Desde 2006, cada 28 de enero se celebra el Día Internacional de la Protección de Datos. Una iniciativa de la Comisión Europea que trata de concienciar sobre la importancia de la privacidad en el contexto de la sociedad digitalizada.
En armonía con la estrategia europea, España se ha dotado de una exigente legislación en torno a dos medidas principales:
- Reglamento General de Protección de Datos (RGPD) que entró en vigor en mayo de 2018. Su objetivo es asegurar la protección de la información personal de los usuarios de internet en su navegación, evitando el uso indebido de sus datos sin su consentimiento.
- Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), de 5 de diciembre de 2018. Es la encargada de armonizar el tratamiento de datos de carácter personal entre los países miembros de la UE. Con este objetivo, garantiza que todas las personas tengan el control sobre el uso que se hace de los datos que facilitan a las Administraciones Públicas, empresas, asociaciones, e incluso a los autónomos.
Un marco regulatorio que por supuesto incluye al despacho de abogados. En el Día Internacional de la Protección de Datos buscamos las claves para una correcta adaptación.
Responsable o encargado de tratamiento
Lo primero que hay que distinguir es entre la figura de responsable y encargado de tratamiento de datos.
- Responsable de tratamiento de datos. Cuando el abogado determina “los fines y medios” del tratamiento, al ocuparse de datos personales relacionados con particulares o de una empresa u organización a la que asiste como letrado.
- Encargado de tratamiento de datos. Cuando opera con datos personales de terceros en el ejercicio de una actividad de asesoramiento para una empresa u organización.
Registro de actividades de tratamiento
Una de las obligaciones de la RGPD, tanto para el responsable como para el encargado de tratamiento, es la de habilitar un registro de actividades de tratamiento. En el caso de los despachos, una medida justificada por ser datos que puedan entrañar riesgo para los derechos y libertades de a quién afectan, o por tratarse de datos de las consideradas categorías especiales o de información penal.
La información que debe contener este registro de actividades de tratamiento es:
- Nombre y datos de contacto del responsable del tratamiento y, en su caso, del encargado del tratamiento y del delegado de protección de datos (DPD).
- Legitimación del tratamiento.
- Finalidad de dicho tratamiento.
- Descripción por categoría de datos personales e interesados.
- Descripción de las categorías de destinatarios de los datos (existentes y previstos).
- Posible transferencia internacional de datos fuera de la UE.
- Plazo de conservación de los datos.
- Medidas de seguridad implantadas.
Por último, recordar que debe mantenerse por escrito (en formato electrónico) y estar a disposición de la Agencia Española de Protección de Datos (AEPD).
Deber de información
Los artículos del 12 a 14 de la RGPD y el art.11 de la LOPDGDD advierten que toda persona jurídica o física que realice algún tratamiento de datos personales deberá informar a los interesados de la finalidad del tratamiento.
Un deber de información que ha de realizarse de forma clara, sencilla y concisa. La práctica ha asentado un nivel de información por capas; una primera más sucinta y una segunda que permite conocer a fondo las condiciones de tratamiento.
Es importante que entre la información facilitada se incluyan datos como la identificación del responsable de tratamiento, la finalidad para la que se realiza, el uso de los datos y si se pueden ceder a terceros, y cómo ejercer los ARCO de portabilidad y olvido.
Hay que recordar que desde la aplicación del RGPD se han descartado prácticas antes habituales, como casillas premarcadas o el consentimiento tácito.
Tampoco hay que olvidar que en la web corporativa del abogado o despacho debe figurar el nombre del propietario, número de colegiado, NIF y dirección. En materia de cookies, hay que informar de la naturaleza y objetivos de las que genera la web, duración y si pertenecen a terceros. Y si se piensa hacer comunicaciones comerciales, hay que recabar su consentimiento siempre que no se disponga con antelación, por ser ya cliente.
Análisis periódicos de riesgos
Tras el registro de actividades de tratamiento, los despachos deben analizar los riesgos que identifican en su obligación de protección de datos, implementando las medidas que se consideren oportunas. Su finalidad última es poder demostrar que se actúa con responsabilidad.
El artículo 32 de la RGPD implica la obligación de aplicar medidas técnicas y organizativas apropiadas de seguridad, en función del riesgo que se haya determinado. Contraseñas de acceso, cifrado de datos, copias de seguridad o inventarios de documentación y soportes, son las más habituales.
Para saber si se avanza en el control del riesgo, qué medidas son las más efectivas en cada despacho y, sobre todo, detectar posibles brechas de seguridad se propone realizar auditorías periódicas de protección de datos.
La normativa obliga a notificar a la autoridad competente cualquier vulneración de los datos. En concreto, un despacho o abogado atacado, contará con un plazo de 72 horas máximo para informar a la Agencia Española de Protección de Datos (AEPD). Como segundo y también obligado paso, notificar a los propios afectados.
Derechos de los usuarios
Derecho de acceso, de rectificación, de supresión, de limitación del tratamiento, de oposición, a no ser objeto de decisiones basadas en tratamientos automatizados y portabilidad. Estos son los derechos que asisten a los interesados en la RGPD frente al responsable de tratamiento.
Delegación a terceros del tratamiento de datos
Lo recuerdan desde el Consejo General de Abogacía Española. La Ley contempla el principio de responsabilidad activa en la elección y supervisión de las empresas en las que el despacho pudiera delegar el cumplimiento de la norma en esta materia. Supuesto en que hay que identificarlos como encargados de tratamiento.
En el caso de los empleados con acceso o manejo de estas informaciones, es necesario firmar un acuerdo de confidencialidad o introducir en sus contratos cláusulas específicas.
Otra práctica habitual en la judicatura es la cesión de datos a un tercero, por ejemplo, a un procurador. En esta y todas las situaciones similares, esta tercera persona o entidad debe decidir la finalidad del tratamiento de datos.
El delegado de protección de datos
Depende. Según el RGPD hay que contar el DPD en los siguientes tres casos:
- Tratamiento efectuado por autoridades u organismos públicos.
- Actividades que consistan en operaciones de tratamiento que, por su naturaleza o alcance, requieran una observación habitual y sistemática de interesados a gran escala.
- Actividades principales del responsable o encargado que trate a gran escala datos de categorías especiales, como infracciones penales o condenas.
Por tanto, será cada despacho el que tiene que decidir si puede o no estar incluida en esta casuística. Teniendo en cuenta que la LOPDGDD no contempla al abogado en su listado de actividades sujetas a esta obligación, en raras ocasiones los despachos pequeños y medianos deberán contar con un delegado específico de protección de datos.
Plazo en la conservación de datos
Sobre el principio del mínimo posible, la Ley deja en manos del responsable del tratamiento de datos el tiempo de conservación, en función de la finalidad por la que se recabó.
Pasados estos plazos se debe destruir. Hay que tener en cuenta que el deber de conservación puede estar sujeto a otras normas como, por motivos fiscales, conservar durante cinco años las facturas.
