DESPACHOS DE ABOGADOS Y PROTECCIÓN DE DATOS. PREPARADOS, LISTOS, ¡YA!

Solo logo hexagono

 

Mucho se ha escrito ya en estos dos últimos años sobre el nuevo Reglamento Europeo de Protección de datos (en adelante, RGPD), y a falta de poco más de dos meses para su efectiva aplicación, sigue aflorando cierto nerviosismo principalmente entre los empresarios, por lo que puede o va a conllevar de implantación de medidas y eventuales (y nada desdeñables) sanciones, y un poco menos entre los particulares que pese a las limitaciones en el tratamiento de sus datos personales ya implantadas y los nuevos derechos reconocidos que vienen a sumarse a los clásicos ARCO (como el derecho al olvido), siguen teniendo la sensación (no siempre fundada) de que tienen la batalla bastante perdida en cuestiones de privacidad en la sociedad de la información, y lo ven con cierta distancia y recelo.

Pretender resumir las novedades del Reglamento en pocas líneas es tarea imposible por su densidad, y además Organismos como la Agencia Española de Protección de Datos y otros entes han venido publicando documentos a modo de guía para facilitar esa adaptación paulatina, proporcionando a los empresarios interesantes herramientas. Por lo tanto estamos sobrados de información al respecto, pese a las incógnitas que todavía existen respecto del alcance de algunos preceptos.

Pero el objetivo de esta nota es simplemente resumir aquellas exigencias que derivan del RGPD hacia los abogados, si es que deriva alguna en particular, como gestores de sus propios despachos y en sus relaciones no sólo con los clientes sino también con los propios empleados o colaboradores. Más que nada porque muchas veces se hace real el aforismo de que “en casa del herrero, cuchillo de palo”.

Y es que los abogados en el ejercicio de su actividad profesional manejan constantemente y en consecuencia son responsables del tratamiento de todo tipo de datos, de lo que no siempre son conscientes, y no nos referimos sólo a los datos de los clientes respecto de los que ya se aplica el secreto profesional, que es cosa distinta y versa sobre la información que nos confían con ocasión de nuestra profesión y se regula por la Ley Orgánica del Poder Judicial y los Códigos deontológicos, sino también de sus empleados y otros colaboradores profesionales.

La cuestión es que aquellos despachos que hasta la fecha hayan hecho un poco la vista gorda ante la normativa derivada de la anterior Ley Orgánica de Protección de Datos, no lo podrán hacer en adelante, debiendo asumir un mayor compromiso con la privacidad, so pena de sanciones económicas muy elevadas que pueden llegar hasta el 4% de la facturación.

Por tanto, si aún no lo hemos hecho, ¿qué debemos hacer? De entrada, conocer la normativa de protección de datos (una obviedad se nos dirá, pero aún habrá quien a día de hoy no se haya leído ni el primer Considerando del Reglamento) y dedicarle tiempo, mucho tiempo, porque lo vamos a necesitar. Y a partir de ahí:

  1. Tomar postura e identificar y clasificar los datos personales que manejamos a diario: aquí nadie cuestiona los datos relativos a clientes, pero no siempre somos conscientes de los de otras personas con los que también nos comunicamos en el día a día: procuradores, testigos y peritos, otros compañeros, empleados internos, gestores, informáticos, personal de limpieza.
  2. Analizar el nivel de seguridad correspondiente a cada dato personal que tratamos según su importancia, pues puede que el tratamiento de esos datos conlleve un alto riesgo para los derechos y libertades de los interesados, y eso debe quedar plasmado en la llamada “Evaluación de Impacto en la Protección de Datos personales” (EIPD) con un informe final que además indique las medidas adoptadas para minimizar riesgos. Es esta una de las principales novedades del RGPD, un documento complejo que requiere tiempo y conocimientos, y que para los despachos de abogados (como persona jurídica) sería obligatorio, no así, parece, para abogados individuales.
  3. Gestionar los riesgos relativos a la protección de datos desde el diseño y por defecto, esto es, teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, aplicar medidas técnicas y organizativas apropiadas con el nivel de seguridad de la información, no sólo respecto del archivo de la información sino también de su transmisión, debiendo ser especialmente estrictos con comunicaciones a través de sistemas no encriptados (sms, whatsapp..), y ello tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento. En definitiva, una nueva actitud frente al tratamiento de datos de clientes y proveedores.
  4. Registro de las Actividades de Tratamiento, que es un registro interno que contiene toda la información detallada sobre los tratamientos de datos que realiza el despacho, que permite tener un control sobre el mismo, y deberemos facilitar a la Autoridad de Control de ser requeridos para ello. Los abogados, en la medida en que pueden tratar datos sensibles, están obligados a su redacción, formando parte de la obligación de vigilancia constante que se impone al responsable del tratamiento.
  5. Documentar cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas a fin de que la autoridad de control (en España, la AEPD) pueda verificar que se han implementado garantías adecuadas.
  6. Firmar contratos de confidencialidad y de tratamiento de datos. Los abogados en nuestra actividad y por cuestiones deontológicas ya la tenemos implantada en el trato con el cliente y su información, pero es muy conveniente firmar un documento específico para los datos personales, sin contar con el que deberemos adoptar respecto del resto de personas con las que nos comunicamos, donde se advierta además de los riesgos y responsabilidades de su incumplimiento.
  7. Nombrar un Delegado de Protección de Datos (DPO) no es obligatorio para los despachos de abogados salvo en los supuestos específicos que contempla el RGPD pero ello no quita que pueda ser recomendable nombrar uno en nuestro despacho como un medio de asegurar que se controla y se cumple la normativa. Puede ser un abogado interno quien asuma esa función, pero no cabe duda de que el DPO es una nueva figura que asume gran responsabilidad como responsable de asesorar y controlar el cumplimiento de las políticas de protección de la empresa.
  8. Informar a los interesados del tratamiento y destino de sus datos y derechos con un detalle y rigor mayor que bajo la antigua normativa, y recabar su consentimiento que, como novedad, deberá ser expreso e inequívoco, y no tácito, para la actuación en cuestión. Los abogados -y el resto de responsables del tratamiento—deben estar en condiciones de acreditar dicho consentimiento. Si por ejemplo hemos hecho firmar al cliente unos poderes generales para pleitos deberemos recabar su consentimiento si queremos utilizar esos mismos datos para labores de marketing u otra finalidad. Eso nos obliga por tanto a revisar aquellos consentimientos obtenidos con anterioridad y verificar si cumplen con las nuevas exigencias y, de no ser así, adaptarlos u obtenerlos de nuevo. También deberemos informar del plazo de conservación de los datos, así como de los del ejercicio de los derechos—el RGPD establece plazos más uniformes y cortos-, que lo será por norma general para las “finalidades del tratamiento” aunque se prevén excepciones. Como los abogados ya tenemos plazos establecidos para la custodia de la documentación (4 o 5 años, según el caso), una opción de cláusula de información sería: “hasta la finalización de la relación contractual y, a su terminación, durante los plazos legalmente exigidos “.
  9. Revisiones periódicas y actualización de la información.

Estas, como decimos, son solo unas simples pautas que como abogados gestores de nuestros propios despachos, deberíamos seguir -no cabe duda de que el RGPD nos exige ser mucho más activos al respecto-, y si aún no hemos empezado a pensar en ello, ya podemos emplearnos a fondo pues el 25 de mayo está a la vuelta de la esquina. Seguiremos asimismo atentos a la evolución del proyecto de Ley Orgánica de Protección de Datos, aprobado el pasado mes de noviembre por el Gobierno, que deberá adaptar la legislación española a las disposiciones del citado RGPD.

 

 

 

 

Leave A Comment