Protección de datos en Despachos de abogados, ¿responsables o encargados?

En ocasiones, los despachos de abogados se encuentran en la tesitura de definir si el tratamiento de los datos que efectúan y que les han sido comunicados por el cliente para la ejecución de un servicio, lo hacen como responsables de tratamiento o como encargados.

Pues bien, vamos a intentar aclararlo, desde un punto de vista general, sin olvidar que se pueden producirse excepciones y que hay que estudiar, en todo caso, el supuesto en cuestión.

En el Reglamento General de Protección de Datos se definen los conceptos de encargado y responsable de tratamiento:

7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

Artículo 4 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE

En este sentido, aunque los conceptos parecen claros, lo cierto es que en la práctica existen bastantes problemas para la diferenciar las figuras, sobre todo en el sector de la abogacía y, especialmente, cuando el cliente es una persona jurídica.

Vamos a analizar los diferentes supuestos en los que se puede encuadrar la relación abogado-cliente y sus consecuencias en el tratamiento de los datos:

Cuando la relación es de responsable e interesado.

Cuando el cliente es un particular, es decir que no se trata de una empresa o un profesional, es el abogado quien determine los fines y medios del tratamiento. Este será el caso de un divorcio, un desahucio o una reclamación a un vecino en caso de daños por agua, por ejemplo.

En este caso tendremos que cumplir con los principios de la protección de datos, de informar al interesado, de la contestación de ejercicios de derechos y comunicación de incidencias, así como de las medidas de seguridad aplicables, entre otras obligaciones.

Cuando el abogado o el despacho actúa como encargado de tratamiento.

Este supuesto se produce siempre y cuando una empresa externalice el asesoramiento interno de la organización. Se trataría de un servicio outsourcing. Pensemos, por ejemplo, en el supuesto de la externalización del asesoramiento en materia de derecho laboral, o en el propio servicio de consultoría en protección de datos. En estos casos será la empresa que nos contrata este servicio de consultoría “interna” la que defina las medidas de seguridad a adoptar o cómo debemos de efectuar el tratamiento de los datos. La relación se enmarcará en el contrato de encargado de tratamiento, que deberá de firmarse como anexo o parte de la hoja de encargo.

Cuando se produce una cesión de datos y, por lo tanto, el abogado o el despacho actúan como responsables.

Distinto a lo anterior es el caso en el que una empresa encargue un asunto concreto que suponga una comunicación de datos personales de sus trabajadores, clientes, proveedores… En estos casos, el encargo se produce para una asunto concreto, judicial o extrajudicial, donde el abogado actúa en representación de su cliente mediante unos poderes al efecto. Este supuesto se da, por ejemplo, en el encargo de contestar un despido improcedente o de una reclamación de cantidad adeudada por un cliente, o bien, para negociar una deuda con carácter extrajudicial previo a iniciar un procedimiento.

En estos casos se produce una comunicación de datos de terceros, desde la empresa cliente al abogado, para que este último realice su encargo profesional. Descrito así, podría resultar evidente que se trataría de un encargo de tratamiento donde la empresa determinaría los fines y medios del tratamiento, que además daría instrucciones documentadas al abogado, que debería de seguirlas fielmente.

Ahora bien, el ejercicio de la abogacía, de conformidad al propio Estatuto General de la Abogacía Española, es una profesión libre e independiente que presta un servicio a la sociedad en interés público y que se ejerce en régimen de libre y leal competencia, por medio del consejo y la defensa de derechos e intereses públicos o privados, mediante la aplicación de la ciencia y la técnica jurídicas, en orden a la concordia, a la efectividad de los derechos y libertades fundamentales y a la Justicia.

También al Código Deontológico (aprobado por el Pleno del Consejo General de la Abogacía Española el 6 de marzo de 2019), establece la independencia de la actividad profesional de la abogacía cuando, en su artículo 2, dice que la independencia de quienes ejercen la Abogacía es una exigencia del Estado de Derecho y del efectivo derecho de defensa del justiciable y de la ciudadanía por lo que constituye un derecho y un deber.

En este sentido, para poder asesorar y defender adecuadamente los legítimos intereses del cliente, el abogado debe mantener el derecho y el deber de preservar la independencia frente a toda clase de injerencias y frente a intereses propios o ajenos.

Esta libertad e independencia, incluso frente al cliente, de la que goza el letrado y que es fundamental para su actividad, no se corresponde con la obligación de seguir las instrucciones documentadas del responsable, propia de un contrato de encargo de tratamiento.

Por lo tanto, descartada la figura del encargado de tratamiento en estos supuestos, podemos concluir que se trataría de una relación entre dos responsables donde los datos objeto del procedimiento se comunican con la finalidad de garantizar el derecho de defensa del interesado.

En estos supuestos, el abogado deberá cumplir todas las obligaciones en cuanto a información, derechos, medidas de seguridad que son propias de los responsables de tratamiento.

El tratamiento de datos personales en el ejercicio de la abogacía implica, de por sí, un alto riesgo al tratarse habitualmente datos de categorías especiales. Desde el departamento de consultoría de Legitec os ofrecemos el asesoramiento necesario para el cumplimiento de la normativa de protección de datos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

LEGITEC moderará sus comentarios y podrá o no dar respuesta a los mismos. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico info@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.