El deber de información de los Auditores como responsables del tratamiento

AUTOR: Ana Victoria Martínez 

FECHA: 31.01.2019

En respuesta a una consulta presentada por el Instituto de Contabilidad y Auditoría de Cuentas (“ICAC”), la Agencia Española de Protección de Datos (“AEPD”) ha confirmado la condición de responsable del tratamiento de los auditores. Según la AEPD el ejercicio de la actividad de auditoría de cuentas exige, por mandato legal, independencia respecto a la entidad auditada y, la conservación de la información obtenida durante un plazo determinado. Estas dos obligaciones son incompatibles con la condición de encargado de tratamiento, los cuales deben someterse a las instrucciones de los responsables de tratamiento y devolver o destruir los datos una vez cumplida la prestación contractual. 

En esta misma línea aunque desde otro punto de vista, se encuentran las autoridades de protección de datos alemanas, quienes consideran a los auditores responsables del tratamiento, dado que éstos asumen la responsabilidad derivada de la prestación de un servicio profesional especializado sometido al secreto profesional y al deber de confidencialidad.

Ninguno de los dos países, sin embargo, hace referencia alguna al deber de información del auditor derivado de su condición de responsable del tratamiento, de conformidad con lo establecido en el artículo 14 del RGPD. Como ya es sabido, el RGPD obliga a los responsables del tratamiento a facilitar información a los interesados relativa a diferentes aspectos del tratamiento de los datos, e.g. fines del tratamiento, destinatarios de los datos, plazo de conservación de los mismos, etc. 

Un auditor, en el desempeño de su actividad, puede tener acceso a todo tipo de datos personales (nombres, apellidos, correos electrónicos, direcciones, cuentas bancarias, etc.) de una numerosa categoría de interesados (empleados, personas de contacto de clientes, clientes y proveedores autónomos, personas de contacto de proveedores, potenciales proveedores, colaboradores, notarios, y muchos otros), según el tipo de empresa auditada. La lista de interesados de los cuales el auditor trata datos puede resultar muy extensa. Tan extensa que el cumplimiento de la obligación de informar puede resultar excesiva.

Si analizamos las excepciones que contempla el artículo 14.5 del RGPD nos encontramos, entre otras, con las siguientes:

Que la comunicación suponga un esfuerzo desproporcionado

Podría resultar aplicable al ejercicio de la función auditora, en tanto que la comunicación de la información a cada uno de los interesados implicados por la auditoría llegaría a constituir una tarea tan desproporcionada como infructuosa. 

El Reglamento ha suprimido la exigencia que contenía la Directiva 95/46/CE, de que los Estados miembros debían establecer garantías apropiadas, para que aplicara la excepción. Con base en esto, la antigua LOPD, exigía que la Agencia de Protección de Datos o el organismo autonómico equivalente, determinara en cada caso, que efectivamente existe imposibilidad o gran dificultad de informar. Si el Reglamento y nueva LOPDGDD han omitido la mención y el procedimiento mencionado, cabe interpretar que el Reglamento deja en manos del responsable de tratamiento que valore, y en su caso, pruebe, en cada caso concreto, si se dan o no las circunstancias que permiten la exención, sin necesidad de que la Agencia lo autorice. 

En este extremo, no obstante, hay que tener en cuenta la postura del Grupo de Trabajo del Artículo 29 (GT 29) que opta por la aplicación restrictiva de esta excepción, teniendo todo responsable de tratamiento que pretenda acogerse a la misma, el deber de sopesar el esfuerzo que implica para él facilitar la información al interesado y los efectos de no recibir la información para el interesado, debiendo quedar documentada tal evaluación, de conformidad con sus obligaciones de responsabilidad proactiva. Además, el citado Grupo de trabajo mantiene la postura de que los responsables de tratamiento que no tratan datos personales con fines de archivo de interés público, con fines de investigación científica o histórica, no deben aplicarla de forma sistemática.

Que la obtención o comunicación de los datos personales esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable de tratamiento,

condicionada a que establezca medidas adecuadas para proteger los intereses legítimos del interesado. En este sentido, los auditores y sociedades de auditoría están sujetos con arreglo a la Ley de Auditoría de Cuentas a la obligación de obtener de las entidades auditadas cuanta información precisen para la emisión del informe de auditoría. La Ley prevé el deber de custodia y de secreto de la información, como las medidas adecuadas dirigidas a la protección de los intereses legítimos de los interesados.

Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional.

-      El artículo 31 de la Ley de Auditoría de Cuentas, recoge la obligación de secreto de cuanta información conozcan en el ejercicio de su actividad, no pudiendo hacer uso de la misma para finalidades distintas de las de la propia actividad de auditoría. Por lo tanto, teniendo en cuenta su deber legal de sigilo profesional, si los auditores proporcionaran a los interesados la información a la que se refiere el artículo 14, podría vulnerarse la obligación de secreto profesional que aquellos deben a las entidades auditadas.

En este sentido, el estado alemán ha hecho uso de las facultades de limitación de las obligaciones que le otorga el artículo 23.1 del Reglamento y ha previsto expresamente en el artículo 29 de su Ley Federal de Protección de Datos (Bundesdatenschutzgesetz), que la obligación de información al interesado, no persistirá en la medida en que su cumplimiento revele información que, por su naturaleza, en particular debido a los intereses legítimos superiores de un tercero, debe mantenerse confidencial. Entendiendo así, que la obligación de información a los interesados no es exigible, si colisiona con el deber de confidencialidad de los auditores, siguiendo la línea de lo establecido en la mencionada excepción del artículo 14.5 d). 

La Agencia deberá pronunciarse al respecto, y aclarar si la obligación de informar de los auditores queda parcial o totalmente anulada y en su caso, con base en qué excepción o excepciones. No obstante, aplique una excepción u otra, y sea cual sea el alcance de las excepciones que se determinen, los auditores o sociedades de auditoría deberían tomar las medidas oportunas para proteger los derechos, libertades e intereses legítimos de los interesados y compensar la falta de información. Las medidas compensatorias se determinarán en función de las circunstancias del tratamiento, y según las directrices del GT29 pueden ser: la publicación de la información en su sitio web, anunciando proactivamente la información en un periódico, o en carteles en sus instalaciones.