Protección de datos en despacho de abogados: Principales implicaciones del RGPD

proteccion de datos despacho abogados

¿Debe cumplir un despacho de abogados con la normativa de protección de datos personales?

, el ejercicio de la abogacía conlleva el tratamiento de datos de carácter personal, tanto desde la vertiente de la organización interna (trabajadores y colaboradores del despacho) como desde la vertiente relativa a aquellos datos de carácter personal que se corresponden a los clientes.  De hecho, teniendo en cuenta que el concepto de tratamiento de datos personales dado por el RGPD es aún más amplio – incluyendo cualquier operación o conjunto de operaciones realizadas sobre datos personales como la recogida, registro, organización, conservación, consulta, utilización, etc. – ya desde cualquier primera toma de contacto de un potencial cliente, sea a través de una reunión personal, conversación telefónica o comunicación electrónica por la que se faciliten datos personales que sean recogidos con la finalidad de preparar, analizar y/o resolver la cuestión planteada implicaría un tratamiento de datos personales.

Por esta razón, cualquier profesional que ejerza la abogacía debe cumplir en el tratamiento de datos personales – tanto si es automatizado o no – que realice con los principios y derechos recogidos en la legislación que resulta de aplicación.

Principales obligaciones que cumplir en materia de protección de datos personales

El abogado o, en caso de que se ejerza la profesión mediante una sociedad, el despacho de abogados tiene la calificación de responsables del tratamiento de datos personales cuando se encarga de asuntos relacionados con particulares o bien cuando se encarga de asuntos concretos y específicos de una empresa. En cambio, cuando ejerce una actividad de asesoramiento interno a una organización – también conocido como outsourcing el abogado o despacho de abogados actuarán como encargados de tratamiento.

Actuando como responsable del tratamiento, deberá cumplir con las siguientes obligaciones que recoge el RGPD:

  • Deberán aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD, teniendo en cuenta en todo momento que solo se trataran los datos que sean estrictamente necesarios para cada uno de los fines específicos del tratamiento.
  • Cuando se disponga a tratar datos personales deberá cumplir con los principios relativos al tratamiento, esto es que sean tratados de manera lícita, leal y transparente en relación con el interesado, recogidos con fines determinados, explícitos y legítimos y limitados a lo necesarios. Esto quiere decir que los abogados en su relación con el cliente deberán, en la hoja de encargo, especificar la concreta finalidad para la que se recaban los datos del cliente y limitarse a obtener aquellos datos que sean estrictamente necesarios para poder cumplir con la defensa del cliente.
  • En relación con el principio de limitación del plazo de conservación los datos personales de los clientes y sus correspondientes expedientes deberán ser cancelados transcurrido un tiempo, manteniéndose solo el tiempo necesario para los fines del tratamiento. Ahora bien, teniendo en cuenta que a los abogados se les puede exigir responsabilidad civil por su actuación y partiendo de la modificación introducida por la Disposición final primera de la Ley 42/2015, de 5 de octubre, de reforma de la Ley 1/2000, de 7 de enero, de Ley de Enjuiciamiento Civil, el plazo para conservar los expediente finalizados desde el 7 de octubre de 2015 deberá ser de 5 años para poder utilizar la información del expediente de cara a la defensa de la posible responsabilidad civil.
  • Cobra aún mayor importancia la información que se le ha de facilitar al interesado. En este sentido se deberá informar de todos aquellos aspectos que recoge el art. 13 y 14 RGPD, en concreto: datos del responsable, fines del tratamiento, los destinatarios o categorías de destinatarios, plazo de conservación de los datos, los derechos que se le recogen en materia de protección de datos, entre otros aspectos. Esta información deberá facilitarse por escrito o por otros medios, inclusive si procede por medios electrónicos. Es importante tener en cuenta que la carga de probar que se le ha informado es del responsable por lo que lo mejor será hacer firma al interesado una cláusula de protección de datos donde acepte los distintos tratamientos y sus finalidades y se le informe de todo lo anterior. Esto podrá incorporarse en la hoja de encargo o en el contrato de servicios realizado entre el abogado y el cliente. Sería muy conveniente quedarse con el original y entregar una copia al cliente.

¿Qué categorías de datos personales suelen tratar los despachos de abogados?

Los despachos de abogados por razón de su actividad tratan diferentes categorías de datos personales. La distinción es relevante porque las bases de legitimación son diferentes en función del tipo de categoría de datos personales de que se trate, en efecto, aquellos datos personales que pertenecen a las categorías especiales de datos personales – art. 9 RGPD – requieren una mayor protección hasta el punto de que en principio su tratamiento está prohibido salvo que se encuentre amparado en laguna de las circunstancias que recoge el apartado segundo del art. 9 RGPD.

Si bien, debe tenerse en cuenta que el tipo de datos personales recabados por un despacho de abogados puede ser muy amplio y dependerá normalmente del tipo de cliente y del asunto a tratar, por ejemplo, en una demanda de divorcio se facilitará una gran cantidad de datos económicos y patrimoniales, en un asunto de responsabilidad civil médica se tendrá acceso normalmente a datos de salud y en un asunto penal se tendrá acceso seguramente a datos de infracciones penales anteriores. A continuación se recoge una tabla resumen de los principales datos personales a los que puede tener acceso un abogado en el ejercicio de su profesión:

CATEGORÍAS DE DATOS PERSONALES TRATADAS EN UN DESPACHO DE ABOGADOS

GENERALES

ESPECIALMENTE PROTEGIDOS

Datos identificativos (nombre, dirección, DNI o pasaporte, número de teléfono o correo electrónico…)

Datos relativos a la salud (historia clínica, informe médico o psicológico, parte de lesiones físicas…)

Datos de carácter profesional o educativos (nivel de estudios, profesión…)

Datos de naturaleza penal (condenas e infracciones penales, procedimientos y medidas cautelares y de seguridad conexas

Datos económicos y transaccionales (nivel de ingresos, datos de pago…)

En determinados asuntos que estén relacionados con procedimientos sobre vulneración del derecho a la igualdad o delitos de odio también se podrán tratar datos de origen étnico o racial, religiosos, datos sobre orientaciones sexuales, entre otros.

Legitimación y consentimiento entre abogado y su cliente

Uno de los principales principios que recoge el RGPD es que los datos personales deberán ser tratados de manera licita, leal y transparente. Para que el tratamiento sea lícito será necesario que se cuente con una base que legitime el tratamiento de los datos personales del cliente. En el caso de la relación entre un abogado y su cliente serán dos las bases jurídicas que legitimen el tratamiento: la relación contractual o precontractual y, en su caso, el consentimiento para tratar los datos, plasmado en una hoja de encargo. No se basaría en el interés legítimo prevalente. Si bien, en cualquier caso, se debe informar de lo previsto en los arts. 13 y 14 RGPD.

Por otro lado, existen una serie de datos que son considerados como “categorías especiales” o especialmente protegidos, anteriormente referidos, y a los que se puede tener acceso por razón del tipo de proceso (por ejemplo, en informes forenses; demandas laborales que se refieren a la afiliación sindical del demandante, etc.) Pues bien, como regla general, se prohíbe su tratamiento salvo: “cuando el tratamiento es necesario para la formulación, ejercicio o defensa de reclamaciones ya sea por un procedimiento judicial, administrativo o extrajudicial (Considerando 52 y art. 9.2 f RGPD). Es decir, un abogado tendrá legitimidad para tratar este tipo de datos personales, en el marco de su actividad profesional, y exclusivamente con esta finalidad.

Además, en el caso de los datos de conductas o infracciones penales, el art. 10 LOPDGDD establece en su apartado tercero que los tratamientos de esta clase solo serán posible cuando sean llevados a cabo por abogados y procurados y tengan por objeto recoger información facilitada por sus clientes para el ejercicio de sus funciones.

¿Debe realizar un registro de actividades de tratamiento un despacho de abogados? ¿Y una evaluación de impacto?

El registro de actividades de tratamiento es obligatorio en empresas que empleen a más de 250 trabajadores. No obstante, también será obligatorio cuando el tratamiento que se realice:

  • Pueda entrañar un riesgo para los derechos y libertades de los interesados
  • No sea ocasional
  • Incluya categorías especiales de datos personales o de conductas o infracciones penales

Por que es probable que en un despacho de abogados sea necesario realizar dicho registro de actividades. En dicho registro deberá anotarse todas las operaciones sobre los datos personales realizadas y añadir la información que se recoge en el art. 30 del RGPD, en concreto:

  • Nombre y datos del responsable del tratamiento
  • Fines del tratamiento
  • Descripción de las categorías de interesados y de las categorías de datos personales
  • Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales.
  • Cuando sea posible: los plazos previstos para la supresión de las diferentes categorías de datos y una descripción general de las medidas técnicas y organizativas de seguridad.

Por otro lado, todos los responsables deben realizar una valoración del riesgo (art. 32.1 RGPD) de los tratamiento que realicen a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo. Este análisis deberá hacerse realmente durante todo el ciclo de vida del tratamiento, pero será muy importante realizarlo antes del mismo. Tiene carácter esencial de cara a determinar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad alto. En cambio, la evaluación de impacto solo será obligatoria si el tratamiento supone un riesgo alto para los derechos y libertades de las personas (art. 35 RGPD). En el caso de un despacho de abogados individual o pequeño es difícil que se cumplan las condiciones para que la evaluación de impacto sea obligatoria, en cambio, en un despacho de abogados grande sí podría serlo.

¿Es necesario nombrar un Delegado de Protección de Datos (DPD)?

Seguramente no, el art. 37 RGPD establece cuando se requiere la designación de un Delegado de Protección de Datos que será en tres casos específicos:

  • Cuando el tratamiento lo lleven a cabo autoridades u organismos público.
  • Cuando los responsables o encargados tengan entre sus actividades principaleslas operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Cuando los responsables o encargados tengan entre sus actividades principalesel tratamiento a gran escala de datos sensibles.

En el caso de un despacho de abogados individual o pequeño es difícil que se den tratamiento a gran escala de datos sensibles o que se haga una observación habitual y sistemática de interesados a gran escala por lo que difícilmente será obligatorio nombrar un DPD, en cambio, en un despacho de abogados grande sí podría serlo.

Tania Pedregosa

Consultora Jurídica

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

LEGITEC moderará sus comentarios y podrá o no dar respuesta a los mismos. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico info@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.