medicamento, sin reutilización para propósitos incompatibles. Transparencia: se deben proporcionar políticas de privacidad claras, incluso cuando la recopilación no es directa del interesado. Ensayos clínicos: complejidad y sensibilidad en el tratamiento de datos En los ensayos clínicos, los riesgos en materia de privacidad aumentan debido a la intensidad del tratamiento, el volumen de datos y su grado de confidencialidad. Los DPO deben prestar especial atención a: Evaluaciones de impacto (EIPD) Una Evaluación de Impacto en Protección de Datos es obligatoria en ensayos clínicos que impliquen tratamiento sistemático y a gran escala de datos sensibles. El DPO debe revisar su contenido, asegurar que se abordan todos los riesgos detectados y que se han implementado medidas correctivas adecuadas. Consentimiento informado Aunque el consentimiento informado es esencial desde el punto de vista ético y legal del ensayo, no siempre será la base jurídica válida según el RGPD. El DPO debe distinguir entre consentimiento ético y consentimiento de protección de datos, velando por que este último sea libre, específico, informado e inequívoco si se utiliza como base jurídica. ¿Qué debe revisar específicamente el DPO en estos procesos? A continuación, detallamos los principales puntos de control y revisión que debe ejercer el Delegado de Protección de Datos en farmacovigilancia y ensayos clínicos: 1. Registro de actividades de tratamiento El DPO debe verificar que las organizaciones responsables mantienen un registro actualizado de las actividades de tratamiento vinculadas tanto a farmacovigilancia como a ensayos clínicos, incluyendo: Finalidades del tratamiento Categorías de interesados y de datos Bases jurídicas Cesiones o transferencias internacionales Plazos de conservación 2. Evaluación de legitimación y proporcionalidad Debe comprobarse que: La base legal está correctamente identificada Solo se tratan los datos estrictamente necesarios Se minimizan los datos anonimizando o seudonimizando siempre que sea posible 3. Políticas de transparencia y derechos El DPO debe garantizar que: Las políticas de privacidad estén redactadas de forma comprensible Se facilite el ejercicio de derechos de los interesados (acceso, rectificación, supresión, limitación, etc.) Exista un canal eficaz de respuesta a solicitudes 4. Transferencias internacionales de datos En el caso de ensayos o colaboraciones internacionales, el DPO deberá revisar las garantías aplicadas a las transferencias de datos fuera del Espacio Económico Europeo, como cláusulas contractuales tipo o decisiones de adecuación. 5. Relación con encargados del tratamiento Muchos procesos son externalizados, especialmente en ensayos multicéntricos o plataformas de notificación de efectos adversos. El DPO debe asegurar que: Existen contratos de encargo ajustados al art. 28 del RGPD Se han auditado las medidas técnicas y organizativas implementadas por el encargado Se mantiene una supervisión constante del cumplimiento 6. Seguridad de la información Aunque no es un experto técnico, el DPO debe asegurarse de que existen medidas de seguridad adecuadas y proporcionales, como: Control de accesos Cifrado de datos Gestión de incidencias Protocolos de copia de seguridad En este sentido, el seguimiento constante del cumplimiento en proyectos de investigación debe integrarse dentro de un plan estratégico más amplio de Protección de datos, supervisado con criterio profesional. Buenas prácticas y recomendaciones para el DPO A la luz de lo anterior, recopilamos algunas recomendaciones esenciales: Integrarse desde el diseño: participar desde el inicio de cada nuevo ensayo o sistema de farmacovigilancia, como parte de la estrategia de «privacy by design». Colaborar con comités éticos: establecer una comunicación fluida y transversal. Formación continua: actualizar conocimientos sobre normativa clínica, bioética y protección de datos. Supervisión activa: auditar periódicamente y no limitarse a funciones pasivas de consulta. Consecuencias del incumplimiento La falta de control por parte del DPO puede derivar en: Sanciones económicas por parte de la AEPD Daño reputacional severo Pérdida de confianza de pacientes y organismos reguladores Obstáculos en la publicación de resultados científicos Por ello, contar con un programa integral de cumplimiento normativo, acompañado de un DPO competente, es una exigencia y no una opción. Cómo afrontar con garantías estos retos El contexto regulatorio actual exige un enfoque técnico y legal altamente especializado. Las organizaciones deben diseñar estrategias de cumplimiento normativo en las que el DPO actúe como un agente de control y de impulso de la cultura de protección de datos. En Audidat, aplicamos este enfoque con una solución integral de asesoramiento en Protección de datos, alineada con los estándares sectoriales, adaptada al