Pablo Fdez. Burgueño

Por qué no debe firmarse un contrato de encargo del tratamiento (CET) con los auditores de cuentas

por

Pablo F Burgueño
en

La relación entre una entidad auditada y su auditor de cuentas ha generado históricamente dudas en materia de protección de datos. En particular: ¿debe firmarse un contrato de encargo del tratamiento (CET) con el auditor?

A la luz del RGPD, la LOPDGDD y los tres documentos oficiales clave de la AEPD y el EDPB —el Informe 272/2011 de la AEPD, la respuesta de la AEPD de 2018 y las Directrices 07/2020 del EDPB— la respuesta es inequívoca:

No debe firmarse un contrato de encargo del tratamiento con los auditores de cuentas, porque estos actúan como responsables del tratamiento y no como encargados.

A continuación expongo el fundamento jurídico y doctrinal de esta conclusión.

1. La clave: quién decide los fines y los medios del tratamiento

El artículo 4.7 del RGPD define al responsable como quien determina los fines y medios del tratamiento.
El artículo 4.8 define al encargado como quien trata datos por cuenta del responsable, siguiendo sus instrucciones documentadas.

A partir de esta distinción, el análisis se reduce a una pregunta esencial:
¿puede el auditor recibir instrucciones de la entidad auditada sobre cómo debe tratar los datos?

La respuesta, tal y como establece la normativa de auditoría y confirman los informes de la AEPD, es rotundamente negativa.

2. El auditor debe ser independiente: incompatibilidad estructural con el rol de encargado

Tanto el Informe 272/2011 como la respuesta de la AEPD de 2018 enfatizan que:

  • El auditor no puede seguir instrucciones de la entidad auditada.
  • Su actividad está legalmente regulada y orientada a un fin propio: la emisión de una opinión técnica independiente.
  • El auditor decide qué datos necesita, durante cuánto tiempo los conserva, qué pruebas realiza y con qué metodología.

La consecuencia es inmediata: si el auditor no sigue instrucciones del auditado, no puede ser encargado del tratamiento.

Así lo concluye la AEPD en ambos documentos: el auditor actúa como responsable del tratamiento en el ejercicio de su actividad profesional.

3. El auditor conserva su documentación: otra incompatibilidad con el CET

El Informe 272/2011 es especialmente claro respecto a la obligación del auditor de:

  • Conservar los papeles de trabajo durante un plazo mínimo legal.
  • Mantenerlos disponibles para las autoridades de supervisión.

Esto es incompatible con la obligación típica del encargado de:

La normativa de auditoría, además, impide limitar contractualmente el ámbito del trabajo o su documentación, lo que confirma que el auditor no puede quedar sometido a un contrato de encargo del tratamiento.

4. El EDPB también confirma que los auditores son responsables

Las Directrices 07/2020 del Comité Europeo de Protección de Datos incluyen un ejemplo explícito: cuando una firma auditora decide qué información necesita, cómo la obtiene, cuánto la conserva y qué metodología aplica, actúa como responsable del tratamiento.

El ejemplo de las directrices reproduce exactamente el funcionamiento real de una auditoría de cuentas en España.

5. Consecuencia jurídica: no procede firmar un CET

Si el auditor es responsable (no encargado), no cabe suscribir un contrato de los previstos en el artículo 28 RGPD.

En su lugar, lo correcto es:

  • Considerar al auditor responsable del tratamiento independiente.
  • Documentar internamente la comunicación de datos entre responsables.
  • Prever en el contrato mercantil de auditoría una cláusula de confidencialidad, pero no un CET.

La propia AEPD, tanto en 2011 como en 2018, señala expresamente que la auditoría no es una actividad propia de un encargado y que el auditor es responsable del tratamiento.

6. Qué debe hacer la entidad auditada para cumplir con el RGPD

  1. No firmar un contrato de encargo del tratamiento con el auditor.
  2. Registrar la comunicación de datos como una comunicación entre responsables.
  3. Incorporar en el contrato de auditoría cláusulas de:
    • confidencialidad,
    • limitación de finalidad,
    • minimización de datos,
    • prohibición de uso para fines propios no relacionados con la auditoría.
  4. Informar a los interesados de que los datos podrán ser comunicados a auditores cuando exista una obligación legal o contractual.

Conclusión

La normativa española y europea de auditoría, unida al RGPD, configura al auditor como un responsable del tratamiento independiente, y no como un encargado sujeto a instrucciones del auditado.

Los tres documentos analizados, junto con el marco jurídico vigente, establecen una doctrina sólida, coherente y unificada:

No debe firmarse un contrato de encargo del tratamiento con los auditores.
Lo correcto es tratarlos como responsables independientes y regular la relación mediante un contrato mercantil y una comunicación de datos conforme al RGPD.

Comparte:

Ilustración con un escudo y un candado representando la protección de datos, junto a iconos de auditoría, documentos, lupa y gráfico de barras.

Contacta con Pablo

← Volver

Gracias por tu respuesta. ✨

Pablo te atenderá. Puedes ejercer tus derechos como se indica en Privacidad.

Suscríbete al blog

Tus datos serán tratados por Pablo. Puedes darte de baja en cada envío y como se indica en el aviso de privacidad.