Protección de datos en despachos de abogados

En la actualidad, la mayoría de los despachos profesionales son multidisciplinares, abarcan diferentes ramas del derecho, lo que implica un tratamiento de datos de diverso tipo. Tratan datos de tipos penales, administrativos (infracciones, sanciones) o incluso médicos y bancarios. La normativa de protección de datos obliga a las empresas a tratar los datos personales con un cuidado especial y a llevar a cabo una serie de actividades para lograr una adaptación más efectiva al Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

1. La figura del abogado como responsable o encargado del tratamiento.
2. Registro de Actividades de tratamiento en despachos de abogados.
3. Análisis de riesgo y evaluación de impacto.
4. Medidas de Seguridad.
5. Brechas en la Seguridad.
6. Relación con terceros. Cesión y encargados de tratamiento.
7. Ejercicio de derechos.
8. Deber de información.
9. La conservación de datos en despachos de abogados.
10. Delegado de Protección de Datos.
11. Adaptar la página web a la normativa de protección de datos.

1. LA FIGURA DEL ABOGADO COMO RESPONSABLE O ENCARGADO DEL TRATAMIENTO

Los despachos de abogados tratan con diversos tipos de clientes, es necesario un análisis previo de la relación abogado-cliente para determinar si el letrado será responsable o encargado del tratamiento.

El abogado será siempre responsable cuando determine los fines y medios del tratamiento de los datos personales, será el caso habitual para el que una persona física encargue un asunto al letrado. En este caso, el cliente será el interesado y nos facilitará sus datos para tratarlos con la finalidad encomendada.

Existe la posibilidad de que un despacho actúe como encargado del tratamiento, por ejemplo, cuando trata datos personales por cuenta de una empresa que requiere asesoramiento jurídico.

2. REGISTRO DE ACTIVIDADES DE TRATAMIENTO

Existe la obligación de elaborar un registro de actividades de tratamiento que deberá contener la información señalada en el artículo 30 RGPD, cuando actúen como responsables o encargados del tratamiento.

A pesar de ello, encontramos una excepción y es que no se establece obligatoriedad de mantener este registro en empresas de menos de 250 empleados, con la salvedad de que, el tratamiento de datos pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos indicadas en el artículo 9, o datos relativos a condenas e infracciones penales.

3. EL DEBER DE INFORMACIÓN.

Toda persona jurídica o física que realice algún tratamiento de datos personales deberá informar a los interesados de la finalidad del tratamiento, es una exigencia que se recoge en los art. 12 a 14 RGPD y art.11 LOPDGDD.

Esta información se facilitará de forma clara, sencilla y concisa. La propia normativa establece la información que se debe facilitar a los interesados (identidad, datos de contacto del delegado, finalidad, base jurídica, etc…). Dicha información se puede ofrecer por capas o niveles, presentando información resumida en un primer nivel que remita a una segunda capa con el resto de información.

En relación con la base legitimadora del tratamiento, esta suele ser la existencia de una relación contractual o precontractual.

4. ANÁLISIS DE RIESGOS Y EVALUACIÓN DE IMPACTO.

Una vez realizado el registro de actividades de tratamiento, deberemos llevar a cabo un análisis objetivo de los riesgos de cada tratamiento. Este análisis implica estudiar cada actividad, con la finalidad de establecer controles y medidas acordes a los datos tratados, este análisis determina el nivel de riesgo del tratamiento de los datos personales.

Cuando corresponda, deberemos realizar una evaluación de impacto en protección de datos atendiendo a los resultados del análisis de riesgos previo. La evaluación de impacto es una herramienta que permite evaluar de manera más pormenorizada los riesgos asociados a un tratamiento para adoptar las salvaguardas necesarias para eliminar o mitigar los riesgos. Esta evaluación será obligatoria en los supuestos establecidos en el RGPD, en el listado de tratamientos tasados publicado por la AEPD, y siempre que este exista un riesgo alto.

5. MEDIDAS DE SEGURIDAD.

El art. 32 RGPD impone al responsable del tratamiento la obligación de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función al riesgo. Deben incluirse, entre otras, el cifrado de datos siempre que sea posible, o medidas que permitan restaurar la disponibilidad y el acceso a los datos personales.

Las medidas habituales que se deberán implantar en el despacho serían la utilización de contraseñas para el acceso a los sistemas de información, la realización de copias de seguridad o los inventariados de documentación y soportes.

Es importante, teniendo además en cuenta el principio de responsabilidad proactiva, que se implanten procesos regulares de verificación, evaluación y valoración de la eficacia de las medidas de seguridad. Estos procesos podrían consistir en la realización de controles periódicos o auditorías.

• Los controles periódicos permiten de manera regular, evaluar el cumplimiento de la normativa y establecer medidas necesarias en atención a posibles cambios en la gestión de los sistemas de información o relaciones con terceros, evaluar la eficacia de los procedimientos de gestión y notificación de brechas, de atención de ejercicio de derechos.
• En cuanto a la auditoría, nos permite determinar si se cumple adecuadamente la normativa y analizar de forma exhaustiva la situación del despacho, a pesar de no ser una exigencia es más que recomendable que se realicen estas medidas con periodicidad.

6. BRECHAS DE SEGURIDAD

Una brecha de seguridad es una incidencia que implica la pérdida o alteración de datos personales. Por ejemplo, pérdida de un expediente en el despacho, la fuga de información por medios informáticos o simplemente el envío de datos personales a un destinatario incorrecto. Ante esta situación, lo ordinario es iniciar un proceso de actuación interna. El primer paso es la detección y comunicación interna al responsable del tratamiento, que analizará la brecha en la seguridad atendiendo a los datos y al riesgo, para posteriormente si fuese necesario notificarla a la autoridad de control o a los interesados.

7. RELACIÓN CON TERCEROS. ENCARGADOS DEL TRATAMIENTO Y CESIÓN.

Respecto a la relación de los letrados con terceros, es necesario que podamos diferenciar el tipo de comunicaciones con terceros.

Lo habitual es que cuando nos sirvamos de terceros para llevar a cabo la prestación de los servicios, estos adopten la condición de encargados del tratamiento, que tratan los datos personales por nuestra cuenta. Un caso habitual sería la contratación de un asesor externo o de los proveedores informáticos.

En determinados casos, esta comunicación puede ser una cesión a un tercero, lo que implica que éste acabe decidiendo sobre la finalidad del tratamiento. Por ejemplo, en el despacho cedemos los datos al procurador para que actúe como representante, aunque podrían existir más figuras.

8. EJERCICIO DE DERECHOS.

En virtud de lo establecido en el RGPD, los interesados o sus representantes pueden ejercitar sus derechos ante el responsable del tratamiento.

Los derechos de los que disfrutan los usuarios son: el derecho de acceso, a la rectificación, a la supresión, derecho a la limitación del tratamiento, a la oposición, derecho a no ser objeto de decisiones basadas en tratamientos automatizados y portabilidad.

9. CONSERVACIÓN DE DATOS.

Entre los principios contemplados en RGPD se encuentra la limitación del plazo de conservación, que ha de ser el mínimo posible. No obstante, es necesario que se conserven ciertos datos con los que los abogados trabajamos atendiendo a la prescripción de responsabilidades nacidas del tratamiento.

• Protección de datos: plazo conservación 3 años.
• Acciones civiles personales: plazo de conservación 5 años.
• Documentación laboral: plazo de conservación de 4 años.
• Documentación contable y fiscal: plazo de conservación 6 y 4 años respectivamente.

Una vez que hayamos finalizado la tarea encomendada, y tras el plazo de conservación indicado en la ley, se procederá a la destrucción de estos datos, que, usualmente es realizado por una empresa externa o por el propio profesional con una destructora de papel o similar.

10. DELEGADO DE PROTECCIÓN DE DATOS.

Frecuentemente nos preguntamos si es necesario contar con un Delegado de Protección de Datos en nuestros despachos. En este caso, depende.

El RGPD establece los casos en los que debemos recurrir a esta figura, tales casos serían:

• Tratamiento llevado a acabo por autoridades u organismos públicos.
• Actividades que consistan en operaciones de tratamiento que por su naturaleza o alcance requieran una observación habitual y sistemática de interesados a gran escala.
• Actividades principales del responsable o encargado que trate gran escala de categorías especiales de datos como infracciones penales o condenas.

Los despachos de abogados deberán valorar si se encuentran o no ante esas circunstancias.

Además, la LOPDGDD establece un listado tasado de responsables sujetos a esta obligación, entre los que no se encuentran los abogados.

11. ADAPTAR LA PÁGINA WEB A LA NORMATIVA DE PROTECCIÓN DE DATOS.

Cuando recabemos datos personales a través de una página web, deberemos incorporar una política de privacidad, que servirá de cláusula informativa para los usuarios que nos faciliten sus datos personales.

Adicionalmente, como prestadores de servicios de la sociedad de la información, deberemos cumplir con los preceptos de la LSSI:

• Deberemos incorporar un aviso legal en el que quedemos claramente identificados.
• En el caso de utilizar cookies, implantar un procedimiento de aceptación de instalación y una política de cookies.
• Además, si pretendemos realizar comunicaciones comerciales a los usuarios que nos faciliten su correo electrónico, deberemos recabar su consentimiento, siempre que estos no sean clientes previos.