FabriqueFabrique
Empezar
Todos los artículos

7 de julio de 2026 · 8 min de lectura

RGPD y recopilación de documentos de clientes: lo que hay que saber

Cada vez que un despacho pide a un cliente su DNI, sus extractos bancarios o sus nóminas, está tratando datos personales — y a menudo datos especialmente sensibles. El RGPD no es una formalidad reservada a los departamentos jurídicos de las grandes empresas: se aplica igual a un despacho de tres personas que recopila documentos por email o a través de un portal.

Esta guía repasa los principios que de verdad importan al recopilar documentos de clientes: la base legal del tratamiento, la minimización de datos, los plazos de conservación, la seguridad exigible, los derechos del cliente y el reparto de responsabilidades con el proveedor de la herramienta que uses. Sin certificaciones que nadie tiene ni promesas vacías — solo los principios generales del RGPD, aplicados a un caso muy concreto.

¿Con qué base legal se pueden pedir estos documentos?

El RGPD exige que todo tratamiento de datos personales se apoye en una base legal identificada. En la recopilación de documentos de un despacho, las dos bases más habituales son la ejecución de un contrato (necesitas el DNI y los ingresos del cliente para tramitar su expediente de préstamo, por ejemplo) y el cumplimiento de una obligación legal (necesitas ciertos documentos fiscales o contables porque una norma te obliga a conservarlos o a verificarlos).

En la práctica, casi todos los documentos que pide un despacho — bróker, asesor contable, consultor de subvenciones, asesor de cesión de empresa — entran en una de estas dos categorías. Rara vez hace falta invocar el consentimiento explícito del cliente como base legal, salvo para usos accesorios ajenos al expediente en curso.

El principio de minimización: pedir solo lo necesario

El RGPD impone que solo se recojan los datos estrictamente necesarios para la finalidad perseguida. Aplicado a la recopilación de documentos, esto significa resistir la tentación de pedir «por si acaso» piezas que no son necesarias para el expediente en curso.

Una checklist de documentos bien diseñada es, en sí misma, una herramienta de minimización: en vez de pedir una carpeta genérica con «todo lo que tengas», define con precisión qué documento se necesita y para qué expediente, evitando acumular información sensible que el despacho no va a usar nunca.

Plazos de conservación: ni indefinido, ni demasiado corto

Los plazos de conservación varían según la naturaleza del documento y las obligaciones legales que se le apliquen: algunos documentos contables y fiscales deben conservarse durante periodos largos — del orden de una decena de años en ciertos casos — mientras que otros datos, sobre todo los más sensibles como una copia de DNI o de pasaporte, no deberían conservarse más allá de lo que dure el expediente que justificó su recogida.

El error más común no es conservar demasiado poco, sino demasiado: expedientes de clientes que ya no lo son, copias de identidad de hace años que nadie ha pensado en borrar. Definir una política de conservación por tipo de documento, y aplicarla de verdad, es tan importante como definir qué se recoge en un primer momento.

Seguridad: cifrado, alojamiento en la UE y accesos controlados

Los documentos que circulan en un despacho — identidad, finanzas, a veces otros datos sensibles — exigen medidas de seguridad proporcionadas al riesgo. Los principios básicos son conocidos: cifrado de los datos en tránsito y en reposo, alojamiento dentro de la Unión Europea para evitar transferencias internacionales complejas de justificar, y un control de accesos que limite quién, dentro del despacho, puede ver qué expediente.

Un punto que se pasa por alto con frecuencia: la trazabilidad. Poder demostrar quién ha accedido a un documento y cuándo no es solo una buena práctica de seguridad, es también lo que permite responder con precisión si un cliente pregunta quién ha visto sus datos.

Los derechos del cliente sobre sus propios documentos

El RGPD reconoce al cliente — titular de los datos — una serie de derechos que el despacho debe poder honrar sin fricción: el derecho de acceso (saber qué datos se tienen sobre él), el derecho de rectificación (corregir un dato erróneo) y el derecho de supresión (pedir que se borren los datos, dentro de los límites de las obligaciones legales de conservación que puedan primar sobre esa solicitud).

En la práctica, esto supone poder localizar rápidamente todos los documentos asociados a un cliente concreto — algo mucho más sencillo cuando los documentos están centralizados en un solo sistema que cuando están repartidos entre varias bandejas de entrada y varios ordenadores.

El proveedor de la herramienta también tiene obligaciones

Cuando un despacho usa un software externo — de recopilación de documentos, de gestión de expedientes o de cualquier otra función — para tratar datos de sus clientes, el RGPD distingue dos papeles: el despacho es el responsable del tratamiento, y el proveedor del software actúa como encargado del tratamiento. Esta relación debe formalizarse mediante un acuerdo de tratamiento de datos, que precisa qué hace el proveedor con los datos, dónde los aloja y qué garantías ofrece.

Antes de elegir cualquier herramienta que vaya a manejar documentos de clientes, vale la pena pedir ese acuerdo y verificar, como mínimo, dónde se alojan los datos y quién tiene acceso a ellos — más allá de lo que diga la página de marketing del proveedor.

Email frente a portal seguro: dos niveles de riesgo muy distintos

Pedir documentos por email, aunque sea la costumbre más extendida, es probablemente la práctica menos alineada con los principios del RGPD. Los documentos se acumulan en bandejas de entrada sin cifrar de forma sistemática, sin ningún registro centralizado de quién los ha consultado, y purgarlos de verdad — de la bandeja de entrada, de las carpetas de archivo, de las copias de seguridad del cliente de correo — es en la práctica casi imposible.

Un portal seguro de recopilación cambia esa ecuación: los accesos quedan trazados, la eliminación de un documento se hace desde un único lugar en vez de perseguir copias dispersas, y el alojamiento dentro de la Unión Europea se controla de antemano en vez de depender de dónde tenga sus servidores el proveedor de correo de cada cliente. No convierte automáticamente a un despacho en «conforme al RGPD» — eso depende de todos los principios anteriores — pero elimina de raíz uno de los puntos de riesgo más difíciles de controlar con el email.

Preguntas frecuentes

¿Necesito el consentimiento del cliente para pedirle sus documentos?
En la mayoría de los casos no: la base legal suele ser la ejecución del contrato o el cumplimiento de una obligación legal, no el consentimiento. Este último solo entra en juego para usos accesorios, ajenos al expediente en curso.
¿Cuánto tiempo puedo conservar la copia del DNI de un cliente?
En principio, no más allá de lo que dure el expediente que justificó su recogida, salvo que una obligación legal concreta imponga un plazo de conservación distinto para ese documento.
¿Un portal de recopilación seguro equivale a estar «en regla» con el RGPD?
No automáticamente. Un portal reduce riesgos concretos (trazabilidad, alojamiento, eliminación centralizada) pero la conformidad depende también de la base legal, la minimización de datos y los plazos de conservación que aplique el propio despacho.

Para profundizar

Tu próximo expediente puede estar completo sin un solo correo.