Veo que lo conseguiste!
Como ya te comenté la verdad que desconozco si los datos financieros que tratáis en una Gestoría son de nivel medio o básico, pero sí vale la pena saber en qué nivel estás por las medidas de seguridad a adoptar.
Pero una gestión administrativa, contable y fiscal de una empresa normalmente es de tipo básico. Si te fijas en el propio modelo "NOTA" si haces una alta tipo ya te lo pone predeterminado.
Supongo que también lleváis el tema de nóminas ¿no? te puede interesar esto:
http://legalidadinformatica.blogspot...e-nominas.html
PAra tener un ejemplo, si haces una "alta" de un fichero "tipo": "Nóminas Recursos Humanos" por defecto són de tipo básico.
https://www.agpd.es/portalwebAGPD/ca...ad_Privada.pdf
Cualquier cambio que hagas en los ficheros sí deberías notificar los cambios, tanto a nivel de fichero inscrito en la AEPD como en el documento de seguridad.
Por otro lado, también debéis tener en cuenta otra cosa, cuando un cliente os da datos (en los que presupongo que habrá datos personales de sus clientes) vosotros pasáis a ser "encargado de tratamiento", por lo que tu cliente (responsable del fichero) y vosotros (encargado de trata.) deberéis tener un contrato firmado.
Bueno, es mi mini-opinión. Supongo que pasará algún experto pasará por el post y te dará más luz.
un saludo