Ana Alguacil Rojo.- Tras las entrada en vigor del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) como en la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD (LA LEY 19303/2018)), se han visto afectados todo tipo de profesionales que tratan datos personales de sus clientes. En el caso de los despachos de abogados y procurados, no están exentos de ello y están obligados a cumplir la normativa de protección de datos.
Los abogados, en su actividad habitual, tratan datos personales de diferentes tipos y formas, asesoramiento para la defensa jurídica, laborales, económicos, fiscales, páginas web, del propio reglamento general de protección de datos (LA LEY 6637/2016). Dicha función la pueden hacer como encargados del tratamiento, en la que otros son los responsables ( cuando trata datos personales por cuenta de una empresa que requiere de asesoramiento jurídico ) o como los propios responsables (caso habitual por el que una persona física encargue un asunto al letrado, el cliente facilita los datos y estos son tratados con la finalidad encomendada).
Los despachos de abogados pueden abarcar diferentes ramas del derecho lo que conlleva, tratamiento de datos de diferentes tipos. La propia normativa al poder tratarte de datos que conllevan un deber de cuidado especial regula una serie de pautas y actividades para que se realice de manera efectiva, siendo una de las novedades que introdujo el RGPD,la distinción entre datos personales de carácter general y datos de categorías especiales; estos segundos requieren una mayor protección y, salvo las excepciones contempladas en el artículo 9.2 del RGPD (LA LEY 6637/2016), en principio está prohibido su tratamiento.
¿ Cómo adaptar el RGPD a los despachos de abogados ?
- • Identificar los datos personales que se traten en el despacho
De forma, que los asuntos que se traten en el despacho identifiquen los que contengan datos que sean de carácter personal. Desde la entrada en vigor del RGPD y la LOPDGDD (LA LEY 19303/2018), es necesario, siempre que se vaya a realizar un tratamiento de datos personales, obtener el consentimiento expreso de los interesados (los titulares de los datos). El consentimiento, junto a la relación contractual o dar cumplimiento a la prestación de un servicio contratado, son las bases legitimadoras para que abogados y procuradores puedan tratar los datos personales de sus clientes. El consentimiento debe ser expreso cuando se traten datos de categorías especiales.
Debe quedas constancia del consentimiento, y es recomendable hacerlo a través de la firma de un formulario o de cláusulas que se incluyan en el propio contrato de servicios.
- • Determinar los niveles de seguridad de los datos
El art. 32 RGPD (LA LEY 6637/2016) impone al responsable del tratamiento la obligación de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función al riesgo. Deben incluirse, entre otras, el cifrado de datos siempre que sea posible, o medidas que permitan restaurar la disponibilidad y el acceso a los datos personales.
Las medidas habituales que se deberán implantar en el despacho serían la utilización de contraseñas para el acceso a los sistemas de información, la realización de copias de seguridad o los inventariados de documentación y soportes.
Los controles periódicos permiten de manera regular, evaluar el cumplimiento de la normativa y establecer medidas necesarias en atención a posibles cambios en la gestión de los sistemas de información o relaciones con terceros, evaluar la eficacia de los procedimientos de gestión y notificación de brechas, de atención de ejercicio de derechos.
- • Análisis de riesgo Con carácter previo a llevar a cabo un tratamiento de datos personales
Para determinar las amenazas y riesgos para la protección de datos que se pueden derivar de la realización del tratamiento, los resultados sirven al despacho para implantas las medidas de seguridad necesarias para reducir o eliminar dichos riesgos.
Cuando corresponda, se debe realizar una evaluación de impacto en protección de datos atendiendo a los resultados del análisis de riesgos previo. La evaluación de impacto es una herramienta que permite evaluar de manera más pormenorizada los riesgos asociados a un tratamiento para adoptar las medidas necesarias para eliminar o mitigar los riesgos. Esta evaluación será obligatoria en los supuestos establecidos en el RGPD, en el listado de tratamientos tasados publicado por la AEPD, y siempre que este exista un riesgo alto.
- • Registro de las actividades de tratamiento
Existe la obligación de elaborar un registro de actividades de tratamiento que deberá contener la información señalada en el artículo 30 RGPD (LA LEY 6637/2016), cuando actúen como responsables o encargados del tratamiento.
A pesar de ello, encontramos una excepción y es que no se establece obligatoriedad de mantener este registro en empresas de menos de 250 empleados, con la salvedad de que, el tratamiento de datos pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos indicadas en el artículo 9, o datos relativos a condenas e infracciones penales.
- • Informar del plazo de conservación de los datos
Entre los principios contemplados en RGPD se encuentra la limitación del plazo de conservación, que ha de ser el mínimo posible. Hay diferentes plazos de conservación según sea protección de datos, acciones civiles personales, documentación laboral, documentación fiscal o contable. Una vez se finalice el trabajo encomendado, y tras el plazo de conservación que indica la ley, se procede a la destrucción de los datos.
- • Firma de acuerdo de confidencialidad
Si en algún momento, el abogado o despacho de abogados deben ceder datos personales de sus clientes a terceros , será necesario que con esos terceros se firme un contrato de encargado de tratamiento. En este contrato se especificarán los datos que se cederán, la finalidad del tratamiento, las medidas de seguridad a adoptar y el plazo de conservación. En ningún caso, el encargado del tratamiento podrá usar los datos cedidos con un fin diferente al acordado.
Confidencialidad, también de los trabajadores del despacho, que tanto por su actividad, como por su código deontológico están obligados a guardar confidencialidad y se aconseja, que adicionalmente se firme un acuerdo de confidencialidad relacionado con esta normativa.
También se deberá firmar un compromiso de confidencialidad para los empleados, colaboradores y todos aquellos que tengan acceso a los datos, debido a la criticidad de los datos para las libertades y derechos de los clientes.
- • Contar con un delegado de protección de datos
El RGPD establece los casos en los que debemos recurrir a esta figura, tales casos serían: Tratamiento llevado a acabo por autoridades u organismos públicos, Actividades que consistan en operaciones de tratamiento que por su naturaleza o alcance requieran una observación habitual y sistemática de interesados a gran escala, Actividades principales del responsable o encargado que trate gran escala de categorías especiales de datos como infracciones penales o condenas.
Serán los propios despachos los que deben valorar si se encuentran en estas circunstancias.
- • Adaptar la página web a la normativa de protección de datos
Cuando se recaben datos a través de una página web, deberemos incorporar una política de privacidad, que servirá de cláusula informativa para los usuarios que nos faciliten sus datos personales.
- • Violación de la seguridad de los datos
El responsable debe notificarla a la Agencia Española de Protección de Datos. La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella. Deben documentarse todas las violaciones de seguridad. En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, hay que notificar también a éstos.
La Agencia Española de protección de datos ha elaborado una serie de guías para la adecuación al RGPD y su cumplimiento, que pueden ser consultados en su propia página web