La autoridad de Control, la Agencia Española de Protección de Datos, mediante la emisión de diferentes informes ante consultas formuladas, ha resuelto la cuestión planteada por parte de los auditores de cuentas y sociedades de auditoría respecto a determinar si estos actúan como encargados del tratamiento de la entidad auditada o como responsables.

 

De este modo, teniendo en cuenta las definiciones de responsable y encargado del tratamiento contenidas en el artículo 4 del Reglamento General de Protección de datos, así como la regulación que del encargado del tratamiento se efectúa en su artículo 28, debe considerarse que el criterio definidor de la condición de responsable del tratamiento viene dado por la potestad de determinar los fines y los medios del tratamiento, en tanto que el encargado debe limitar su actuación a seguir las instrucciones del responsable.

En estas consultas formuladas, los interesados parecen plantear la hipótesis de que el auditor de cuentas mantiene en relación con la entidad auditada, la condición de encargado del tratamiento, dado que la actividad desarrollada por el auditor se deriva de la existencia de un contrato celebrado con dicha entidad. Sin embargo, esta cuestión, ya fue analizada en el informe 272/2011, de 28 de julio, emitido por el Gabinete Jurídico de esta Agencia con ocasión del análisis, de conformidad con lo dispuesto en los artículos 37 h) de la Ley Orgánica, de 13 de diciembre, de Protección de datos de Carácter Personal, referente al Proyecto de Real Decreto por el que se aprobaba el Reglamento de desarrollo de la entonces vigente, Ley 19/1998, de 12 de julio de Auditoría de Cuentas. El referido informe se señalaba lo siguiente:

“En la actualidad, el artículo 14.1 de la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas, relativo al principio general de independencia al que resulta obligado todo auditor, reproduce lo señalado en el derogado Texto Refundido de la Ley de Auditoría de Cuentas, aprobado por el Real Decreto Legislativo 1/2011, de 1 de julio, y dispone que, «Los auditores de cuentas y las sociedades de auditoría deberán ser independientes, en el ejercicio de su función, de las entidades auditadas, debiendo abstenerse de actuar cuando su independencia en relación con la revisión y verificación de las cuentas anuales, los estados financieros u otros documentos contables se vea comprometida«.

El criterio definidor de la condición de responsable del tratamiento se fundamenta en el imperativo legal que faculta al auditor como figura independiente, no sometida a posibles instrucciones de su cliente. Por el momento, la AEPD no ha entrado a valorar ni a diferenciar si la auditoría externa se realiza por obligación legal o, si ésta se lleva a cabo de forma potestativa por parte de la entidad.

Entre las consecuencias en la práctica, indicar a las Entidades que no se debe firmar un contrato de encargo de tratamiento, si no que en el contrato de prestación de servicios con el auditor debe identificarse al auditor como responsable del tratamiento, prever una cláusula de confidencialidad de los datos, minimización de los datos ajustada a la finalidad de la actividad y deber de diligencia.

 

Publicado el 26 de Mayo de 2023
Por María González
Responsable del Departamento Jurídico