La protección de datos para los profesionales del derecho (abogados y procuradores)

La protección de datos como derecho fundamental y su normativa de aplicación

Como punto de partida cabe citar el artículo 18, apartado 4, de la CE que contempla:

«4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».

Se configura así la protección de datos personales como un derecho fundamental con amparo constitucional. El propio Tribunal Constitucional, en su sentencia n.º 290/2000, de 30 de noviembre, ECLI:ES:TC:2000/290, interpretó al respecto de este derecho:

«(...) como ya se anticipaba en la decisión de este Tribunal que se acaba de mencionar, que el derecho fundamental al que estamos haciendo referencia garantiza a la persona un poder de control y disposición sobre sus datos personales. Pues confiere a su titular un haz de facultades que son elementos esenciales del derecho fundamental a la protección de los datos personales, integrado por los derechos que corresponden al afectado a consentir la recogida y el uso de sus datos personales y a conocer los mismos. Y para hacer efectivo ese contenido, el derecho a ser informado de quién posee sus datos personales y con qué finalidad, así como el derecho a oponerse a esa posesión y uso exigiendo a quien corresponda que ponga fin a la posesión y empleo de tales datos.

En suma, el derecho fundamental comprende un conjunto de derechos que el ciudadano puede ejercer frente a quienes sean titulares, públicos o privados, de ficheros de datos personales, partiendo del conocimiento de tales ficheros y de su contenido, uso y destino, por el registro de los mismos. De suerte que es sobre dichos ficheros donde han de proyectarse, en última instancia, las medidas destinadas a la salvaguardia del derecho fundamental aquí considerado por parte de las Administraciones Públicas competentes».

Son dos las normas principales que regulan el tratamiento de datos personales:

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales que desarrolla el citado reglamento en la normativa española (en adelante LOPDGDD).

Ambas normas están inspiradas en el principio de proactividad junto con el análisis de riesgos. En definitiva, vienen a recoger las conclusiones anteriores y a establecer un marco legal que no permita infracción alguna en el tratamiento de datos y que, de haberla, se penalice su comisión. 

Así mismo, el derecho a la protección de datos se rige o configura por unos elementos básicos, que el propio RGPD recoge y son:

• Principios del tratamiento de los datos: licitud, lealtad y transparencia (art. 5 del RGPD).

• Licitud del tratamiento: Con especial atención a los tratamientos de categorías especiales, quedando prohibidos (salvo causas excepcionales) los que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física (arts. 6 y 9 del RGPD).

• Lo que indica la norma es que este tratamiento especial requiere de consentimiento explícito. El consentimiento es un elemento decisivo para hablar de licitud en el tratamiento de datos: de forma explícita o tácita, y con singularidades para los casos en que sea un menor el interesado (arts. 6 a 10 de la LOPGDD). 

• Derechos de los titulares de los datos: transparencia, información, acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos, oposición y decisiones individuales automatizas, incluida la elaboración de perfiles (arts. 12 a 22 del RGPD).

Implantación de la LOPDGDD en el sector de la abogacía y la procura

La naturaleza de las profesiones de la abogacía y la procura requiere el conocimiento de datos personales de sus clientes para un desempeño correcto de sus funciones (direcciones, datos de pagos...), es decir, se produce un tratamiento de datos de carácter personal y, por tanto, ha de producirse una adaptación a la normativa comunitaria y estatal que regula esta materia (RGPD y LOPDGDD).

En el año de entrada en vigor del RGPD (2016), el propio Consejo General de la Abogacía afirmó que «se trata de una norma que —aunque ha tenido un plazo de dos años para su aplicación— supone una revolución para sectores como la abogacía. Con este especial se pretende reforzar la cultura de protección de datos especialmente sensibles que se manejan a diario en los despachos de abogados y en las instituciones de la Abogacía».

Así también, la evolución digital que rige la sociedad y las relaciones tanto interpersonales como profesionales suponen, a su vez, un tráfico más fluido de datos personales y, con ello, importantes riesgos que pueden vulnerar su protección. 

Lo que ha de blindarse es la protección de datos personales, derecho fundamental derivado del artículo 18, apartado 4, de la CE y que como indica el propio CGAE en su publicación «Abogacía y protección de datos: elementos clave para su cumplimiento», por Julián Prieto Hergueta, subdirector general del Registro General de Protección de Datos: «el derecho fundamental a la protección de datos personales, derivado del artículo 18.4 de la Constitución, no sólo constituye un ámbito de especialización del derecho al que se dedican, o pueden dedicarse, los abogados en la prestación de sus servicios a los clientes, sino que, sea cual sea la materia a la que se dedican profesionalmente, lo han de observar y garantizar como sujetos obligados en sus relaciones profesionales con clientes, empleados, instituciones y organismos públicos».

Responsable del tratamiento de datos

En cuanto al responsable del tratamiento de datos, destacar lo siguiente:

1. En el tratamiento de datos, al margen del sector en que nos encontremos, ¿quién puede ser el responsable?

Como bien indica el artículo 4, apartado 7, del RGPD, el responsable del tratamiento es la «persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros».

2. En el sector de la abogacía y la procura, ¿quién será el responsable del tratamiento?

La respuesta a esta cuestión la encontramos en el Informe 2012 de la Comisión jurídica del CGAE que dispone que deben distinguirse los siguientes supuestos:

• Abogado que ejerce individualmente.
• Abogado integrado en un despacho para el que presta sus servicios.
• Abogado que ejerce individualmente pero en el marco de algún tipo de colaboración consistente en la participación en gastos de un despacho compartido con gestión administrativa única.
• Abogado colegiado en España pero que presta sus servicios en un país extranjero. 
• Abogado que ejerce como árbitro único. 
• Abogado que forma parte de un colegio arbitral. 
• Institución arbitral.

Esta clasificación es importante en orden a determinar quién ostenta la condición de responsable del fichero o tratamiento y quién la de encargado, pues el régimen de la determinación del plazo de conservación de los datos de carácter personal es diverso.

Profundizando en cada supuesto y acudiendo también al CGAE, cabe destacar:

• Ejercicio individual (art. 35 del EGAE). En este tipo de ejercicio, el profesional de la abogacía responde profesionalmente frente a sus clientes de las actuaciones que realicen los profesionales de la abogacía que integren el despacho, sin perjuicio de la facultad de repetir frente a estos. Si se da el ejercicio individual se deduce que el responsable del tratamiento es el abogado titular del despacho individual.
• Colaboración (art. 36 del EGAE) y colaboración multiprofesional (art. 43 del EGAE). La colaboración multiprofesional implica la asociación de estos profesionales bajo cualquier forma lícita en derecho. Ahí surgen las sociedades mercantiles y, en conclusión, las responsables del tratamiento para estos casos. 
• Por cuenta ajena (arts. 37 a 39 del EGAE). Podrá ser en régimen de relación laboral especial o común, respetando la libertad, independencia y secreto profesional de la profesión. En estos casos, el responsable del tratamiento es la entidad o empresa para la que el abogado presta sus servicios. 
• Ejercicio colectivo (art. 40 del EGAE). Deberá hacerse una interpretación del artículo 5, apartado 2, de la Ley 2/2007, de Sociedades Profesionales que indica que las obligaciones de la actividad profesional desarrolladas se imputarán a la sociedad, sin perjuicio de la responsabilidad personal de los profesionales en cuanto a deudas sociales, que indica el artículo 11 de la citada ley:
  • Sociedades profesionales (art. 41 del EGAE).
  • Ejercicio colectivo en forma no societaria (art. 42 del EGAE).

3. Funciones del responsable del tratamiento de datos

• Atender al ejercicio de los derechos de los interesados.
• Cumplir el RGPD y demostrarlo como ordena el artículo 24 del RGPD (en caso contrario puede originar responsabilidad conforme a los artículos 83 del reglamento y 72 de la ley). Como indica el artículo 28, apartado 1, de la LOPDGDD, conforme a los elementos enumerados en los artículos 24 y 25 del RGPD, el responsable determina las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el referido reglamento, con la LOPDGDD, con sus normas de desarrollo y la legislación sectorial aplicable.
• Aplicar las políticas de protección de datos, siempre que sean proporcionadas en relación con las actividades de tratamiento.
• Llevar un registro de actividades de tratamiento (art. 30 del RGPD y art. 31 de la LOPDGDD).
• Realizar de correspondiente análisis de riesgos y adopción de las medidas de seguridad (artículo 32 del RGPD).
• Realizar a EIPD, cuando proceda, conforme al artículo 35 del RGPD y artículo 28 de la LOPDGDD.
• Valorar si procede la consulta previa que se regula en el artículo 36 del RGPD.
• Comunicar las brechas de seguridad a la autoridad de control y, en su caso, a los afectados (artículos 33 y 34 del RGPD), o comunicar la designación de un delegado de protección de datos —DPD— a la autoridad competente (artículos 37 a 39 del RGPD y 34 a 37 de la LOPDGDD).

CUESTIÓN

¿Existe diferencias entre responsable y/o encargado del tratamiento de los datos personales?

El artículo 4, apartados 7 y 8, del RGPD, los define y marca la diferenciación entre ambos sujetos. Así, como ya se ha expuesto, el responsable determina los fines y medios del tratamiento y el encargado trata los datos por cuenta del primero, es decir, del responsable del tratamiento. 

Asimilando estos conceptos al sector de la abogacía y la procura, podemos decir que:

- Responsable del tratamiento: actuaremos como tal en el marco de la prestación de servicios a los clientes, así como en el tratamiento de datos de nuestros colaboradores y empleados del despacho.

- Encargado del tratamiento: en el marco de la prestación de servicios a los clientes, tratamos datos personales que son responsabilidad de los clientes. Es decir, el responsable es el cliente y yo actúo como encargado por cuenta del primero. 

¿Qué es el canal prioritario? 

Se trata de una de las iniciativas de la AEPD con la finalidad de ofrecer a personas un mecanismo para proteger sus derechos y libertades fundamentales en la utilización de sus datos personales, como son las imágenes o audios en redes sociales u otros servicios de internet.

Así, el canal prioritario se configura como un fast track o vía rápida, para dar una solución pronta ante situaciones excepcionalmente delicadas que así lo requieren, a fin de evitar que la difusión de imágenes o audios de carácter sexual, violento, humillantes o degradante produzca o agrave los daños si se mantiene esa difusión, perjuicios que resultan de difícil o imposible reparación. Es la denominada violencia digital que afecta, en su gran mayoría, a mujeres, menores de edad y colectivos más vulnerables. 

AEPD y CGAE firmaron un protocolo general de actuación que, entre sus objetivos, establece que los abogados deben conocer este canal para así informar y asesorar, cuando sea el caso, a sus clientes sobre la existencia de esta vía de solución rápida.