Clases de operaciones sobre protección de datos realizadas por abogados y procuradores

Para resolver esta cuestión habrá que consultar tanto el RGPD como la LOPDGDD, asimilando lo dispuesto en su articulado a los casos concretos que estudiaremos en este punto. Así, según el asunto, estaremos ante datos genéricos o más comunes cuya presencia es imprescindible para un acercamiento al cliente y desempeño de las funciones como profesional, y otro tipo de datos específicos que destacan por sus particularidades al incluir datos ciertamente sensibles. También podrá distinguirse entre operaciones sobre datos comunes o sobre datos de carácter especial e infracciones penales.

Del propio concepto se concluye que son tratamientos de datos:

• Datos relativos al funcionamiento del despacho: contabilidad, videovigilancia en las instalaciones, el personal que desempeñe labores en el despacho, etcétera.
• Datos de clientes (también los de turno de oficio), incluyendo aquí también datos que pueden ser de categorías especiales como infracciones penales o medidas cautelares.
• Datos de clientes captados a través de publicidad en redes sociales, marketing, etcétera.

Considerando (52) del RGPD:

«Asimismo deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud, incluidas la sanidad pública y la gestión de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, o con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Debe autorizarse asimismo a título excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial».

En el ejercicio de la abogacía y la procura es habitual el trato de datos de carácter especial o infracciones penales, ya sea por las materias que lleve el despacho como por los asuntos que a él llegan y que implican el estudio y manejo de documentos con información muy sensible y que podrían implicar gran vulnerabilidad para la persona del cliente.

El RGPD, en sus artículos 9 y 10, dispone que quedan prohibidos los tratamientos de datos personales que revelen:

• El origen étnico o racial.
• Las opiniones políticas.
• Las convicciones religiosas o filosóficas.
• La afiliación sindical.
• Datos genéticos.
• Datos biométricos dirigidos a identificar de manera unívoca a una persona física.
• Datos relativos a la salud.
• Datos relativos a la vida sexual o la orientación sexual de una persona física.

El artículo 9, apartados 2 a 4, del RGPD establece las excepciones a lo anterior y dicta que no se aplicará cuando: el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el derecho de UE o EEMM establezca que la prohibición anterior no puede ser levantada por el interesado.

El artículo 9 de la LOPDGDD regula al respecto que este consentimiento no bastará para levantar la prohibición de datos que permitan identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico, con el objetivo de evitar situaciones discriminatorias, aunque podrán ser tratados conforme cualquiera de las siguientes circunstancias:

• El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el derecho de la Unión o de los Estados miembros o un convenio colectivo con arreglo al derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.
• El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
• El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados.
• El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos.
• El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
• El tratamiento es necesario por razones de un interés público esencial (i), sobre la base del derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
• El tratamiento es necesario para fines de medicina preventiva o laboral (ii), evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del derecho de la UE o de los EEMM o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3 del artículo 9 del RGPD (secreto profesional).
• El tratamiento es necesario por razones de interés público en el ámbito de la salud pública (iii), como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del derecho de la UE o de los EEMM que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional.

A TENER EN CUENTA. En cuanto a los tres últimos puntos de arriba (i)-(ii)-(iii), si el tratamiento se funda en el derecho español, tendrá que estar amparado en una norma con rango de ley que puede establecer requisitos adicionales relativos a la seguridad y confidencialidad. Así se recoge en el propio artículo 9, apartado 2, de la LOPDGDD y además refuerza lo anterior disponiendo que esa norma con fuerza de ley puede amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.

• El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, del RGPD, sobre la base del derecho de la UE o de los EEMM, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
• Podrán tratarse a los fines citados en el apartado 2, letra h), del artículo 9 de RGPD (medicina preventiva laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social) cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el derecho de la UE o de los EEMM  o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el derecho de la UE o de los EEMM o de las normas establecidas por los organismos nacionales competentes.
• Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

I. Tratamiento de datos de naturaleza penal

Así también, como indica el artículo 10 del RGPD, los datos relativos a condenas e infracciones penales conexas sobre la base del artículo 6, apartado 1, del RGPD solo pueden ser tratados bajo la supervisión de las autoridades públicas o cuando lo autorice el derecho de la UE o de los EEMM que establezca garantías adecuadas para los derechos y libertades de los interesados, pudiendo llevarse un registro completo de condenas penales bajo el control de las autoridades públicas. 

Por ello, es necesario acudir al mencionado artículo 6 del RGPD, y en el apartado en cuestión dispone que el tratamiento de datos solo será lícito si se cumple al menos una de estas condiciones:

• El interesado da su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
• El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
• El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
• El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
• El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
• El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Esto no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. 

En relación a lo anterior, el artículo 10 de la LOPDGDD indica también que el tratamiento de datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, solo podrá llevarse a cabo cuando se encuentre amparado en una norma de derecho de la UE, en la propia LOPDGDD o en otras normas de rango legal y, el registro completo de los datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas a que se refiere el artículo 10 del RGPD podrá realizarse conforme con lo establecido en la regulación del sistema de registros administrativos de apoyo a la Administración de Justicia.

Interesa en este artículo su último apartado 3, que incide sobre los abogados y procuradores y fija que, fuera de los supuestos indicados anteriormente, el tratamiento de datos referidos a condenas e infracciones penales y a procedimientos y medidas cautelares y de seguridad conexas, solo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones. 

II. Otras especialidades 

Cabe mencionar el artículo 54 del Estatuto General de la Abogacía Española, que determina las obligaciones en materia de protección de datos en la participación en procedimientos de contratación pública:

«Los profesionales de la Abogacía que participen en un procedimiento de contratación sujeto a la legislación de contratos del sector público podrán incluir en su historial profesional, caso de solicitarse así en los pliegos de contratación, referencias a los clientes para los que han prestado servicios, siempre que estos no lo hayan prohibido expresamente y que se respete el deber de confidencialidad y la normativa sobre protección de datos personales, sin infringir el derecho a la intimidad de las personas físicas».

La existencia del registro de actividades de tratamiento confluye o se une al principio de responsabilidad proactiva, la intención de cumplimiento de las normas en protección de datos por parte del responsable. 

Contempla el considerando (82) del RGPD: 

«Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento».

El artículo 30 del RGPD indica que cada responsable, y su representante si fuere el caso, debe llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro deberá contener:

• El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos.
• Los fines del tratamiento.
• Una descripción de las categorías de interesados y de las categorías de datos personales.
• Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
• Cuando sea el caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, del RGPD, la documentación de garantías adecuadas.
• Si es posible, los plazos previstos para la supresión de las diferentes categorías de datos.
• Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a las que se refiere el artículo 32, apartado 1, del RGPD, y deben incluir, entre otros:
  • Seudonimización y cifrado de datos personales.
  • Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
• Indica también el artículo 31 de la LOPDGDD que el registro puede organizarse en torno a conjuntos estructurados de datos especificando sus finalidades, las actividades de tratamiento llevadas a cabo y alguna de las circunstancias citadas en las líneas anteriores.

Estos registros deben constar por escrito y formato electrónico, y el responsable o su representante debe ponerlos a disposición de la autoridad de control que lo solicite (art. 30, apartados 3 y 4, del RGPD).

CUESTIONES

1. ¿Es siempre obligatorio llevar el mantenimiento de un registro de actividades de tratamiento?

No. El artículo 30, apartado 5, del RGPD indica que la llevanza de un registro solo es aplicable a las empresas que tengan empleadas más de 250 personas salvo que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertados de los interesados, o incluya datos de carácter especial que refieren en el artículo 9 del RGPD (que revelen origen étnico, racial, datos biométricos, convicciones filosóficas, afiliación sindical, tratamiento de datos genéticos, relativo a la salud, vida u orientación sexual...) y 10 del RPGD.

No obstante, este artículo no adopta una postura excluyente, por lo que, el registro puede llevarse a cabo fuera de esos supuestos y en todo caso será muestra de una conducta proactiva y tendente al cumplimiento de la protección de datos de carácter personal por parte de la entidad que lleve el tratamiento.

2. Tengo un despacho de abogados, ¿debo tener un registro de actividades de tratamiento?

Pues, como se ha resuelto en la pregunta anterior, el registro se llevará según el tipo de datos que se traten en el despacho. Atendiendo a este requisito, se procederá a elaborar un registro de actividades y a comunicarlo a la AEPD (autoridad de control competente).