Tratamiento de los datos de las partes en un proceso por abogados y procuradores

Tratamiento de datos de la parte contraria por abogados y procuradores

Atendiendo a lo dispuesto en el artículo 6, apartado 1, letra c) y f) del RGPD, el tratamiento es lícito cuando es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento  y también lo es cuando tenga por objetivo la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre ellos no prevalezcan intereses o derechos y libertades fundamentales del interesado que requieran la protección de datos personales (en el interesado es un menor). Aquí se encuadra el tratamiento de datos de las partes, tanto del cliente como de la parte contraria. 

Respecto a la parte contraria, deben citarse los preceptos generales e inquebrantables que han de regir las relaciones del abogado con la parte contraria, siendo el artículo 13 del CDA, así como el artículo 53 del EGAE, desarrolladores de esta materia. Así mismo, el total respeto hacia la parte contraria se configura como principio máximo contemplado en el CDA y en el artículo 10 del EGAE.

En base a estos fundamentos, se realizará el tratamiento de datos de la parte contraria, necesario a su vez para el desarrollo correcto de las funciones como abogado y procurador ya que el manejo de todos los datos y documentación necesaria es la herramienta principal para una defensa y representación de acuerdo con el derecho a la defensa y tutela judicial efectiva.

Surge así una confrontación entre dos preceptos constitucionales: el derecho de protección de datos del artículo 18 de la CE y el derecho a la tutela judicial efectiva del artículo 24 de la CE. En este punto es interesante traer a colación el Informe de la AEPD del año 2000 ya que en él se recogen las siguientes afirmaciones:

• El legislador ha creado un sistema en que el derecho a la protección de datos de carácter personal cede en aquellos supuestos en que el propio legislador (constitucional u ordinario) haya considerado la existencia de motivos razonados y fundados que justifiquen la necesidad del tratamiento de los datos, incorporando dichos supuestos a normas de, al menos, el mismo rango que la que regula la materia protegida. 
• El tratamiento por los abogados y procuradores de los datos referidos a la contraparte de sus clientes en los litigios en que aquellos ejerzan la postulación procesal trae su causa, directamente, del derecho de todos los ciudadanos a la asistencia letrada, consagrado por el artículo 24, apartado 2, de la CE.
• La exigibilidad del consentimiento del oponente para el tratamiento de sus datos por el abogado o procurador supondría dejar a disposición de aquel el almacenamiento de la información necesaria para que el cliente pueda ejercer, en plenitud, su derecho a la tutela judicial efectiva.
• La falta de esos datos puede implicar, lógicamente, una merma en la posibilidad de aportación por el interesado de «los medios de prueba pertinentes para su defensa», vulnerándose otra de las garantías derivadas del citado derecho a la tutela efectiva y coartándose la posibilidad de obtener el pleno desenvolvimiento de este derecho.

Y citando la STC n.º 57/1994, de 28 de febrero, ECLI:ES:TC:1994:57 que establece que «aun tratándose ya de actuaciones que afecten al ámbito protegido, la intimidad personal puede llegar a ceder en ciertos casos y en cualquiera de sus diversas expresiones ante exigencias públicas, pues no es éste un derecho de carácter absoluto (...)», y aplicando esta doctrina, la AEPD en el mencionado informe concluye que debe ponderarse en qué caso la limitación del ejercicio de uno de los derechos en conflicto puede producir una mayor merma de los derechos de la otra parte o, en su caso, las medidas que permitirán mitigar ese potencial perjuicio, por lo que debería prevalecer el derecho consagrado por el artículo 24 de la CE, garantizando medidas que eviten un mayor perjuicio a la parte contraria.  

¿Cuándo hablamos de un acceso a datos por parte de terceros?

El acceso a datos por parte de terceros se da cuando se realiza una prestación de un servicio por un tercero y para ello debe acceder a los datos personales almacenados en el fichero. La persona que accede a los datos para la prestación del servicio se denomina encargado de tratamiento. Para estos casos, lo que debe tenerse en cuenta es:

• No se trata de una cesión de datos. El propio artículo 33, apartado 1, de la LOPDGDD indica que: 

«El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la presente ley orgánica y en sus normas de desarrollo».

• Debe celebrarse el pertinente contrato entre el responsable y el tercero a fin de que se garantice la protección de datos: es el caso de que un despacho de abogados o procuradores contrata a una empresa externa para que le gestione y asesore en temas fiscales o incluso laborales en el caso de que tenga personal asalariado a su cuenta. La empresa en cuestión accederá a datos de carácter personal pero ha de colaborar en su protección y actuar con máximo respeto. 
• Se tratará de un contrato de acceso a datos que debe especificar: el objeto, el necesario acceso a los datos para poder cumplir este contrato y las obligaciones del encargado del tratamiento, que en ese caso será la empresa tercera.
• El artículo 28, apartado 3, del RGPD establece:

«El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable (...)».

CUESTIÓN

El incumplimiento del contrato de acceso a datos, ¿qué consecuencias puede tener?

El artículo 73, letra k), de la LOPDGDD califica este incumplimiento como infracción grave, pudiendo imponerse multas administrativas de hasta 10.000.000 euros como máximo o, tratándose de una empresa, cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía (art. 83.4 del RGPD).

Estas infracciones prescriben a los dos años, interrumpiéndose el plazo por inicio del procedimiento sancionador, con conocimiento del interesado, y reiniciándose si el expediente sancionador se paraliza durante más de 6 meses por causas no imputables al infractor (art. 75 de la LOPDGDD).

Respecto al plazo de prescripción de las sanciones se atenderá a la cuantía, recogiendo el artículo 78 de la LOPDGDD que las de importe inferior a 40.000 euros prescriben al año, las de importe entre 40.001 euros a 300.000 euros prescriben a los daños y las de cuantía superior a 300.000 euros prescriben a los tres años. El dies a quo para computar estos plazos se marca desde el día siguiente al que sea ejecutable la resolución sancionadora, pudiendo interrumpirse por el mismo motivo y durante el mismo tiempo que para el caso de las infracciones.