RGPD i LOPDGDD: protecció de dades fiscals a la gestoria
El Reglament (UE) 2016/679 (RGPD) i la Llei Orgànica 3/2018 (LOPDGDD) regulen com l’AEAT, les gestories i qualsevol entitat que tracti dades tributàries de tercers han de recollir, conservar i cedir aquesta informació. La LOPDGDD està en vigor des del 6 de desembre de 2018 i s’aplica de forma directa a tot despatx que gestioni nòmines, IRPF o dades de clients.
Consultes sobre RGPD i dades fiscals que IgeraGestories resol automàticament
Base legal sense consentiment del contribuent
Art. 6.1.c) i 6.1.e) RGPD
L’AEAT i les gestories poden tractar dades fiscals per complir obligacions legals tributàries o per exercir funcions d’interès públic, sense necessitat de sol·licitar consentiment exprés del contribuent. Aquesta base ha estat validada de forma reiterada pel Tribunal Suprem.
Principi de minimització de dades
Art. 5.1.c) RGPD
Només es poden recollir les dades adequades, pertinents i limitades al necessari per a la finalitat fiscal o laboral concreta que es gestiona. Una gestoria no ha d’emmagatzemar dades del client que no siguin funcionalment necessàries per al servei contractat.
Principi de limitació de finalitat
Art. 5.1.b) RGPD
Les dades recollides per a un tràmit tributàri concret no poden reutilitzar-se per a finalitats diferents i incompatibles sense una nova base legal. Això limita, per exemple, l’ús de dades fiscals per a finalitats comercials sense consentiment addicional.
Entrada en vigor de la LOPDGDD
Llei Orgànica 3/2018, de 5 de desembre (BOE-A-2018-16673)
La LOPDGDD està en vigor des del 6 de desembre de 2018 i completa el RGPD adaptant-lo al dret espanyol, incloent garanties addicionals de drets digitals aplicables a tota gestoria que tracti dades personals.
Àmbit subjectiu d’aplicació
RGPD (UE) 2016/679 + LOPDGDD
La normativa s’aplica a l’AEAT, a les gestories i a qualsevol entitat que tracti dades fiscals de tercers en el desenvolupament de la seva activitat, amb independència de la mida del despatx o del volum de dades tractades.
Notificació de bretxes de seguretat
Art. 33 RGPD
Tota gestoria que pateixi una violació de seguretat de dades fiscals amb risc per als drets dels afectats ha de notificar-ho a l’autoritat de control en un termini màxim de 72 hores des que en té coneixement.
IgeraGestories en acció — RGPD i dades fiscals
Usuari
Puc utilitzar les dades fiscals dels meus clients per enviar-los ofertes d’altres serveis de la gestoria sense demanar-los permis?
IgeraGestories
No de forma directa. Les dades fiscals que reculls per gestionar models tributaris o nòmines estan emparades per l’art. 6.1.c) RGPD (obligació legal), però el principi de limitació de finalitat (art. 5.1.b RGPD) impedeix reutilitzar-les per a finalitats comercials incompatibles sense una base legal addicional, com el consentiment exprés del client (art. 6.1.a RGPD) o un interès legitim degudament ponderat.
Font: Reglament (UE) 2016/679 (RGPD), art. 5.1.b) i 6.1 — boe.es/buscar/act.php?id=BOE-A-2018-16673
Preguntes freqüents — RGPD i dades fiscals
Necessita l’AEAT el consentiment del contribuent per tractar les seves dades fiscals?
No. L’Administració tributària tracta les dades sobre la base de l’art. 6.1.c) i 6.1.e) del RGPD — compliment d’una obligació legal i exercici de poders públics —, no del consentiment de l’art. 6.1.a). Això ha estat confirmat de forma reiterada pel Tribunal Suprem.
Una gestoria també pot tractar dades fiscals dels seus clients sense consentiment exprés?
Sí, quan el tractament és necessari per complir una obligació legal (presentar models tributaris, mantenir llibres comptables) o per executar l’encàrrec del client, emparat en l’art. 6.1.b) i 6.1.c) RGPD. Fora d’aquests supòsits, cal una base legitimadora explícita i documentada.
Què significa el principi de minimització de dades aplicat a una gestoria?
Vol dir que només es poden recollir i conservar les dades estrictament necessàries per a la finalitat tributària o laboral concreta (art. 5.1.c RGPD), evitant acumular informació addicional del client sense justificació funcional.
Què implica el principi de limitació de finalitat?
Les dades fiscals recollides per gestionar un model o una nòmina no es poden reutilitzar per a finalitats incompatibles — per exemple, campanyes comercials — sense una base legal o consentiment addicional, conforme a l’art. 5.1.b RGPD.
Des de quan és vigent la LOPDGDD a Espanya?
La Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals, està en vigor des del 6 de desembre de 2018 i desenvolupa i completa el RGPD en l’àmbit espanyol (BOE-A-2018-16673).
Què ha de fer una gestoria si detecta una bretxa de seguretat en dades fiscals de clients?
Ha de notificar-ho a l’Agència Espanyola de Protecció de Dades en un termini màxim de 72 hores des que en té coneixement, quan la bretxa comporti un risc per als drets i llibertats dels afectats, segons l’art. 33 RGPD.
Aquest contingut constitueix assessorament legal?
No. Aquesta informació és de caràcter divulgatiu i no substitueix l’assessorament personalitzat. Per a qualsevol decisió concreta sobre tractament de dades fiscals, consulta un gestor o un advocat col·legiat especialitzat en protecció de dades.
